Novell Doc: Referência para Preboot Services e Criação de Imagens do ZENworks 10 Configuration Management - Serviço ISD do Novell ZENworks (novell-zisdservice)

E.3 Serviço ISD do Novell ZENworks (novell-zisdservice)

A finalidade do Serviço SID do Novell ZENworks é gravar determinados dados exclusivos de dispositivo (como endereços IP e nomes de host) em uma área do disco rígido protegida contra a criação de imagens. O Agente de Imaging registra essas informações quando você o instala no dispositivo. Em seguida, o novell-zisdservice restaura essas informações da área segura para imagens após a criação da imagem do dispositivo. Esse procedimento permite que o dispositivo use a mesma identidade de rede anterior. O SID é restaurado pelo SIDchanger.

O novell-zisdservice está disponível apenas em dispositivos Windows Vista e Windows 2008.

NOTA:Após instalar o ZENworks Adaptive Agent em um dispositivo Windows 7 (32 bits e 64 bits), Windows Server 2008 de 32 bits ou Windows Server 2008 R2 e, em seguida, reinicializar os dispositivos, apenas o ID e o GUID do dispositivo serão gravados no ISD. Conseqüentemente, o ziswin exibirá apenas o ID e o GUID do dispositivo. Entretanto, isso não causará nenhum impacto na funcionalidade do ZENworks Configuration Management. Outros dados de dispositivo serão recuperados na reinicialização subseqüente (manual ou automática) do dispositivo.

Se um dispositivo for novo e não tiver uma identidade de rede exclusiva, as configurações padrão da Zona de Gerenciamento serão aplicadas quando a imagem do dispositivo for criada por meio de um bundle de criação de imagens do Preboot Services.

Os dados que o Agente para do Imaging grava na (ou restaura da) área segura para imagens incluem:

Se é usado um endereço IP estático ou um DHCP
Se for usado um endereço IP estático:
- endereço IP
- Máscara de sub-rede
- Gateway Padrão (roteador)
Configurações de DNS
- Sufixo DNS
- Nome do Host de DNS
- Servidores DNS

Em geral, o Novell-ziswin é executado automaticamente.

O ZENworks SIDchanger é executado automaticamente após a restauração da imagem nos dispositivos gerenciados Windows Vista e Windows Server 2008. Ele é executado na distro do ZENworks Imaging, que é um ambiente Linux. Conseqüentemente, o SIDchanger muda o SID do Windows dentro do ambiente Linux.

Consulte as seguintes seções para obter informações detalhadas:

E.3.1 Compreendendo o SID

O SID (Security Identifier - Identificador de Segurança) é gerado por uma autoridade de segurança, que é o Windows em um computador local e o controlador de domínio em um domínio ou na rede Active Directory.

O Windows concede ou nega o acesso e os privilégios aos recursos baseados em ACLs que usam SIDs para identificar com exclusividade os usuários e suas participações em grupos. Quando um usuário solicita acesso a um recurso, o SID do usuário é verificado pela ACL para determinar se o usuário poderá executar a ação ou se ele faz parte de um grupo autorizado a executar essa ação.

O SID de uma máquina é um número exclusivo de 96 bits. O SID da máquina precede os SIDs de contas de usuário e contas de grupos criadas no computador. O SID da máquina é concatenado com o ID relativo (RID) da conta para criar o identificador exclusivo dela.

O SID tem o seguinte formato: S-1-5-12-7623811015-3361044348-030300820-1013.

O S indica que a string é um SID.
1 é o nível de revisão.
5 é o valor de autoridade do identificador.
12-7623811015-3361044348-030300820 é o identificador do domínio ou do computador local.
1013 é um ID relativo (rid).

O SID deve ser exclusivo em máquinas diferentes, pois SIDs duplicados podem causar problemas, caso a máquina ou o usuário precise ser identificado com exclusividade. Em um ambiente de domínio, se um sistema com SID duplicado tentar ingressar no domínio, ocorrerão erros.

Por exemplo, em um ambiente de grupo de trabalho, a segurança baseia-se nos SIDs de contas locais. Conseqüentemente, se dois computadores tiverem usuários com o mesmo SID, o grupo de trabalho não poderá fazer distinção entre os usuários. Desse modo, todos os recursos, incluindo arquivos e chaves de registro, poderão ser acessados pelos dois usuários.

E.3.2 Compreendendo o ZENworks SIDchanger

O ZENworks SIDchanger será executado somente se as seguintes condições forem atendidas:

O flag JustImaged deve ser definido.

Nos dados seguros para imagens, o flag JustImaged deve ser definido sempre que uma imagem for restaurada.
Devem existir partições do Windows Vista e do Windows 2008.

Você deve mudar o SID do sistema Windows após a restauração de uma imagem porque o SID deve ser exclusivo. Quando a imagem é restaurada no dispositivo cuja imagem foi recém-criada, o dispositivo conterá o SID na imagem que poderá resultar em sua duplicação. Contudo, isso é tratado pelo ziswin em todas as versões anteriores ao Windows Vista. O ziswin muda o SID do Windows na primeira reinicialização após a restauração da imagem.

O Windows Vista força restrições adicionais de acesso que torna impossível mudar automaticamente o SID no registro dentro do ambiente Windows. Contudo, esse problema é solucionado pelo SIDchanger, executado para partições do Vista e do Windows 2008.

O ZENworks SIDchanger obtém o SID do registro e muda-o nas seguintes situações:

Se o ISD (dados seguros para imagens) não contiver um SID.
Se o SID do ISD não contiver o SID do computador.

NOTA:O mecanismo do ZENworks Imaging não poderá criar imagens de partições criptografadas usando a tecnologia BitLocker*. A Criptografia de Unidade BitLocker consiste em um recurso de criptografia de disco completo incluindo nos sistemas operacionais Windows Vista e Windows Server 2008 da Microsoft. Destina-se a proteger os dados por meio da criptografia de volumes inteiros.

Após a mudança do SID, os arquivos criptografados usando a criptografia de arquivos do Windows não poderão ser acessados, pois a criptografia de arquivos do Windows usa o SID. Se você quiser acessar os arquivos criptografados, faça backup da chave de criptografia de arquivo antes de criar a imagem e importe a chave após a mudança do SID.

E.3.3 Desabilitando o SIDchanger

Você deve desabilitar o ZENworks SIDchanger usando o ziswin ou o Image Explorer se quiser usar uma ferramenta de terceiros, como o SYSPREP, para mudar o SID.

Usando o Ziswin para desabilitar o SIDchanger

Você pode usar o ziswin para desabilitar o SIDchanger somente em dispositivos gerenciados. Faça o seguinte antes de criar a imagem:

No ziswin, clique em Edit (Editar) > Options (Opções) > Restore Mask (Restaurar Máscara).
Selecione Windows SID (SID do Windows).

Esse procedimento cria o arquivo de sistema oculto restoremask.xml na unidade de sistema, com o seguinte conteúdo:
```
<ISDConf>
 <DoNotRestoreMask>
  <SID>true</SID>
 </DoNotRestoreMask>
</ISDConf>
```
Para desabilitar o SIDchanger, verifique se o valor de <SID> está definido como verdadeiro. Se quiser desabilitar o SIDchanger, defina o valor como falso.

Usando o Image Explorer para desabilitar o SIDchanger

Crie o arquivo restoremask.xml, com o seguinte conteúdo:

<ISDConf>
 <DoNotRestoreMask>
    <SID>true</SID>
 </DoNotRestoreMask>
</ISDConf>

Abra a imagem a ser restaurada no Image Explorer e adicione o arquivo restoremask.xml à unidade de sistema da imagem.
Grave a imagem.