Novell ZENworks SID 服务 (novell-zisdservice) 会将特定的设备专用数据(如 IP 地址和主机名)保存到硬盘中不会进行映像处理的区域。当您将其安装到设备时,“映像代理”会记录此信息。对设备进行映像处理之后,novell-zisdservice 便会从映像安全区域恢复此信息(SID 除外)。如此可让设备使用原有网络身份。SID 通过 SID 转换器来恢复。
novell-zisdservice 仅在 Windows Vista 和 Windows 2008 设备上可用。
注:在 Windows 7 设备(32 位和 64 位)、Windows Server 2008(32 位)或 Windows Server 2008 R2 上安装 ZENworks Adaptive Agent 并重引导设备后,系统只会将设备 ID 和设备 GUID 写入 ISD。这样一来,ziswin 只会显示设备 ID 和设备 GUID。不过,这对 ZENworks Configuration Management 的功能不会造成任何影响。下次手动或自动重引导设备时,系统就会检索其他设备数据。
如果设备是新设备且不包含唯一网络身份,则当您使用“预引导服务映像”分发包对该设备进行映像时,会应用您为管理区域配置的默认设置。
“映像代理”保存到(或从中恢复)映像安全区域的数据包括以下内容:
使用静态 IP 地址还是 DHCP
如果使用静态 IP 地址:
IP 地址
子网掩码
默认网关(路由器)
DNS 设置
DNS 后缀
DNS 主机名
DNS 服务器
Novell-ziswin 通常会自动运行。
在 Vista 和 Windows Server 2008 受管设备上恢复映像之后,ZENworks SIDchanger 便会自动运行。该转换器运行于 ZENworks 映像分发包(即 Linux 环境)中。因此,SID 转换器会在 Linux 环境中更改 Windows SID。
请查看以下几节,了解详细信息:
安全标识符 (SID) 由安全性机构(即本地计算机上的 Windows 以及域或 Active Directory 网络中的域控制器)生成。
Windows 会根据使用 SID 来唯一识别用户及其组成员资格的 ACL,授予或拒绝对资源的访问权限和特权。当用户请求访问资源时,ACL 会检查用户的 SID,确定系统是否允许用户执行该操作,或用户是否属于允许执行该操作的组的成员。
计算机的 SID 是 96 位的唯一编号。计算机 SID 会为此计算机上创建的用户帐户和组帐户的 SID 加上前缀。计算机 SID 会与帐户的相对 ID (RID) 连接,生成该帐户的唯一标识符。
SID 的格式为:S-1-5-12-7623811015-3361044348-030300820-1013。
不同计算机之间的 SID 必须唯一,因为在计算机或用户必须唯一标识的情况下,重复的 SID 会产生某些问题。在域环境中,如果有重复 SID 的系统尝试加入域,便会发生错误。
例如,在工作组环境中,安全性是以本地帐户 SID 为基础。因此,如果两台计算机的用户有相同的 SID,工作组将无法区分这些用户。因此两个用户都可以访问包括文件和注册表项在内的所有资源。
只有在符合以下条件时,ZENworks SIDchanger 才可以运行:
已设置“只进行映像”标志。
在映像安全数据中,每恢复一个映像就设置“只进行映像”标志。
存在 Vista 和 Windows 2008 分区。
因为 SID 必须唯一,所以您必须在恢复映像之后更改 Windows 系统的 SID。当在新映像的设备上恢复映像时,设备会包含映像中的 SID,这可能会导致 SID 重复。不过,适用于 Windows Vista 之前所有 Windows 版本的 ziswin 可以解决此问题。在恢复映像之后,ziswin 会在第一次重引导时更改 Windows SID。
Windows Vista 会强制实行额外的访问限制,这导致系统无法自动更改 Windows 环境的注册表中的 SID。不过,适用于 Vista 和 Windows 2008 分区的 SID 转换器可以解决此问题。
ZENworks SIDchanger 会从注册表获得 SID,并使用以下方案更改 SID:
如果 ISD(映像安全数据)不包含 SID。
如果 ISD SID 与计算机 SID 不匹配。
注:ZENworks Imaging Engine 无法对使用 BitLocker* 技术加密的分区进行映像处理。BitLocker 驱动器加密功能可将整个磁盘进行加密,包括 Microsoft Windows Vista 和 Windows Server 2008 操作系统。BitLocker 驱动器加密通过加密整个卷来保护数据。
因为 Windows 文件加密会使用 SID,所以 SID 更改之后,您便无法访问使用 Windows 文件加密功能加密的文件。如果要访问加密的文件,则必须在取得映像之前备份文件加密密钥,并在更改 SID 之后导入密钥。
如果要使用第三方工具(如 SYSPREP)更改 SID,必须通过 ziswin 或映像资源管理器禁用 ZENworks SIDchanger。
您只能对受管设备使用 ziswin 来禁用 SID 转换器。在取得映像之前执行以下操作:
在 ziswin 中,单击 > > 。
选择 。
如此便会在系统驱动器中创建包含以下内容的隐藏系统文件 restoremask.xml:
<ISDConf> <DoNotRestoreMask> <SID>true</SID> </DoNotRestoreMask> </ISDConf>
要禁用 SID 转换器,请务必将 <SID> 的值设置为 true。如果要启用 SID 转换器,请将该值设置为 false。
创建包含以下内容的 restoremask.xml 文件:
<ISDConf>
<DoNotRestoreMask>
<SID>true</SID>
</DoNotRestoreMask>
</ISDConf>
在映像资源管理器中打开要恢复的映像,然后将 restoremask.xml 文件添加到映像的系统驱动器中。
保存映像。