微软的操作系统很早就开始使用安全标识符(SID)来识别计算机和用户。对于域管理员来说,SID是一个重要的概念。计算机账号拥有的是Machine SID,而用户账户则拥有用户账户 SID。在计算机工作组的情境下,计算机的SID是由特定的算法生成的。除了一些特殊账户外,其他用户的SID也是通过算法生成的。而在域环境中,每个对象的SID是由域范围的SID和具有唯一性的相对标识符(RID)组合而成的。RID是在创建安全主体时,由域中的RID Master负责分配的。RID Master的主要职责是分配可用的RID池给域内的域控制器(DC),并防止对象的SID重复。
那么,为什么要进行Sysprep操作呢?
当我们从一台主机克隆出多台PC或使用同一虚拟机母板克隆出多台虚拟机时,它们的SID可能会相同。这样一来,在加入域时可能会导致安全主体的识别混乱和加域失败等问题。在同一中,存在相同SID的计算机或账户也可能会引发各种奇怪的问题,特别是权限和安全方面的问题。为了解决这个问题,Windows 10提供了Sysprep操作。
不可否认的是,许多IT管理员采用克隆技术来快速批量部署大量PC或服务器。这种通过镜像方式批量分发Windows操作系统、应用程序和软件配置的情况已经非常普遍。避免SID重复显得尤为重要。如果你不确定你的Windows 10客户端是否有SID相同的情况,可以使用之前介绍的Sysinternals系列中的psgetsid工具进行检查。
尽管之前sysinternals套件中的newsid小工具可以清除SID,但由于某些原因,该工具已被移除。现在Sysprep是微软支持的唯一用于解决SID重复问题的工具。
那么如何使用Windows 10的Sysprep呢?
在Windows 10中执行Sysprep操作非常简单。你只需进入C:\Windows\System32\sysprep目录并运行sysprep.exe文件即可。
在弹出的“系统准备工具”窗,我们通常选择“OOBE”和“通用”选项。其中,“OOBE”指的是系统下次启动后重新进入配置界面(类似于全新安装Windows 10后的操作)。选择“关机”是为了方便管理员将该系统制作成虚拟机模板或要分发的镜像。
如果你喜欢使用命令行,Sysprep也支持命令行操作。以下命令可以实现上述图形界面的功能:
Sysprep /generalize /shutdown /oobe
为了方便管理员制作虚拟机模板,Windows 10的Sysprep还提供了VM模式。该模式可以帮助管理员方便地制作VHD(X)进行快速部署。值得注意的是,VM模式只能在虚拟机中使用,并且只能通过命令行操作:
Sysprep /generalize /oobe /mode:vm
一旦Sysprep开始执行操作,Windows 10将在完成相关工作后按管理员的选择进行关机或重启。
完成操作后,我们可以使用镜像抓取工具进行捕获并部署,或将VHD/VMDK用于全新的虚拟机中。所有经过Sysprep操作的Windows 10,由于去除了安全标识符等操作系统主体信息,在下次启动时将会重新进入OOBE阶段。
