E.3 Servizio ISD di Novell ZENworks (novell-zisdservice)

Il servizio SID di Novell ZENworks (novell-zisdservice) salva alcuni dati univoci per dispositivo (come gli indirizzi IP e i nomi degli host) in un'area del disco rigido non utilizzata per le operazioni di imaging. L'agente di imaging registra queste informazioni al momento della sua installazione sul dispositivo. Quindi novell-zisdservice ripristina le informazioni, eccetto il SID dall'area protetta dall'imaging dopo la creazione dell'immagine del dispositivo. Ciò consente al dispositivo di usare la stessa identità di rete impostata usata in precedenza. Il SID viene ripristinato da SIDchanger.

novell-zisdservice è disponibile solo sui dispositivi Windows Vista e Windows 2008.

Se il dispositivo è nuovo e non contiene un'identità di rete univoca, vengono applicate le impostazioni di default configurate per la Zona di gestione al momento in cui si crea l'immagine del dispositivo tramite il pacchetto di imaging dei servizi di preavvio.

I dati che l'agente di imaging salva (o ripristina) dall'area image-safe sono i seguenti:

In genere, Novell-ziswin viene eseguito automaticamente.

ZENworks SIDchanger viene eseguito automaticamente dopo il ripristino dell'immagine sul dispositivo gestito Vista e Windows Server 2008. Viene eseguito insieme alla distribuzione di imaging di ZENworks, che è un ambiente Linux. Di conseguenza, SIDchanger modifica il SID di Windows nell'ambiente Linux.

Per ulteriori informazioni, consultare le seguenti sezioni:

E.3.1 Descrizione del SID

L'identificatore di sicurezza (SID) viene generato da un ente di sicurezza, ovvero da Windows su un computer locale e il controller di dominio in un dominio o una rete Active Directory.

Windows autorizza o rifiuta l'accesso e i privilegi per le risorse in base agli ACL che utilizzano il SID per identificare in modo univoco gli utenti e le loro appartenenze ai gruppi. Quando un utente richiede di accedere a una risorsa, l'ACL controlla il SID dell'utente per determinare se l'utente è autorizzato a eseguire l'azione oppure se fa parte di un gruppo autorizzato a eseguirla.

Il SID del computer è un numero a 96 bit univoco. Il SID del computer utilizza come prefisso i SID dei conti utente e gruppi creati sul computer. Il SID del computer è concatenato all'ID relativo (RID) del conto in modo che venga creato un identificatore conto univoco.

SID ha il seguente formato: S-1-5-12-7623811015-3361044348-030300820-1013.

Il SID deve essere univoco sui vari computer poiché eventuali SID doppi possono provocare problemi nel caso in cui il computer o l'utente debba essere identificato in modo univoco. Se un sistema con SID doppio tenta di accedere a un dominio in un ambiente dominio, viene visualizzato un errore.

In un ambiente basato su gruppi di lavoro, ad esempio, la sicurezza si basa sui SID dei conti locali. Di conseguenza, se due computer hanno utenti con lo stesso SID, il gruppo di lavoro non è in grado di distinguere tra gli utenti. Tutte le risorse, compresi i file e le chiavi del registro di sistema, risultano quindi accessibili a entrambi gli utenti.

E.3.2 Descrizione di ZENworks SIDchanger

ZENworks SIDchanger può essere eseguito solo se vengono soddisfatte le seguenti condizioni:

  • Viene impostato il flag Solo immagine.

    Il flag Solo immagine dei dati protetti dall'imaging viene impostato ogni volta che viene ripristinata un'immagine.

  • Le partizioni Vista e Windows 2008 esistono.

È necessario modificare il SID del sistema Windows dopo il ripristino di un'immagine, perché il SID deve essere univoco. Quando l'immagine viene ripristinata su un dispositivo la cui immagine è stata creata di recente, tale immagine contiene il SID e possono quindi verificarsi problemi di SID doppi. Questo problema può essere risolto utilizzando ziswin per tutte le versioni di Windows anteriori a Windows Vista. ziswin modifica il SID di Windows al primo riavvio dopo il ripristino dell'immagine.

Windows Vista applica ulteriori restrizioni agli accessi che rendono impossibile la modifica automatica del SID nel registro di sistema in ambiente Windows. Questo problema è stato tuttavia risolto grazie a SIDchanger, utilizzabile con le partizioni Vista e Windows 2008.

ZENworks SIDchanger ottiene le informazioni protette dall'imaging dal registro di sistema e le modifica nei seguenti scenari:

  • Se ISD (dati protetti dall'imaging) non contengono un SID.

  • Se il SID ISD non corrisponde al SID del computer.

NOTA:il motore di imaging di ZENworks non è in grado di creare partizioni di immagini crittografate utilizzando la tecnologia BitLocker*. BitLocker Drive Encryption è una funzionalità per la crittografia completa del disco inclusa nei sistemi operativi Windows Vista e Windows Server 2008 di Microsoft. Il suo scopo è quello di proteggere i dati permettendo la cifratura di interi volumi.

Dopo la modifica del SID, i file crittografati tramite la funzionalità di crittografia dei file di Windows non sono più accessibili, perché tale funzionalità utilizza il SID. Per accedere ai file crittografati, è necessario effettuare il backup della chiave di crittografia dei file prima di acquisire l'immagine e importare tale chiave dopo la modifica del SID.

E.3.3 Disabilitazione di SIDchanger

È necessario disabilitare ZENworks SIDchanger utilizzando ziswin oppure Image Explorer per poter usare uno strumento di terze parti come SYSPREP per modificare il SID.

Uso di Ziswin per disabilitare SIDchanger

È possibile usare ziswin per disabilitare SIDchanger solo per i dispositivi gestiti. Effettuare le seguenti operazioni prima di acquisire l'immagine:

  1. In ziswin, fare clic su Modifica> Opzioni > Ripristina maschera.

  2. Selezionare SID Windows.

    Viene creato un file system restoremask.xml nascosto sull'unità del sistema, con il seguente contenuto:

    <ISDConf>
     <DoNotRestoreMask>
      <SID>true</SID>
     </DoNotRestoreMask>
    </ISDConf>
    

    Per disabilitare SIDchanger, verificare che il valore <SID> sia impostato su Vero. Per abilitare SIDchanger, impostare il valore su Falso.

Uso di Image Explorer per disabilitare SIDchanger

  1. Creare il file restoremask.xml con i seguenti contenuti:

    <ISDConf>
     <DoNotRestoreMask>
        <SID>true</SID>
     </DoNotRestoreMask>
    </ISDConf>
    
  2. Aprire l'immagine da ripristinare in Image Explorer, quindi aggiungere il file restoremask.xml all'unità di sistema dell'immagine.

  3. Salvare l'immagine.