Новый SID применяется когда sysprep-ping изображение Windows или при развертывании?
Загадочная версия: это зависит.;)
Существуют некоторые очень небезопасные способы развернуть оба SSL (v2, md5, использование пересмотра) и VPN (некоторое использование решений VPN глубоко испортило crypto алгоритмы, такие как RC4).
Уровень безопасности современных, хорошо настроенных реализаций обеих технологий примерно сопоставим (и довольно хорош).
К другому аспекту Вашего вопроса - SSL является, вероятно, лучшим решением для Вас; быть подключенным к VPN и удар незашифрованной страницы потеряют некоторые преимущества SSL (особенно, аутентификация сервера) и оставят Ваши запросы в простом тексте промежуточными, где VPN завершается и веб-сервер.
От: Синтаксис командной строки Sysprep
/ generalize Подготавливает установку Windows к созданию образа. Если это задана опция, вся уникальная системная информация удаляется из Установка Windows. Сброс идентификатора безопасности (SID), любое восстановление системы Очки очищаются, а журналы событий удаляются.
При следующем запуске компьютера этап настройки specialize бежит. Создается новый идентификатор безопасности (SID), и часы для Windows активация сбрасывается, если часы еще не были сброшены три раз.
Это означает, что при следующей перезагрузке (после развертывания!) ваш SID будет сброшен. Да, ваши машины получат 10 различных SID.
Существует несколько типов SID. У пользователей есть SID, у компьютеров есть SID, есть локальные SID, SID домена и есть «специальные» SID, но SID, о котором вы говорите (MachineSID), одинаков в sysprep и NewSID (Machine SID)
There are Machine SIDs, Service SIDs, Domain SIDs, and User SIDs. NewSID and sysprep /generalize only reset Machine SIDs. Yes, those are the same Machine SIDs, and yes, sysprep changes the Machine SID after deployment.
However, changing Machine SIDs is not necessary. According to this blog entry on TechNet by Mark Russinovich:
So is having multiple computers with the same machine SID a problem? The only way it would be is if Windows ever references the machine SIDs of other computers. For example, if when you connected to a remote system, the local machine SID was transmitted to the remote one and used in permissions checks, duplicate SIDs would pose a security problem because the remote system wouldn’t be able to distinguish the SID of the inbound remote account from a local account with the same SID (где SID обеих учетных записей имеют тот же SID компьютера, что и их база и тот же RID). Однако, как мы видели, Windows не позволить вам пройти аутентификацию на другом компьютере, используя известную учетную запись только на локальный компьютер. Вместо этого вы должны указать учетные данные для локальной учетной записи удаленной системы или домена учетная запись для домена, которому доверяет удаленный компьютер. Удаленный компьютер извлекает идентификаторы безопасности для локальной учетной записи из собственных учетных записей безопасности База данных (SAM) и для учетной записи домена из Active Directory база данных на контроллере домена (DC). Удаленный компьютер никогда ссылается на SID компьютера подключенного компьютера.
Другими словами, это не SID, который в конечном итоге обеспечивает доступ к компьютер, но имя пользователя и пароль учетной записи: просто зная SID of an account on a remote system doesn’t allow you access to the computer or any resources on it. As further evidence that a SID isn’t sufficient, remember that built-in accounts like the Local System account have the same SID on every computer, something that would be a major security hole if it was.
ThatGraemeGuy here on Server Fault agrees with me.
Seriously, you don't need NewSID. Microsoft has retired NewSID on the grounds that it's not necessary. The NewSID download page says, "Note: NewSID has been retired and is no longer available for download. Please see Mark Russinovich’s blog post: NewSID Retirement and the Machine SID Duplication Myth."
Sysprep still gets rid of things like those pesky registry keys that interfere with WSUS, however. Microsoft does not support cloning without sysprep.
I presume from your question that you're hoping to get rid of that NewSID step (yay!) by saying that sysprep /generalize performs the same function. This is true, but hopefully pointing out that NewSID has been unsupported since 2009 will also help you get rid of that unnecessary step in your rollout process.
После развертывания. Здравый смысл. Если бы генерализация генерировала новый SID, вам пришлось бы повторять его на каждой машине - что бы полностью противоречило тому, что означает это слово.
После генерализации машина обобщается, а затем повторно инициализируется при следующей загрузке. Итак, вы завершаете работу, развертываете, а затем - развернутые образы загружаются и генерируют новую машину SID pe.