WINDOWS系统SID修改方法
Sysinternals Suit使用方法
利用Sysinternals Suite加强Windows系统管理发布时间:2009-02-11 09:17:31 来源:友佳学院网友评论 0 条Sysinternals Suite是微软技术团队开发的一套功能强大的免费工具程序集,2009年2月4日微软发布了它的最新版本,其版本号为Build 20090204。
新版本的Sysinternals Suite包括72个相互独立的工具,这些工具囊括了文件、进程、磁盘、网络、安全等系统管理的方方面面,而Sysinternals Suite中的工具比系统中集成的类似工具功能更为强大,针对系统的可操作性更灵活。
系统管理员如果能够熟练、灵活使用这些工具,无疑将会极大地提升系统管理效率。
下面笔者基于系统管理的实际需要,实例演示其中某些工具的使用方法。
下载及其安装访问/zh-cn/sysinternals/0e18b180-9b7a-4c49-8120-c47c5a6 93683(en-us).aspx可下载Sysinternals Suite包。
下载完毕后不需要安全,只需将其解压到某个目录即可。
1、用数字签名甄别可疑程序随着使用时间的增长,就会在系统中会汇集越来越多的文件。
这些文件大多数是正常的,但也有不少可疑文件,特别上网、安装软件等操作,很容易造成系统中毒、中马。
现在的病毒木马非常狡猾,它们往往将自己装扮成系统文件以逃避杀毒软件和用户的追杀。
这些可疑文件不仅与系统文件同名,而且其大小、文件属性都和系统文件一样。
系统管理员遇到这些此类情况,如何甄别呢?数字签名是我们分辨系统程序和可疑程序的依据。
大家知道,对于Windows系统来说重要的系统文件都有类似Verified: Signed、Signing date:12:14 2004-8-17、Publisher: Microsoft Corporation的微软的数字签名,而可疑程序则没有。
比如在笔者的C:/Windows 下有一个名为svchost.exe的程序,其大小及文件属性和系统中的svchost.exe的完全一样。
系统SID详解
前言SID也就是安全标识符(Security Identifiers),是标识用户、组和计算机帐户的唯一的号码。
在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的SID。
Windows 2000 中的内部进程将引用帐户的SID 而不是帐户的用户或组名。
如果创建帐户,再删除帐户,然后使用相同的用户名创建另一个帐户,则新帐户将不具有授权给前一个帐户的权力或权限,原因是该帐户具有不同的SID 号。
安全标识符也被称为安全ID 或SID。
SID的作用用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给Windows NT,然后Windows NT 检查用户试图访问对象上的访问控制列表。
如果用户被允许访问该对象,Windows NT将会分配给用户适当的访问权限。
访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌。
SID号码的组成如果存在两个同样SID的用户,这两个帐户将被鉴别为同一个帐户,原理上如果帐户无限制增加的时候,会产生同样的SID,在通常的情况下SID是唯一的,他由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。
一个完整的SID包括:• 用户和组的安全描述• 48-bit的ID authority• 修订版本• 可变的验证值Variable sub-authority values例:S-1-5-21-310440588-250036847-580389505-500我们来先分析这个重要的SID。
第一项S表示该字符串是SID;第二项是SID的版本号,对于2000来说,这个就是1;然后是标志符的颁发机构(identifier authority),对于2000内的帐户,颁发机构就是NT,值是5。
然后表示一系列的子颁发机构,前面几项是标志域的,最后一个标志着域内的帐户和组。
Oracle数据库例名SID的修改方法步骤
求知若饥,虚心若愚。
Oracle数据库例名SID的修改方法步骤Oracle数据库例名SID的修改方法步骤有时候我们需要修改Oracle数据库的实例名SID,下面是在Centos 6.5下修改ORACLE10.2的实例名的实例教程,感爱好学习的伴侣可以看下。
修改Oracle实例名系统环境:CentOS 6.5ORACLE版本:10.21、检查原来的数据库实例名$ echo $ORACLE_SIDorcl$ sqlplus / as sysdbaselect instance from v$thread;INSTANCE--------------------------------------------------------------------------------orcl2、关闭数据库shutdown immediate;exit;3、修改oracle用户的ORACLE_SID环境变量,如由orcl修改第1页/共3页学而不舍,金石可镂。
为linuxidc$ vi /home/oracle/.bash_profileexport ORACLE_SID=linuxidc$ source /home/oracle/.bash_profile4、修改/etc/oratab文件,将sid名由orcl修改为linuxidc $ vi /etc/oratablinuxidc:/u01/app/oracle/11.2/db_1:Y5、进入到$ORACLE_HOME/dbs名目将全部文件名中包含原来的sid的'修改为对应的新sid的$ cd $ORACLE_HOME/dbs$ mv hc_zf.dat hc_linuxidc.dat$ mv lkZF lklinuxidc$ mv orapwzf orapwlinuxidc$ mv spfilezf.ora spfilelinuxidc.ora6、重建口令文件由于口令文件改名后不能在新实例中使用,所以重建$ orapwd file=$ORACLE_HOME/dbs/orapw$ORACLE_SID password=123456 entries=5 force=y7、启动数据库$ sqlplus / as sysdbastartup8、检查数据库实例名第2页/共3页求知若饥,虚心若愚。
应用文件属性时出错
恢复步骤为了方便描述,这里假设被删帐户的用户名为Admin,Windows安装在C盘。
1.再造SID首先确认被删帐户的SID,这里可以进入以下文件夹:C:\\Documents and Settings\\Admin\\Application Data\\Microsoft\\Crypto\\RSA在其下应该有一个以该被删帐户的SID为名的文件夹,例如是S-1-5-21-4662660629-873921405-788003330-1004(RID为1004)现在我们要设法让新建帐户同样具有1004的RID,这样就能达到目的。
在Windows中,下一个新建帐户所分配的RID是由HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account注册表项的F键值所确定的。
F键值是二进制类型的数据,在偏移量0048处的四个字节,定义下一个帐户的RID。
那么也就是说,只需要修改0048处的四个字节,就能达到目的(让新建帐户获得1004的RID)确认好以后,别忘记把Admin帐户的配置文件转移到别的地方!(1) 默认情况下,只有system帐户才有权限访问HKEY_LOCAL_MACHINE\\SAM,这里在CMD命令提示符窗口,运行以下命令,以system帐户身份打开注册表编辑器:pexec -i -d -s %windir%\\regedit.exe提示可以在以下网站下载psexec:/Utilities/PsExec.html(2) 定位到HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account注册表项,双击打开右侧的F键值。
(3) 这里要说明一下,Windows是以十六进制、而且以反转形式保存下一个帐户的RID。
什么意思呢?也就是说,如果是1004的RID,对应十六进制就是03EC,但是我们必须把它反转过来变成EC03,再扩展为4个字节,就是EC 03 00 00。
Ghost克隆时一个重要问题SID
SID也就是安全标识符(Security Identifiers),是标识用户、组和计算机帐户的唯一的号码。
在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的SID。
Windows 2000 中的内部进程将引用帐户的SID 而不是帐户的用户或组名。
如果创建帐户,再删除帐户,然后使用相同的用户名创建另一个帐户,则新帐户将不具有授权给前一个帐户的权力或权限,原因是该帐户具有不同的SID 号。
安全标识符也被称为安全ID 或SID。
SID的作用用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给Windows NT,然后Windows NT 检查用户试图访问对象上的访问控制列表。
如果用户被允许访问该对象,Windows NT将会分配给用户适当的访问权限。
访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌。
SID号码的组成如果存在两个同样SID的用户,这两个帐户将被鉴别为同一个帐户,原理上如果帐户无限制增加的时候,会产生同样的SID,在通常的情况下SID是唯一的,他由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。
一个完整的SID包括:用户和组的安全描述48-bit的ID authority修订版本可变的验证值V ariable sub-authority values例:S-1-5-21-310440588-250036847-580389505-500我们来先分析这个重要的SID。
第一项S表示该字符串是SID;第二项是SID的版本号,对于2000来说,这个就是1;然后是标志符的颁发机构(identifier authority),对于2000内的帐户,颁发机构就是NT,值是5。
然后表示一系列的子颁发机构,前面几项是标志域的,最后一个标志着域内的帐户和组。
Windows中SID详解
Windows中的SID详解SID详解前言SID也就是安全标识符(Security Identifiers),是标识用户、组和计算机帐户的唯一的号码。
在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的SID。
Windows2000中的内部进程将引用帐户的SID而不是帐户的用户或组名。
如果创建帐户,再删除帐户,然后使用相同的用户名创建另一个帐户,则新帐户将不具有授权给前一个帐户的权力或权限,原因是该帐户具有不同的SID号。
安全标识符也被称为安全ID或SID。
SID的作用用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给Windows NT,然后Windows NT检查用户试图访问对象上的访问控制列表。
如果用户被允许访问该对象,Windows NT将会分配给用户适当的访问权限。
访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌。
SID号码的组成如果存在两个同样SID的用户,这两个帐户将被鉴别为同一个帐户,原理上如果帐户无限制增加的时候,会产生同样的SID,在通常的情况下SID是唯一的,他由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。
一个完整的SID包括:•用户和组的安全描述•48-bit的ID authority•修订版本•可变的验证值Variable sub-authority values例:S-1-5-21-310440588-250036847-580389505-500我们来先分析这个重要的SID。
第一项S表示该字符串是SID;第二项是SID的版本号,对于2000来说,这个就是1;然后是标志符的颁发机构(identifier authority),对于2000内的帐户,颁发机构就是NT,值是5。
然后表示一系列的子颁发机构,前面几项是标志域的,最后一个标志着域内的帐户和组。
sysprep 与SID
sysprep目录Sysprep概念重要信息相关信息1.创建按计划生产(BTP) Windows 映像2.创建按订单生产(BTO) Windows 映像注意Sysprep的另类功能展开Sysprep概念重要信息相关信息1.创建按计划生产(BTP) Windows 映像2.创建按订单生产(BTO) Windows 映像注意Sysprep的另类功能展开系统准备(Sysprep) 工具为Windows (vista和7)的安装准备复制、审核和客户交付功能。
使用复制(也称为映像)可以捕获可在整个组织中重复使用的自定义Windows 映像。
使用审核模式可以将其他设备驱动器或应用程序添加到Windows 安装。
安装其他驱动程序和应用程序之后,可以测试Windows 安装的完整性。
使用Sysprep 还可以准备要交付至客户的映像。
客户启动Windows 时,会启动“欢迎使用Windows”。
只能将Sysprep 用于配置Windows 的全新安装。
可以根据需要多次运行Sysprep,以构建和配置Windows 安装。
但是,重置Windows 激活最多只能为三次。
禁止使用Sysprep 来重新配置已部署的Windows 现有安装。
只能将Sysprep 用于配置Windows 的全新安装。
如果您打算将一个Windows 映像转移到另一台计算机上,则必须运行sysprep /generalize,即使该计算机具有相同的硬件配置。
Sysprep /generalize 命令从您的Windows 安装删除唯一性信息,这使得您可以在不同的计算机上重用映像。
下一次引导Windows 映像时,将运行specialize 配置阶段。
在该配制阶段中,有许多组件的操作必须在新系统上引导Windows 映像时被处理。
用于将Windows 映像移动到新计算机的任何方法,不管是映像技术、磁盘复制还是其他方法,都必须使用sysprep /generalize 命令进行准备。
操作系统(windows)--知识点
1.知识要点1.1.Windwos账号体系分为用户与组,用户的权限通过加入不同的组来授权用户:组:1.2.账号SID安全标识符是用户帐户的内部名,用于识别用户身份,它在用户帐户创建时由系统自动产生。
在Windows系统中默认用户中,其SID的最后一项标志位都是固定的,比如administrator的SID最后一段标志位是500,又比如最后一段是501的话则是代表GUEST的帐号。
1.3.账号安全设置通过本地安全策略可设置账号的策略,包括密码复杂度、长度、有效期、锁定策略等:设置方法:“开始”->“运行”输入secpol.msc,立即启用:gpupdate /force1.4.账号数据库SAM文件sam文件是windows的用户帐户数据库,所有用户的登录名及口令等相关信息都会保存在这个文件中。
可通过工具提取数据,密码是加密存放,可通过工具进行破解。
1.5.文件系统NTFS (New Technology File System),是WindowsNT 环境的文件系统。
新技术文件系统是Windows NT家族(如,Windows 2000、Windows XP、Windows Vista、Windows 7和windows 8.1)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS的文件系统,4096簇环境下)。
NTFS取代了老式的FAT文件系统。
在NTFS分区上,可以为共享资源、文件夹以及文件设置访问许可权限。
许可的设置包括两方面的内容:一是允许哪些组或用户对文件夹、文件和共享资源进行访问;二是获得访问许可的组或用户可以进行什么级别的访问。
访问许可权限的设置不但适用于本地计算机的用户,同样也应用于通过网络的共享文件夹对文件进行访问的网络用户。
与FAT32文件系统下对文件夹或文件进行访问相比,安全性要高得多。
另外,在采用NTFS格式的Win 2000中,应用审核策略可以对文件夹、文件以及活动目录对象进行审核,审核结果记录在安全日志中,通过安全日志就可以查看哪些组或用户对文件夹、文件或活动目录对象进行了什么级别的操作,从而发现系统可能面临的非法访问,通过采取相应的措施,将这种安全隐患减到最低。
什么是SID
什么是SID序SID是什么意思?好像接触活动⽬录activedirectory的朋友,很少有⼈问什么是SID,SID是什么意思?其实活动⽬录中经常遇到的ghost克隆问题,双加⼊域⽼是会有⼀个⾃动退出域,等等问题都与sid有关。
此外还有很多朋友关⼼如何查看SID,修改SID?《SID是什么》这篇⽂章就为⼤家解释⼀下SID的问题。
SID是什么意思============对于那些⼀看到缩写词脑⼦就会⼀⽚空⽩的⼈来说(这⾥可没有责怪您的意思),SID 只是安全标识符的缩写⽽已。
SID 的全称是“安全标识符(S ecurity Id entify)”,是为域或本地计算机中创建的每个帐户分配的唯⼀ ID 字符串(例如,S-1-5-21-1454471165-1004336348-1606980848-5555)。
提⽰:active directory活动⽬录域中每⼀个对象也有⼀个唯⼀标识,成为GUID。
GUID=SID + RID 。
活动⽬录中专门有⼀个操作主机⾓⾊叫RID,就是为域中的每个对象分配⼀个RID号。
最终GUID在所有域,乃⾄全世界都是唯⼀的。
这⾥提到的账户包括⽤户账户和计算机账户。
其中计算机账户为了更⾼级别的安全性要求,会与⼀些计算机硬件信息相关联。
⽂章开头提到的两个SID的问题,是由于活动⽬录数据库已经不再信任计算机账户,认为这个计算机账户是不安全的,所谓的安全通道 security channel被破坏。
实际上,计算机使⽤ SID 来跟踪每个帐户:如果重命名管理员帐户,计算机仍然知道哪个帐户是管理员帐户。
这是因为 SID 不同于名称,它永远不会更改。
就我们所讨论的问题⽽⾔,记住 SID 是操作系统跟踪帐户使⽤的⼀种⽅法就⾏了。
例如,您可以重命名计算机上的 Administrator 帐户,并且仍将该帐户⽤作管理员,这是因为 Windows 真正关⼼的并不是名称是什么;Windows 仍然知道该帐户是 Administrator 帐户,因为⽆论帐户名称如何变化,SID 保持不变。
sid详解
sid详解2007/12/17 09:44 A.M.前言SID也就是安全标识符(Security Identifiers),是标识用户、组和计算机帐户的唯一的号码。
在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SID。
Windows 2000 中的内部进程将引用帐户的 SID 而不是帐户的用户或组名。
如果创建帐户,再删除帐户,然后使用相同的用户名创建另一个帐户,则新帐户将不具有授权给前一个帐户的权力或权限,原因是该帐户具有不同的 SID 号。
安全标识符也被称为安全 ID 或 SID。
SID的作用用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给Windows NT,然后 Windows NT 检查用户试图访问对象上的访问控制列表。
如果用户被允许访问该对象,Windows NT将会分配给用户适当的访问权限。
访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌。
SID号码的组成如果存在两个同样SID的用户,这两个帐户将被鉴别为同一个帐户,原理上如果帐户无限制增加的时候,会产生同样的SID,在通常的情况下SID是唯一的,他由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。
一个完整的SID包括:• 用户和组的安全描述• 48-bit的ID authority• 修订版本• 可变的验证值Variable sub-authority values例:S-1-5-21-310440588-250036847-580389505-500我们来先分析这个重要的SID。
第一项S表示该字符串是SID;第二项是SID的版本号,对于2000来说,这个就是1;然后是标志符的颁发机构(identifier authority),对于2000内的帐户,颁发机构就是NT,值是5。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、Sid的含义
Sid全称为security identity,即网络安全标示。
它用来唯一标示计算机账户、用户组和用户账户这些信息。
他由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。
许多系统软件使用此标示来唯一识别一个用户。
二、查看本机sid
1)cmd进入命令行,输入who am i /all.即可查看当前登录用户的sid信息
2)Regedit进入注册表,进入HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion ProfileList ,其左侧为sid,右侧ProfileImagePath 可查看该sid对应的用户名。
三、修改sid
在虚拟上克隆系统,或者使用ghost镜像安装系统时会遇到sid相同的问题。
这种情况下:
若是win2003或win xp系统,则可以在安装包的supporttools文件下,提取DEPLOY.CAB 中的syspre.exe和factory.exe两个文件。
然后运行syspre.exe,选择重新封装即可。
若是win7系统,则可以在一下路径C:WindowsSystem32sysprep中运行syspre.exe。
选择重新封装即可。