Найти в Дзене
Записки IT специалиста
556 подписчиков

Проблема дубликатов SID

1
2 мин
Дубликаты SID – тема неоднозначная, с одной стороны, разработчики Windows всегда говорили о том, что подобного допускать не следует, но в большинстве случаев дублированные SID не приносили больших бед и многие просто не придавали этому значения, мол и так работает. Масла в огонь подлил небезызвестный Марк Руссинович, который в 2009 году «развенчал миф о дубликатах SID», доказав, что они не выходят за пределы локальных машин и не приводят к конфликтам или уязвимостям. И даже снял с поддержки и убрал с сайта утилиту NewSID от Sysinternals. Это был как раз тот случай, когда авторитет специалиста сыграл с индустрией злую шутку. Попытки осторожных и здравомыслящих коллег указать на нежелательность дублирования SID упирались в железобетонное возражение: «а вот Руссинович…». Хотя мы лично сталкивались с разными непонятными ситуациями в части применения некоторых групповых политик на машинах с дублированным SID и, несмотря не «развенчание мифа», старались дублирования не допускать и не сов

Проблема дубликатов SID

Дубликаты SID – тема неоднозначная, с одной стороны, разработчики Windows всегда говорили о том, что подобного допускать не следует, но в большинстве случаев дублированные SID не приносили больших бед и многие просто не придавали этому значения, мол и так работает.

Масла в огонь подлил небезызвестный Марк Руссинович, который в 2009 году «развенчал миф о дубликатах SID», доказав, что они не выходят за пределы локальных машин и не приводят к конфликтам или уязвимостям. И даже снял с поддержки и убрал с сайта утилиту NewSID от Sysinternals.

Это был как раз тот случай, когда авторитет специалиста сыграл с индустрией злую шутку. Попытки осторожных и здравомыслящих коллег указать на нежелательность дублирования SID упирались в железобетонное возражение: «а вот Руссинович…».

Хотя мы лично сталкивались с разными непонятными ситуациями в части применения некоторых групповых политик на машинах с дублированным SID и, несмотря не «развенчание мифа», старались дублирования не допускать и не советовали этого делать в своих материалах, что нам регулярно ставили на вид.

В результате очень и очень многие просто клонировали системы, не придавая этому вопросу особого внимания, тем более что в основном все работало нормально.

Но, если на стене висит ружье, то оно должно обязательно выстрелить. Так и произошло. С осени 2025 года Microsoft выпустила ряд исправлений, которые блокируют сетевое взаимодействие и аутентификацию Kerberos/NTLM при обнаружении дублирующихся SID.

Проблеме подвержены Windows 10/11 и Windows Server 2025, в смешанных средах может наблюдаться частичная неработоспособность. Возникают проблемы доступа к общим папкам и принтерам, входа в домен и сетевого взаимодействия, местами труднодиагностируемые.

Что по этому поводу говорит Microsoft? А то, что она говорит абсолютно не понравится большинству владельцев клонированных систем. Единственным официально поддерживаемым решением является выполнение Sysprep с опцией generalize для захваченного образа с последующим развертыванием системы из этого образа.

На рабочей машине такое выполнение официально не поддерживается, но возможно, хотя по последствиям это примерно равносильно переустановке, так как приведет к сбросу профилей и всех пользовательских настроек системы, драйверов и т.д.

Сторонние приложения для смены SID также официально не поддерживаются, мало того, их применение чревато самыми тяжелыми последствиями с потерей работоспособности ОС и пользовательских данных. Хотя вариант есть, мы его рассмотрим отдельной публикацией.

А пока вам следует пересобрать все используемые образы с использованием Sysprep /generalize, а также провести аудит и выявить системы с дублированными SID даже если вы пока не испытываете проблем.

Альтернативный способ – это получение от корпоративной поддержки Microsoft специальных шаблонов учетных политик, смягчающих требования к дублированию SID, но этот способ носит временный характер и официально недоступен для клиентов в РФ.