Les dangers du clonage

l’OS génère des comptes uniques.
De plus, certaines installations logicielles, telles que des services systèmes
de produits tiers, peuvent très bien requérir l’utilisation d’un compte unique
si le service nécessite un compte pour s’exécuter.

Windows NT utilise les SID pour apprendre où les actions ont été générées et vérifier
si elles ont une autorisation. Comme les SID constituent le coeur de la sécurité
des systèmes NT, les générateurs de SID doivent créer des SID uniques correctement.
Les générateurs de SID doivent savoir à  quel moment les créer. Tout logiciel installé
avant la génération par SysPrep d’un SID unique pendant la séquence d’initialisation
initiale, deviendra invalide une fois que SysPrep aura généré le nouveau SID.Ce
qui explique cette invalidité potentielle des logiciels c’est la manière dont
le générateur crée les SID.

En effet, lors de la première installation de Windows NT, le sous-programme d’installation
génère un compte unique. L’ordinateur utilise ce SID comme préfixe unique pour
les comptes locaux de toutes les machines. Supposons, par exemple, que le SID
d’un système soit XYZ123 et que vous créez deux nouveaux comptes d’utilisateurs
pour permettre à  des services systèmes de s’exécuter sur ce système. Les SID de
ces comptes sont XYZ123-1000 et XYZ123-1001.
Lors de sa première exécution sur l’ordinateur, SysPrep modifiera le préfix du
SID du système. Supposons que le nouveau préfixe du SID soit PEG4555. Lorsque
les services système essaient de démarrer au moyen de leurs SID XYZ123-1000 et
XYZ123-1001, ils n’obtiendront pas leur autorisation de sécurité, car le système
attend les SID PEG4555-1000 et PEG4555-1001.

La duplication des SID peut provoquer des défaillances opérationnelles majeures
dans toute l’entreprise. Par exemple, vous n’auriez aucun moyen de différencier
les comptes locaux ou distants dans un groupe de travail, car que tous les SID
seraient identiques. Les portes du système seraient grandes ouvertes, même avec
des permissions fixées, parce que les comptes d’utilisateurs auraient des SID
identiques. Windows NT ne regarde que le SID du compte et non le nom du compte
d’utilisateur.
Il se produit le même scénario avec le clonage des contrôleurs de domaines Windows
NT dans un domaine multi-maître. Sans SID uniques, vous ne pouvez pas garantir
le contrôle d’accès.