Eu quero construir um script de sistema de desenvolvimento a partir de uma nova mídia de instalação do Windows como se fosse um contêiner Linux. Nesse caso, preciso que todos os sistemas Windows que construo compartilhem o mesmo SID da máquina.
De acordo com a explicação de @AntonTykhyy, isso é feito da seguinte maneira:
- A mídia de instalação nova é criada com
Unattend.xmlarquivos encadeados em que o primeiro arquivo chama um únicosysprep /generalize /oobe /unattend:C:\Windows\System32\Sysprep\Second_Unattend.xml> /shutdowncomando usandoMicrosoft-Windows-Setup-Shell/FirstLogonCommandso Windows Component empass 7 - Quando o Sysprep termina e o computador é desligado, o hive do Registro do Windows
SYSTEM(deC:\Windows\System32\config\SYSTEM) deve ser carregado offline (usandoregedit.exeexecutado a partir do Windows PE ou método diferente) - O bit 2 deve ser definido
1no valorOperationFlagsda chaveSYSTEM\Setup\SetupCl\PendingRequestdo hive offline, ou seja,REG_DWORDdeve ser alterado de hexadecimal0x00007f0f(01111111 00001111que é definido por padrão) para0x00000004(0100) - O novo valor "binário"
SidAccountDomainNewdeve ser adicionado àSYSTEM\Setup\SetupCl\PendingRequestchave de registro com o valor do SID em "formato binário" de 24 bytes (o cabeçalho de comprimento fixo de 8 bytes e 4 subautoridades de 32 bits)
Concluí as etapas de 1 a 3 com sucesso e sempre recebo um novo SID de máquina aleatório. No entanto, eu absolutamente não consigo descobrir a etapa 4. Eu examinei a documentação do SID ( um , dois , três ), mas qualquer tipo de valor que eu especificar para SidAccountDomainNew- REG_BINARYou REG_DWORD- e qualquer valor que eu definir eu absolutamente não consigo fazê-lo funcionar (a caixa de Install Windowsdiálogo aparece após a reinicialização com esta mensagem Windows could not complete installation. To install Windows on this computer, restart the installation).
Meu melhor palpite de que o cabeçalho de 8 bytes SidAccountDomainNewestá S-1-5-21em binário ( 01010011 00101101 00110001 00101101 00110101 00101101 00110010 00110001usando o conversor de texto para binário ASCII online ) e é isso. Eu me reeduquei em binário ( bits e bytes e números de 32 bits ), mas não consigo fazer com que os números caibam em 24 bytes especificados por @AntonTykhyy.
De acordo com minha pesquisa, não há absolutamente nenhuma documentação sobre esse assunto na Internet e SetupCl.exeestá completamente em situação irregular. A única fonte de conhecimento são as informações fornecidas por @AntonTykhyy , mas não posso comentar em sua pergunta para pedir um exemplo de como o SidAccountDomainNewdeve ser definido corretamente para ie S-1-5-21-86420-86420-86420(ele também menciona 4 subautoridades para que o SID correto seja S-1-5-21-86420-86420-86420-somethingporque o artigo da Microsoft diz subautoridades são blocos de árvore de dígitos 1-2-3 que seguem S-1-5-21-, então não está claro o que são 4 subautoridades de 32 bits).
Eu também encontrei esta explicação SID que faz minhas suposições sobre os primeiros 8 bytes do cabeçalho incorretas, eu acho:
A maneira comum de escrever um SID é na forma S-1-5-21-xxx, ou SRIS… Onde o primeiro S é um literal para identificar que este é um SID, o R é o número da revisão, e até aqui foi apenas a revisão 1, o I é a autoridade identificadora e, em seguida, o último S é a subautoridade que teoricamente pode ser repetida até 15 vezes, embora para Windows seja repetido apenas 5 vezes. Portanto, para um computador Windows padrão ou SID de domínio, seria S-1-5-21-aaaaaaa-bbbbbbb-ccccccc-ddddddd.
Internamente no Windows, um SID é armazenado como uma matriz variável de inteiros de 32 bits, geralmente para um total de 28 bytes. O primeiro inteiro armazena a revisão, a contagem do número de subautoridades e a autoridade do identificador. Isto é seguido por quantas subautoridades estão neste SID. Esses inteiros de subautoridade são armazenados no formato little-endian, o que significa que o byte menos significativo é armazenado primeiro e explica por que temos que fazer uma transformação complexa para passar dos inteiros para o mais comum S-1-5-21-* formato.
Para resumir, peço um exemplo de atribuição de SID específico S-1-5-21-86420-86420-86420para máquina usando OperationFlagse SidAccountDomainNewdepois de executar sysprep /generalize, especificamente que tipo de SidAccountDomainNewvalor deve ser usado e qual entrada real do usuário é necessária.
O exemplo de SID S-1-5-21-86420-86420-86420servirá, pois, de acordo com o artigo , sabe-se que a representação de 32 bits de 86420 decimal é 000000000000000 10101000110010100- isso pode economizar tempo de gravação de resposta (se forem dados relevantes).
PS Eu também não tenho certeza se a configuração OperationFlagspara hexadecimal 0x00000004é necessária porque hexadecimal 0x00007f0f( 01111111 00001111) também tem o bit 2 definido.
O problema está no formato do cabeçalho de 8 bytes. De acordo com a
SIDestrutura , o cabeçalho consiste em 1 byte para a versão do formato SID, 1 byte para o número de subautoridades e 6 bytes (umSID_IDENTIFIER_AUTHORITY) para a autoridade. Em "S-1-5-21-86420-86420-86420", o 1 é a versão, o 5 é a autoridade e cada componente restante (incluindo o 21, em contradição com vários artigos!) é uma subautoridade. Então, um campo por vez, a representação numérica (bytes escritos em hexadecimal aqui) deste SID é:01para a versão (1)04para o número de subautoridades (4), que não está escrito explicitamente na forma textual SDDL00 00 00 00 00 05para a autoridade (5), em ordem big-endian ao contrário das subautoridades15 00 00 00para a primeira subautoridade (21)94 51 01 00três vezes, para as três últimas subautoridades (cada 86420)Para converter mais facilmente um SID em formato numérico, você pode usar o PowerShell!
Escrever esses 24 bytes como um
REG_BINARYvalor nomeadoSidAccountDomainNewfuncionou para mim no Windows 10 2004 Enterprise. Não precisei alterarOperationFlagsporque, como você disse, seus dados já tinham o bit 2 definido.