sysprep-ping Windows 映像或部署时是否应用了新的 SID？

来自：Sysprep 命令行语法

/generalize 准备要映像的 Windows 安装。如果指定了此选项，则会从 Windows 安装中删除所有唯一的系统信息。安全 ID (SID) 重置，所有系统还原点都被清除，事件日志被删除。

下次计算机启动时，将运行专门配置过程。将创建一个新的安全 ID (SID)，如果时钟尚未重置 3 次，则 Windows 激活时钟会重置。

这意味着在下次重新启动时（部署后！）您的 SID 将重置。您的机器将获得 10 个不同的 SID，是的。

有多种 SID。用户有 SID，机器有 SID，有本地 SID，域 SID，还有“特殊”SID，但是你说的 SID（MachineSID）在 sysprep 和 NewSID（机器 SID）中是一样的

有机器 SID、服务 SID、域 SID 和用户 SID。NewSID 和 sysprep /generalize 仅重置计算机 SID。是的，它们是相同的机器 SID，是的，sysprep 会在部署后更改机器 SID。

但是，不需要更改机器 SID。根据Mark Russinovich 在 TechNet 上的这篇博客文章：

那么有多台计算机具有相同的机器 SID 是一个问题吗？唯一的方法是如果 Windows 曾经引用其他计算机的机器 SID。例如，如果当您连接到远程系统时，本地计算机 SID 被传输到远程计算机并用于权限检查，重复的 SID 会带来安全问题，因为远程系统将无法区分远程系统的 SID。来自具有相同 SID 的本地帐户的入站远程帐户（其中两个帐户的 SID 具有相同的机器 SID 作为其基础和相同的 RID）。但是，正如我们所审查的，Windows 不允许您使用仅本地计算机知道的帐户对另一台计算机进行身份验证。反而，您必须为远程系统本地帐户或远程计算机信任的域的域帐户指定凭据。远程计算机从其自己的安全帐户数据库 (SAM) 中检索本地帐户的 SID，并从域控制器 (DC) 上的 Active Directory 数据库中检索域帐户的 SID。远程计算机从不引用连接计算机的机器 SID。

换句话说，最终控制对计算机的访问的不是 SID，而是帐户的用户名和密码：仅仅知道远程系统上的帐户的 SID 并不允许您访问计算机或其中的任何资源。作为 SID 不够充分的进一步证据，请记住，像本地系统帐户这样的内置帐户在每台计算机上都具有相同的 SID，如果是这样，这将是一个主要的安全漏洞。

服务器故障上的 ThatGraemeGuy 同意我的看法。

说真的，你不需要NewSID。 微软以没有必要为由将 NewSID 停用。 NewSID 下载页面显示，“注意：NewSID 已停用，不再可供下载。请参阅 Mark Russinovich 的博客文章：NewSID 停用和机器 SID 复制神话。”

然而，Sysprep 仍然摆脱了那些干扰 WSUS 的讨厌的注册表项之类的东西。Microsoft 不支持没有 sysprep 的克隆。

我从您的问题中推测您希望通过说 sysprep /generalize 执行相同的功能来摆脱那个 NewSID 步骤（耶！）。这是真的，但希望指出自 2009 年以来一直不受支持的 NewSID 也将帮助您摆脱部署过程中不必要的步骤。

部署后。常识。如果泛化会生成一个新的 SID，那么您将不得不在每台机器上重复它——这完全违背了这个词的含义。

通用化后，机器被通用化，然后在下次启动时重新初始化。因此，您关闭、部署然后 - 部署的映像启动并生成一个新的 SID pe 机器。

有一个关于 /generalize 和 SID 的 SYSPREP 实验室：

http://www.sysadmit.com/2014/11/windows-sysprep-sid.html