如果存在两个同样SID的用户，这两个账户将被鉴别为同一个账户，原理上如果账户无限制增加的时候，会产生同样的SID，在通常的情况下SID是唯一的，他由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。 　一个完整的SID包括： 　· 用户和组的安全描述 　· 48-bit的ID authority 　· 修订版本 　· 可变的验证值Variable sub-authority values 　例：S-1-5-21-31044058 8- 2 500 36847- 5 803 895 05-500 　我们来先分析这个重要的SID。第一项S表示该字符串是SID；第二项是SID的版本号，对于2000来说，这个就是1；然后是标志符的颁发机构（identifier authority），对于2000内的账户，颁发机构就是NT，值是5。然后表示一系列的子颁发机构，前面几项是标志域的，最后一个标志着域内的账户和组。

安装NT/2000系统的时候，产生了一个唯一的SID，但是当你使用类似Ghost的软件克隆机器的时候，就会产生不同的机器使用一个SID的问题。产生了很严重的安全问题。 　同样，如果是重复的SID对于对等网来说也会产生很多安全方面的问题。在对等网中账号的基础是SID加上一个相关的标识符（RID），如果所有的工作站都拥有一样的SID，每个工作站上产生的第一个账号都是一样的，这样就对用户本身的文件夹和文件的安全产生了隐患。 　这个时候某个人在自己的NTFS分区建立了共享，并且设置了自己可以访问，但是实际上另外一台机器的SID号码和这个一样的用户此时也是可以访问这个共享的。

下面的几个试验带有高危险性，慎用，我已经付出了惨痛的代价！ 　微软在ResourceKit里面提供了一个工具，叫做SYSPREP,这个可以用在克隆一台工作站以前产生一个新的SID号码。他的参数 　这个工具在DC上是不能运行这个命令的，否则会提示 　但是这个工具并不是把所有的账户完全的产生新的SID，而是针对两个主要的账户Administrator和Guest，其他的账号仍然使用原有的SID。 　下面做一个试验，先获得账号的SID： S-1-5-21-2000478354 - 688 78 9 844 - 839 522 115 　然后运行Sysprep，出现提示窗口： 　确定以后需要重启，然后安装程序需要重新设置计算机名称、管理员口令等，但是登陆的时候还是需要输入原账号的口令。 　进入2000以后，再次查询SID，得到： 　S-1-5-21-759461550-1 453 070 86-51 579 9519，发现SID号已经得到了改变，查询注册表，发现注册表已经全部修改了，当然全部修改了。 　另外sysinternals公司也提供了类似的工具NTSID，这个到后来才发现是针对NT4的产品，界面如下： 　他可不会提示什么再DC上不能用，接受了就开始，结果导致我的一台DC崩溃，重启后提示“安全账号管理器初始化失败，提供给识别代号颁发机构的值为无效值，错误状态0XC0000084，请按确定，重启到目录服务还原模式...”，即使切换到目录服务还原模式也再也进不去了！ 　想想自己胆子也够大的啊，好在是一台额外DC，但是自己用的机器，导致重装系统半天，重装软件N天，所以再次提醒大家，做以上试验的时候一定要慎重，最好在一台无关紧要的机器上试验，否则出现问题我不负责哦。另外在Ghost的新版企业版本中的控制台已经加入了修改SID的功能，自己还没有尝试，有兴趣的朋友可以自己试验一下，不过从原理上应该都是一样的。 　文章发表之前，又发现了微软自己提供的一个工具“Riprep”，这个工具主要用做在远程安装的过程中，想要同时安装上应用程序。管理员安装了一个标准的公司桌面操作系统，并配置好应用软件和一些桌面设置之后，可以使用Riprep从这个标准的公司桌面系统制作一个Image文件。这个Image文件既包括了客户化的应用软件，又把每个桌面系统必须独占的安全ID、计算机账号等删除了。管理员可以它放到远程安装服务器上，供客户端远程启动进行安装时选用。但是要注意的是这个工具只能在单硬盘、单分区而且是Professional的机器上面用。