SIDに関して

SIDはOSがセキュリティプリンシパルを一意に識別するために使用される識別子である。
SIDには以下のような種類がある。

• マシンSID：各サーバのローカルに割り当てられているSID
• ローカルユーザ（グループ）SID：マシンSID + RID という形式
• ドメインSID：ドメインに対して割り当てられるSIDであり、AD DCのマシンSIDと等価
• ドメインユーザ（グループ）SID：ドメインSID + RID という形式

https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/manage/understand-security-identifiers

https://blog.engineer-memo.com/2011/10/10/クライアント展開時における一般化した-sysprep-と-sid-に/

マシンSIDの重複は「異常を知らせる信号」

SysprepはWindowsからPC固有の情報を削除（一般化）する操作であり、これによりマシンSIDやホスト名などのPC固有の設定値がリセットされる。

サーバを複製する際にはSysprepを実行することがMicroSoftの動作保証条件となっている。Sysprepにより必ず初期化される設定値はマシンSIDであるため、マシンSIDが重複していないか確認することでMicrosoftの動作保証条件に則っているか判断することができる。つまり、マシンSIDが重複していることは「異常を知らせる信号」なのである。

https://qiita.com/tsukamoto/items/a54dd1620baa712bb7d4

Windowsにおけるフォルダ/ファイルアクセス権

Windowsにおけるフォルダ・ファイルアクセス権は以下の2種類である。SMB/CIFS共有されたフォルダ・ファイルにアクセスするためには両方のアクセス権で許可されている必要がある。

• NTFSアクセス権：NTFSファイルシステムにより設定されるアクセス権
• SMB/CIFSアクセス権：SMB/CIFSサービスにより設定されるアクセス権
  
  

NTFSアクセス権では、OS上で定義されるユーザSID単位で権限管理をおこない、「誰が（どのSIDが）」「どのような操作をしていいか（読み書き、書き込みのみ、...）」を設定することができる。

SMB/CIFSアクセス権では、ユーザ名・パスワード単位で権限管理をおこなう。共有元サーバの対象フォルダにTestUser1に対するフルコントロール権限を与えた場合に、共有先サーバのTestUser2からアクセスすると、ユーザ名とパスワードを要求される。ここでTestUser1のユーザ名・パスワードを入力すれば、SMB/CIFS共有された対象フォルダにアクセス可能である。
つまり、SMB/CIFSアクセス権ではユーザ名・パスワードのみでアクセス許可を判断している。（共有先サーバでユーザ名・パスワードが全く同じTestUser1を作成してアクセスすれば、認証を要求されずに対象フォルダにアクセス可能）

https://milestone-of-se.nesuke.com/sv-basic/windows-basic/ntfs-cifs-permission/

複数NIC間の優先順位はメトリックで指定する

NICにおいてデフォルトゲートウェイを指定すると、指定したルータを宛先とするデフォルトルートが作成される。では、複数NICでデフォルトゲートウェイを指定した場合に、OSはデフォルトルートの宛先として、どのNICで指定されたルータを選択するのだろうか。

これは「メトリック値」が設定されているか否かで変わってくる。

• メトリック値が設定されている場合：メトリック値が小さいNICが優先される。値が定義されていればいかなる値でも自動メトリックよりも優先される。
• メトリック値が設定されていない（自動メトリック）場合：有線用物理NIC＞無線用物理NIC＞仮想NICという順に優先度が割り振られる。通信が安定/高速であるものが優先される。

https://bitstar.jp/blog/2013/01/22/6124/

AD環境下でのGPO

GPO (Group Policy Object) とは、サーバやユーザに対して適用する設定値をまとめたものである。
AD環境下では、クライアントで設定する LGPO (Local GPO) に加えて、DGPO (Domain GPO) や OUGPO (Organization Unit GPO) など複数のGPOが関わってくる。

これらのGPOにはクライアントの設定値に対する適用順序があり、LGPOが一番先に適用される。
つまり、LGPOで定義された設定値はDGPOによって上書きされる。

GPOで定義された設定値はレジストリに反映されるが、これは不可逆である。レジストリの値を変更したとしても、グループポリシーで定義される設定値は変更されない。

https://atmarkit.itmedia.co.jp/ait/articles/0602/23/news119.html
https://hirotanoblog.com/windows-ad-gpo-basic/10276/

VSS（Volume Shadow copy Service）の仕組み

VSSはボリューム静止点におけるシャドウコピー（スナップショット）を作成する機能。シャドウコピーの記憶域には、大きく以下の二つの領域が存在する。シャドウコピーを作成するタイミングで、Diff Areaに退避されていた差分データがシャドウコピーとして確定する。

• Diff Area : 変更前のデータを一時的に退避させるための領域
• シャドウコピー：静止点を確保したタイミング（現在）との差分データ
  
  

通常のスナップショット（増分バックアップ）とVSSによるシャドウコピーの違い

通常のスナップショット

• 差分比較対象とするデータ：初回フルバックアップ or 直前の増分バックアップ
• 実体：過去との差分データ
• 復元方法：初回フルバックアップと増分バックアップを組み合わせる（積み上げるイメージ）
• 特徴：初回フルバックアップが必要
  
  

VSSによるシャドウコピー

• 差分比較対象とするデータ：現在（シャドウコピー取得時）のボリュームの状態
• 実体：現在との差分データ
• 復元方法：現在のボリュームとシャドウコピーを組み合わせる（巻き戻すイメージ）
• 特徴：差分データのみを取得すればよいため、ディスク容量を圧迫しない

https://learn.microsoft.com/ja-jp/archive/blogs/askcorejp/aboutvss