/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2025/11/nuovo-requisito-installazione-windows-11.jpg "Microsoft introduce un nuovo requisito per Windows 11: stop ai PC clonati senza sysprep")
Il Security Identifier (SID) è un identificatore univoco assegnato a ogni macchina o account in ambiente Windows. Il suo scopo è distinguere le entità che accedono alle risorse di rete o ai file locali. Fino a oggi, tuttavia, era tecnicamente possibile clonare un sistema Windows — ad esempio tramite i più noti software di disk imaging — senza rigenerare il SID. Il risultato è che più installazioni di Windows potevano usare lo stesso identificatore, con conseguenti ambiguità di autenticazione.
Si tratta di una configurazione particolarmente rischiosa in reti aziendali o ambienti di dominio Active Directory, dove un SID duplicato poteva essere sfruttato per accedere impropriamente a file condivisi o risorse di sistema. Con Windows 11 24H2 e Windows 11 25H2, Microsoft ha deciso di porre definitivamente fine alla possibilità di usare SID duplicati.
L’introduzione di un requisito severo che blocca le installazione di Windows 11 clonate da altri PC
Immaginate la situazione: avete creato una copia dell’installazione di Windows 11 creata su un PC e la ripristinate su un’altra macchina collegata in rete locale, con la stessa configurazione hardware o con componenti differenti. Mentre fino a “ieri”, l’accesso era possibile, da oggi Microsoft ha deciso per il “giro di vite”.
La nuova policy introdotta da Microsoft con gli aggiornamenti per Windows 11 di agosto 2025 può manifestarsi con una serie di errori e comportamenti anomali, che Microsoft ha elencato nel documento di supporto ufficiale KB5070568. Tra i principali:
- Richieste di accesso ripetute con prompt di credenziali.
- Errori di autenticazione, anche con credenziali valide (“Tentativo di login fallito”).
- Impossibilità di accedere a cartelle condivise tramite hostname o IP.
- Connessioni RDP o sessioni PAM non riuscite.
- Errori “Access denied” durante operazioni di Failover Clustering.
- Eventi di sistema con ID 6167 e messaggi come “There is a partial mismatch in the machine ID”.
Come evidenziato nell’articolo sui problemi derivanti dall’uso di SID duplicati, gli utenti possono imbattersi in errori come SEC_E_NO_CREDENTIALS e altre segnalazioni da parte del servizio Local Security Authority (LSA) che indicano incongruenze nel ticket di autenticazione o tra ID macchina e sessione di avvio.
In ogni caso, un PC clonato senza rigenerazione dei SID non può più partecipare a un dominio, autenticarsi su risorse di rete, stabilire sessioni remote sicure.
Come rispettare il nuovo requisito e non avere problemi
Premete Windows+X quindi selezionate Terminale (Admin) dal menu per poi incollare quanto segue:
Get-LocalUser | Select-Object Name, SID | Format-Table -AutoSize
Il comando PowerShell restituisce la lista completa dei SID utilizzati da ogni account utente Windows. Provate a fare qualche confronto con i SID adoperati sulle altre macchine Windows collegate in rete locale.
Come spiegato nell’articolo citato in precedenza, per scongiurare qualunque problema e assolvere il nuovo requisito fissato da Microsoft per l’installazione di Windows 11, basta impartire il seguente comando prima di creare l’immagine con qualsiasi software di disk imaging:
sysprep /generalize /oobe /shutdown
L’opzione /generalize elimina i SID e tutti gli identificatori univoci legati all’installazione corrente, in modo da rendere l’immagine di Windows pronta per essere distribuita su altri sistemi. Il parametro /oobe (Out-of-Box Experience) impone la procedura guidata di configurazione al primo avvio, durante la quale sono rigenerati i nuovi SID e richiesti dati personalizzati come il nome del computer, l’utente o le impostazioni di lingua. Infine, l’opzione /shutdown spegne automaticamente il sistema al termine del processo di preparazione, consentendo di acquisire in modo sicuro l’immagine del disco tramite un software di disk imaging avviato da supporto di boot.
Osservazioni finali
Il cambiamento introdotto da Microsoft ha ripercussioni dirette sulle infrastrutture IT, specialmente quando si gestiscono immagini standardizzate o macchine virtuali. Gli amministratori dovranno assicurarsi che ogni deployment includa un passaggio di generalizzazione dell’immagine prima dell’integrazione in rete o del join a un dominio.
La scelta di Redmond non mira a complicare i processi di distribuzione delle immagini di Windows 11, ma a rafforzare la sicurezza interna dei sistemi, prevenendo accessi non autorizzati o escalation di privilegi.
È ovvio che se si crea l’immagine di un’installazione di Windows 11 su un certo PC e la si ripristina sullo stesso sistema, non è necessario generalizzare l’immagine. Il passaggio che coinvolge l’uso dell’utilità sysprep è invece indispensabile, d’ora in avanti, qualora si decidesse di sfruttare l’immagine creata su un PC su altri dispositivi connessi in rete locale.
/https://www.ilsoftware.it/app/uploads/2025/10/account-locale-windows-11-danni-personali.jpg "Usare un account locale in Windows 11 NON può danneggiarvi: il dietrofront risolutivo")
/https://www.ilsoftware.it/app/uploads/2025/11/funzioni-predefinite-rallentano-windows-11.jpg "Due impostazioni predefinite di Windows 11 che rallentano il PC: come risolvere subito")
/https://www.ilsoftware.it/app/uploads/2025/10/nomi-aggiornamento-windows-update.jpg "Come leggere i nuovi nomi degli aggiornamenti in Windows Update")
/https://www.ilsoftware.it/app/uploads/2025/10/windows-69-mini-versione.jpg "Incredibile ma vero: rilasciato un Windows che occupa appena 69 MB di spazio su disco")