Cómo lidiar con SID duplicados en Windows 11: métodos probados y comprobados
¿Te preocupa que los SID de las máquinas locales ya no sean únicos? Sí, puede ser un verdadero dolor de cabeza, especialmente después de las actualizaciones de seguridad de finales de 2025. Básicamente, Windows ahora exige que cada máquina tenga un SID distinto; de lo contrario, las funciones de red, como el acceso a carpetas compartidas o RDP, simplemente dejan de funcionar. Si has clonado máquinas o implementado imágenes sin Sysprep, es probable que tengas un montón de duplicados. Esta guía te muestra cómo identificar, solucionar o evitar este problema. El objetivo es identificar los SID duplicados para detectar las máquinas problemáticas o cambiar los SID por completo para que todo funcione correctamente. Recuerda que algunos de estos métodos no cuentan con el soporte completo de Microsoft, así que procede con precaución, especialmente con las herramientas de terceros.
Cómo averiguar el SID de la máquina local en Windows
Primero, necesitas averiguar cuál es el SID de tu máquina.¿El problema? Windows no muestra esta información directamente en la interfaz gráfica, así que tendrás que usar la línea de comandos. Para una consulta rápida, la mejor manera que encontré es obtener el SID de las cuentas de usuario locales, ya que su SID incluye el SID de la máquina. Puedes ejecutar PowerShell y usar este comando:
(Get-LocalUser | Select-Object -First 1 -ExpandProperty SID).AccountDomainSid. ValueEso devuelve el SID de la máquina. Es un poco extraño, pero en algunos sistemas no lo devuelve de inmediato, o no lo devuelve en absoluto; por lo tanto, podrías probar directamente la herramienta de scripting de Sysinternals, PsGetsid. Está disponible en Sysinternals Live aquí: PsGetsid. Solo tienes que descargarla y ejecutarla.
& \\live.sysinternals.com\tools\psgetsid64.exeSi prefiere un método más manual, algunos extraen el SID de la propiedad del dominio, aunque esto es más relevante en entornos de dominio. En equipos locales, los comandos anteriores suelen ser suficientes.
Cómo encontrar duplicados en Active Directory
Si tienes una red completa y quieres detectar SID duplicados en diferentes máquinas (y usas Active Directory), puedes configurar un script de PowerShell que registre automáticamente el SID de cada máquina en su objeto de Active Directory. La idea es ejecutarlo al inicio, para que cada máquina actualice su descripción con su SID local. Aquí tienes un fragmento de un script que hace esto:
$localSID = (Get-LocalUser | Select-Object -First 1 -ExpandProperty SID).AccountDomainSid. Value $Computer = $env:COMPUTERNAME $Domain = (Get-WmiObject -Namespace root\cimv2 -Class Win32_ComputerSystem).Domain $searcher = New-Object DirectoryServices. DirectorySearcher $searcher. SearchRoot = "LDAP://$("DC=$(($Domain).Replace(".", ", DC="))")" $searcher. Filter = "(&(objectCategory=Computer)(CN=$Computer))" $computerObj = [ADSI]$searcher. FindOne().Path $computerObj. Put("Description", "$localSID") $computerObj. SetInfo() Ahora, con esa información en la descripción, puedes ejecutar comandos como este para encontrar duplicados:
# Look for computers with the same SID in AD Get-ADComputer -Filter 'Description -like "*"' -Properties Description | Group-Object Description | Where-Object { $_. Count -gt 1 } | Select-Object Name, Count, Group Si realmente quieres identificar cuáles comparten el mismo SID, tendrás que procesar la salida agrupada. Sí, requiere algo de programación, pero es mejor que buscar manualmente.
¿Cómo cambiar o restablecer el SID de una máquina? ¿Es siquiera una buena idea?
Por lo tanto, idealmente, la forma *correcta* es usar la herramienta oficial de Microsoft, Sysprep, con /generalize. Esa es la forma compatible de regenerar un SID independiente del hardware:
cd C:\Windows\System32\Sysprep sysprep.exe /generalize /oobe /shutdownEsto prepara la máquina para su implementación con un SID nuevo. Pero aquí está el problema: esto solo es válido para imágenes *nuevas* que esté preparando antes de la implementación, no para corregir clones existentes. Ejecutar Sysprep en una máquina ya implementada o clonada puede ser problemático: no es raro perder perfiles de usuario, controladores y licencias. Además, implica reinstalar Windows. Si está dispuesto a correr el riesgo (lo cual, sinceramente, algunas personas hacen), existen herramientas de terceros como SIDCHG. Tenga en cuenta que no cuenta con soporte técnico; úsela bajo su propia responsabilidad. Puede descargarla aquí: Utilidad SidChg. Antes de probar SIDCHG, desactive la protección en tiempo real de Windows Defender (ya que es probable que bloquee la herramienta).Abra Seguridad de Windows, desactive la protección en tiempo real y luego ejecute:
.\sidchg64-3.0n.exe /RAsegúrate de estar en el directorio donde lo guardaste. Después de ejecutarlo, la máquina se reiniciará y tendrás un nuevo SID. Ten en cuenta que esto podría causar problemas con las aplicaciones vinculadas al SID anterior, como las de cifrado o las de la tienda, así que planifica en consecuencia y considera restablecer las aplicaciones afectadas con comandos como:
ResetAPPS=App1_*;App2_* /RESETALLAPPSNo lo olvides: cambiar los SID de esta manera es una práctica poco ética. Microsoft no lo admite y, si tienes mala suerte, puede provocar que tu sistema falle.
Solución temporal: Omitir la comprobación de SID mediante GPO
Si reparar todas las máquinas no es una opción ahora mismo, hay una forma rápida y sencilla de sortear los bloqueos de seguridad que impone Windows, pero solo es válida hasta 2027, en el mejor de los casos. Microsoft lanzó una actualización (KB5065426) que permite deshabilitar la comprobación de unicidad de SID a través de una directiva de grupo local o de dominio. Puede descargar la actualización aquí: este paquete de actualización. Una vez instalada, copie la plantilla ADMX en su Almacén central. A continuación, en gpedit.msc, vaya a: Configuración del equipo > Plantillas administrativas > Windows 11 24H2, 25H2 y Windows Server 2025 > Reversión de problemas conocidos. Deshabilite la configuración para «KB5065426_20250923_06201 Reversión de problemas conocidos» o simplemente ejecute el siguiente comando de registro para desactivarlo inmediatamente:
reg add "HKLM\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides" /v 1517186191 /t REG_DWORD /d 0 /fReinicia el equipo y Windows ignorará la comprobación de SID duplicado, lo que te permitirá acceder temporalmente a la red. Ten en cuenta que esto es una solución temporal y que Microsoft planea desactivarla en el futuro. No confíes en ella a largo plazo.
Resumen
Sinceramente, si tienes problemas con SID duplicados, la mejor solución es regenerarlos correctamente, idealmente mediante Sysprep, antes de la implementación. Para equipos existentes, las herramientas de terceros son una solución arriesgada, pero podrían darte algo de tiempo. La solución con GPO es un parche rápido, pero solo temporal. En el peor de los casos, eventualmente tendrás que reinstalar el sistema operativo o reconfigurar los equipos afectados. Esperemos que esto ayude a alguien a evitar horas de resolución de problemas o caos en la red. Recuerda que las actualizaciones de seguridad de Windows no facilitan esto, pero al menos con un poco de esfuerzo, puedes volver a poner todo en orden.
Resumen
- Utilice PowerShell o las herramientas de Sysinternals para encontrar los SID de las máquinas locales.
- Analice su Active Directory en busca de SID duplicados con scripts personalizados.
- Reconstruya o cambie los SID con Sysprep o herramientas de terceros como SIDChg.
- Como solución rápida, desactive temporalmente las comprobaciones de SID mediante la GPO o los ajustes del registro correspondientes.
Resumen
Trabajar con SID duplicados es un engorro, pero se puede solucionar si sabes dónde buscar y cómo arreglarlo. A la larga, la preparación adecuada de la imagen con Sysprep es la mejor opción. Por ahora, estas soluciones temporales pueden ayudar a que todo vuelva a funcionar, y eso es lo importante. Esperemos que esto le ahorre a alguien unas horas o un buen quebradero de cabeza.