Sicherheitsbezeichner

Betrifft

  • Windows 10
  • Windows Server 2016

In diesem Thema für IT-Experten werden Sicherheitsbezeichner und ihre Funktionsweise in Bezug auf Konten und Gruppen im Windows Betriebssystem beschrieben.

Was sind Sicherheitsbezeichner?

Eine Sicherheits-ID (SID) wird verwendet, um einen Sicherheitsprinzipal oder eine Sicherheitsgruppe eindeutig zu identifizieren. Sicherheitsprinzipale können jede Entität darstellen, die vom Betriebssystem authentifiziert werden kann, z. B. ein Benutzerkonto, ein Computerkonto oder ein Thread oder Prozess, der im Sicherheitskontext eines Benutzer- oder Computerkontos ausgeführt wird.

Jedes Konto, jede Gruppe oder jeder Prozess, der bzw. der im Sicherheitskontext des Kontos ausgeführt wird, verfügt über eine eindeutige SID, die von einer Autorität ausgestellt wird, z. B. ein Windows Domänencontroller. Sie wird in einer Sicherheitsdatenbank gespeichert. Das System generiert die SID, die ein bestimmtes Konto oder eine bestimmte Gruppe zum Zeitpunkt der Erstellung des Kontos oder der Gruppe identifiziert. Wenn eine SID als eindeutiger Bezeichner für einen Benutzer oder eine Gruppe verwendet wurde, kann sie nie wieder verwendet werden, um einen anderen Benutzer oder eine andere Gruppe zu identifizieren.

Jedes Mal, wenn sich ein Benutzer anmeldet, erstellt das System ein Zugriffstoken für diesen Benutzer. Das Zugriffstoken enthält die SID des Benutzers, Benutzerrechte und die SIDs für alle Gruppen, denen der Benutzer angehört. Dieses Token stellt den Sicherheitskontext für alle Aktionen bereit, die der Benutzer auf diesem Computer ausführt.

Zusätzlich zu den eindeutig erstellten domänenspezifischen SIDs, die bestimmten Benutzern und Gruppen zugewiesen sind, gibt es bekannte SIDs, die generische Gruppen und generische Benutzer identifizieren. Beispielsweise identifizieren die SIDs "Jeder" und "Welt" eine Gruppe, die alle Benutzer enthält. Bekannte SIDs weisen Werte auf, die auf allen Betriebssystemen konstant bleiben.

SIDs sind ein grundlegender Baustein des Windows-Sicherheitsmodells. Sie arbeiten mit bestimmten Komponenten der Autorisierungs- und Zugriffssteuerungstechnologien in der Sicherheitsinfrastruktur der Windows Server-Betriebssysteme. Dies trägt zum Schutz des Zugriffs auf Netzwerkressourcen bei und bietet eine sicherere Computerumgebung.

Der Inhalt dieses Themas gilt für Computer, auf denen die unterstützten Versionen des Windows Betriebssystems ausgeführt werden, wie in der Liste "Gilt für" am Anfang dieses Themas angegeben.

Funktionsweise von Sicherheitsbezeichnern

Benutzer verweisen mithilfe des Kontonamens auf Konten, das Betriebssystem verweist jedoch intern auf Konten und Prozesse, die im Sicherheitskontext des Kontos mithilfe ihrer Sicherheits-IDs (SIDs) ausgeführt werden. Bei Domänenkonten wird die SID eines Sicherheitsprinzipals erstellt, indem die SID der Domäne mit einem relativen Bezeichner (RID) für das Konto verkettet wird. SIDs sind innerhalb ihres Bereichs eindeutig (Domäne oder lokal), und sie werden nie wiederverwendet.

Das Betriebssystem generiert eine SID, die ein bestimmtes Konto oder eine bestimmte Gruppe zum Zeitpunkt der Erstellung des Kontos oder der Gruppe identifiziert. Die SID für ein lokales Konto oder eine lokale Gruppe wird von der lokalen Sicherheitsautorität (Local Security Authority, LSA) auf dem Computer generiert und mit anderen Kontoinformationen in einem sicheren Bereich der Registrierung gespeichert. Die SID für ein Domänenkonto oder eine Gruppe wird von der Domänensicherheitsstelle generiert und als Attribut des Benutzer- oder Gruppenobjekts in Active Directory Domain Services gespeichert.

Für jedes lokale Konto und jede lokale Gruppe ist die SID für den Computer eindeutig, auf dem sie erstellt wurde. Keine zwei Konten oder Gruppen auf dem Computer teilen sich jemals dieselbe SID. Ebenso ist die SID für jedes Domänenkonto und jede Gruppe innerhalb eines Unternehmens eindeutig. Dies bedeutet, dass die SID für ein Konto oder eine Gruppe, das/die in einer Domäne erstellt wird, niemals mit der SID für ein Konto oder eine Gruppe übereinstimmt, das/die in einer anderen Domäne im Unternehmen erstellt wurde.

SIDs bleiben immer eindeutig. Sicherheitsbehörden stellen nie zweimal dieselbe SID aus, und sie verwenden niemals SIDs für gelöschte Konten. Wenn beispielsweise ein Benutzer mit einem Benutzerkonto in einer Windows Domäne ihren Auftrag verlässt, löscht ein Administrator sein Active Directory-Konto, einschließlich der SID, die das Konto identifiziert. Wenn er später zu einem anderen Auftrag im selben Unternehmen zurückkehrt, erstellt ein Administrator ein neues Konto, und das Betriebssystem Windows Server generiert eine neue SID. Die neue SID stimmt nicht mit der alten sid überein. daher wird kein Zugriff des Benutzers von seinem alten Konto auf das neue Konto übertragen. Ihre beiden Konten stellen zwei völlig unterschiedliche Sicherheitsprinzipale dar.

Architektur von Sicherheitsbezeichnern

Ein Sicherheitsbezeichner ist eine Datenstruktur im Binärformat, die eine variable Anzahl von Werten enthält. Die ersten Werte in der Struktur enthalten Informationen zur SID-Struktur. Die verbleibenden Werte sind in einer Hierarchie angeordnet (ähnlich einer Telefonnummer), und sie identifizieren die SID-ausstellende Stelle (z. B. "NT-Autorität"), die SID-ausstellende Domäne und einen bestimmten Sicherheitsprinzipal oder eine bestimmte Gruppe. Die folgende Abbildung veranschaulicht die Struktur einer SID.

Architektur von Sicherheitsbezeichnern.

Die einzelnen Werte einer SID werden in der folgenden Tabelle beschrieben.

Kommentar Beschreibung
Revision Gibt die Version der SID-Struktur an, die in einer bestimmten SID verwendet wird.
Bezeichnerautorität Gibt die höchste Autoritätsebene an, die SIDs für einen bestimmten Typ von Sicherheitsprinzipal ausstellen kann. For example, the identifier authority value in the SID for the Everyone group is 1 (World Authority). Der Wert der Bezeichnerautorität in der SID für ein bestimmtes Windows Serverkonto oder -gruppe ist 5 (NT Authority).
Unterautoritäten >enthält die wichtigsten Informationen in einer SID, die in einer Reihe von Unterautoritätswerten enthalten ist. Alle Werte bis einschließlich des letzten Werts der Datenreihe identifizieren gemeinsam eine Domäne in einem Unternehmen. Dieser Teil der Reihe wird als Domänenbezeichner bezeichnet. Der letzte Wert in der Datenreihe, der als relative ID (RELATIVE IDENTIFIER, RID) bezeichnet wird, identifiziert ein bestimmtes Konto oder eine Gruppe relativ zu einer Domäne.

Die Komponenten einer SID können einfacher visualisiert werden, wenn SIDs mithilfe der Standardschreibweise von einer Binärdatei in ein Zeichenfolgenformat konvertiert werden:

S-R-X-Y1-Y2-Yn-1-Yn

In dieser Notation werden die Komponenten einer SID wie in der folgenden Tabelle dargestellt dargestellt.

Kommentar Beschreibung
S Gibt an, dass es sich bei der Zeichenfolge um eine SID handelt.
R Gibt die Überarbeitungsstufe an.
X Gibt den Wert der Bezeichnerautorität an.
J Stellt eine Reihe von Unterautoritätswerten dar, wobei n die Anzahl der Werte ist.

Die wichtigsten Informationen der SID sind in der Reihe von Unterautoritätswerten enthalten. Der erste Teil der Reihe (-Y1-Y2-Yn-1) ist der Domänenbezeichner. Dieses Element der SID wird in einem Unternehmen mit mehreren Domänen von Bedeutung, da der Domänenbezeichner SIDs, die von einer Domäne ausgestellt werden, von SIDs unterscheidet, die von allen anderen Domänen im Unternehmen ausgegeben werden. Keine zwei Domänen in einem Unternehmen verwenden denselben Domänenbezeichner.

Das letzte Element in der Reihe der Unterautoritätswerte (-Yn) ist der relative Bezeichner. Es unterscheidet ein Konto oder eine Gruppe von allen anderen Konten und Gruppen in der Domäne. Keine zwei Konten oder Gruppen in einer Domäne verwenden denselben relativen Bezeichner.

Beispielsweise wird die SID für die integrierte Administratorengruppe in der standardisierten SID-Notation als folgende Zeichenfolge dargestellt:

S-1-5-32-544

Diese SID umfasst vier Komponenten:

  • Revisionsebene (1)

  • Wert einer Bezeichnerautorität (5, NT-Autorität)

  • Ein Domänenbezeichner (32, integriert)

  • Ein relativer Bezeichner (544, Administratoren)

SIDs für integrierte Konten und Gruppen weisen immer den gleichen Domänenbezeichnerwert auf: 32. Dieser Wert identifiziert die Domäne Builtin, die auf jedem Computer vorhanden ist, auf dem eine Version des Windows Server-Betriebssystems ausgeführt wird. Es ist nie erforderlich, die integrierten Konten und Gruppen eines Computers von den integrierten Konten und Gruppen eines anderen Computers zu unterscheiden, da sie lokal im Bereich liegen. Sie sind lokal auf einem einzelnen Computer oder bei Domänencontrollern für eine Netzwerkdomäne auf mehreren Computern, die als ein Computer fungieren, lokal.

Integrierte Konten und Gruppen müssen innerhalb des Bereichs der integrierten Domäne voneinander unterschieden werden. Daher weist die SID für jedes Konto und jede Gruppe einen eindeutigen relativen Bezeichner auf. Der relative Bezeichnerwert 544 ist für die integrierte Administratorengruppe eindeutig. Kein anderes Konto oder keine andere Gruppe in der integrierten Domäne verfügt über eine SID mit dem Endwert 544.

Betrachten Sie in einem anderen Beispiel die SID für die globale Gruppe", "Domänenadministratoren". Jede Domäne in einem Unternehmen verfügt über eine Gruppe "Domänenadministratoren", und die SID für jede Gruppe ist unterschiedlich. Das folgende Beispiel stellt die SID für die Gruppe "Domänenadministratoren" in der Domäne "Contoso, Ltd." (Contoso\Domänenadministratoren) dar:

S-1-5-21-1004336348-1177238915-682003330-512

Die SID für Contoso\Domain Admins hat Folgendes:

  • Revisionsebene (1)

  • Eine Bezeichnerautorität (5, NT-Autorität)

  • Ein Domänenbezeichner (21-1004336348-1177238915-682003330, Contoso)

  • Ein relativer Bezeichner (512, Domänenadministratoren)

Die SID für Contoso\Domain Admins unterscheidet sich von den SIDs für andere Domänenadministratorgruppen im selben Unternehmen durch den Domänenbezeichner: 21-1004336348-1177238915-682003330. Keine andere Domäne im Unternehmen verwendet diesen Wert als Domänenbezeichner. Die SID für Contoso\Domain Admins unterscheidet sich von den SIDs für andere Konten und Gruppen, die in der Contoso-Domäne durch den relativen Bezeichner 512 erstellt werden. Kein anderes Konto oder keine andere Gruppe in der Domäne verfügt über eine SID mit dem Endwert 512.

Zuordnung relativer Bezeichner

Wenn Konten und Gruppen in einer Kontodatenbank gespeichert werden, die von einem lokalen Security Accounts Manager (SAM) verwaltet wird, ist es für das System relativ einfach, einen eindeutigen relativen Bezeichner für jedes Konto und in einer Gruppe zu generieren, die es auf einem eigenständigen Computer erstellt. Das SAM auf einem eigenständigen Computer kann die zuvor verwendeten relativen Bezeichnerwerte nachverfolgen und sicherstellen, dass sie nie wieder verwendet werden.

In einer Netzwerkdomäne ist das Generieren eindeutiger relativer Bezeichner jedoch ein komplexerer Prozess. Windows Servernetzwerkdomänen können mehrere Domänencontroller aufweisen. Jeder Domänencontroller speichert Active Directory-Kontoinformationen. Dies bedeutet, dass in einer Netzwerkdomäne so viele Kopien der Kontodatenbank vorhanden sind wie Domänencontroller. Darüber hinaus ist jede Kopie der Kontodatenbank eine Masterkopie. Neue Konten und Gruppen können auf jedem Domänencontroller erstellt werden. Änderungen, die an Active Directory auf einem Domänencontroller vorgenommen werden, werden auf alle anderen Domänencontroller in der Domäne repliziert. Das Replizieren von Änderungen in einer Masterkopie der Kontodatenbank auf alle anderen Masterkopien wird als Multimastervorgang bezeichnet.

Das Generieren eindeutiger relativer Bezeichner ist ein Einzelmastervorgang. Einem Domänencontroller wird die Rolle des RID-Master (Relative Identifier) zugewiesen, und jedem Domänencontroller in der Domäne wird eine Sequenz relativer Bezeichner zugewiesen. Wenn ein neues Domänenkonto oder eine neue Gruppe im Active Directory-Replikat eines Domänencontrollers erstellt wird, wird ihm eine SID zugewiesen. Der relative Bezeichner für die neue SID stammt aus der Zuordnung relativer Bezeichner durch den Domänencontroller. Wenn die Bereitstellung relativer Bezeichner zu niedrig beginnt, fordert der Domänencontroller einen weiteren Block vom RID-Master an.

Jeder Domänencontroller verwendet jeden Wert in einem Block relativer Bezeichner nur einmal. Der RID-Master weist jeden Block relativer Bezeichnerwerte nur einmal zu. Dadurch wird sichergestellt, dass jedes in der Domäne erstellte Konto und jede Gruppe über einen eindeutigen relativen Bezeichner verfügt.

Sicherheitsbezeichner und global eindeutige Bezeichner

Wenn ein neues Domänenbenutzer- oder Gruppenkonto erstellt wird, speichert Active Directory die SID des Kontos in der ObjectSID-Eigenschaft eines Benutzer- oder Gruppenobjekts. Außerdem wird dem neuen Objekt eine GUID (Globally Unique Identifier) zugewiesen, bei der es sich um einen 128-Bit-Wert handelt, der nicht nur im Unternehmen, sondern auch auf der ganzen Welt eindeutig ist. GUIDs werden jedem Objekt zugewiesen, das von Active Directory erstellt wird, nicht nur Benutzer- und Gruppenobjekte. Die GUID jedes Objekts wird in seiner ObjectGUID-Eigenschaft gespeichert.

Active Directory verwendet GUIDs intern, um Objekte zu identifizieren. Beispielsweise ist die GUID eine der Eigenschaften eines Objekts, die im globalen Katalog veröffentlicht wird. Das Durchsuchen des globalen Katalogs nach einer Guid des User-Objekts führt zu Ergebnissen, wenn der Benutzer über ein Konto an einer anderen Stelle im Unternehmen verfügt. Tatsächlich kann die Suche nach einem beliebigen Objekt durch ObjectGUID die zuverlässigste Methode sein, um das Objekt zu finden, das Sie suchen möchten. Die Werte anderer Objekteigenschaften können sich ändern, die ObjectGUID-Eigenschaft ändert sich jedoch nie. Wenn einem Objekt eine GUID zugewiesen wird, behält es diesen Wert lebenslang bei.

Wenn ein Benutzer von einer Domäne in eine andere wechselt, erhält der Benutzer eine neue SID. Die SID für ein Gruppenobjekt ändert sich nicht, da Gruppen in der Domäne verbleiben, in der sie erstellt wurden. Wenn Personen jedoch verschoben werden, können ihre Konten mit ihnen verschoben werden. Wenn ein Mitarbeiter von Nordamerika nach Europa wechselt, aber im selben Unternehmen bleibt, kann ein Administrator für das Unternehmen das User-Objekt des Mitarbeiters verschieben, z. B. Contoso\NoAm nach Contoso\Europe. Wenn der Administrator dies tut, benötigt das Benutzerobjekt für das Konto eine neue SID. Der Domänenbezeichnerteil einer SID, der in NoAm ausgestellt wird, ist für NoAm eindeutig. daher weist die SID für das Konto des Benutzers in Europa einen anderen Domänenbezeichner auf. Der relative Bezeichnerteil einer SID ist relativ zur Domäne eindeutig. Wenn sich also die Domäne ändert, ändert sich auch der relative Bezeichner.

Wenn ein User-Objekt von einer Domäne in eine andere verschoben wird, muss eine neue SID für das Benutzerkonto generiert und in der ObjectSID-Eigenschaft gespeichert werden. Bevor der neue Wert in die Eigenschaft geschrieben wird, wird der vorherige Wert in eine andere Eigenschaft eines User -Objekts kopiert, SIDHistory. Diese Eigenschaft kann mehrere Werte enthalten. Jedes Mal, wenn ein User-Objekt in eine andere Domäne verschoben wird, wird eine neue SID generiert und in der ObjectSID-Eigenschaft gespeichert, und der Liste der alten SIDs in SIDHistorywird ein weiterer Wert hinzugefügt. Wenn sich ein Benutzer anmeldet und erfolgreich authentifiziert wird, fragt der Domänenauthentifizierungsdienst Active Directory nach allen SIDs ab, die dem Benutzer zugeordnet sind, einschließlich der aktuellen SID des Benutzers, der alten SIDs des Benutzers und der SIDs für die Gruppen des Benutzers. Alle diese SIDs werden an den Authentifizierungsclient zurückgegeben und sind im Zugriffstoken des Benutzers enthalten. Wenn der Benutzer versucht, Zugriff auf eine Ressource zu erhalten, kann eine der SIDs im Zugriffstoken (einschließlich einer der SIDs in SIDHistory) den Benutzerzugriff zulassen oder verweigern.

Wenn Sie benutzern den Zugriff auf eine Ressource basierend auf ihren Aufträgen erlauben oder verweigern, sollten Sie den Zugriff auf eine Gruppe und nicht auf eine Einzelperson zulassen oder verweigern. Auf diese Weise können Sie, wenn Benutzer Aufträge ändern oder in andere Abteilungen wechseln, ihren Zugriff ganz einfach anpassen, indem Sie sie aus bestimmten Gruppen entfernen und anderen hinzufügen.

Wenn Sie jedoch einem einzelnen Benutzer den Zugriff auf Ressourcen erlauben oder verweigern, möchten Sie wahrscheinlich, dass der Zugriff dieses Benutzers gleich bleibt, unabhängig davon, wie oft sich die Kontodomäne des Benutzers ändert. Die SIDHistory-Eigenschaft ermöglicht dies. Wenn ein Benutzer Domänen ändert, ist es nicht erforderlich, die Zugriffssteuerungsliste (Access Control List, ACL) für eine Ressource zu ändern. Wenn eine ACL über die alte SID des Benutzers verfügt, aber nicht über die neue, befindet sich die alte SID weiterhin im Zugriffstoken des Benutzers. Sie wird unter den SIDs für die Gruppen des Benutzers aufgeführt, und dem Benutzer wird basierend auf der alten SID der Zugriff gewährt oder verweigert.

Bekannte SIDs

Die Werte bestimmter SIDs sind auf allen Systemen konstant. Sie werden erstellt, wenn das Betriebssystem oder die Domäne installiert wird. Sie werden als bekannte SIDs bezeichnet, da sie generische Benutzer oder generische Gruppen identifizieren.

Es gibt universelle bekannte SIDs, die für alle sicheren Systeme von Bedeutung sind, die dieses Sicherheitsmodell verwenden, einschließlich anderer Betriebssysteme als Windows. Darüber hinaus gibt es bekannte SIDs, die nur für Windows Betriebssysteme von Bedeutung sind.

In der folgenden Tabelle sind die universellen bekannten SIDs aufgeführt.

Wert Universelle Well-Known-SID Identifiziert
S-1-0-0 NULL-SID Eine Gruppe ohne Mitglieder. Dies wird häufig verwendet, wenn ein SID-Wert nicht bekannt ist.
S-1-1-0 World Eine Gruppe, die alle Benutzer enthält.
S-1-2-0 Lokal Benutzer, die sich bei Terminalen anmelden, die lokal (physisch) mit dem System verbunden sind.
S-1-2-1 Konsolenanmeldung Eine Gruppe, die Benutzer enthält, die bei der physischen Konsole angemeldet sind.
S-1-3-0 Creator-Besitzer-ID Ein Sicherheitsbezeichner, der durch den Sicherheitsbezeichner des Benutzers ersetzt werden soll, der ein neues Objekt erstellt hat. Diese SID wird in vererbbaren ACEs verwendet.
S-1-3-1 Creator-Gruppen-ID Ein Sicherheitsbezeichner, der durch die primäre Gruppen-SID des Benutzers ersetzt werden soll, der ein neues Objekt erstellt hat. Verwenden Sie diese SID in vererbbaren ACEs.
S-1-3-2 Creator Owner Server
S-1-3-3 Creator Group Server
S-1-3-4 Besitzerrechte Eine Gruppe, die den aktuellen Besitzer des Objekts darstellt. Wenn ein Ace, der diese SID trägt, auf ein Objekt angewendet wird, ignoriert das System die impliziten READ_CONTROL und WRITE_DAC Berechtigungen für den Objektbesitzer.
S-1-4 Nicht eindeutige Autorität Eine SID, die eine Bezeichnerautorität darstellt.
S-1-5 NT-Autorität Eine SID, die eine Bezeichnerautorität darstellt.
S-1-5-80-0 Alle Dienste Eine Gruppe, die alle auf dem System konfigurierten Dienstprozesse enthält. Die Mitgliedschaft wird vom Betriebssystem gesteuert.

In der folgenden Tabelle sind die vordefinierten Konstanten für die Bezeichnerautorität aufgeführt. Die ersten vier Werte werden mit universellen bekannten SIDs verwendet, und der letzte Wert wird mit bekannten SIDs in Windows Betriebssystemen verwendet, die in der Liste "Gilt für" angegeben sind.

Bezeichnerautorität Wert SID-Zeichenfolgenpräfix
SECURITY_NULL_SID_AUTHORITY 0 S-1-0
SECURITY_WORLD_SID_AUTHORITY 1 S-1-1
SECURITY_LOCAL_SID_AUTHORITY 2 S-1-2
SECURITY_CREATOR_SID_AUTHORITY 3 S-1-3

Die folgenden RID-Werte werden mit universellen bekannten SIDs verwendet. In der Spalte "Bezeichnerautorität" wird das Präfix der Bezeichnerautorität angezeigt, mit der Sie die RID-Datei kombinieren können, um eine allgemein bekannte SID zu erstellen.

Relative Bezeichnerautorität Wert Bezeichnerautorität
SECURITY_NULL_RID 0 S-1-0
SECURITY_WORLD_RID 0 S-1-1
SECURITY_LOCAL_RID 0 S-1-2
SECURITY_CREATOR_OWNER_RID 0 S-1-3
SECURITY_CREATOR_GROUP_RID 1 S-1-3

Die vordefinierte Bezeichnerautorität SECURITY_NT_AUTHORITY (S-1-5) erzeugt SIDs, die nicht universell sind und nur in Installationen der Windows Betriebssysteme von Bedeutung sind, die in der Liste "Gilt für" am Anfang dieses Themas angegeben sind. In der folgenden Tabelle sind die bekannten SIDs aufgeführt.

SID Anzeigename Beschreibung
S-1-5-1 Dialup Eine Gruppe, die alle Benutzer enthält, die über eine DFÜ-Verbindung beim System angemeldet sind.
S-1-5-113 Lokales Konto Sie können diese SID verwenden, wenn Sie die Netzwerkanmeldung auf lokale Konten statt auf "Administrator" oder eine entsprechende Einschränkung beschränken. Diese SID kann bei der Blockierung der Netzwerkanmeldung für lokale Benutzer und Gruppen nach Kontotyp wirksam sein, unabhängig davon, was sie tatsächlich genannt werden.
S-1-5-114 Lokales Konto und Mitglied der Gruppe "Administratoren" Sie können diese SID verwenden, wenn Sie die Netzwerkanmeldung auf lokale Konten statt auf "Administrator" oder eine entsprechende Einschränkung beschränken. Diese SID kann bei der Blockierung der Netzwerkanmeldung für lokale Benutzer und Gruppen nach Kontotyp wirksam sein, unabhängig davon, was sie tatsächlich genannt werden.
S-1-5-2 Network Eine Gruppe, die alle Benutzer enthält, die über eine Netzwerkverbindung angemeldet sind. Zugriffstoken für interaktive Benutzer enthalten nicht die Netzwerk-SID.
S-1-5-3 Batch Eine Gruppe, die alle Benutzer enthält, die sich über eine Batchwarteschlangeneinrichtung angemeldet haben, z. B. Aufgabenplanungsaufträge.
S-1-5-4 Interaktive Eine Gruppe, die alle Benutzer enthält, die sich interaktiv anmelden. Ein Benutzer kann eine interaktive Anmeldesitzung starten, indem er sich direkt an der Tastatur anmeldet, eine Remotedesktopdienste-Verbindung von einem Remotecomputer aus öffnet oder eine Remoteshell wie Telnet verwendet. In jedem Fall enthält das Zugriffstoken des Benutzers die interaktive SID. Wenn sich der Benutzer über eine Remotedesktopdienste-Verbindung anmeldet, enthält das Zugriffstoken des Benutzers auch die interaktive Remoteanmelde-SID.
S-1-5-5- X - Y Anmeldesitzung Die X- und Y-Werte für diese SIDs identifizieren eine bestimmte Anmeldesitzung eindeutig.
S-1-5-6 Service Eine Gruppe, die alle Sicherheitsprinzipale enthält, die als Dienst angemeldet sind.
S-1-5-7 Anonyme Anmeldung Ein Benutzer, der eine Verbindung mit dem Computer hergestellt hat, ohne einen Benutzernamen und ein Kennwort anzugeben.
Die anonyme Anmeldeidentität unterscheidet sich von der Identität, die von Internetinformationsdienste (IIS) für anonymen Webzugriff verwendet wird. IIS verwendet ein tatsächliches Konto – standardmäßig IUSR_ ComputerName– für anonymen Zugriff auf Ressourcen auf einer Website. Genau genommen ist ein solcher Zugriff nicht anonym, da der Sicherheitsprinzipal bekannt ist, obwohl nicht identifizierte Personen das Konto verwenden. IUSR_ ComputerName (oder ein beliebiger Name des Kontos) hat ein Kennwort, und IIS meldet sich beim Starten des Diensts für das Konto an. Daher ist der "anonyme" IIS-Benutzer Ein Mitglied authentifizierter Benutzer, die anonyme Anmeldung jedoch nicht.
S-1-5-8 Proxy Gilt derzeit nicht: Diese SID wird nicht verwendet.
S-1-5-9 Enterprise Domänencontroller Eine Gruppe, die alle Domänencontroller in einer Gesamtstruktur von Domänen enthält.
S-1-5-10 Selbst Ein Platzhalter in einem Ace für ein Benutzer-, Gruppen- oder Computerobjekt in Active Directory. Wenn Sie Berechtigungen für Self erteilen, erteilen Sie diese dem Sicherheitsprinzipal, der durch das Objekt dargestellt wird. Während einer Zugriffsüberprüfung ersetzt das Betriebssystem die SID für Self durch die SID für den Sicherheitsprinzipal, der durch das Objekt dargestellt wird.
S-1-5-11 Authentifizierte Benutzer Eine Gruppe, die alle Benutzer und Computer mit authentifizierten Identitäten enthält. Authentifizierte Benutzer schließen "Gast" nicht ein, auch wenn das Gastkonto über ein Kennwort verfügt.
Diese Gruppe enthält authentifizierte Sicherheitsprinzipale aus einer beliebigen vertrauenswürdigen Domäne, nicht nur aus der aktuellen Domäne.
S-1-5-12 Eingeschränkter Code Eine Identität, die von einem Prozess verwendet wird, der in einem eingeschränkten Sicherheitskontext ausgeführt wird. In Windows- und Windows Server-Betriebssystemen kann eine Richtlinie für Softwareeinschränkung dem Code eine von drei Sicherheitsebenen zuweisen: uneingeschränkt, eingeschränkt oder nicht zulässig. Wenn Code auf der eingeschränkten Sicherheitsstufe ausgeführt wird, wird die eingeschränkte SID dem Zugriffstoken des Benutzers hinzugefügt.
S-1-5-13 Terminalserverbenutzer Eine Gruppe, die alle Benutzer enthält, die sich bei einem Server anmelden, für den Remotedesktopdienste aktiviert sind.
S-1-5-14 Interaktive Remoteanmeldung Eine Gruppe, die alle Benutzer enthält, die sich über eine Remotedesktopverbindung am Computer anmelden. Diese Gruppe ist eine Teilmenge der interaktiven Gruppe. Zugriffstoken, die die interaktive Remoteanmelde-SID enthalten, enthalten auch die interaktive SID.
S-1-5-15 Diese Organisation Eine Gruppe, die alle Benutzer aus derselben Organisation enthält. Nur in Active Directory-Konten enthalten und nur von einem Domänencontroller hinzugefügt.
S-1-5-17 IIS_USRS Ein Konto, das vom IIS-Benutzer (Default Internetinformationsdienste) verwendet wird.
S-1-5-18 System (oder LocalSystem) Eine Identität, die lokal vom Betriebssystem und von Diensten verwendet wird, die für die Anmeldung als LocalSystem konfiguriert sind.
System ist ein ausgeblendetes Mitglied von Administratoren. Das heißt, jeder Prozess, der als System ausgeführt wird, verfügt über die SID für die integrierte Administratorengruppe im Zugriffstoken.
Wenn ein Prozess, der lokal als System ausgeführt wird, auf Netzwerkressourcen zugreift, erfolgt dies mithilfe der Domänenidentität des Computers. Das Zugriffstoken auf dem Remotecomputer enthält die SID für das Domänenkonto des lokalen Computers sowie SIDs für Sicherheitsgruppen, bei denen der Computer Mitglied ist, z. B. Domänencomputer und authentifizierte Benutzer.
S-1-5-19 NT-Autorität (LocalService) Eine Identität, die von Diensten verwendet wird, die lokal auf dem Computer sind, keinen umfassenden lokalen Zugriff benötigen und keinen authentifizierten Netzwerkzugriff benötigen. Dienste, die als LocalService ausgeführt werden, greifen als normale Benutzer auf lokale Ressourcen und als anonyme Benutzer auf Netzwerkressourcen zu. Daher hat ein Dienst, der als LocalService ausgeführt wird, wesentlich weniger Autorität als ein Dienst, der lokal und im Netzwerk als LocalSystem ausgeführt wird.
S-1-5-20 Netzwerkdienst Eine Identität, die von Diensten verwendet wird, die keinen umfassenden lokalen Zugriff benötigen, aber authentifizierten Netzwerkzugriff benötigen. Dienste, die als NetworkService ausgeführt werden, greifen als normale Benutzer auf lokale Ressourcen zu und greifen mithilfe der Computeridentität auf Netzwerkressourcen zu. Daher hat ein Dienst, der als NetworkService ausgeführt wird, den gleichen Netzwerkzugriff wie ein Dienst, der als LocalSystem ausgeführt wird, hat jedoch den lokalen Zugriff erheblich reduziert.
S-1-5-Domäne-500 Administrator Ein Benutzerkonto für den Systemadministrator. Jeder Computer verfügt über ein lokales Administratorkonto und jede Domäne über ein Domänenadministratorkonto.
Das Administratorkonto ist das erste Konto, das während der Installation des Betriebssystems erstellt wurde. Das Konto kann nicht gelöscht, deaktiviert oder gesperrt werden, aber es kann umbenannt werden.
Standardmäßig ist das Administratorkonto Ein Mitglied der Gruppe "Administratoren" und kann nicht aus dieser Gruppe entfernt werden.
S-1-5-Domäne-501 Gast Ein Benutzerkonto für Personen, die nicht über einzelne Konten verfügen. Jeder Computer verfügt über ein lokales Gastkonto, und jede Domäne verfügt über ein Domänen-Gastkonto.
Standardmäßig ist "Guest" Mitglied der Gruppen "Jeder" und "Gäste". Das Domänen-Gastkonto ist auch Mitglied der Gruppen "Domänengäste" und "Domänenbenutzer".
Im Gegensatz zur anonymen Anmeldung ist "Gast" ein echtes Konto und kann für die interaktive Anmeldung verwendet werden. Für das Gastkonto ist kein Kennwort erforderlich, es kann jedoch ein Kennwort vorhanden sein.
S-1-5-Domäne-502 Krbtgt Ein Benutzerkonto, das vom Schlüsselverteilungscenterdienst (Key Distribution Center, KDC) verwendet wird. Das Konto ist nur auf Domänencontrollern vorhanden.
S-1-5-Domäne-512 Domänenadministratoren Eine globale Gruppe mit Mitgliedern, die berechtigt sind, die Domäne zu verwalten. Standardmäßig ist die Gruppe "Domänenadministratoren" ein Mitglied der Gruppe "Administratoren" auf allen Computern, die der Domäne beigetreten sind, einschließlich Domänencontrollern.
Domänenadministratoren sind der Standardbesitzer aller Objekte, die von jedem Mitglied der Gruppe im Active Directory der Domäne erstellt werden. Wenn Mitglieder der Gruppe andere Objekte erstellen, z. B. Dateien, ist der Standardbesitzer die Gruppe "Administratoren".
S-1-5-Domäne-513 Domänenbenutzer Eine globale Gruppe, die alle Benutzer in einer Domäne enthält. Wenn Sie ein neues User-Objekt in Active Directory erstellen, wird der Benutzer dieser Gruppe automatisch hinzugefügt.
S-1-5-Domäne-514 Domänengäste Eine globale Gruppe, die standardmäßig nur ein Mitglied hat: das integrierte Gastkonto der Domäne.
S-1-5-Domäne-515 Domänencomputer Eine globale Gruppe, die alle Computer enthält, die der Domäne beigetreten sind, mit Ausnahme von Domänencontrollern.
S-1-5-Domäne-516 Domänencontroller Eine globale Gruppe, die alle Domänencontroller in der Domäne enthält. Dieser Gruppe werden automatisch neue Domänencontroller hinzugefügt.
S-1-5-Domäne-517 Zertifikatsverlage Eine globale Gruppe, die alle Computer enthält, die eine Unternehmenszertifizierungsstelle hosten.
Zertifikatverlage sind berechtigt, Zertifikate für Benutzerobjekte in Active Directory zu veröffentlichen.
S-1-5-Stammdomäne-518 Schemaadministratoren Eine Gruppe, die nur in der Gesamtstrukturstammdomäne vorhanden ist. Es handelt sich um eine universelle Gruppe, wenn sich die Domäne im nativen Modus befindet, und es handelt sich um eine globale Gruppe, wenn sich die Domäne im gemischten Modus befindet. Die Gruppe "Schemaadministratoren" ist berechtigt, Schemaänderungen in Active Directory vorzunehmen. Standardmäßig ist das einzige Mitglied der Gruppe das Administratorkonto für die Stammdomäne der Gesamtstruktur.
S-1-5-Stammdomäne-519 Enterprise Administratoren Eine Gruppe, die nur in der Gesamtstrukturstammdomäne vorhanden ist. Es handelt sich um eine universelle Gruppe, wenn sich die Domäne im nativen Modus befindet, und es handelt sich um eine globale Gruppe, wenn sich die Domäne im gemischten Modus befindet.
Die Gruppe Enterprise Administratoren ist berechtigt, Änderungen an der Gesamtstrukturinfrastruktur vorzunehmen, z. B. das Hinzufügen untergeordneter Domänen, das Konfigurieren von Standorten, das Autorisieren von DHCP-Servern und das Installieren von Unternehmenszertifizierungsstellen.
Standardmäßig ist das einzige Mitglied von Enterprise Administratoren das Administratorkonto für die Stammdomäne der Gesamtstruktur. Die Gruppe ist ein Standardmitglied jeder Gruppe "Domänenadministratoren" in der Gesamtstruktur.
S-1-5-Domäne-520 Gruppenrichtlinienerstellerbesitzer Eine globale Gruppe, die zum Erstellen neuer Gruppenrichtlinienobjekte in Active Directory autorisiert ist. Standardmäßig ist administrator das einzige Mitglied der Gruppe.
Objekte, die von Mitgliedern von Gruppenrichtlinienerstellerbesitzern erstellt werden, befinden sich im Besitz des einzelnen Benutzers, der sie erstellt. Auf diese Weise unterscheidet sich die Gruppe "Ersteller von Gruppenrichtlinienbesitzern" von anderen administrativen Gruppen (z. B. Administratoren und Domänenadministratoren). Objekte, die von Mitgliedern dieser Gruppen erstellt werden, befinden sich im Besitz der Gruppe und nicht der Einzelperson.
S-1-5-Domäne-553 RAS- und IAS-Server Eine lokale Domänengruppe. Standardmäßig hat diese Gruppe keine Mitglieder. Computer, auf denen der Routing- und Remotezugriffsdienst ausgeführt wird, werden der Gruppe automatisch hinzugefügt.
Mitglieder dieser Gruppe haben Zugriff auf bestimmte Eigenschaften von Benutzerobjekten, z. B. Kontoeinschränkungen lesen, Anmeldeinformationen lesen und Remotezugriffsinformationen lesen.
S-1-5-32-544 Administratoren Eine integrierte Gruppe. Nach der Erstinstallation des Betriebssystems ist das Administratorkonto das einzige Mitglied der Gruppe. Wenn ein Computer einer Domäne beitritt, wird die Gruppe "Domänenadministratoren" der Gruppe "Administratoren" hinzugefügt. Wenn ein Server zu einem Domänencontroller wird, wird die Gruppe Enterprise Administratoren ebenfalls der Gruppe "Administratoren" hinzugefügt.
S-1-5-32-545 Users Eine integrierte Gruppe. Nach der Erstinstallation des Betriebssystems ist die Gruppe "Authentifizierte Benutzer" das einzige Mitglied.
S-1-5-32-546 Gäste Eine integrierte Gruppe. Standardmäßig ist das einzige Mitglied das Gastkonto. Die Gruppe "Gäste" ermöglicht gelegentlichen oder einmaligen Benutzern die Anmeldung mit eingeschränkten Berechtigungen für das integrierte Gastkonto eines Computers.
S-1-5-32-547 Hauptbenutzer Eine integrierte Gruppe. Standardmäßig hat die Gruppe keine Mitglieder. Hauptbenutzer können lokale Benutzer und Gruppen erstellen. von ihnen erstellte Konten ändern und löschen; und entfernen Sie Benutzer aus den Gruppen "Hauptbenutzer", "Benutzer" und "Gäste". Hauptbenutzer können auch Programme installieren. erstellen, verwalten und löschen Sie lokale Drucker; und erstellen und löschen Sie Dateifreigaben.
S-1-5-32-548 Kontooperatoren Eine integrierte Gruppe, die nur auf Domänencontrollern vorhanden ist. Standardmäßig hat die Gruppe keine Mitglieder. Standardmäßig verfügen Kontooperatoren über die Berechtigung zum Erstellen, Ändern und Löschen von Konten für Benutzer, Gruppen und Computer in allen Containern und Organisationseinheiten von Active Directory mit Ausnahme des integrierten Containers und der Domänencontroller-OE. Kontooperatoren verfügen weder über die Berechtigung zum Ändern der Gruppen "Administratoren" und "Domänenadministratoren" noch über die Berechtigung zum Ändern der Konten für Mitglieder dieser Gruppen.
S-1-5-32-549 Serveroperatoren Beschreibung: Eine integrierte Gruppe, die nur auf Domänencontrollern vorhanden ist. Standardmäßig hat die Gruppe keine Mitglieder. Serveroperatoren können sich interaktiv bei einem Server anmelden. Erstellen und Löschen von Netzwerkfreigaben; Dienste starten und beenden; Sichern und Wiederherstellen von Dateien; die Festplatte des Computers formatieren; und fahren Sie den Computer herunter.
S-1-5-32-550 Druckoperatoren Eine integrierte Gruppe, die nur auf Domänencontrollern vorhanden ist. Standardmäßig ist das einzige Mitglied die Gruppe "Domänenbenutzer". Druckoperatoren können Drucker und Dokumentwarteschlangen verwalten.
S-1-5-32-551 Sicherungsoperatoren Eine integrierte Gruppe. Standardmäßig hat die Gruppe keine Mitglieder. Sicherungsoperatoren können alle Dateien auf einem Computer sichern und wiederherstellen, unabhängig von den Berechtigungen, die diese Dateien schützen. Sicherungsoperatoren können sich auch am Computer anmelden und herunterfahren.
S-1-5-32-552 Replikatoren Eine integrierte Gruppe, die vom Dateireplikationsdienst auf Domänencontrollern verwendet wird. Standardmäßig hat die Gruppe keine Mitglieder. Fügen Sie dieser Gruppe keine Benutzer hinzu.
S-1-5-32-554 Builtin\Pre-Windows 2000 Compatible Access Ein von Windows 2000 hinzugefügter Alias. Eine Abwärtskompatibilitätsgruppe, die Lesezugriff auf alle Benutzer und Gruppen in der Domäne ermöglicht.
S-1-5-32-555 Builtin\Remotedesktopbenutzer Ein Alias. Mitgliedern dieser Gruppe wird das Recht gewährt, sich remote anzumelden.
S-1-5-32-556 Integrierte\Netzwerkkonfigurationsoperatoren Ein Alias. Mitglieder dieser Gruppe können über einige Administratorrechte zum Verwalten der Konfiguration von Netzwerkfeatures verfügen.
S-1-5-32-557 Builtin\Incoming Forest Trust Builders Ein Alias. Mitglieder dieser Gruppe können eingehende, unidirektionale Vertrauensstellungen für diese Gesamtstruktur erstellen.
S-1-5-32-558 Builtin\Performance Monitor Users Ein Alias. Mitglieder dieser Gruppe haben Remotezugriff, um diesen Computer zu überwachen.
S-1-5-32-559 Integrierte\Benutzer des Leistungsprotokolls Ein Alias. Mitglieder dieser Gruppe haben Remotezugriff, um die Protokollierung von Leistungsindikatoren auf diesem Computer zu planen.
S-1-5-32-560 Builtin\Windows Autorisierungszugriffsgruppe Ein Alias. Mitglieder dieser Gruppe haben Zugriff auf das berechnete tokenGroupsGlobalAndUniversal-Attribut für Benutzerobjekte.
S-1-5-32-561 Builtin\Terminal Server License Servers Ein Alias. Eine Gruppe für Terminalserver-Lizenzserver. Wenn Windows Server 2003 Service Pack 1 installiert ist, wird eine neue lokale Gruppe erstellt.
S-1-5-32-562 Builtin\Distributed COM-Benutzer Ein Alias. Eine Gruppe für COM, die computerweite Zugriffssteuerungen bereitstellt, die den Zugriff auf alle Anruf-, Aktivierungs- oder Startanforderungen auf dem Computer steuern.
S-1-5-32-569 Builtin\Cryptographic Operators Eine integrierte lokale Gruppe. Mitglieder sind berechtigt, kryptografische Vorgänge auszuführen.
S-1-5-32-573 Builtin\Event Log Readers Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe können Ereignisprotokolle vom lokalen Computer lesen.
S-1-5-32-574 Builtin\Certificate Service DCOM Access Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe dürfen sich mit Zertifizierungsstellen im Unternehmen verbinden.
S-1-5-32-575 Builtin\RDS-Remotezugriffsserver Eine integrierte lokale Gruppe. Server in dieser Gruppe ermöglichen Benutzern von RemoteApp-Programmen und persönlichen virtuellen Desktops den Zugriff auf diese Ressourcen. In Internetbereitstellungen werden diese Server in der Regel in einem Edgenetzwerk bereitgestellt. Diese Gruppe muss auf Servern mit RD-Verbindungsbroker aufgefüllt werden. RD-Gatewayserver und RD Web Access-Server, die in der Bereitstellung verwendet werden, müssen sich in dieser Gruppe befinden.
S-1-5-32-576 Builtin\RDS-Endpunktserver Eine integrierte lokale Gruppe. Server in dieser Gruppe führen virtuelle Computer und Hostsitzungen aus, in denen RemoteApp-Programme und persönliche virtuelle Desktops von Benutzern ausgeführt werden. Diese Gruppe muss auf Servern mit RD-Verbindungsbroker aufgefüllt werden. RD-Sitzungshostserver und RD Virtualization Host-Server, die in der Bereitstellung verwendet werden, müssen sich in dieser Gruppe befinden.
S-1-5-32-577 Builtin\RDS-Verwaltungsserver Eine integrierte lokale Gruppe. Server in dieser Gruppe können routinemäßige administrative Aktionen auf Servern ausführen, auf denen Remotedesktopdienste ausgeführt werden. Diese Gruppe muss auf allen Servern in einer Remotedesktopdienste-Bereitstellung aufgefüllt werden. Die Server, auf denen der zentrale RDS-Verwaltungsdienst ausgeführt wird, müssen in dieser Gruppe enthalten sein.
S-1-5-32-578 Builtin\Hyper-V-Administratoren Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe haben vollständigen und uneingeschränkten Zugriff auf alle Features von Hyper-V.
S-1-5-32-579 Integrierte\Zugriffssteuerungs-Unterstützungsoperatoren Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe können Autorisierungsattribute und Berechtigungen für Ressourcen auf diesem Computer remote abfragen.
S-1-5-32-580 Integrierte\Remoteverwaltungsbenutzer Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe können über Verwaltungsprotokolle (z. B. WS-Management über den Windows Remoteverwaltungsdienst) auf WMI-Ressourcen zugreifen. Dies gilt nur für WMI-Namespaces, die dem Benutzer Zugriff gewähren.
S-1-5-64-10 NTLM-Authentifizierung Eine SID, die verwendet wird, wenn das NTLM-Authentifizierungspaket den Client authentifiziert hat
S-1-5-64-14 SChannel-Authentifizierung Eine SID, die verwendet wird, wenn das SChannel-Authentifizierungspaket den Client authentifiziert hat.
S-1-5-64-21 Digestauthentifizierung Eine SID, die verwendet wird, wenn das Digestauthentifizierungspaket den Client authentifiziert hat.
S-1-5-80 NT-Dienst Eine SID, die als NT-Dienstkontopräfix verwendet wird.
S-1-5-80-0 Alle Dienste Eine Gruppe, die alle Dienstprozesse enthält, die auf dem System konfiguriert sind. Die Mitgliedschaft wird vom Betriebssystem gesteuert. SID S-1-5-80-0 entspricht NT SERVICES\ALL SERVICES. Diese SID wurde in Windows Server 2008 R2 eingeführt.
S-1-5-83-0 NT VIRTUAL MACHINE\Virtual Machines Eine integrierte Gruppe. Die Gruppe wird erstellt, wenn die Hyper-V-Rolle installiert wird. Die Mitgliedschaft in der Gruppe wird vom Hyper-V-Verwaltungsdienst (Hyper-V Management Service, VMMS) verwaltet. Diese Gruppe erfordert das Recht zum Erstellen symbolischer Verknüpfungen (SeCreateSymbolicLinkPrivilege) und auch das Recht "Anmelden als Dienst" (SeServiceLogonRight).
S-1-16-0 Nicht vertrauenswürdige obligatorische Stufe Eine SID, die eine nicht vertrauenswürdige Integritätsebene darstellt.
S-1-16-4096 Niedrige obligatorische Stufe Eine SID, die eine niedrige Integritätsebene darstellt.
S-1-16-8192 Mittlere obligatorische Stufe Diese SID stellt eine mittlere Integritätsebene dar.
S-1-16-8448 Mittlere plus obligatorische Stufe Eine SID, die eine mittlere plus Integritätsebene darstellt.
S-1-16-12288 High Mandatory Level Eine SID, die eine hohe Integritätsebene darstellt.
S-1-16-16384 Obligatorische Stufe des Systems Eine SID, die eine Systemintegritätsebene darstellt.
S-1-16-20480 Obligatorische Stufe des geschützten Prozesses Eine SID, die eine Integritätsstufe mit geschützten Prozessen darstellt.
S-1-16-28672 Obligatorische Stufe "Sicherer Prozess" Eine SID, die eine sichere Prozessintegritätsebene darstellt.

Die folgenden RIDs beziehen sich auf jede Domäne.

RID Dezimalwert Identifiziert
DOMAIN_USER_RID_ADMIN 500 Das Administratorbenutzerkonto in einer Domäne.
DOMAIN_USER_RID_GUEST 501 Das Gastbenutzerkonto in einer Domäne. Benutzer, die nicht über ein Konto verfügen, können sich automatisch bei diesem Konto anmelden.
DOMAIN_GROUP_RID_USERS 513 Eine Gruppe, die alle Benutzerkonten in einer Domäne enthält. Alle Benutzer werden dieser Gruppe automatisch hinzugefügt.
DOMAIN_GROUP_RID_GUESTS 514 Das Gruppen-Gastkonto in einer Domäne.
DOMAIN_GROUP_RID_COMPUTERS 515 Die Gruppe "Domänencomputer". Alle Computer in der Domäne sind Mitglieder dieser Gruppe.
DOMAIN_GROUP_RID_CONTROLLERS 516 Die Domänencontrollergruppe. Alle Domänencontroller in der Domäne sind Mitglieder dieser Gruppe.
DOMAIN_GROUP_RID_CERT_ADMINS 517 Die Gruppe der Zertifikatverlage. Computer, auf denen Active Directory-Zertifikatdienste ausgeführt werden, sind Mitglieder dieser Gruppe.
DOMAIN_GROUP_RID_SCHEMA_ADMINS 518 Die Gruppe der Schemaadministratoren. Mitglieder dieser Gruppe können das Active Directory-Schema ändern.
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS 519 Die Gruppe der Unternehmensadministratoren. Mitglieder dieser Gruppe haben Vollzugriff auf alle Domänen in der Active Directory-Gesamtstruktur. Enterprise Administratoren sind für Vorgänge auf Gesamtstrukturebene verantwortlich, z. B. das Hinzufügen oder Entfernen neuer Domänen.
DOMAIN_GROUP_RID_POLICY_ADMINS 520 Die Gruppe der Richtlinienadministratoren.

Die folgende Tabelle enthält Beispiele für domänenrelative RIDs, die zum Bilden bekannter SIDs für lokale Gruppen verwendet werden.

RID Dezimalwert Identifiziert
DOMAIN_ALIAS_RID_ADMINS 544 Administratoren der Domäne.
DOMAIN_ALIAS_RID_USERS 545 Alle Benutzer in der Domäne.
DOMAIN_ALIAS_RID_GUESTS 546 Gäste der Domäne.
DOMAIN_ALIAS_RID_POWER_USERS 547 Ein Benutzer oder eine Gruppe von Benutzern, die erwarten, dass ein System so behandelt wird, als wäre es sein persönlicher Computer und nicht als Arbeitsstation für mehrere Benutzer.
DOMAIN_ALIAS_RID_BACKUP_OPS 551 Eine lokale Gruppe, die verwendet wird, um die Zuweisung von Benutzerrechten für die Dateisicherung und -wiederherstellung zu steuern.
DOMAIN_ALIAS_RID_REPLICATOR 552 Eine lokale Gruppe, die für das Kopieren von Sicherheitsdatenbanken vom primären Domänencontroller auf die Sicherungsdomänencontroller verantwortlich ist. Diese Konten werden nur vom System verwendet.
DOMAIN_ALIAS_RID_RAS_SERVERS 553 Eine lokale Gruppe, die den Remotezugriff und Server darstellt, auf denen der Internetauthentifizierungsdienst (Internet Authentication Service, IAS) ausgeführt wird. Diese Gruppe ermöglicht den Zugriff auf verschiedene Attribute von Benutzerobjekten.

Änderungen der Funktionalität von Sicherheitsbezeichnern

In der folgenden Tabelle werden Änderungen an der SID-Implementierung in den Windows Betriebssystemen beschrieben, die in der Liste angegeben sind.

Änderung Betriebssystemversion Beschreibung und Ressourcen
Die meisten Betriebssystemdateien befinden sich im Besitz der TrustedInstaller-Sicherheits-ID (SID). Windows Server 2008, Windows Vista Diese Änderung soll verhindern, dass ein Prozess, der als Administrator oder unter dem LocalSystem-Konto ausgeführt wird, die Betriebssystemdateien automatisch ersetzt.
Eingeschränkte SID-Prüfungen werden implementiert Windows Server 2008, Windows Vista Wenn SIDs eingeschränkt werden, führt Windows zwei Zugriffsüberprüfungen durch. Die erste ist die normale Zugriffsüberprüfung, und die zweite ist die gleiche Zugriffsüberprüfung für die einschränkenden SIDs im Token. Beide Zugriffsüberprüfungen müssen bestehen, damit der Prozess auf das Objekt zugreifen kann.

Funktions-SIDs

Funktionssicherheits-IDs (Capability Security Identifiers, SIDs) werden verwendet, um Funktionen eindeutig und unveränderlich zu identifizieren. Funktionen stellen ein unverforssbares Autoritätstoken dar, das Zugriff auf Ressourcen (Beispiele: Dokumente, Kamera, Standorte usw.) für universelle Windows-Anwendungen gewährt. Einer App, die über eine Funktion verfügt, wird Der Zugriff auf die Ressource gewährt, der die Funktion zugeordnet ist, und einer App, die eine Funktion "nicht besitzt", wird der Zugriff auf die Ressource verweigert.

Alle Funktions-SIDs, die das Betriebssystem erkennt, werden in der Windows Registrierung im Pfad "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities" gespeichert. Jede Funktions-SID, die Windows von Erst- oder Drittanbieteranwendungen hinzugefügt wurde, wird diesem Speicherort hinzugefügt.

Beispiele für Registrierungsschlüssel aus Windows 10, Version 1909, 64-Bit-Enterprise Edition

Möglicherweise werden die folgenden Registrierungsschlüssel unter "AllCachedCapabilities" angezeigt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

Allen Funktions-SIDs wird das Präfix S-1-15-3 vorangestellt.

Weitere Informationen