Sicherheitsbezeichner

Betrifft

  • Windows10
  • Windows Server 2016

In diesem Thema für IT-Experten werden Sicherheitskennungen und deren Funktionsweise in Bezug auf Konten und Gruppen im Windows-Betriebssystem beschrieben.

Was sind Sicherheitskennungen?

Eine Sicherheits-ID (Security Identifier, SID) wird verwendet, um einen Sicherheitsprinzipal oder eine Sicherheitsgruppe eindeutig zu identifizieren. Sicherheitsprinzipale können alle Entitäten darstellen, die vom Betriebssystem authentifiziert werden können, beispielsweise ein Benutzerkonto, ein Computerkonto oder ein Thread oder Prozess, der im Sicherheitskontext eines Benutzer-oder Computerkontos ausgeführt wird.

Jedes Konto oder jede Gruppe oder jeder Prozess, der im Sicherheitskontext des Kontos ausgeführt wird, weist eine eindeutige SID auf, die von einer Zertifizierungsstelle, beispielsweise einem Windows-Domänencontroller, ausgestellt wurde. Sie wird in einer Sicherheitsdatenbank gespeichert. Das System generiert die SID, die zum Zeitpunkt der Erstellung des Kontos oder der Gruppe ein bestimmtes Konto oder eine bestimmte Gruppe identifiziert. Wenn eine SID als eindeutiger Bezeichner für einen Benutzer oder eine Gruppe verwendet wurde, kann Sie nicht mehr verwendet werden, um einen anderen Benutzer oder eine andere Gruppe zu identifizieren.

Jedes Mal, wenn sich ein Benutzer anmeldet, erstellt das System ein Zugriffstoken für diesen Benutzer. Das Zugriffstoken enthält die SID des Benutzers, die Benutzerrechte und die SIDs für alle Gruppen, zu denen der Benutzer gehört. Dieses Token stellt den Sicherheitskontext für alle Aktionen bereit, die der Benutzer auf diesem Computer ausführt.

Zusätzlich zu den eindeutig erstellten domänenspezifischen SIDs, die bestimmten Benutzern und Gruppen zugewiesen sind, gibt es bekannte SIDs, die generische Gruppen und generische Benutzer identifizieren. Beispielsweise identifizieren die SIDs everyone und World eine Gruppe, die alle Benutzer umfasst. Bekannte SIDs weisen Werte auf, die für alle Betriebssysteme konstant bleiben.

SIDs sind ein grundlegender Baustein des Windows-Sicherheitsmodells. Sie arbeiten mit bestimmten Komponenten der Autorisierungs-und Zugriffssteuerungstechnologien in der Sicherheitsinfrastruktur der Windows Server-Betriebssysteme. Dies trägt zum Schutz des Zugriffs auf Netzwerkressourcen bei und bietet eine sicherere Computerumgebung.

Der Inhalt in diesem Thema bezieht sich auf Computer, auf denen die unterstützten Versionen des Windows-Betriebssystems ausgeführt werden, wie in der Liste betrifft zu Beginn dieses Themas angegeben.

Funktionsweise von Sicherheitskennungen

Benutzer verweisen auf Konten mit dem Kontonamen, das Betriebssystem bezieht sich jedoch intern auf Konten und Prozesse, die im Sicherheitskontext des Kontos ausgeführt werden, indem Sie deren Sicherheits-IDs (SIDs) verwenden. Bei Domänenkonten wird die SID eines Sicherheitsprinzipals erstellt, indem die SID der Domäne mit einem relativen Bezeichner (RID) für das Konto verkettet wird. SIDs sind innerhalb ihres Bereichs (Domäne oder lokal) eindeutig und werden nie wieder verwendet.

Das Betriebssystem generiert eine SID, die zum Zeitpunkt der Erstellung des Kontos oder der Gruppe ein bestimmtes Konto oder eine bestimmte Gruppe identifiziert. Die sid für ein lokales Konto oder eine lokale Gruppe wird von der lokalen Sicherheitsautorität (Local Security Authority, LSA) auf dem Computer generiert und mit anderen Kontoinformationen in einem sicheren Bereich der Registrierung gespeichert. Die sid für ein Domänenkonto oder eine Gruppe wird von der Domänen Sicherheitsautorität generiert und als Attribut des Benutzer-oder Gruppenobjekts in den Active Directory-Domänendiensten gespeichert.

Für jedes lokale Konto und jede Gruppe ist die SID eindeutig für den Computer, auf dem Sie erstellt wurde. Keine zwei Konten oder Gruppen auf dem Computer haben jemals dieselbe SID. Ebenso ist die sid für jedes Domänenkonto und jede Gruppe innerhalb eines Unternehmens eindeutig. Dies bedeutet, dass die sid für ein Konto oder eine Gruppe, die in einer Domäne erstellt wird, nie mit der sid für ein Konto oder eine Gruppe übereinstimmt, das in einer anderen Domäne des Unternehmens erstellt wurde.

SIDs bleiben immer eindeutig. Sicherheitsbehörden geben nie dieselbe SID zweimal aus, und Sie verwenden nie SIDs für gelöschte Konten wieder. Wenn beispielsweise ein Benutzer mit einem Benutzerkonto in einer Windows-Domäne seinen Job verlässt, löscht ein Administrator sein Active Directory-Konto, einschließlich der SID, die das Konto identifiziert. Wenn Sie später zu einem anderen Auftrag im gleichen Unternehmen zurückkehrt, erstellt ein Administrator ein neues Konto, und das Windows Server-Betriebssystem generiert eine neue SID. Die neue SID entspricht nicht dem alten; Daher wird der Zugriff des Benutzers auf Ihr altes Konto nicht auf das neue Konto übertragen. Ihre zwei Konten stellen zwei völlig unterschiedliche Sicherheitsprinzipale dar.

Sicherheits-ID-Architektur

Eine Sicherheits-ID ist eine Datenstruktur im Binärformat, die eine Variable Anzahl von Werten enthält. Die ersten Werte in der Struktur enthalten Informationen zur SID-Struktur. Die verbleibenden Werte sind in einer Hierarchie angeordnet (ähnlich einer Telefonnummer), und Sie identifizieren die SID-ausstellende Autorität (beispielsweise "NT Authority"), die SID-ausstellende Domäne und einen bestimmten Sicherheitsprinzipal oder eine bestimmte Gruppe. Die folgende Abbildung zeigt die Struktur einer SID.

Die einzelnen Werte einer sid werden in der folgenden Tabelle beschrieben.

Kommentar Beschreibung
Revision Gibt die Version der SID-Struktur an, die in einer bestimmten sid verwendet wird.
Identifier Authority Identifiziert die höchste Autoritätsebene, die SIDs für einen bestimmten Typ von Sicherheitsprinzipal ausgeben kann. Der Wert der Identifier Authority in der sid für die Gruppe "jeder" lautet beispielsweise 1 (Welt-Authority). Der Wert der Identifier Authority in der sid für ein bestimmtes Windows Server-Konto oder eine bestimmte Gruppe ist 5 (NT Authority).
Autoren >enthält die wichtigsten Informationen in einer SID, die in einer Reihe von einem oder mehreren unter Autoren Werten enthalten ist. Alle Werte bis zum, aber nicht einschließlich des letzten Werts in der Reihe identifizieren eine Domäne in einem Unternehmen gemeinsam. Dieser Teil der Serie wird als Domänenbezeichner bezeichnet. Der letzte Wert in der Reihe, der als relativer Bezeichner (RID) bezeichnet wird, gibt ein bestimmtes Konto oder eine bestimmte Gruppe relativ zu einer Domäne an.

Die Komponenten einer SID können einfacher visualisiert werden, wenn SIDs aus einer Binärdatei in ein Zeichenfolgenformat konvertiert werden, indem die Standard Notation verwendet wird:

S-R-X-Y1-Y2-Yn-1-Yn

In dieser Notation werden die Komponenten einer SID wie in der folgenden Tabelle dargestellt dargestellt.

Kommentar Beschreibung
S Gibt an, dass die Zeichenfolge eine SID ist.
R Gibt die Änderungs Ebene an.
X Gibt den Wert der Identifier Authority an
Y Stellt eine Reihe von unter Autoren Werten dar, wobei n die Anzahl der Werte ist

Die wichtigsten Informationen zur sid sind in der Reihe der unter Autoren Werte enthalten. Der erste Teil der Serie (-Y1-Y2-Yn-1) ist der Domänenbezeichner. Dieses Element der SID wird in einem Unternehmen mit mehreren Domänen erheblich, da der Domänenbezeichner SIDs unterscheidet, die von einer Domäne von SIDs ausgestellt werden, die von allen anderen Domänen des Unternehmens ausgestellt werden. Keine zwei Domänen in einem Unternehmen verwenden denselben Domänenbezeichner.

Das letzte Element in der Reihe der unter Autoren Werte (-Yn) ist der relative Bezeichner. Sie unterscheidet ein Konto oder eine Gruppe von allen anderen Konten und Gruppen in der Domäne. Keine zwei Konten oder Gruppen in einer Domäne verwenden denselben relativen Bezeichner.

Beispielsweise wird die sid für die integrierte Administratorengruppe in der standardisierten sid-Notation als die folgende Zeichenfolge dargestellt:

S-1-5-32-544

Diese SID besteht aus vier Komponenten:

  • Eine Überarbeitungs Ebene (1)

  • Ein Identifier Authority-Wert (5, NT Authority)

  • Eine Domänen-ID (32, Builtin)

  • Ein relativer Bezeichner (544, Administratoren)

SIDs für integrierte Konten und Gruppen weisen immer denselben Domänen Bezeichnerwert auf: 32. Dieser Wert gibt die Domäne BuiltInan, die auf jedem Computer vorhanden ist, auf dem eine Version des Betriebssystems Windows Server ausgeführt wird. Es ist nie notwendig, die integrierten Konten und Gruppen eines Computers von den integrierten Konten und Gruppen eines anderen Computers zu unterscheiden, da Sie im Bereich lokal sind. Sie sind lokal auf einem einzelnen Computer oder im Fall von Domänencontrollern für eine Netzwerkdomäne lokal auf mehreren Computern, die als eins fungieren.

Integrierte Konten und Gruppen müssen im Bereich der integrierten Domäne voneinander unterschieden werden. Daher verfügt die sid für jedes Konto und jede Gruppe über einen eindeutigen relativen Bezeichner. Der relative Identifier-Wert von 544 ist für die integrierte Gruppe Administratoren eindeutig. Kein anderes Konto oder keine andere Gruppe in der integrierten Domäne hat eine SID mit dem endgültigen Wert von 544.

In einem anderen Beispiel sollten Sie die sid für die globale Gruppe, Domänenadministratoren, in Frage stellen. Jede Domäne in einem Unternehmen verfügt über eine Gruppe der Domänenadministratoren, und die sid für jede Gruppe ist anders. Im folgenden Beispiel wird die sid für die Gruppe der Domänenadministratoren in der Domäne contoso, Ltd. (Contoso\Domain-Administratoren) dargestellt:

S-1-5-21-1004336348-1177238915-682003330-512

Die sid für Contoso\Domain-Administratoren hat Folgendes:

  • Eine Überarbeitungs Ebene (1)

  • Eine Identifier Authority (5, NT Authority)

  • Eine Domänen-ID (21-1004336348-1177238915-682003330, Contoso)

  • Ein relativer Bezeichner (512, Domänenadministratoren)

Die sid für Contoso\Domain-Administratoren unterscheidet sich von den SIDs für andere Domänenadministratoren Gruppen in demselben Unternehmen durch ihren Domänenbezeichner: 21-1004336348-1177238915-682003330. In keiner anderen Domäne des Unternehmens wird dieser Wert als Domänenbezeichner verwendet. Die sid für Contoso\Domain-Administratoren unterscheidet sich von den SIDs für andere Konten und Gruppen, die in der Domäne contoso mithilfe ihres relativen Bezeichners 512 erstellt werden. Kein anderes Konto oder keine andere Gruppe in der Domäne hat eine SID mit einem endgültigen Wert von 512.

Zuordnung relativer Bezeichner

Wenn Konten und Gruppen in einer Kontodatenbank gespeichert werden, die von einem lokalen Security Accounts Manager (Sam) verwaltet wird, ist es für das System relativ einfach, einen eindeutigen relativen Bezeichner für jedes Konto und in einer Gruppe zu generieren, die auf einem eigenständigen Computer erstellt wird. Der Sam auf einem eigenständigen Computer kann die relativen Bezeichnerwerte nachvollziehen, die er zuvor verwendet hat, und sicherstellen, dass er diese nie wieder verwendet.

In einer Netzwerkdomäne ist das Generieren eindeutiger relativer Bezeichner jedoch ein komplexerer Prozess. Windows Server-Netzwerkdomänen können mehrere Domänencontroller aufweisen. Jeder Domänencontroller speichert Informationen zu Active Directory-Konten. Das bedeutet, dass es in einer Netzwerkdomäne so viele Kopien der Kontodatenbank gibt, wie Domänencontroller vorhanden sind. Darüber hinaus ist jede Kopie der Kontodatenbank eine Masterkopie. Neue Konten und Gruppen können auf jedem Domänencontroller erstellt werden. Änderungen, die an Active Directory auf einem Domänencontroller vorgenommen werden, werden auf alle anderen Domänencontroller in der Domäne repliziert. Der Vorgang des replizierens von Änderungen in einer Masterkopie der Kontodatenbank auf alle anderen Masterkopien wird als Multimaster-Vorgang bezeichnet.

Der Prozess der Generierung eindeutiger relativer Bezeichner ist ein Einzelmaster Vorgang. Einem Domänencontroller wird die Rolle des RID-Masters (relative Identifier) zugewiesen, und er ordnet jedem Domänencontroller in der Domäne eine Sequenz von relativen Bezeichnern zu. Wenn ein neues Domänenkonto oder eine neue Gruppe in einem Domänencontroller Replikat von Active Directory erstellt wird, wird ihm eine SID zugewiesen. Der relative Bezeichner für die neue SID wird von der Zuweisung relativer IDs des Domänencontrollers übernommen. Wenn die Bereitstellung relativer Bezeichner langsam abläuft, fordert der Domänencontroller einen weiteren Block vom RID-Master an.

Jeder Domänencontroller verwendet jeden Wert in einem Block mit relativen Bezeichnern nur einmal. Der RID-Master ordnet jeden Block relativer Bezeichnerwerte nur einmal zu. Durch diesen Vorgang wird sichergestellt, dass jedes in der Domäne erstellte Konto und jede Gruppe einen eindeutigen relativen Bezeichner aufweist.

Sicherheits-IDs und global eindeutige IDs

Beim Erstellen eines neuen Domänenbenutzer-oder Gruppenkontos speichert Active Directory die SID des Kontos in der Eigenschaft " Objekte " eines Benutzer-oder Gruppenobjekts. Außerdem wird dem neuen Objekt eine GUID (Globally Unique Identifier) zugewiesen, bei der es sich um einen 128-Bit-Wert handelt, der nicht nur im Unternehmen, sondern auch in der ganzen Welt eindeutig ist. GUIDs werden jedem Objekt zugewiesen, das von Active Directory erstellt wird, nicht nur von Benutzer-und Gruppenobjekten. Die GUID jedes Objekts wird in der objectGUID -Eigenschaft gespeichert.

Active Directory verwendet GUIDs intern, um Objekte zu identifizieren. Beispielsweise ist die GUID eine der Eigenschaften eines Objekts, die im globalen Katalog veröffentlicht wird. Beim Durchsuchen des globalen Katalogs nach einer Benutzerobjekt-GUID werden Ergebnisse erzielt, wenn der Benutzer ein Konto im Unternehmen hat. In der Tat ist die Suche nach Objekten nach objectGUID möglicherweise die zuverlässigste Methode, um das Objekt zu finden, das Sie suchen möchten. Die Werte anderer Objekteigenschaften können sich ändern, aber die objectGUID -Eigenschaft ändert sich nie. Wenn einem Objekt eine GUID zugewiesen wird, bleibt dieser Wert für das Leben erhalten.

Wenn ein Benutzer von einer Domäne zu einer anderen wechselt, erhält der Benutzer eine neue SID. Die sid für ein Gruppenobjekt ändert sich nicht, da Gruppen in der Domäne verbleiben, in der Sie erstellt wurden. Wenn sich die Benutzer jedoch bewegen, können Ihre Konten mit Ihnen verschoben werden. Wenn ein Mitarbeiter von Nordamerika nach Europa wechselt, aber im selben Unternehmen bleibt, kann ein Administrator des Unternehmens das Benutzerobjekt des Mitarbeiters aus, beispielsweise Contoso\NoAm, in Contoso\Europe. verschieben. Wenn der Administrator dies tut, benötigt das Benutzerobjekt für das Konto eine neue SID. Der Domänen Kennungs Teil einer SID, der in Noam ausgestellt wird, ist für Noam eindeutig; die sid für das Konto des Benutzers in Europa weist also eine andere Domänenkennung auf. Der relative Identifier-Teil einer SID ist relativ zur Domäne eindeutig; Wenn sich die Domäne ändert, ändert sich auch der relative Bezeichner.

Wenn ein Benutzerobjekt von einer Domäne zu einer anderen wechselt, muss für das Benutzerkonto eine neue SID generiert und in der Eigenschaft Objekte gespeichert werden. Bevor der neue Wert in die Eigenschaft geschrieben wird, wird der vorherige Wert in eine andere Eigenschaft eines Benutzerobjekts, sid, kopiert. Diese Eigenschaft kann mehrere Werte enthalten. Jedes Mal, wenn ein Benutzerobjekt zu einer anderen Domäne wechselt, wird eine neue SID generiert und in der Eigenschaft Objekt -ID gespeichert, und der Liste der alten SIDs in sidwird ein anderer Wert hinzugefügt. Wenn sich ein Benutzer anmeldet und erfolgreich authentifiziert wird, fragt der Domänen Authentifizierungsdienst Active Directory nach allen SIDs ab, die dem Benutzer zugeordnet sind, einschließlich der aktuellen SID des Benutzers, den alten SIDs des Benutzers und den SIDs für die Gruppen des Benutzers. Alle diese SIDs werden an den Authentifizierungs Client zurückgegeben, und Sie sind im Zugriffstoken des Benutzers enthalten. Wenn der Benutzer versucht, auf eine Ressource zuzugreifen, kann eine der SIDs im Zugriffstoken (einschließlich einer der SIDs in sid) den Benutzer Zugriff zulassen oder verweigern.

Wenn Sie den Benutzern den Zugriff auf eine Ressource basierend auf Ihren Aufträgen erlauben oder verweigern, sollten Sie den Zugriff auf eine Gruppe und nicht auf eine einzelne Person zulassen oder verweigern. Auf diese Weise können Sie, wenn Benutzeraufträge ändern oder zu anderen Abteilungen wechseln, Ihren Zugriff einfach anpassen, indem Sie Sie aus bestimmten Gruppen entfernen und anderen Personen hinzufügen.

Wenn Sie jedoch den Zugriff einzelner Benutzer auf Ressourcen zulassen oder verweigern, möchten Sie wahrscheinlich, dass der Zugriff des Benutzers identisch bleibt, unabhängig davon, wie oft sich die Kontodomäne des Benutzers ändert. Die Eigenschaft " sid " macht dies möglich. Wenn ein Benutzerdomänen ändert, ist es nicht erforderlich, die Zugriffssteuerungsliste (ACL) für eine Ressource zu ändern. Wenn eine ACL die alte SID des Benutzers, aber nicht das neue, enthält, befindet sich die alte SID weiterhin im Zugriffstoken des Benutzers. Sie wird unter den SIDs für die Gruppen des Benutzers aufgelistet, und dem Benutzer wird basierend auf der alten SID der Zugriff gewährt oder verweigert.

Bekannte SIDs

Die Werte bestimmter SIDs sind in allen Systemen konstant. Sie werden erstellt, wenn das Betriebssystem oder die Domäne installiert ist. Sie werden als bekannte SIDs bezeichnet, da Sie generische Benutzer oder generische Gruppen identifizieren.

Es gibt universelle Bekannte SIDs, die auf allen sicheren Systemen, die dieses Sicherheitsmodell verwenden, sinnvoll sind, einschließlich anderer Betriebssysteme als Windows. Darüber hinaus gibt es bekannte SIDs, die nur unter Windows-Betriebssystemen sinnvoll sind.

In der folgenden Tabelle sind die universellen bekannten SIDs aufgelistet.

Value Universelle bekannte sid Identifiziert
S-1-0-0 NULL-sid Eine Gruppe ohne Mitglieder. Dies wird häufig verwendet, wenn ein SID-Wert unbekannt ist.
S-1-1-0 World Eine Gruppe, die alle Benutzer umfasst.
S-1-2-0 Lokal Benutzer, die sich an Terminals anmelden, die lokal (physisch) mit dem System verbunden sind.
S-1-2-1 Konsolenanmeldung Eine Gruppe mit Benutzern, die bei der physikalischen Konsole angemeldet sind.
S-1-3-0 Besitzer-ID des Erstellers Eine Sicherheits-ID, die durch die Sicherheits-ID des Benutzers ersetzt werden soll, der ein neues Objekt erstellt hat. Diese SID wird in vererbbaren ACEs verwendet.
S-1-3-1 Creator-Gruppen-ID Eine Sicherheits-ID, die durch die primäre Gruppen-SID des Benutzers ersetzt werden soll, der ein neues Objekt erstellt hat. Verwenden Sie diese SID in vererbbaren ACEs.
S-1-3-2 Creator-Besitzer Server
S-1-3-3 Creator-Gruppen Server
S-1-3-4 Besitzerrechte Eine Gruppe, die den aktuellen Besitzer des Objekts darstellt. Wenn ein ACE, der diese SID trägt, auf ein Objekt angewendet wird, ignoriert das System die impliziten READ_CONTROL-und WRITE_DAC-Berechtigungen für den Objektbesitzer.
S-1-4 Nicht eindeutige Autorität Eine SID, die eine Identifier Authority darstellt.
S-1-5 NT-Zertifizierungsstelle Eine SID, die eine Identifier Authority darstellt.
S-1-5-80-0 Alle Dienste Eine Gruppe, die alle auf dem System konfigurierten Dienstprozesse umfasst. Die Mitgliedschaft wird vom Betriebssystem gesteuert.

In der folgenden Tabelle sind die vordefinierten Bezeichner Authority-Konstanten aufgeführt. Die ersten vier Werte werden mit universellen bekannten SIDs verwendet, und der letzte Wert wird mit bekannten SIDs in Windows-Betriebssystemen verwendet, die in der Liste gilt für angegeben sind.

Identifier Authority Value SID-Zeichenfolgen Präfix
SECURITY_NULL_SID_AUTHORITY 0 S-1-0
SECURITY_WORLD_SID_AUTHORITY 1 S-1-1
SECURITY_LOCAL_SID_AUTHORITY 2 S-1-2
SECURITY_CREATOR_SID_AUTHORITY 3 S-1-3

Die folgenden Rid-Werte werden mit universellen bekannten SIDs verwendet. Die Spalte "Identifier Authority" zeigt das Präfix der Autoritäts-ID, mit der Sie Rid kombinieren können, um eine universelle bekannte SID zu erstellen.

Relative Identifier Authority Value Identifier Authority
SECURITY_NULL_RID 0 S-1-0
SECURITY_WORLD_RID 0 S-1-1
SECURITY_LOCAL_RID 0 S-1-2
SECURITY_CREATOR_OWNER_RID 0 S-1-3
SECURITY_CREATOR_GROUP_RID 1 S-1-3

Die vordefinierte SECURITY_NT_AUTHORITY (S-1-5) erzeugt SIDs, die nicht universell sind und nur in Installationen der Windows-Betriebssysteme sinnvoll sind, die in der Liste " gilt für " am Anfang dieses Themas angegeben sind. . In der folgenden Tabelle sind die bekannten SIDs aufgelistet.

SID Anzeigename Beschreibung
S-1-5-1 Einwahl Eine Gruppe, die alle Benutzer umfasst, die über eine DFÜ-Verbindung am System angemeldet sind.
S-1-5-113 Lokales Konto Sie können diese SID verwenden, wenn Sie die Netzwerkanmeldung auf lokale Konten anstatt auf "Administrator" oder gleichwertig einschränken. Diese SID kann die Netzwerkanmeldung für lokale Benutzer und Gruppen nach Kontotyp unabhängig davon, was Sie tatsächlich benannt sind, effektiv blockieren.
S-1-5-114 Lokales Konto und Mitglied der Gruppe "Administratoren" Sie können diese SID verwenden, wenn Sie die Netzwerkanmeldung auf lokale Konten anstatt auf "Administrator" oder gleichwertig einschränken. Diese SID kann die Netzwerkanmeldung für lokale Benutzer und Gruppen nach Kontotyp unabhängig davon, was Sie tatsächlich benannt sind, effektiv blockieren.
S-1-5-2 Netzwerk Eine Gruppe, die alle Benutzer umfasst, die über eine Netzwerkverbindung angemeldet sind. Zugriffstoken für interaktive Benutzer enthalten keine Netzwerk-sid.
S-1-5-3 Batch Eine Gruppe, die alle Benutzer umfasst, die sich mit einer Batchwarteschlange angemeldet haben, beispielsweise Aufgaben Planungs Aufträge.
S-1-5-4 Interaktive Eine Gruppe, die alle Benutzer umfasst, die sich interaktiv anmelden. Benutzer können eine interaktive Anmeldesitzung starten, indem Sie sich direkt an der Tastatur anmelden, indem Sie eine Remote Desktop Dienste-Verbindung von einem Remotecomputer aus öffnen oder eine Remote-Shell wie Telnet verwenden. In jedem Fall enthält das Zugriffstoken des Benutzers die interaktive sid. Wenn sich der Benutzer mithilfe einer Remote Desktop Dienste-Verbindung anmeldet, enthält das Zugriffstoken des Benutzers auch die sid für die interaktive Remoteanmeldung.
S-1-5-5- X-Y Anmeldesitzung Die X -und Y -Werte für diese SIDs identifizieren eine bestimmte Anmeldesitzung eindeutig.
S-1-5-6 Dienst Eine Gruppe, die alle Sicherheitsprinzipale enthält, die sich als Dienst angemeldet haben.
S-1-5-7 Anonyme Anmeldung Ein Benutzer, der mit dem Computer verbunden ist, ohne einen Benutzernamen und ein Kennwort anzugeben.
Die Identität der anonymen Anmeldung unterscheidet sich von der Identität, die von Internet Informationsdienste (IIS) für anonymen Web Access verwendet wird. IIS verwendet ein echtes Konto – standardmäßig IUSR_ Computername– für den anonymen Zugriff auf Ressourcen auf einer Website. Genau genommen ist dieser Zugriff nicht anonym, da der Sicherheitsprinzipal bekannt ist, auch wenn unbekannte Personen das Konto verwenden. IUSR_ Computer Name (oder was auch immer Sie dem Konto nennen) verfügt über ein Kennwort, und IIS meldet sich beim Starten des Diensts beim Konto an. Infolgedessen ist der IIS-Benutzer "Anonym" ein Mitglied von authentifizierten Benutzern, aber anonyme Anmeldung nicht.
S-1-5-8 Proxy Gilt derzeit nicht: diese SID wird nicht verwendet.
S-1-5-9 Unternehmensdomänencontroller Eine Gruppe, die alle Domänencontroller in einer Gesamtstruktur von Domänen umfasst.
S-1-5-10 Self Ein Platzhalter in einem ACE für ein Benutzer-, Gruppen-oder Computerobjekt in Active Directory. Wenn Sie selbst Berechtigungen erteilen, erteilen Sie diese dem Sicherheitsprinzipal, der durch das Objekt dargestellt wird. Während einer Zugriffsüberprüfung ersetzt das Betriebssystem die sid für Self durch die SID des Sicherheitsprinzipals, der durch das Objekt dargestellt wird.
S-1-5-11 Authentifizierte Benutzer Eine Gruppe, die alle Benutzer und Computer mit authentifizierten Identitäten enthält. Authentifizierte Benutzer schließen keinen Gast ein, auch wenn das Gastkonto über ein Kennwort verfügt.
Diese Gruppe umfasst authentifizierte Sicherheitsprinzipale aus einer vertrauenswürdigen Domäne, nicht nur der aktuellen Domäne.
S-1-5-12 Eingeschränkter Code Eine Identität, die von einem Prozess verwendet wird, der in einem eingeschränkten Sicherheitskontext ausgeführt wird. In Windows-und Windows Server-Betriebssystemen kann eine Richtlinie für Softwareeinschränkungen eine von drei Sicherheitsstufen dem Code zuweisen: uneingeschränkt, eingeschränkt oder nicht zulässig. Wenn Code auf der eingeschränkten Sicherheitsstufe ausgeführt wird, wird die eingeschränkte SID dem Zugriffstoken des Benutzers hinzugefügt.
S-1-5-13 Terminal Server-Benutzer Eine Gruppe, die alle Benutzer umfasst, die sich bei einem Server anmelden und die Remote Desktop Dienste aktiviert sind.
S-1-5-14 Interaktive Remote Anmeldung Eine Gruppe, die alle Benutzer umfasst, die sich mit einer Remotedesktopverbindung am Computer anmelden. Diese Gruppe ist eine Teilmenge der interaktiven Gruppe. Zugriffstoken, die die SID der interaktiven Remote Anmeldung enthalten, enthalten auch die interaktive sid.
S-1-5-15 Diese Organisation Eine Gruppe, die alle Benutzer aus der gleichen Organisation umfasst. Nur in Active Directory-Konten enthalten und nur von einem Domänencontroller hinzugefügt.
S-1-5-17 IIS_USRS Ein Konto, das vom Standardbenutzer für Internet Informationsdienste (IIS) verwendet wird.
S-1-5-18 System (oder LocalSystem) Eine Identität, die lokal vom Betriebssystem und von Diensten verwendet wird, die für die Anmeldung als LocalSystem konfiguriert sind.
System ist ein verborgenes Mitglied von Administratoren. Das heißt, dass jeder Prozess, der als System ausgeführt wird, die sid für die integrierte Administratorengruppe in seinem Zugriffstoken aufweist.
Wenn ein lokal als System ausgeführter Prozess auf Netzwerkressourcen zugreift, erfolgt dies unter Verwendung der Domänenidentität des Computers. Das Zugriffstoken auf dem Remotecomputer enthält die SID des Domänenkontos des lokalen Computers sowie SIDs für Sicherheitsgruppen, in denen der Computer Mitglied ist, wie etwa Domänencomputer und authentifizierte Benutzer.
S-1-5-19 NT-Zertifizierungsstelle (LocalService) Eine Identität, die von Diensten verwendet wird, die sich lokal auf dem Computer befinden, benötigen keinen umfangreichen lokalen Zugriff und benötigen keinen authentifizierten Netzwerkzugriff. Dienste, die als LocalService ausgeführt werden, greifen auf lokale Ressourcen als normale Benutzer zu, und Sie greifen als anonyme Benutzer auf Netzwerkressourcen zu. Infolgedessen hat ein Dienst, der als LocalService ausgeführt wird, erheblich weniger Autorität als ein Dienst, der lokal und im Netzwerk als lokales System ausgeführt wird.
S-1-5-20 Netzwerkdienst Eine Identität, die von Diensten verwendet wird, die keinen umfangreichen lokalen Zugriff benötigen, aber authentifizierten Netzwerkzugriff benötigen. Dienste, die als Network Service ausgeführt werden, greifen auf lokale Ressourcen als normale Benutzer zu und greifen mithilfe der Identität des Computers auf Netzwerkressourcen zu. Infolgedessen verfügt ein Dienst, der als Network Service ausgeführt wird, über denselben Netzwerkzugriff wie ein Dienst, der als "LocalSystem" ausgeführt wird, aber einen deutlich reduzierten lokalen Zugriff hat.
S-1-5-Domäne-500 Administrator Ein Benutzerkonto für den System Administrator. Jeder Computer verfügt über ein lokales Administratorkonto, und jede Domäne verfügt über ein Domänenadministratorkonto.
Das Administrator Konto ist das erste Konto, das bei der Installation des Betriebssystems erstellt wurde. Das Konto kann nicht gelöscht, deaktiviert oder gesperrt werden, aber es kann umbenannt werden.
Standardmäßig ist das Administrator Konto ein Mitglied der Gruppe Administratoren und kann nicht aus dieser Gruppe entfernt werden.
S-1-5-Domäne-501 Gast Ein Benutzerkonto für Personen, die nicht über einzelne Konten verfügen. Jeder Computer verfügt über ein lokales Gastkonto, und jede Domäne verfügt über ein Domänen Gastkonto.
Standardmäßig ist Guest ein Mitglied der Gruppen jeder und Gast. Das Domänen Gastkonto ist auch ein Mitglied der Gruppe "Domänengäste" und "Domänenbenutzer".
Im Gegensatz zur anonymen Anmeldung ist Guest ein echtes Konto und kann für die interaktive Anmeldung verwendet werden. Für das Gastkonto ist kein Kennwort erforderlich, es kann jedoch über ein Kennwort verfügen.
S-1-5-Domäne-502 krbtgt Ein Benutzerkonto, das vom KDC-Dienst (Key Distribution Center) verwendet wird. Das Konto ist nur auf Domänencontrollern vorhanden.
S-1-5-Domäne-512 Domänenadministratoren Eine globale Gruppe mit Mitgliedern, die zum Verwalten der Domäne autorisiert sind. Standardmäßig ist die Gruppe Domänen-Admins ein Mitglied der Gruppe Administratoren auf allen Computern, die der Domäne beigetreten sind, einschließlich Domänencontrollern.
Domänenadministratoren ist der Standardbesitzer eines beliebigen Objekts, das von einem Mitglied der Gruppe im Active Directory der Domäne erstellt wird. Wenn Mitglieder der Gruppe andere Objekte wie Dateien erstellen, ist der Standardbesitzer die Gruppe Administratoren.
S-1-5-Domäne-513 Domänenbenutzer Eine globale Gruppe, die alle Benutzer in einer Domäne umfasst. Wenn Sie ein neues Benutzerobjekt in Active Directory erstellen, wird der Benutzer automatisch zu dieser Gruppe hinzugefügt.
S-1-5-Domäne-514 Domänengäste Eine globale Gruppe, die standardmäßig nur ein Mitglied hat: das integrierte Gastkonto der Domäne.
S-1-5-Domäne-515 Domänencomputer Eine globale Gruppe, die alle Computer enthält, die der Domäne beigetreten sind, ohne Domänencontroller.
S-1-5-Domäne-516 Domänencontroller Eine globale Gruppe, die alle Domänencontroller in der Domäne umfasst. Neue Domänencontroller werden dieser Gruppe automatisch hinzugefügt.
S-1-5-Domäne-517 CERT-Herausgeber Eine globale Gruppe, die alle Computer umfasst, die eine Unternehmenszertifizierungsstelle hosten.
CERT-Herausgeber sind berechtigt, Zertifikate für Benutzerobjekte in Active Directory zu veröffentlichen.
S-1-5-Root-Domäne-518 Schema Administratoren Eine Gruppe, die nur in der Gesamtstruktur-Stammdomäne vorhanden ist. Es handelt sich um eine universelle Gruppe, wenn sich die Domäne im einheitlichen Modus befindet und es sich um eine globale Gruppe handelt, wenn sich die Domäne im gemischten Modus befindet. Die Gruppe "Schemaadministratoren" ist berechtigt, Schemaänderungen in Active Directory vorzunehmen. Standardmäßig ist das einzige Mitglied der Gruppe das Administrator Konto für die Stammdomäne der Gesamtstruktur.
S-1-5-Root-Domäne-519 Unternehmensadministratoren Eine Gruppe, die nur in der Gesamtstruktur-Stammdomäne vorhanden ist. Es handelt sich um eine universelle Gruppe, wenn sich die Domäne im einheitlichen Modus befindet und es sich um eine globale Gruppe handelt, wenn sich die Domäne im gemischten Modus befindet.
Die Gruppe "Unternehmensadministratoren" ist berechtigt, Änderungen an der Gesamtstruktur Infrastruktur vorzunehmen, wie beispielsweise das Hinzufügen von untergeordneten Domänen, das Konfigurieren von Websites, das Autorisieren von DHCP-Servern und das Installieren von Unternehmenszertifizierungsstellen.
Standardmäßig ist das einzige Mitglied von Unternehmensadministratoren das Administrator Konto für die Stammdomäne der Gesamtstruktur. Die Gruppe ist ein Standardmitglied jeder Gruppe der Domänenadministratoren in der Gesamtstruktur.
S-1-5-Domäne-520 Besitzer von Gruppenrichtlinien Erstellern Eine globale Gruppe, die zum Erstellen neuer Gruppenrichtlinienobjekte in Active Directory autorisiert ist. Standardmäßig ist das einzige Mitglied der Gruppe Administrator.
Objekte, die von Mitgliedern der Besitzer von Gruppenrichtlinien Erstellern erstellt werden, sind Eigentum des einzelnen Benutzers, der Sie erstellt. Auf diese Weise ist die Gruppe Richtlinien-Ersteller-Besitzer anders als andere administrative Gruppen (wie Administratoren und Domänenadministratoren). Objekte, die von Mitgliedern dieser Gruppen erstellt werden, sind Eigentum der Gruppe und nicht der einzelnen Personen.
S-1-5-Domäne-553 RAS-und IAS-Server Eine lokale Domänengruppe. Standardmäßig hat diese Gruppe keine Mitglieder. Computer, auf denen der Routing-und RAS-Dienst ausgeführt wird, werden der Gruppe automatisch hinzugefügt.
Mitglieder dieser Gruppe können auf bestimmte Eigenschaften von Benutzerobjekten zugreifen, beispielsweise Lesen von Kontoeinschränkungen, Lesen von Anmeldeinformationen und Lesen von Remote Zugriffsinformationen.
S-1-5-32-544 Administratoren Eine integrierte Gruppe. Nach der erstmaligen Installation des Betriebssystems ist das einzige Mitglied der Gruppe das Administrator Konto. Wenn ein Computer einer Domäne Beitritt, wird die Gruppe "Domänen-Admins" der Gruppe "Administratoren" hinzugefügt. Wenn ein Server zu einem Domänencontroller wird, wird auch die Gruppe "Unternehmensadministratoren" der Gruppe "Administratoren" hinzugefügt.
S-1-5-32-545 Users Eine integrierte Gruppe. Nach der erstmaligen Installation des Betriebssystems ist das einzige Mitglied die Gruppe "authentifizierte Benutzer".
S-1-5-32-546 Gäste Eine integrierte Gruppe. Standardmäßig ist das einzige Mitglied das Gastkonto. Die Gruppe "Gäste" ermöglicht gelegentlichen oder einmaligen Benutzern die Anmeldung mit Einschränkungen für das integrierte Gastkonto eines Computers.
S-1-5-32-547 Power User Eine integrierte Gruppe. Standardmäßig hat die Gruppe keine Mitglieder. Power User können lokale Benutzer und Gruppen erstellen; ändern und Löschen von Konten, die Sie erstellt haben; und entfernen Sie Benutzer aus den Gruppen "Hauptbenutzer", "Benutzer" und "Gäste". Power-User können auch Programme installieren; Erstellen, verwalten und Löschen lokaler Drucker und Dateifreigaben erstellen und löschen.
S-1-5-32-548 Kontooperatoren Eine integrierte Gruppe, die nur auf Domänencontrollern vorhanden ist. Standardmäßig hat die Gruppe keine Mitglieder. Standardmäßig verfügen Konto-Operatoren über die Berechtigung zum Erstellen, ändern und Löschen von Konten für Benutzer, Gruppen und Computer in allen Containern und Organisationseinheiten von Active Directory mit Ausnahme des integrierten Containers und der Domänencontroller-OU. Kontooperatoren verfügen nicht über die Berechtigung zum Ändern der Gruppen Administratoren und Domänenadministratoren sowie über die Berechtigung zum Ändern der Konten für Mitglieder dieser Gruppen.
S-1-5-32-549 Server Operatoren Beschreibung: eine integrierte Gruppe, die nur auf Domänencontrollern vorhanden ist. Standardmäßig hat die Gruppe keine Mitglieder. Serveroperatoren können sich interaktiv bei einem Server anmelden; Erstellen und Löschen von Netzwerkfreigaben Starten und Beenden von Diensten Sichern und Wiederherstellen von Dateien Formatieren Sie die Festplatte des Computers. und fahren Sie den Computer herunter.
S-1-5-32-550 Druckoperatoren Eine integrierte Gruppe, die nur auf Domänencontrollern vorhanden ist. Standardmäßig ist das einzige Mitglied die Gruppe "Domänenbenutzer". Druckoperatoren können Drucker und Dokumentwarteschlangen verwalten.
S-1-5-32-551 Sicherungs-Operatoren Eine integrierte Gruppe. Standardmäßig hat die Gruppe keine Mitglieder. Sicherungs-Operatoren können alle Dateien auf einem Computer sichern und wiederherstellen, und zwar unabhängig von den Berechtigungen, mit denen diese Dateien geschützt werden. Backup-Operatoren können sich auch am Computer anmelden und ihn Herunterfahren.
S-1-5-32-552 Replikatoren Eine integrierte Gruppe, die vom Dateireplikationsdienst auf Domänencontrollern verwendet wird. Standardmäßig hat die Gruppe keine Mitglieder. Fügen Sie dieser Gruppe keine Benutzer hinzu.
S-1-5-64-10 NTLM-Authentifizierung Eine SID, die verwendet wird, wenn das NTLM-Authentifizierungspaket den Client authentifiziert hat
S-1-5-64-14 SChannel-Authentifizierung Eine SID, die verwendet wird, wenn das Schannel-Authentifizierungspaket den Client authentifiziert hat.
S-1-5-64-21 Digest-Authentifizierung Eine SID, die verwendet wird, wenn der Client vom Digestauthentifizierung-Authentifizierungspaket authentifiziert wurde.
S-1-5-80 NT-Dienst Eine SID, die als Präfix für das NT-Dienstkonto verwendet wird.
S-1-5-80-0 Alle Dienste Eine Gruppe, die alle auf dem System konfigurierten Dienstprozesse umfasst. Die Mitgliedschaft wird vom Betriebssystem gesteuert. SID S-1-5-80-0 entspricht den NT-SERVICES\ALL-Diensten. Diese SID wurde in Windows Server 2008 R2 eingeführt.
S-1-5-83-0 Virtuelle NT-MACHINE\Virtual-Maschinen Eine integrierte Gruppe. Die Gruppe wird erstellt, wenn die Hyper-V-Rolle installiert ist. Die Mitgliedschaft in der Gruppe wird vom Hyper-V-Verwaltungsdienst (VMMS) verwaltet. Für diese Gruppe ist die Berechtigung " symbolische Links erstellen " (SeCreateSymbolicLinkPrivilege) und auch das Recht " Anmelden als Dienst " (SeServiceLogonRight) erforderlich.
S-1-16-0 Nicht vertrauenswürdige obligatorische Ebene Eine SID, die eine nicht vertrauenswürdige Integritätsstufe darstellt.
S-1-16-4096 Niedrige Pflicht Stufe Eine SID, die eine niedrige Integritätsstufe darstellt.
S-1-16-8192 Obligatorische Mittelstufe Diese SID stellt eine mittlere Integritätsstufe dar.
S-1-16-8448 Mittel plus obligatorische Ebene Eine SID, die eine mittlere Plus Integritätsstufe darstellt.
S-1-16-12288 Hohes Pflicht Niveau Eine SID, die eine hohe Integritätsstufe darstellt.
S-1-16-16384 System Pflicht Stufe Eine SID, die eine System Integritätsstufe darstellt.
S-1-16-20480 Obligatorische Stufe des geschützten Prozesses Eine SID, die eine Integritätsstufe des geschützten Prozesses darstellt.
S-1-16-28672 Obligatorische Sicherheitsstufe des Prozesses Eine SID, die eine sichere Prozess Integritätsstufe darstellt.

Die folgenden Rid sind relativ zu jeder Domäne.

Loszuwerden Identifiziert
DOMAIN_USER_RID_ADMIN Das administrative Benutzerkonto in einer Domäne.
DOMAIN_USER_RID_GUEST Das Gastbenutzerkonto in einer Domäne Benutzer, die nicht über ein Konto verfügen, können sich automatisch bei diesem Konto anmelden.
DOMAIN_GROUP_RID_USERS Eine Gruppe, die alle Benutzerkonten in einer Domäne enthält. Alle Benutzer werden dieser Gruppe automatisch hinzugefügt.
DOMAIN_GROUP_RID_GUESTS Das Gruppen Gastkonto in einer Domäne.
DOMAIN_GROUP_RID_COMPUTERS Die Gruppe "Domänen Computer". Alle Computer in der Domäne sind Mitglieder dieser Gruppe.
DOMAIN_GROUP_RID_CONTROLLERS Die Gruppe des Domänencontrollers. Alle Domänencontroller in der Domäne sind Mitglieder dieser Gruppe.
DOMAIN_GROUP_RID_CERT_ADMINS Die Gruppe der Zertifikatherausgeber. Computer mit Active Directory-Zertifikatdiensten sind Mitglieder dieser Gruppe.
DOMAIN_GROUP_RID_SCHEMA_ADMINS Die Gruppe "Schemaadministratoren". Mitglieder dieser Gruppe können das Active Directory-Schema ändern.
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS Die Gruppe der Unternehmensadministratoren. Mitglieder dieser Gruppe haben uneingeschränkten Zugriff auf alle Domänen in der Active Directory-Gesamtstruktur. Unternehmensadministratoren sind für Vorgänge auf Gesamtstrukturebene wie das Hinzufügen oder entfernen neuer Domänen verantwortlich.
DOMAIN_GROUP_RID_POLICY_ADMINS Die Gruppe "Richtlinienadministratoren".

Die folgende Tabelle enthält Beispiele für Domänen relative RID, die für die Bildung bekannter SIDs für lokale Gruppen verwendet werden.

Loszuwerden Identifiziert
DOMAIN_ALIAS_RID_ADMINS Administratoren der Domäne.
DOMAIN_ALIAS_RID_USERS Alle Benutzer in der Domäne.
DOMAIN_ALIAS_RID_GUESTS Gäste der Domäne.
DOMAIN_ALIAS_RID_POWER_USERS Ein Benutzer oder eine Gruppe von Benutzern, die ein System so behandeln möchten, als ob es sich um einen eigenen Computer und nicht um eine Workstation für mehrere Benutzer handelt.
DOMAIN_ALIAS_RID_BACKUP_OPS Eine lokale Gruppe, die verwendet wird, um die Zuweisung der Benutzerrechte für die Dateisicherung und-Wiederherstellung zu steuern.
DOMAIN_ALIAS_RID_REPLICATOR Eine lokale Gruppe, die für das Kopieren von Sicherheits Datenbanken vom primären Domänencontroller zu den Sicherungsdomänencontrollern verantwortlich ist. Diese Konten werden nur vom System verwendet.
DOMAIN_ALIAS_RID_RAS_SERVERS Eine lokale Gruppe, die den Remotezugriff und Server mit dem Internet Authentifizierungsdienst (IAS) darstellt. Diese Gruppe ermöglicht den Zugriff auf verschiedene Attribute von Benutzerobjekten.

Änderungen der Funktionalität der Sicherheits-ID

In der folgenden Tabelle werden die Änderungen der SID-Implementierung in den Windows-Betriebssystemen beschrieben, die in der Liste angegeben sind.

Ändern Betriebssystemversion Beschreibung und Ressourcen
Die meisten Betriebssystemdateien gehören der TrustedInstaller-Sicherheits-ID (Security Identifier, SID). Windows Server 2008, Windows Vista Mit dieser Änderung soll verhindert werden, dass ein Prozess, der als Administrator oder unter dem LocalSystem-Konto ausgeführt wird, die Betriebssystemdateien automatisch ersetzt.
Eingeschränkte SID-Prüfungen sind implementiert Windows Server 2008, Windows Vista Wenn Einschränkende SIDs vorhanden sind, führt Windows zwei Zugriffsüberprüfungen durch. Die erste ist die normale Zugriffsüberprüfung, und die zweite ist die gleiche Zugriffsüberprüfung mit den einschränkenden SIDs im Token. Beide Zugriffsüberprüfungen müssen übergeben werden, damit der Prozess auf das Objekt zugreifen kann.

Funktions-SIDs

Funktionen-Sicherheits-IDs (Security Identifiers, SIDs) werden zur eindeutigen und unveränderlich Identifizierung von Funktionen verwendet. Funktionen stellen ein nicht zu fälschende Autoritäts Zeichen dar, das Zugriff auf Ressourcen (Beispiele: Dokumente, Kamera, Speicherorte usw.) für universelle Windows-Anwendungen gewährt. Eine APP, die über eine Funktion verfügt, erhält Zugriff auf die Ressource, mit der die Funktion verknüpft ist, und eine Funktion, die keine Funktion besitzt, verweigert den Zugriff auf die Ressource.

Alle Funktions-SIDs, die das Betriebssystem kennt, werden in der Windows-Registrierung im Pfad "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities" gespeichert. Jeder Funktions-sid, die Windows von First-oder Drittanbieter-Anwendungen hinzugefügt wird, wird diesem Speicherort hinzugefügt.

Alle Funktions-SIDs werden mit dem Präfix S-1-15-3

Weitere Informationen: