Sicherheitsbezeichner

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Artikel wird beschrieben, wie Sicherheits-IDs (SIDs) mit Konten und Gruppen im Windows Server-Betriebssystem funktionieren.

Was sind Sicherheitsbezeichner?

Ein Sicherheitsbezeichner wird verwendet, um einen Sicherheitsprinzipal oder eine Sicherheitsgruppe eindeutig zu identifizieren. Ein Sicherheitsprinzipal kann für jede Entität stehen, die vom Betriebssystem authentifiziert werden kann, z. B. ein Benutzer- oder Computerkonto oder ein Thread oder Prozess, der im Sicherheitskontext eines Benutzer- oder Computerkontos ausgeführt wird.

Jedes Konto, jede Gruppe und jeder Prozess, der im Sicherheitskontext des Kontos ausgeführt wird, verfügt über eine eindeutige SID, die von einer Autorität ausgestellt wird, z. B. einem Windows-Domänencontroller. Die SID wird in einer Sicherheitsdatenbank gespeichert. Das System generiert die SID, die ein bestimmtes Konto oder eine bestimmte Gruppe identifiziert, zum Zeitpunkt der Erstellung des Kontos oder der Gruppe. Wenn eine SID als eindeutiger Bezeichner für eine*n Benutzer*in oder eine Gruppe verwendet wurde, kann sie nicht mehr für die Identifizierung eines anderen Benutzers oder einer anderen Gruppe verwendet werden.

Bei jeder Anmeldung eines Benutzers oder einer Benutzerin erstellt das System ein Zugriffstoken für diesen Benutzer. Das Zugriffstoken enthält die SID des Benutzers bzw. der Benutzerin, Benutzerrechte und die SIDs der Gruppen, zu denen er oder sie gehört. Dieses Token stellt den Sicherheitskontext für alle Aktionen bereit, die der oder die Benutzer*in auf diesem Computer ausführt.

Zusätzlich zu den eindeutig erstellten, domänenspezifischen SIDs, die bestimmten Benutzer*innen und Gruppen zugewiesen werden, gibt es bekannte SIDs, die generische Gruppen und generische Benutzer*innen identifizieren. Die SIDs „Jeder“ und „Welt“ identifizieren beispielsweise eine Gruppe, die alle Benutzer*innen enthält. Bekannte SIDs weisen Werte auf, die in allen Betriebssystemen konstant bleiben.

SIDs sind ein grundlegender Baustein des Windows-Sicherheitsmodells. Sie funktionieren mit bestimmten Komponenten der Autorisierungs- und Zugriffssteuerungstechnologien in der Sicherheitsinfrastruktur der Windows Server-Betriebssysteme. Dies trägt zum Schutz des Zugriffs auf Netzwerkressourcen bei und ermöglicht eine sicherere IT-Umgebung.

Hinweis

Dieser Inhalt bezieht sich nur auf die Windows-Versionen in der Liste „Gilt für“ am Anfang des Artikels.

Funktionsweise von Sicherheits-IDs

Benutzer*innen verweisen auf Konten anhand des Kontonamens, das Betriebssystem verweist jedoch intern über die SID auf Konten und Prozesse, die im Sicherheitskontext des Kontos ausgeführt werden. Bei Domänenkonten wird die SID eines Sicherheitsprinzipals erstellt, indem die SID der Domäne mit einem relativen Bezeichner (RID) für das Konto verkettet wird. SIDs sind innerhalb ihres Bereichs (Domäne oder lokal) eindeutig und werden nie wiederverwendet.

Das Betriebssystem generiert eine SID, die ein bestimmtes Konto oder eine bestimmte Gruppe identifiziert, zum Zeitpunkt der Erstellung des Kontos oder der Gruppe. Die SID für ein lokales Konto oder eine lokale Gruppe wird von der lokalen Sicherheitsautorität (LSA) auf dem Computer generiert und mit anderen Kontoinformationen in einem sicheren Bereich der Registrierung gespeichert. Die SID für ein Domänenkonto oder eine Domänengruppe wird von der Domänensicherheitsautorität generiert und als Attribut des Benutzer- oder Gruppenobjekts in Active Directory Domain Services gespeichert.

Für jedes lokale Konto und jede Gruppe ist die SID eindeutig für den Computer, auf dem sie erstellt wurde. Es teilen sich niemals zwei Konten oder Gruppen auf dem Computer dieselbe SID. Ebenso ist die SID für jedes Domänenkonto und jede Gruppe innerhalb eines Unternehmens eindeutig. Dies bedeutet, dass die SID für ein in einer Domäne erstelltes Konto oder eine Gruppe niemals mit der SID für ein in einer anderen Domäne im Unternehmen erstelltes Konto oder eine Gruppe übereinstimmt.

SIDs bleiben immer eindeutig. Sicherheitsautoritäten stellen nie zweimal dieselbe SID aus, und sie verwenden nie SIDs für gelöschte Konten wieder. Wenn beispielsweise ein*e Benutzer*in mit einem Benutzerkonto in einer Windows-Domäne seine bzw. ihre Arbeitsstelle verlässt, löscht ein*e Administrator*in das zugehörige Active Directory-Konto, einschließlich der SID, die das Konto identifiziert. Kehrt der oder die Benutzer*in später an einen anderen Arbeitsplatz im selben Unternehmen zurück, erstellt ein*e Administrator*in ein neues Konto, und das Windows Server-Betriebssystem generiert eine neue SID. Die neue SID stimmt nicht mit der alten überein, sodass kein Teil des Zugriffs des Benutzers bzw. der Benutzerin aus dem alten Konto auf das neue übertragen wird. Beide Konten stellen zwei unterschiedliche Sicherheitsprinzipale dar.

Architektur von Sicherheitsbezeichnern

Ein Sicherheitsbezeichner ist eine Datenstruktur im Binärformat, die eine variable Anzahl von Werten enthält. Die ersten Werte in der Struktur enthalten Informationen zur SID-Struktur. Die verbleibenden Werte sind in einer Hierarchie angeordnet (ähnlich einer Telefonnummer) und identifizieren die die SID ausstellende Autorität (z. B. „NT-Autorität“), die die SID ausstellende Domäne und einen bestimmten Sicherheitsprinzipal oder eine bestimmte Gruppe. Die folgende Abbildung veranschaulicht die Struktur einer SID.

A security identifier architecture graph explaining domain identifier and relative identifier.

Die einzelnen Werte einer SID werden in der folgenden Tabelle beschrieben:

Kommentar BESCHREIBUNG
Revision Gibt die Version der SID-Struktur an, die in einer bestimmten SID verwendet wird.
Bezeichnerautorität Gibt die höchste Autoritätsebene an, die SIDs für einen bestimmten Sicherheitsprinzipaltyp ausstellen kann. Beispielsweise hat due Bezeichnerautorität in der SID für die Gruppe „Jeder“ den Wert 1 (Weltautorität). Die Bezeichnerautorität in der SID für ein bestimmtes Windows Server-Konto bzw. eine bestimmte Gruppe hat den Wert 5 (NT-Autorität).
Unterautoritäten Enthält die wichtigsten Informationen in einer SID, die in einer Reihe von Unterautoritätswerten angegeben sind. Alle Werte bis zum letzten Wert in der Reihe identifizieren gemeinsam eine Domäne in einem Unternehmen. Dieser Teil der Reihe wird Domänenbezeichner genannt. Der letzte Wert in der Reihe, der relativer Bezeichner (RID) genannt wird, identifiziert ein bestimmtes Konto oder eine Gruppe relativ zu einer Domäne.

Die Komponenten einer SID können einfacher visualisiert werden, wenn SIDs mithilfe der Standardnotation aus einem Binär- in ein Zeichenfolgenformat konvertiert werden:

S-R-X-Y1-Y2-Yn-1-Yn

In dieser Notation werden die Komponenten einer SID in der folgenden Tabelle beschrieben:

Kommentar BESCHREIBUNG
E Gibt an, dass die Zeichenfolge eine SID ist
R Gibt die Revisionsstufe an
X Gibt den Wert der Bezeichnerautorität an
J Stellt eine Reihe von Unterautoritätswerten dar, wobei n die Anzahl der Werte ist

Die wichtigsten Informationen der SID sind in der Reihe von Unterautoritätswerten angegeben. Der erste Teil der Reihe (-Y1-Y2-Yn–1) ist der Domänenbezeichner. Dieses Element der SID wird in einem Unternehmen mit mehreren Domänen bedeutsam, da im Domänenbezeichner zwischen SIDs, die von einer Domäne ausgestellt werden, und SIDs, die von allen anderen Domänen im Unternehmen ausgestellt werden, unterschieden wird. Keine zwei Domänen in einem Unternehmen weisen denselben Domänenbezeichner auf.

Das letzte Element in der Reihe von Unterautoritätswerten (-Yn) ist der relative Bezeichner. Es unterscheidet ein Konto oder eine Gruppe von allen anderen Konten und Gruppen in der Domäne. Keine zwei Konten oder Gruppen in einer Domäne weisen denselben relativen Bezeichner auf.

Beispielsweise wird die SID für die integrierte Gruppe „Administratoren“ in der standardisierten SID-Notation folgendermaßen als Zeichenfolge dargestellt:

S-1-5-32-544

Diese SID umfasst vier Komponenten:

  • Eine Revisionsstufe (1)
  • Einen Bezeichnerautoritätswert (5, NT-Autorität)
  • Einen Domänenbezeichner (32, „Builtin“)
  • Einen relativen Bezeichner (544, „Administratoren“)

SIDs für integrierte Konten und Gruppen haben immer den gleichen Domänenbezeichnerwert: 32. Dieser Wert identifiziert die Domäne Builtin, die auf jedem Computer mit einer Version des Windows Server-Betriebssystems vorhanden ist. Die integrierten Konten und Gruppen eines Computers müssen nie von denen eines anderen Computers unterschieden werden, da sie sich im lokalen Bereich befinden. Sie sind lokal auf einem einzelnen Computer oder im Fall von Domänencontrollern für eine Netzwerkdomäne lokal auf mehreren Computern, die als einer fungieren.

Integrierte Konten und Gruppen müssen im Bereich der Domäne „Builtin“ voneinander unterschieden werden. Daher verfügt die SID für jedes Konto und jede Gruppe über einen eindeutigen relativen Bezeichner. Der Wert 544 des relativen Bezeichners ist für die integrierte Gruppe „Administratoren“ eindeutig. Kein anderes Konto und keine andere Gruppe in der Domäne „Builtin“ weist eine SID mit dem Endwert 544 auf.

Betrachten Sie als weiteres Beispiel die SID für die globale Gruppe „Domänenadministratoren“. Jede Domäne in einem Unternehmen verfügt über eine Gruppe „Domänenadministratoren“, und die SID ist für jede Gruppe unterschiedlich. Das folgende Beispiel stellt die SID für die Gruppe „Domänenadministratoren“ in der Domäne „Contoso, Ltd.“ („Contoso\Domänenadministratoren“) dar:

S-1-5-21-1004336348-1177238915-682003330-512

Die SID für „Contoso\Domänenadministratoren“ umfasst folgende Komponenten:

  • Eine Revisionsstufe (1)
  • Eine Bezeichnerautorität (5, NT-Autorität)
  • Einen Domänenbezeichner (21-1004336348-1177238915-682003330, „Contoso“)
  • Einen relativen Bezeichner (512, „Domänenadministratoren“)

Die SID für „Contoso\Domänenadministratoren“ unterscheidet sich von den SIDs für andere Domänenadministratorengruppen im selben Unternehmen durch den Domänenbezeichner: 21-1004336348-1177238915-682003330. Keine andere Domäne im Unternehmen verwendet diesen Wert als Domänenbezeichner. Die SID für „Contoso\Domänenadministratoren“ unterscheidet sich von den SIDs für andere in der Domäne „Contoso“ erstellte Konten und Gruppen durch den relativen Bezeichner: 512. Kein anderes Konto und keine andere Gruppe in der Domäne weist eine SID mit dem Endwert 512 auf.

Zuordnung relativer Bezeichner

Wenn Konten und Gruppen in einer Kontodatenbank gespeichert werden, die von einem oder einer lokalen Sicherheitskonto-Manager*in (Security Accounts Manager, SAM) verwaltet wird, ist es für das System recht einfach, einen eindeutigen relativen Bezeichner für jedes Konto in einer Gruppe zu generieren, die auf einem eigenständigen Computer erstellt wird. Der oder die SAM auf einem eigenständigen Computer kann die zuvor verwendeten Werte der relativen Bezeichner nachverfolgen und sicherstellen, dass sie nie wieder verwendet werden.

In einer Netzwerkdomäne ist das Generieren eindeutiger relativer Bezeichner jedoch ein komplexerer Prozess. Windows Server-Netzwerkdomänen können über mehrere Domänencontroller verfügen. Auf jedem Domänencontroller werden Active Directory-Kontoinformationen gespeichert. In einer Netzwerkdomäne sind daher so viele Kopien der Kontodatenbank vorhanden wie Domänencontroller. Darüber hinaus ist jede Kopie der Kontodatenbank eine Masterkopie.

Neue Konten und Gruppen können auf jedem Domänencontroller erstellt werden. Auf einem Domänencontroller an Active Directory vorgenommene Änderungen werden auf alle anderen Domänencontroller in der Domäne repliziert. Die Replikation von Änderungen in einer Masterkopie der Kontodatenbank in alle anderen Masterkopien wird als Multimastervorgang bezeichnet.

Die Generierung eindeutiger relativer Bezeichner ist ein Einzelmastervorgang. Einem Domänencontroller wird die Rolle des RID-Masters zugewiesen. Dieser weist jedem Domänencontroller in der Domäne eine Sequenz relativer Bezeichner zu. Wenn ein neues Domänenkonto oder eine neue Gruppe im Active Directory-Replikat eines Domänencontrollers erstellt wird, wird ihm bzw. ihr eine SID zugewiesen. Der relative Bezeichner für die neue SID stammt aus dem Vorrat relativer Bezeichner des Domänencontrollers. Wenn der Vorrat an relativen Bezeichnern auszugehen droht, fordert der Domänencontroller vom RID-Master einen weiteren Block an.

Jeder Domänencontroller verwendet jeden Wert in einem Block mit relativen Bezeichnern nur einmal. Der RID-Master weist jeden Werteblock für relative Bezeichner nur einmal zu. Durch dieses Verfahren wird sichergestellt, dass jedes in der Domäne erstellte Konto und jede Gruppe einen eindeutigen relativen Bezeichner aufweist.

Sicherheitsbezeichner und Globally Unique Identifier

Beim Erstellen eines neuen Domänenbenutzer- oder Gruppenkontos wird in Active Directory die SID des Kontos in der ObjectSID-Eigenschaft eines Benutzer- bzw. Gruppenobjekts gespeichert. Außerdem wird dem neuen Objekt ein Globally Unique Identifier (GUID) zugewiesen, ein 128-Bit-Wert, der nicht nur im Unternehmen eindeutig ist, sondern auch weltweit. GUIDs werden jedem von Active Directory erstellten Objekt zugewiesen, nicht nur in Benutzer- und Gruppenobjekten. Die GUID jedes Objekts wird in seiner ObjectGUID-Eigenschaft gespeichert.

Active Directory verwendet GUIDs intern, um Objekte zu identifizieren. Beispielsweise ist die GUID eine der Eigenschaften eines Objekts, die im globalen Katalog veröffentlicht wird. Das Durchsuchen des globalen Katalogs nach einer Benutzerobjekt-GUID führt zu Ergebnissen, wenn der oder die Benutzer*in über ein Konto irgendwo im Unternehmen verfügt. Tatsächlich ist die Suche nach einem beliebigen Objekt nach ObjectGUID möglicherweise die zuverlässigste Methode zum Suchen nach dem gewünschten Objekt. Die Werte anderer Objekteigenschaften können sich ändern, die ObjectGUID-Eigenschaft ändert sich hingegen nie. Wenn einem Objekt eine GUID zugewiesen wird, behält es diesen Wert für seine gesamte Lebensdauer bei.

Wenn ein*e Benutzer*in von einer Domäne in eine andere wechselt, erhält er bzw. sie eine neue SID. Die SID für ein Gruppenobjekt wird nicht geändert, da Gruppen in der Domäne verbleiben, in der sie erstellt wurden. Wenn jedoch Personen umziehen, können ihre Konten mit ihnen verschoben werden. Wenn Mitarbeiter*innen von Nordamerika nach Europa umziehen, aber im selben Unternehmen bleiben, kann ein*e Administrator*in des Unternehmens die entsprechenden Benutzerobjekte z. B. von „Contoso\NoAm“ nach „Contoso\Europe“ verschieben. In diesem Fall benötigt das Benutzerobjekt für das Konto eine neue SID. Der Domänenbezeichnerteil einer in NoAm ausgestellten SID ist für NoAm eindeutig, sodass die SID für das Benutzerkonto in Europa einen anderen Domänenbezeichner aufweist. Der Teil einer SID mit dem relativen Bezeichner ist relativ zur Domäne eindeutig. Wenn sich die Domäne ändert, ändert sich daher auch der relative Bezeichner.

Wenn ein Benutzerobjekt von einer Domäne in eine andere verschoben wird, muss eine neue SID für das Benutzerkonto generiert und in der ObjectSID-Eigenschaft gespeichert werden. Vor dem Schreiben des neuen Werts in die Eigenschaft wird der vorherige Wert in eine andere Eigenschaft eines Benutzerobjekts kopiert: SIDHistory. Diese Eigenschaft kann mehrere Werte enthalten. Bei jeder Verschiebung eines Benutzerobjekt in eine andere Domäne wird eine neue SID generiert und in der ObjectSID-Eigenschaft gespeichert, und der Liste der alten SIDs in SIDHistory wird ein weiterer Wert hinzugefügt. Wenn sich ein*e Benutzer*innen anmeldet und erfolgreich authentifiziert wird, fragt der Domänenauthentifizierungsdienst bei Active Directory alle SIDs ab, die dem bzw. der Benutzer*in zugeordnet sind, einschließlich der aktuellen SID, der alten SIDs und der SIDs für die Gruppen des Benutzers bzw. der Benutzerin. Alle diese SIDs werden an den Authentifizierungsclient zurückgegeben und sind im Zugriffstoken des Benutzers oder der Benutzerin enthalten. Wenn der oder die Benutzer*in versucht, Zugriff auf eine Ressource zu erhalten, kann eine beliebige SID im Zugriffstoken (einschließlich einer der SIDs in SIDHistory) den Zugriff zulassen oder verweigern.

Wenn Sie Benutzer*innen den Zugriff auf eine Ressource basierend auf ihren Arbeitsverhältnissen erlauben oder verweigern, sollten Sie den Zugriff für eine Gruppe zulassen oder verweigern, nicht für eine Einzelperson. Auf diese Weise können Sie den Zugriff einfach anpassen, wenn Benutzer*innen den Arbeitsplatz oder die Abteilung wechseln, indem Sie sie aus bestimmten Gruppen entfernen und anderen hinzufügen.

Wenn Sie jedoch einem einzelnen Benutzer bzw. einer einzelnen Benutzerin den Zugriff auf Ressourcen erlauben oder verweigern, soll der Zugriff für diese Person wahrscheinlich gleich bleiben, unabhängig davon, wie oft sich ihre Kontodomäne ändert. Dies wird mit der SIDHistory-Einschaft ermöglicht. Wenn ein*e Benutzer*in die Domäne wechselt, ist es nicht erforderlich, die Zugriffssteuerungsliste (Access Control List, ACL) für eine Ressource zu ändern. Wenn eine ACL die alte SID des Benutzers bzw. der Benutzerin enthält, aber nicht die neue, befindet sich die alte SID weiterhin im Zugriffstoken. Sie ist unter den SIDs für die entsprechenden Gruppen aufgeführt, und dem bzw. der Benutzer*in wird der Zugriff basierend auf der alten SID gewährt oder verweigert.

Bekannte SIDs

Die Werte bestimmter SIDs sind systemübergreifend konstant. Sie werden beim Installieren des Betriebssystems oder der Domäne erstellt. Sie werden als bekannte SIDs bezeichnet, da sie generische Benutzer*innen oder generische Gruppen identifizieren.

Es gibt universelle bekannte SIDs, die auf allen sicheren Systemen mit diesem Sicherheitsmodell eine Bedeutung haben, einschließlich anderer Betriebssysteme als Windows. Darüber hinaus gibt es bekannte SIDs, die nur unter Windows-Betriebssystemen eine Bedeutung haben.

Die universellen bekannten SIDs sind in der folgenden Tabelle aufgeführt:

Wert Universelle bekannte SID Identifiziert
S-1-0-0 NULL-SID Eine Gruppe ohne Mitglieder. Dies wird häufig verwendet, wenn kein SID-Wert bekannt ist.
S-1-1-0 World Eine Gruppe mit allen Benutzer*innen.
S-1-2-0 Lokal Benutzer*innen, die sich bei lokal (physisch) mit dem System verbundenen Terminals anmelden.
S-1-2-1 Konsolenanmeldung Eine Gruppe mit Benutzer*innen, die bei der physischen Konsole angemeldet sind.
S-1-3-0 Ersteller-/Besitzer-ID Ein Sicherheitsbezeichner, der durch den Sicherheitsbezeichner des Benutzers oder der Benutzerin ersetzt wird, der bzw. die ein neues Objekt erstellt hat. Diese SID wird in vererbbaren Zugriffssteuerungseinträgen (Access Control Entry, ACE) verwendet.
S-1-3-1 Erstellergruppen-ID Ein Sicherheitsbezeichner, der durch die SID der primären Gruppe des Benutzers oder der Benutzerin ersetzt wird, der bzw. die ein neues Objekt erstellt hat. Verwenden Sie diese SID in vererbbaren ACEs.
S-1-3-2 Besitzerserver Ein Platzhalter in einem vererbbaren ACE. Wenn der ACE geerbt wird, ersetzt das System diese SID durch die SID für den Besitzerserver des Objekts und speichert Informationen darüber, wer ein bestimmtes Objekt oder eine bestimmte Datei erstellt hat.
S-1-3-3 Gruppenserver Ein Platzhalter in einem vererbbaren ACE. Wenn der ACE geerbt wird, ersetzt das System diese SID durch die SID für den Gruppenserver des Objekts und speichert Informationen zu den Gruppen, die mit dem Objekt arbeiten dürfen.
S-1-3-4 Besitzerrechte Eine Gruppe, die den aktuellen Besitzer des Objekts darstellt. Wenn ein ACE, der diese SID trägt, auf ein Objekt angewandt wird, ignoriert das System die impliziten Berechtigungen READ_CONTROL und WRITE_DAC für den Objektbesitzer.
S-1-4 Nicht eindeutige Autorität Eine SID, die eine Bezeichnerautorität darstellt.
S-1-5 NT Authority (NT-AUTORITÄT) Eine SID, die eine Bezeichnerautorität darstellt.
S-1-5-80-0 Alle Dienste Eine Gruppe, die alle im System konfigurierten Dienstprozesse enthält. Die Mitgliedschaft wird vom Betriebssystem gesteuert.

In der folgenden Tabelle sind die vordefinierten Bezeichnerautoritätskonstanten aufgeführt. Die ersten vier Werte werden mit universellen bekannten SIDs verwendet und die restlichen Werte mit bekannten SIDs in den Windows-Betriebssystemen in der Liste „Gilt für“ am Anfang des Artikels.

Bezeichnerautorität Wert SID-Zeichenfolgenpräfix
SECURITY_NULL_SID_AUTHORITY 0 S-1-0
SECURITY_WORLD_SID_AUTHORITY 1 S-1-1
SECURITY_LOCAL_SID_AUTHORITY 2 S-1-2
SECURITY_CREATOR_SID_AUTHORITY 3 S-1-3
SECURITY_NT_AUTHORITY 5 S-1-5
SECURITY_AUTHENTICATION_AUTHORITY 18 S-1-18

Die folgenden RID-Werte werden mit universellen bekannten SIDs verwendet. In der Spalte Bezeichnerautorität ist das Präfix der Bezeichnerautorität angegeben, mit der Sie die RID kombinieren können, um eine universelle bekannte SID zu erstellen.

Autorität des relativen Bezeichners Wert Bezeichnerautorität
SECURITY_NULL_RID 0 S-1-0
SECURITY_WORLD_RID 0 S-1-1
SECURITY_LOCAL_RID 0 S-1-2
SECURITY_CREATOR_OWNER_RID 0 S-1-3
SECURITY_CREATOR_GROUP_RID 1 S-1-3

Die vordefinierte Bezeichnerautorität SECURITY_NT_AUTHORITY (S-1-5) erzeugt SIDs, die nicht universell sind und nur in Installationen der Windows-Betriebssysteme in der Liste „Gilt für“ am Anfang dieses Artikels aussagekräftig sind.

Die bekannten SIDs sind in der folgenden Tabelle aufgeführt:

SID `Display name` BESCHREIBUNG
S-1-5-1 Dialup (DIALUP) Eine Gruppe mit allen Benutzer*innen, die über eine DFÜ-Verbindung beim System angemeldet sind.
S-1-5-113 Lokales Konto Sie können diese SID verwenden, wenn Sie die Netzwerkanmeldung auf lokale Konten beschränken, anstatt „Administrator“ o. Ä. Diese SID kann effektiv sein, um die Netzwerkanmeldung für lokale Benutzer*innen und Gruppen nach Kontotyp unabhängig von der Benennung zu blockieren.
S-1-5-114 Lokales Konto und Mitglied der Gruppe „Administratoren“ Sie können diese SID verwenden, wenn Sie die Netzwerkanmeldung auf lokale Konten beschränken, anstatt „Administrator“ o. Ä. Diese SID kann effektiv sein, um die Netzwerkanmeldung für lokale Benutzer*innen und Gruppen nach Kontotyp unabhängig von der Benennung zu blockieren.
S-1-5-2 Netzwerk Eine Gruppe mit allen Benutzer*innen, die über eine Netzwerkverbindung angemeldet sind. Zugriffstoken für interaktive Benutzer*innen enthalten keine Netzwerk-SID.
S-1-5-3 Batch Eine Gruppe mit allen Benutzer*innen, die sich über die Batchwarteschlange angemeldet haben, z. B. Aufgabenplanungsaufträge.
S-1-5-4 Interactive Eine Gruppe mit allen Benutzer*innen, die sich interaktiv anmelden. Benutzer*innen können eine interaktive Anmeldesitzung starten, indem sie eine Remotedesktopdienste-Verbindung von einem Remotecomputer aus öffnen oder eine Remoteshell wie Telnet verwenden. In jedem Fall enthält das Zugriffstoken des Benutzers oder der Benutzerin die interaktive SID. Wenn sich Benutzer*innen über eine Remotedesktopdienste-Verbindung anmelden, enthält das Zugriffstoken auch die SID für interaktive Remoteanmeldung.
S-1-5-5-X-Y Anmeldesitzung Die Werte X und Y für diese SIDs geben eine bestimmte Anmeldesitzung eindeutig an.
S-1-5-6 Dienst Eine Gruppe mit allen Sicherheitsprinzipalen, die als Dienst angemeldet sind.
S-1-5-7 Anonymous-Anmeldung Ein*e Benutzer*in, der bzw. die eine Verbindung mit dem Computer hergestellt hat, ohne einen Benutzernamen und ein Kennwort anzugeben.
Die „Anonymous-Anmeldung“-Identität unterscheidet sich von der Identität, die von Internetinformationsdiensten (IIS) für anonymen Webzugriff verwendet wird. IIS verwendet ein tatsächliches Konto (standardmäßig IUSR_ComputerName) für den anonymen Zugriff auf Ressourcen auf einer Website. Streng genommen ist ein solcher Zugriff nicht anonym, da der Sicherheitsprinzipal bekannt ist, auch wenn das Konto durch nicht identifizierte Personen verwendet wird. IUSR_ComputerName (oder Ihr Namen für das Konto) verfügt über ein Kennwort, und IIS meldet sich beim Starten des Diensts beim Konto an. Daher ist der oder „anonyme“ IIS-Benutzer*in ein Mitglied von „Authentifizierte Benutzer“, die Anonymous-Anmeldung hingegen nicht.
S-1-5-8 Proxy Derzeit nicht zutreffend: Diese SID wird nicht verwendet.
S-1-5-9 Domänencontroller des Unternehmens Eine Gruppe mit allen Domänencontrollern in einer Gesamtstruktur von Domänen.
S-1-5-10 Self Ein Platzhalter in einem ACE für ein Benutzer-, Gruppen- oder Computerobjekt in Active Directory. Wenn Sie „Selbst“ Berechtigungen erteilen, erteilen Sie sie dem Sicherheitsprinzipal, der durch das Objekt repräsentiert wird. Während einer Zugriffsüberprüfung ersetzt das Betriebssystem die SID für „Selbst“ durch die SID für den Sicherheitsprinzipal, der durch das Objekt repräsentiert wird.
S-1-5-11 Authentifizierte Benutzer Eine Gruppe mit allen Benutzer*innen und Computern mit authentifizierten Identitäten. Zu den authentifizierten Benutzer*innen gehört nicht das Gastkonto, selbst wenn es über ein Kennwort verfügt.
Diese Gruppe enthält authentifizierte Sicherheitsprinzipale aus allen vertrauenswürdigen Domänen, nicht nur aus der aktuellen Domäne.
S-1-5-12 Eingeschränkter Code Eine Identität, die von einem in einem eingeschränkten Sicherheitskontext ausgeführten Prozess verwendet wird. In Windows- und Windows Server-Betriebssystemen kann eine Softwareeinschränkungsrichtlinie Code eine von drei Sicherheitsstufen zuweisen:
Unrestricted
Restricted
Disallowed
Bei auf der Sicherheitsebene „Eingeschränkt“ ausgeführtem Code wird die eingeschränkte SID dem Zugriffstoken des Benutzers oder der Benutzerin hinzugefügt.
S-1-5-13 Terminalserverbenutzer Eine Gruppe mit allen Benutzer*innen, die sich bei einem Server mit aktivierten Remotedesktopdiensten anmelden.
S-1-5-14 Interaktive Remoteanmeldung Eine Gruppe mit allen Benutzer*innen, die sich über eine Remotedesktopverbindung beim Computer anmelden. Diese Gruppe ist eine Teilmenge der Gruppe „Interaktiv“. Zugriffstoken, die die SID der interaktiven Remoteanmeldung enthalten, enthalten auch die interaktive SID.
S-1-5-15 This Organization (Diese Organisation) Eine Gruppe mit allen Benutzer*innen aus derselben Organisation. Nur in Active Directory-Konten enthalten und nur von einem Domänencontroller hinzugefügt.
S-1-5-17 IUSR Ein Konto, das vom IIS-Standardbenutzer (Internet Information Services) verwendet wird.
S-1-5-18 System (oder LocalSystem) Eine lokal vom Betriebssystem und von Diensten verwendete Identität, die für die Anmeldung als LocalSystem konfiguriert sind.
System ist ein nicht aufgeführtes Mitglied von „Administratoren“. Das heißt, jeder Prozess, der als System ausgeführt wird, weist in seinem Zugriffstoken die SID für die integrierte Gruppe „Administratoren“ auf.
Der Zugriff auf Netzwerkressourcen durch einen Prozess, der lokal als System ausgeführt wird, erfolgt mithilfe der Domänenidentität des Computers. Das Zugriffstoken auf dem Remotecomputer umfasst die SID für das Domänenkonto des lokalen Computers sowie SIDs für Sicherheitsgruppen, denen der Computer angehört, z. B. „Domänencomputer“ und „Authentifizierte Benutzer“.
S-1-5-19 NT-Autorität (LocalService) Eine Identität für Dienste, die lokal für den Computer sind und keinen umfangreichen lokalen Zugriff sowie keinen authentifizierten Netzwerkzugriff benötigen. Dienste, die als LocalService ausgeführt werden, greifen als normale Benutzer auf lokale Ressourcen und als anonyme Benutzer auf Netzwerkressourcen zu. Daher ist mit einem Dienst, der als LocalService ausgeführt wird, eine deutlich geringere Autorität verbunden als mit einem Dienst, der lokal und im Netzwerk als LocalSystem ausgeführt wird.
S-1-5-20 Netzwerkdienst Eine Identität für Dienste, die keinen umfangreichen lokalen Zugriff, jedoch authentifizierten Netzwerkzugriff benötigen. Dienste, die als NetworkService ausgeführt werden, greifen als normale Benutzer auf lokale Ressourcen und mithilfe der Identität des Computers auf Netzwerkressourcen zu. Daher hat ein Dienst, der als NetworkService ausgeführt wird, den gleichen Netzwerkzugriff wie ein Dienst, der als LocalSystem ausgeführt wird, er verfügt jedoch über einen deutlich reduzierten lokalen Zugriff.
S-1-5-Domäne-500 Administrator Ein Benutzerkonto für Systemadministrator*innen. Jeder Computer verfügt über ein lokales Administratorkonto und jede Domäne über ein Domänenadministratorkonto.
Das Administratorkonto ist das erste Konto, das während der Betriebssysteminstallation erstellt wurde. Das Konto kann nicht gelöscht, deaktiviert oder gesperrt werden, es kann jedoch umbenannt werden.
Standardmäßig ist das Administratorkonto Mitglied der Gruppe „Administratoren“ und kann nicht aus dieser Gruppe entfernt werden.
S-1-5-Domäne-501 Gast Ein Benutzerkonto für Personen, die nicht über eigene Konten verfügen. Jeder Computer verfügt über ein lokales Gastkonto und jede Domäne über ein Domänengastkonto.
Standardmäßig ist das Gastkonto Mitglied der Gruppen „Jeder“ und „Gäste“. Das Domänengastkonto ist auch Mitglied der Gruppen „Domänengäste“ und „Domänenbenutzer“.
Im Gegensatz zur Anonymous-Anmeldung ist Gast ein echtes Konto und kann für die interaktive Anmeldung verwendet werden. Für das Gastkonto ist kein Kennwort erforderlich, es kann jedoch ein Kennwort aufweisen.
S-1-5-Domäne-502 KRBTGT Ein Benutzerkonto für den KDC-Dienst (Key Distribution Center). Dieses Konto ist nur auf Domänencontrollern vorhanden.
S-1-5-Domäne-512 Domänenadministratoren Eine globale Gruppe mit Mitgliedern, die zum Verwalten der Domäne autorisiert sind. Standardmäßig ist die Gruppe „Domänenadministratoren“ ein Mitglied der Gruppe „Administratoren“ auf allen Computern, die in die Domäne eingebunden sind, einschließlich der Domänencontroller.
Die Gruppe „Domänenadministratoren“ ist Standardbesitzerin jedes Objekts, das in Active Directory von einem beliebigen Mitglied der Gruppe für die Domäne erstellt wird. Wenn Mitglieder der Gruppe andere Objekte erstellen, z. B. Dateien, ist die Gruppe „Administratoren“ Standardbesitzerin.
S-1-5-Domäne-513 Domänenbenutzer Eine globale Gruppe mit allen Benutzer*innen in einer Domäne. Wenn Sie ein neues Benutzerobjekt in Active Directory erstellen, wird der bzw. die Benutzer*in automatisch dieser Gruppe hinzugefügt.
S-1-5-Domäne-514 Domänen-Gäste Eine globale Gruppe, die standardmäßig nur ein Mitglied enthält: das integrierte Gastkonto der Domäne.
S-1-5-Domäne-515 Domänencomputer Diese Gruppe kann alle Computer und Server umfassen, die in eine Domäne eingebunden sind, ausgenommen Domänencontroller.
S-1-5-Domäne-516 Domänencontroller Eine globale Gruppe mit allen Domänencontrollern in der Domäne. Neue Domänencontroller werden automatisch dieser Gruppe hinzugefügt.
S-1-5-Domäne-517 Zertifikatherausgeber Eine globale Gruppe mit allen Computern, die eine Unternehmenszertifizierungsstelle hosten.
Zertifikatherausgeber sind berechtigt, Zertifikate für Benutzerobjekte in Active Directory zu veröffentlichen.
S-1-5-Stammdomäne-518 Schema-Admins Eine Gruppe, die nur in der Stammdomäne der Gesamtstruktur vorhanden ist. Es handelt sich um eine universelle Gruppe, wenn sich die Domäne im einheitlichen Modus befindet, und um eine globale Gruppe, wenn sich die Domäne im gemischten Modus befindet. Die Gruppe ist berechtigt, Schemaänderungen in Active Directory vorzunehmen. Standardmäßig ist das Administratorkonto für die Stammdomäne der Gesamtstruktur das einzige Mitglied der Gruppe.
S-1-5-Stammdomäne-519 Organisationsadministratoren Eine Gruppe, die nur in der Stammdomäne der Gesamtstruktur vorhanden ist. Es handelt sich um eine universelle Gruppe, wenn sich die Domäne im einheitlichen Modus befindet, und um eine globale Gruppe, wenn sich die Domäne im gemischten Modus befindet.
Die Gruppe „Organisations-Admins“ ist berechtigt, Änderungen an der Infrastruktur der Gesamtstruktur vorzunehmen, z. B. Hinzufügen von untergeordneten Domänen, Konfigurieren von Standorten, Autorisieren von DHCP-Servern und Installieren von Unternehmenszertifizierungsstellen.
Standardmäßig ist das Administratorkonto für die Stammdomäne der Gesamtstruktur das einzige Mitglied von „Organisations-Admins“. Die Gruppe ist ein Standardmitglied jeder Gruppe „Domänenadministratoren“ in der Gesamtstruktur.
S-1-5-Domäne-520 Gruppenrichtlinienersteller-Besitzer Eine globale Gruppe, die zum Erstellen neuer Gruppenrichtlinien-Objekte in Active Directory autorisiert ist. Standardmäßig ist das Administratorkonto das einzige Mitglied der Gruppe.
Objekte, die von Mitgliedern der Gruppe „Gruppenrichtlinienersteller-Besitzer“ erstellt werden, gehören dem oder der jeweiligen erstellenden Benutzer*in. Auf diese Weise unterscheidet sich die Gruppe „Gruppenrichtlinienersteller-Besitzer“ von anderen administrativen Gruppen wie „Administratoren“ oder „Domänenadministratoren“. Objekte, die von Mitgliedern dieser Gruppen erstellt werden, gehören der Gruppe und nicht der Einzelperson.
S-1-5-Domäne-521 Read-only-Domänencontroller Eine globale Gruppe mit allen schreibgeschützten Domänencontrollern
S-1-5-Domäne-522 Klonbare Controller Eine globale Gruppe mit allen Domänencontrollern in der Domäne, die geklont werden können
S-1-5-Domäne-525 Geschützte Benutzer Eine globale Gruppe, für die zusätzlicher Schutz vor Sicherheitsbedrohungen bei der Authentifizierung besteht
S-1-5-Stammdomäne-526 Schlüsseladministratoren Diese Gruppe ist für die Verwendung in Szenarien vorgesehen, in denen vertrauenswürdige externe Autorisierungsstellen für die Änderung dieses Attributs verantwortlich sind. Nur vertrauenswürdige Administrator*innen sollten als Mitglied dieser Gruppe festgelegt werden.
S-1-5-Domäne-527 Enterprise Key-Administratoren Diese Gruppe ist für die Verwendung in Szenarien vorgesehen, in denen vertrauenswürdige externe Autorisierungsstellen für die Änderung dieses Attributs verantwortlich sind. Nur vertrauenswürdige Unternehmensadministrator*innen sollten als Mitglied dieser Gruppe festgelegt werden.
S-1-5-32-544 Administratoren Eine integrierte Gruppe. Nach der Erstinstallation des Betriebssystems ist das einzige Mitglied der Gruppe das Administratorkonto. Wenn ein Computer einer Domäne beitritt, wird die Gruppe „Domänenadministratoren“ der Gruppe „Administratoren“ hinzugefügt. Wenn ein Server zu einem Domänencontroller wird, wird auch die Gruppe „Unternehmensadministratoren“ der Gruppe „Administratoren“ hinzugefügt.
S-1-5-32-545 Benutzer Eine integrierte Gruppe. Nach der Erstinstallation des Betriebssystems ist das einzige Mitglied die Gruppe „Authentifizierte Benutzer“.
S-1-5-32-546 Gäste Eine integrierte Gruppe. Standardmäßig ist das Gastkonto das einzige Mitglied. Die Gruppe „Gäste“ ermöglicht es gelegentlichen oder einmaligen Benutzer*innen, sich mit eingeschränkten Berechtigungen für das integrierte Gastkonto bei einem Computer anzumelden.
S-1-5-32-547 Hauptbenutzer Eine integrierte Gruppe. Standardmäßig enthält die Gruppe keine Mitglieder. Hauptbenutzer können lokale Benutzer*innen und Gruppen erstellen, die erstellten Konten ändern und löschen und Benutzer*innen aus den Gruppen „Hauptbenutzer“, „Benutzer“ und „Gäste“ entfernen. Hauptbenutzer können auch Programme installieren, lokale Drucker erstellen, verwalten und löschen und Dateifreigaben erstellen und löschen.
S-1-5-32-548 Konten-Operatoren Eine integrierte Gruppe, die nur auf Domänencontrollern vorhanden ist. Standardmäßig enthält die Gruppe keine Mitglieder. Konto-Operatoren verfügen standardmäßig über die Berechtigung zum Erstellen, Ändern und Löschen von Konten für Benutzer*innen, Gruppen und Computer in allen Containern und Organisationseinheiten von Active Directory mit Ausnahme des integrierten Containers und der Domänencontroller-Organisationseinheit. Mitglieder dieser Gruppe besitzen keine Berechtigung zum Ändern der Gruppen „Administratoren“ oder „Domänenadministratoren“ und auch nicht zum Ändern der Konten für Mitglieder dieser Gruppen.
S-1-5-32-549 Server-Operatoren Beschreibung: eine integrierte Gruppe, die nur auf Domänencontrollern vorhanden ist. Standardmäßig enthält die Gruppe keine Mitglieder. Server-Operatoren können sich interaktiv bei einem Server anmelden, Netzwerkfreigaben erstellen und löschen, Dienste starten und beenden, Dateien sichern und wiederherstellen, die Festplatte des Computers formatieren und den Computer herunterfahren.
S-1-5-32-550 Druckoperatoren Eine integrierte Gruppe, die nur auf Domänencontrollern vorhanden ist. Standardmäßig ist das einzige Mitglied die Gruppe „Domänenbenutzer“. Druck-Operatoren können Drucker und Dokumentwarteschlangen verwalten.
S-1-5-32-551 Sicherungsoperatoren Eine integrierte Gruppe. Standardmäßig enthält die Gruppe keine Mitglieder. Sicherungs-Operatoren können alle Dateien auf einem Computer sichern und wiederherstellen, unabhängig von den Berechtigungen, die diese Dateien schützen. Sicherungs-Operatoren können sich auch beim Computer anmelden und ihn herunterfahren.
S-1-5-32-552 Replikatoren Eine integrierte Gruppe, die vom Dateireplikationsdienst auf Domänencontrollern verwendet wird. Standardmäßig enthält die Gruppe keine Mitglieder. Fügen Sie dieser Gruppe keine Benutzer hinzu.
S-1-5-Domäne-553 RAS- und IAS-Server Eine lokale Domänengruppe. Standardmäßig enthält diese Gruppe keine Mitglieder. Computer, auf denen der Routing- und RAS-Dienst ausgeführt wird, werden der Gruppe automatisch hinzugefügt.
Mitglieder dieser Gruppe haben Zugriff auf bestimmte Eigenschaften von Benutzerobjekten, z. B. „Kontoeinschränkungen lesen“, „Anmeldeinformationen lesen“ und „Remotezugriffsinformationen lesen“.
S-1-5-32-554 Builtin\Prä-Windows 2000-kompatibler Zugriff Ein von Windows 2000 hinzugefügter Alias. Eine Gruppe für Abwärtskompatibilität, die Lesezugriff auf alle Benutzer*innen und Gruppen in der Domäne ermöglicht.
S-1-5-32-555 Builtin\Remotedesktopbenutzer Ein Alias. Mitgliedern dieser Gruppe wird das Recht gewährt, sich remote anzumelden.
S-1-5-32-556 Builtin\Netzwerkkonfigurations-Operatoren Ein Alias. Mitglieder dieser Gruppe können über einige Administratorrechte zum Verwalten der Konfiguration von Netzwerkfeatures verfügen.
S-1-5-32-557 Builtin\Eingehende Gesamtstruktur-Vertrauensstellung Ein Alias. Mitglieder dieser Gruppe können eingehende, unidirektionale Vertrauensstellungen für diese Gesamtstruktur erstellen.
S-1-5-32-558 Builtin\Leistungsmonitorbenutzer Ein Alias. Mitglieder dieser Gruppe haben Remotezugriff zum Überwachen dieses Computers.
S-1-5-32-559 Builtin\Leistungsprotokollbenutzer Ein Alias. Mitglieder dieser Gruppe haben Remotezugriff zum Planen der Protokollierung für Leistungsindikatoren auf diesem Computer.
S-1-5-32-560 Builtin\Windows-Autorisierungszugriffsgruppe Ein Alias. Mitglieder dieser Gruppe haben Zugriff auf das berechnete tokenGroupsGlobalAndUniversal-Attribut für Benutzerobjekte.
S-1-5-32-561 Builtin\Terminalserver-Lizenzserver Ein Alias. Eine Gruppe für Terminalserver-Lizenzserver. Beim Installieren von Windows Server 2003 Service Pack 1 wird eine neue lokale Gruppe erstellt.
S-1-5-32-562 Builtin\Distributed COM-Benutzer Ein Alias. Eine Gruppe für COM zur Bereitstellung computerweiter Zugriffssteuerungen, die den Zugriff auf alle Aufruf-, Aktivierungs- oder Startanforderungen auf dem Computer steuern.
S-1-5-32-568 Builtin\IIS_IUSRS Ein Alias. Ein integriertes Gruppenkonto für IIS-Benutzer*innen.
S-1-5-32-569 Builtin\Kryptografie-Operatoren Eine integrierte lokale Gruppe. Mitglieder sind autorisiert, kryptografische Vorgänge auszuführen.
S-1-5-Domäne-571 Zulässige RODC-Kennwortreplikationsgruppe Mitglieder dieser Gruppe können ihre Kennwörter auf alle schreibgeschützten Domänencontroller in der Domäne replizieren lassen.
S-1-5-Domäne-572 Abgelehnte RODC-Kennwortreplikationsgruppe Mitglieder dieser Gruppe können ihre Kennwörter nicht auf allen schreibgeschützten Domänencontrollern in der Domäne replizieren lassen.
S-1-5-32-573 Builtin\Ereignisprotokollleser Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe können Ereignisprotokolle von einem lokalen Computer lesen.
S-1-5-32-574 Builtin\Zertifikatdienst-DCOM-Zugriff Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe können eine Verbindung mit Zertifizierungsstellen im Unternehmen herstellen.
S-1-5-32-575 Builtin\RDS-Remotezugriffsserver Eine integrierte lokale Gruppe. Server in dieser Gruppe ermöglichen Benutzer*innen von RemoteApp-Programmen und persönlichen virtuellen Desktops Zugriff auf diese Ressourcen. Bei Bereitstellungen mit Internetzugriff werden diese Server in der Regel in einem Edgenetzwerk bereitgestellt. Diese Gruppe muss auf Servern, auf denen RD-Verbindungsbroker ausgeführt wird, Mitglieder enthalten. In der Bereitstellung verwendete RD-Gatewayserver und RD-Webzugriffsserver müssen sich in dieser Gruppe befinden.
S-1-5-32-576 Builtin\RDS-Endpunktserver Eine integrierte lokale Gruppe. Server in dieser Gruppe führen virtuelle Computer und Hostsitzungen aus, auf denen RemoteApp-Programme und persönliche virtuelle Desktops von Benutzer*innen ausgeführt werden. Diese Gruppe muss auf Servern, auf denen RD-Verbindungsbroker ausgeführt wird, Mitglieder enthalten. In der Bereitstellung verwendete RD-Sitzungshostserver und RD-Virtualisierungshostserver müssen sich in dieser Gruppe befinden.
S-1-5-32-577 Builtin\RDS-Verwaltungsserver Eine integrierte lokale Gruppe. Server in dieser Gruppe können routinemäßige Verwaltungsaktionen auf Servern ausführen, auf denen Remotedesktopdienste ausgeführt wird. Diese Gruppe muss auf allen Servern in einer Remotedesktopdienste-Bereitstellung Mitglieder enthalten. Die Server, auf denen der RDS Central Management-Dienst ausgeführt wird, müssen in dieser Gruppe enthalten sein.
S-1-5-32-578 Builtin\Hyper-V-Administratoren Eine integrierte lokale Gruppe. Mitglieder der Gruppe „Hyper-V-Administratoren“ haben vollständigen und uneingeschränkten Zugriff auf alle Features von Hyper-V.
S-1-5-32-579 Builtin\Zugriffssteuerungs-Unterstützungsoperatoren Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe können Autorisierungsattribute und Berechtigungen für Ressourcen auf diesem Computer remote abfragen.
S-1-5-32-580 Builtin\Remoteverwaltungsbenutzer Eine integrierte lokale Gruppe. Mitglieder dieser können über Verwaltungsprotokolle auf Ressourcen der Windows-Verwaltungsinstrumentation (WMI) zugreifen (z. B. WS-Management über den Windows-Remoteverwaltungsdienst). Dies betriff nur WMI-Namespaces, die Benutzer*innen Zugriff gewähren.
S-1-5-64-10 NTLM-Authentifizierung Eine SID zum Authentifizieren des Clients durch das NTLM-Authentifizierungspaket.
S-1-5-64-14 Schannel-Authentifizierung Eine SID zum Authentifizieren des Clients durch das Schannel-Authentifizierungspaket.
S-1-5-64-21 Digestauthentifizierung Eine SID zum Authentifizieren des Clients durch das Digestauthentifizierungspaket.
S-1-5-80 NT-Dienst Eine SID, die als Präfix für ein NT-Dienstkonto verwendet wird.
S-1-5-80-0 Alle Dienste Eine Gruppe, die alle im System konfigurierten Dienstprozesse enthält. Die Mitgliedschaft wird vom Betriebssystem gesteuert. SID S-1-5-80-0 entspricht NT SERVICES\ALL SERVICES. Diese SID wurde in Windows Server 2008 R2 eingeführt.
S-1-5-83-0 NT VIRTUELLER COMPUTER\Virtuelle Computer Eine integrierte Gruppe. Die Gruppe wird beim Installieren der Hyper-V-Rolle erstellt. Die Mitgliedschaft in der Gruppe wird vom Hyper-V-Verwaltungsdienst (VMMS) verwaltet. Diese Gruppe erfordert die Rechte Symbolische Links erstellen (SeCreateSymbolicLinkPrivilege) und Anmelden als Dienst (SeServiceLogonRight).

Die folgenden RIDs sind relativ zu jeder Domäne:

RID Dezimalzahl Identifiziert
DOMAIN_USER_RID_ADMIN 500 Das Administratorbenutzerkonto in einer Domäne.
DOMAIN_USER_RID_GUEST 501 Das Gastbenutzerkonto in einer Domäne. Benutzer*innen, die kein Konto besitzen, können sich automatisch bei diesem Konto anmelden.
DOMAIN_GROUP_RID_USERS 513 Eine Gruppe, die alle Benutzerkonten in einer Domäne enthält. Alle Benutzer*innen werden dieser Gruppe automatisch hinzugefügt.
DOMAIN_GROUP_RID_GUESTS 514 Das Gruppengastkonto in einer Domäne.
DOMAIN_GROUP_RID_COMPUTERS 515 Die Domänencomputergruppe. Alle Computer in der Domäne sind Mitglieder dieser Gruppe.
DOMAIN_GROUP_RID_CONTROLLERS 516 Die Domänencontrollergruppe. Alle Domänencontroller in der Domäne sind Mitglieder dieser Gruppe.
DOMAIN_GROUP_RID_CERT_ADMINS 517 Die Gruppe der Zertifikatverleger*innen. Computer, auf denen Active Directory-Zertifikatdienste ausgeführt wird, sind Mitglieder dieser Gruppe.
DOMAIN_GROUP_RID_SCHEMA_ADMINS 518 Die Gruppe der Schemaadministrator*innen. Mitglieder dieser Gruppe können das Active Directory-Schema ändern.
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS 519 Die Gruppe der Unternehmensadministrator*innen. Mitglieder dieser Gruppe haben Vollzugriff auf alle Domänen in der Active Directory-Gesamtstruktur. Unternehmensadministrator*innen sind für Vorgänge auf Gesamtstrukturebene verantwortlich, z. B. das Hinzufügen oder Entfernen neuer Domänen.
DOMAIN_GROUP_RID_POLICY_ADMINS 520 Die Gruppe der Richtlinienadministrator*innen.

Beispiele für domänenrelative RIDs zum Bilden bekannter SIDs für lokale Gruppen sind in der folgenden Tabelle aufgeführt:

RID Dezimalzahl Identifiziert
DOMAIN_ALIAS_RID_ADMINS 544 Administrator*innen der Domäne.
DOMAIN_ALIAS_RID_USERS 545 Alle Benutzer*innen in der Domäne.
DOMAIN_ALIAS_RID_GUESTS 546 Gäste der Domäne.
DOMAIN_ALIAS_RID_POWER_USERS 547 Ein*e Benutzer*in oder eine Gruppe von Benutzer*innen, die ein System als persönlicher Computer behandeln und nicht als Arbeitsstation für mehrere Benutzer*innen.
DOMAIN_ALIAS_RID_BACKUP_OPS 551 Eine lokale Gruppe zum Steuern der Zuweisung von Benutzerrechten zum Sichern und Wiederherstellen von Dateien.
DOMAIN_ALIAS_RID_REPLICATOR 552 Eine lokale Gruppe zum Kopieren von Sicherheitsdatenbanken vom primären Domänencontroller auf die Sicherungsdomänencontroller. Diese Konten werden nur vom System verwendet.
DOMAIN_ALIAS_RID_RAS_SERVERS 553 Eine lokale Gruppe für Remotezugriff und Server, auf denen der Internetauthentifizierungsdienst (Internet Authentication Service, IAS) ausgeführt wird. Diese Gruppe ermöglicht den Zugriff auf verschiedene Attribute von Benutzerobjekten.

Änderungen an der Sicherheitsbezeichnerfunktionalität

Änderungen an der SID-Implementierung in den Windows-Betriebssystemen werden in der folgenden Tabelle beschrieben:

Change Betriebssystemversion Beschreibung und Ressourcen
Die meisten Betriebssystemdateien sind im Besitz des Sicherheitsbezeichners (SID) TrustedInstaller. Windows Server 2008, Windows Vista Der Zweck dieser Änderung besteht darin, zu verhindern, dass ein als Administrator*in oder unter dem LocalSystem-Konto ausgeführter Prozess automatisch die Betriebssystemdateien ersetzt.
Es sind Überprüfungen durch einschränkende SIDs implementiert. Windows Server 2008, Windows Vista Wenn einschränkende SIDs vorhanden sind, führt Windows zwei Zugriffsprüfungen durch. Die erste ist die normale Zugriffsüberprüfung, und die zweite ist die gleiche Zugriffsüberprüfung für die einschränkenden SIDs im Token. Beide Zugriffsprüfungen müssen bestanden werden, damit der Prozess auf das Objekt zugreifen kann.

Funktions-SIDs

Funktionssicherheitsbezeichner werden verwendet, um eindeutig und unveränderlich Funktionen zu identifizieren, die ein unfälschbares Autoritätstoken darstellen. Dieses gewährt universellen Windows-Anwendungen Zugriff auf Ressourcen (z. B. Dokumente, Kamera und Standort). Einer App, die über eine Funktion verfügt, wird der Zugriff auf die Ressource gewährt, der die Funktion zugeordnet ist, und einer App, die nicht über eine Funktion verfügt, wird der Zugriff auf die Ressource verweigert.

Alle dem Betriebssystem bekannten Funktions-SIDs werden in der Windows-Registrierung im Pfad „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities“ gespeichert. Von Erst- oder Drittanbieteranwendungen hinzugefügte Funktions-SIDs werden diesem Windows-Speicherort hinzugefügt.

Beispiele für Registrierungsschlüssel von Windows 10, Version 1909, 64-Bit Enterprise Edition

Unter AllCachedCapabilities können die folgenden Registrierungsschlüssel aufgeführt werden:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

Allen Funktions-SIDs ist S-1-15-3 vorangestellt.

Beispiele für Registrierungsschlüssel von Windows 11, Version 21H2, 64-Bit Enterprise Edition

Unter AllCachedCapabilities können die folgenden Registrierungsschlüssel aufgeführt werden:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

Allen Funktions-SIDs ist S-1-15-3 vorangestellt.

Siehe auch