Bekannte SIDs

Bekannte Sicherheits-IDs (SIDs) identifizieren generische Gruppen und generische Benutzer. Beispielsweise gibt es bekannte SIDs, um die folgenden Gruppen und Benutzer zu identifizieren:

  • "Jeder" oder "Welt", eine Gruppe, die alle Benutzer umfasst.
  • CREATOR _ OWNER, der als Platzhalter in einem vererbbaren ACE verwendet wird. Wenn der ACE geerbt wird, ersetzt das System die CREATOR _ OWNER SID durch die SID des Erstellers des Objekts.
  • Die Gruppe Administratoren für die integrierte Domäne auf dem lokalen Computer.

Es gibt universelle bekannte SIDs,die für alle sicheren Systeme, die dieses Sicherheitsmodell verwenden, sinnvoll sind, einschließlich anderer Betriebssysteme als Windows. Darüber hinaus gibt es bekannte SIDs, die nur auf Windows Systemen sinnvoll sind.

Die Windows-API definiert einen Satz von Konstanten für bekannte RID-Werte (Identifier Authority, bekannte Bezeichnerautorität). Sie können diese Konstanten verwenden, um bekannte SIDs zu erstellen. Im folgenden Beispiel werden die _ SECURITY WORLD _ SID _ AUTHORITY- und SECURITY WORLD _ _ RID-Konstanten kombiniert, um die universelle bekannte SID für die spezielle Gruppe anzuzeigen, die alle Benutzer (Jeder oder Welt) darstellt:

S-1-1-0

In diesem Beispiel wird die Zeichenfolgen notation für SIDs verwendet, bei der S die Zeichenfolge als SID identifiziert, die erste 1 die Revisionsebene der SID und die verbleibenden beiden Ziffern die _ SECURITY WORLD _ SID _ AUTHORITY- und SECURITY WORLD _ _ RID-Konstanten sind.

Sie können die AllocateAndInitializeSid-Funktion verwenden, um eine SID zu erstellen, indem Sie einen Bezeichnerautoritätswert mit bis zu acht Unterautoritätswerten kombinieren. Um beispielsweise zu bestimmen, ob der angemeldete Benutzer Mitglied einer bestimmten bekannten Gruppe ist, rufen Sie AllocateAndInitializeSid auf, um eine SID für die bekannte Gruppe zu erstellen, und verwenden Sie die EqualSid-Funktion, um diese SID mit den Gruppen-SIDs im Zugriffstokendes Benutzers zu vergleichen. Ein Beispiel finden Sie unter Suchen nach einer SID in einem Zugriffstoken in C++. Sie müssen die FreeSid-Funktion aufrufen, um eine VON AllocateAndInitializeSid zugeordnete SID frei zu machen.

Der Rest dieses Abschnitts enthält Tabellen mit bekannten SIDs und Tabellen mit Bezeichnerautoritäts- und Unterautoritätskonstanten, die Sie zum Erstellen bekannter SIDs verwenden können.

Im Folgenden sind einige universelle bekannte SIDs zu genannt.

Universelle bekannte SID Zeichenfolgenwert Identifiziert
NULL-SID
S-1-0-0
Eine Gruppe ohne Mitglieder. Dies wird häufig verwendet, wenn ein SID-Wert nicht bekannt ist.
World
S-1-1-0
Eine Gruppe, die alle Benutzer enthält.
Lokales Gerät
S-1-2-0
Benutzer, die sich bei Terminals anmelden, die lokal (physisch) mit dem System verbunden sind.
Creator Owner ID
S-1-3-0
Eine Sicherheits-ID, die durch die Sicherheits-ID des Benutzers ersetzt werden soll, der ein neues -Objekt erstellt hat. Diese SID wird in vererbbaren ACEs verwendet.
Creator Group ID
S-1-3-1
Eine Sicherheits-ID, die durch die primäre Gruppen-SID des Benutzers ersetzt werden soll, der ein neues -Objekt erstellt hat. Verwenden Sie diese SID in vererbbaren ACEs.

In der folgenden Tabelle sind die vordefinierten Bezeichnerautoritätskonstanten aufgeführt. Die ersten vier Werte werden mit universellen bekannten SIDs verwendet. der letzte Wert wird mit Windows bekannten SIDs verwendet.

Bezeichnerautorität Wert Zeichenfolgenwert
_ _ SICHERHEITS-NULL-SID-AUTORITÄT _
0
S-1-0
SECURITY _ WORLD _ SID _ AUTHORITY
1
S-1-1
_LOKALE _ SICHERHEITS-SID-AUTORITÄT _
2
S-1-2
_ _ SICHERHEITSERSTELLER-SID-AUTORITÄT _
3
S-1-3
_ _ SICHERHEITS-NT-AUTORITÄT
5
S-1-5

Die folgenden RID-Werte werden mit universellen bekannten SIDsverwendet. In der Spalte Bezeichnerautorität wird das Präfix der Bezeichnerautorität angezeigt, mit dem Sie die RID kombinieren können, um eine universelle bekannte SID zu erstellen.

Relative Bezeichnerautorität Wert Zeichenfolgenwert
SECURITY _ NULL _ RID
0
S-1-0
SECURITY _ WORLD _ RID
0
S-1-1
_LOKALE _ SICHERHEITS-RID
0
S-1-2
_LOKALE _ _ SICHERHEITSANMELDUNGS-RID
1
S-1-2
SECURITY _ CREATOR _ OWNER _ RID
0
S-1-3
_ _ _ SICHERHEITSERSTELLERGRUPPEN-RID
1
S-1-3

Die _ _ vordefinierte Bezeichnerautorität SECURITY NT AUTHORITY (S-1-5) erzeugt SIDs, die nicht universell sind, aber nur für Windows Installationen sinnvoll sind. Sie können die folgenden RID-Werte mit SECURITY _ NT _ AUTHORITY verwenden, um bekannte SIDs zu erstellen.

Konstante Zeichenfolgenwert Identifiziert
_SICHERHEITS-DIALUP _ RID
S-1-5-1
Benutzer, die sich mithilfe eines DFÜ-Modems bei Terminals anmelden. Dies ist ein Gruppenbezeichner.
_ _ SICHERHEITSNETZWERK-RID
S-1-5-2
Benutzer, die sich über ein Netzwerk anmelden. Dies ist ein Gruppenbezeichner, der dem Token eines Prozesses hinzugefügt wurde, als er über ein Netzwerk angemeldet wurde. Der entsprechende Anmeldetyp ist LOGON32 _ LOGON _ NETWORK.
_ _ SICHERHEITSBATCH-RID
S-1-5-3
Benutzer, die sich über eine Batchwarteschlangeneinrichtung anmelden. Dies ist ein Gruppenbezeichner, der dem Token eines Prozesses hinzugefügt wurde, als er als Batchauftrag protokolliert wurde. Der entsprechende Anmeldetyp ist LOGON32 _ LOGON _ BATCH.
SICHERHEIT _ INTERAKTIVE _ RID
S-1-5-4
Benutzer, die sich für den interaktiven Vorgang anmelden. Dies ist ein Gruppenbezeichner, der dem Token eines Prozesses hinzugefügt wurde, als er interaktiv angemeldet wurde. Der entsprechende Anmeldetyp ist LOGON32 _ LOGON _ INTERACTIVE.
_SICHERHEITS-ANMELDE-IDS _ _ RID
S-1-5-5-x - Y
Eine Anmeldesitzung. Dadurch wird sichergestellt, dass nur Prozesse in einer bestimmten Anmeldesitzung Zugriff auf die Window-Station-Objekte für diese Sitzung erhalten. Die X- und Y-Werte für diese SIDs unterscheiden sich für jede Anmeldesitzung. Der Wert SECURITY LOGON IDS RID COUNT ist die Anzahl der RIDs in diesem Bezeichner _ _ _ _ (5-X - Y).
_ _ SICHERHEITSDIENST-RID
S-1-5-6
Konten, die für die Anmeldung als Dienst autorisiert sind. Dies ist ein Gruppenbezeichner, der dem Token eines Prozesses hinzugefügt wurde, als er als Dienst protokolliert wurde. Der entsprechende Anmeldetyp ist LOGON32 _ LOGON _ SERVICE.
SICHERHEIT _ _ ANONYME _ ANMELDE-RID
S-1-5-7
Anonyme Anmeldung oder NULL-Sitzungsanmeldung.
_ _ SICHERHEITSPROXY-RID
S-1-5-8
Proxy.
SECURITY _ ENTERPRISE _ CONTROLLERS _ RID
S-1-5-9
Enterprise Controller.
_SELF-RID DES _ _ SICHERHEITSPRINZIPALS
S-1-5-10
Der PRINCIPAL _ SELF-Sicherheitsbezeichner kann in der ACL eines Benutzer- oder Gruppenobjekts verwendet werden. Während einer Zugriffsüberprüfung ersetzt das System die SID durch die SID des Objekts. Die PRINCIPAL SELF SID ist nützlich, um einen vererbbaren ACE anzugeben, der für das Benutzer- oder Gruppenobjekt gilt, _ das den ACE erbt. Dies ist die einzige Möglichkeit, die SID eines erstellten Objekts im Standardsicherheitsdeskriptor des Schemas zu darstellen.
_SICHERHEITSAUTHENTIFIZIERUNG DER _ _ BENUTZER-RID
S-1-5-11
Die authentifizierten Benutzer.
RID _ MIT _ EINGESCHRÄNKTEM _ SICHERHEITSCODE
S-1-5-12
Eingeschränkter Code.
SECURITY _ TERMINAL _ SERVER _ RID
S-1-5-13
Terminaldienste. Wird automatisch dem Sicherheitstoken eines Benutzers hinzugefügt, der sich bei einem Terminalserver anmeldet.
SECURITY _ LOCAL _ SYSTEM _ RID
S-1-5-18
Ein spezielles Konto, das vom Betriebssystem verwendet wird.
SICHERHEIT _ NT _ NICHT _ EINDEUTIG
S-1-5-21
SIDS sind nicht eindeutig.
SICHERHEIT _ INTEGRIERTE _ _ DOMÄNEN-RID
S-1-5-32
Die integrierte Systemdomäne.
_SICHERHEITS-RID _ MIT _ EINGESCHRÄNKTEM CODE FÜR _ SCHREIBZUGRIFF
S-1-5-33
Schreiben sie eingeschränkten Code.

Die folgenden RIDs sind relativ zu jeder Domäne.

RID Wert Identifiziert
DOMAIN _ ALIAS _ RID _ CERTSVC _ DCOM _ ACCESS _ GROUP
0x0000023E Die Gruppe von Benutzern, die mithilfe von Distributed Component Object Model (DCOM) eine Verbindung mit Zertifizierungsstellen herstellen können.
_ _ DOMÄNENBENUTZER-RID-ADMINISTRATOR _
0x000001F4 Das Administratorbenutzerkonto in einer Domäne.
_ _ DOMÄNENBENUTZER-RID-GAST _
0x000001F5 Das Gastbenutzerkonto in einer Domäne. Benutzer ohne Konto können sich automatisch bei diesem Konto anmelden.
_ _ _ DOMÄNENGRUPPEN-RID-ADMINISTRATOREN
0x00000200 Die Gruppe der Domänenadministratoren. Dieses Konto ist nur auf Systemen mit Serverbetriebssystemen vorhanden.
_ _ DOMÄNENGRUPPEN-RID-BENUTZER _
0x00000201 Eine Gruppe, die alle Benutzerkonten in einer Domäne enthält. Alle Benutzer werden dieser Gruppe automatisch hinzugefügt.
_ _ DOMÄNENGRUPPEN-RID-GÄSTE _
0x00000202 Das Gastgruppenkonto in einer Domäne.
_ _ _ DOMÄNENGRUPPEN-RID-COMPUTER
0x00000203 Die Gruppe der Domänencomputer. Alle Computer in der Domäne sind Mitglieder dieser Gruppe.
_ _ RID-CONTROLLER FÜR _ DOMÄNENGRUPPEN
0x00000204 Die Gruppe der Domänencontroller. Alle Domänencontroller in der Domäne sind Mitglieder dieser Gruppe.
_ _ _ _ DOMÄNENGRUPPEN-RID-ZERTIFIKATADMINISTRATOREN
0x00000205 Die Gruppe der Zertifikatherausgeber. Computer, auf denen Zertifikatdienste ausgeführt werden, sind Mitglieder dieser Gruppe.
_ _ DOMÄNENGRUPPEN-RID _ ENTERPRISE _ READONLY-DOMÄNENCONTROLLER _ _
0x000001F2 Die Gruppe der schreibgeschützten Domänencontroller des Unternehmens.
_ _ _ DOMÄNENGRUPPEN-RID-SCHEMAADMINISTRATOREN _
0x00000206 Die Gruppe der Schemaadministratoren. Mitglieder dieser Gruppe können das Active Directory-Schema ändern.
_ _ _ _ DOMÄNENGRUPPEN-RID-UNTERNEHMENSADMINISTRATOREN
0x00000207 Die Gruppe der Unternehmensadministratoren. Mitglieder dieser Gruppe haben Vollzugriff auf alle Domänen in der Active Directory-Gesamtstruktur. Enterprise Administratoren sind für Vorgänge auf Gesamtstrukturebene verantwortlich, z. B. das Hinzufügen oder Entfernen neuer Domänen.
_ _ _ _ DOMÄNENGRUPPEN-RID-RICHTLINIENADMINISTRATOREN
0x00000208 Die Gruppe der Richtlinienadministratoren.
_ _ SCHREIBGESCHÜTZTE _ DOMÄNENGRUPPEN-RID-CONTROLLER _
0x00000209 Die Gruppe der schreibgeschützten Domänencontroller.
_KLONBARE _ _ DOMÄNENGRUPPEN-RID-CONTROLLER _
0x0000020A Die Gruppe der klonbaren Domänencontroller.
DOMAIN _ GROUP _ RID _ CDC _ RESERVED
0x0000020C Die reservierte CDC-Gruppe.
DURCH _ DOMÄNENGRUPPEN _ GESCHÜTZTE _ _ BENUTZER
0x0000020D Die Gruppe der geschützten Benutzer.
_ _ _ _ DOMÄNENGRUPPEN-RID-SCHLÜSSELADMINISTRATOREN
0x0000020E Die Gruppe der Schlüsseladministratoren.
_ _ DOMÄNENGRUPPEN-RID _ ENTERPRISE _ _ KEY-ADMINISTRATOREN
0x0000020F Die Gruppe "Unternehmensschlüssel-Admins"

Die folgenden RIDs werden verwendet, um die obligatorische Integritätsebene anzugeben.

RID Wert Identifiziert
SICHERHEIT _ _ OBLIGATORISCH, NICHT VERTRAUENSWÜRDIGE _ RID
0x00000000
Vertrauenswürdigen.
SICHERHEIT _ _ ERFORDERLICH, NIEDRIGE _ RID
0x00001000
Niedrige Integrität.
SICHERHEIT _ OBLIGATORISCH _ MITTLERE _ RID
0x00002000
Mittlere Integrität.
SICHERHEIT _ ERFORDERLICH MITTEL PLUS _ _ _ RID
SICHERHEIT _ OBLIGATORISCH MITTLERE RID + _ _ 0X100
Mittlere hohe Integrität.
SICHERHEIT _ ERFORDERLICH, _ HOHE _ RID
0X00003000
Hohe Integrität.
OBLIGATORISCHE _ SICHERHEIT _ DER _ SYSTEM-RID
0x00004000
Systemintegrität.
SICHERHEIT _ _ OBLIGATORISCHER _ GESCHÜTZTER _ PROZESS RID
0x00005000
Geschützter Prozess.

Die folgende Tabelle enthält Beispiele für domänen relative RIDs, die Sie verwenden können, um bekannte SIDs für lokale Gruppen (Aliase) zu bilden. Weitere Informationen zu lokalen und globalen Gruppen finden Sie unter Lokale Gruppenfunktionen und Gruppenfunktionen.

RID Wert Zeichenfolgenwert Identifiziert
_ _ DOMÄNENALIAS-RID-ADMINISTRATOREN _
0x00000220
S-1-5-32-544
Eine lokale Gruppe, die für die Verwaltung der Domäne verwendet wird.
_ _ DOMÄNENALIAS-RID-BENUTZER _
0x00000221
S-1-5-32-545
Eine lokale Gruppe, die alle Benutzer in der Domäne darstellt.
_ _ DOMÄNENALIAS-RID-GÄSTE _
0x00000222
S-1-5-32-546
Eine lokale Gruppe, die Gäste der Domäne darstellt.
_ _ DOMÄNENALIAS-RID– _ POWER _ USERS
0x00000223
S-1-5-32-547
Eine lokale Gruppe, die verwendet wird, um einen Benutzer oder eine Gruppe von Benutzern zu repräsentieren, die erwarten, ein System so zu behandeln, als wäre es sein persönlicher Computer und nicht als Arbeitsstation für mehrere Benutzer.
_ _ DOMÄNENALIAS-RID-KONTO _ _ OPS
0x00000224
S-1-5-32-548
Eine lokale Gruppe, die nur auf Systemen mit Serverbetriebssystemen vorhanden ist. Diese lokale Gruppe ermöglicht die Kontrolle über Konten, die keine Administratoren sind.
_ _ _ DOMÄNENALIAS-RID-SYSTEMOPS _
0x00000225
S-1-5-32-549
Eine lokale Gruppe, die nur auf Systemen mit Serverbetriebssystemen vorhanden ist. Diese lokale Gruppe führt Systemverwaltungsfunktionen ohne Sicherheitsfunktionen aus. Es richtet Netzwerkfreigaben ein, steuert Drucker, entsperrt Arbeitsstationen und führt andere Vorgänge aus.
DOMAIN _ ALIAS _ RID _ PRINT _ OPS
0x00000226
S-1-5-32-550
Eine lokale Gruppe, die nur auf Systemen mit Serverbetriebssystemen vorhanden ist. Diese lokale Gruppe steuert Drucker und Druckwarteschlangen.
_ _ _ _ DOMÄNENALIAS-RID-SICHERUNGS-OPS
0x00000227
S-1-5-32-551
Eine lokale Gruppe, die zum Steuern der Zuweisung von Berechtigungen zum Sichern und Wiederherstellen von Dateien verwendet wird.
DOMAIN _ ALIAS _ RID _ REPLICATOR
0x00000228
S-1-5-32-552
Eine lokale Gruppe, die für das Kopieren von Sicherheitsdatenbanken vom primären Domänencontroller auf die Sicherungsdomänencontroller zuständig ist. Diese Konten werden nur vom System verwendet.
_ _ _ DOMÄNENALIAS-RID-RAS-SERVER _
0x00000229
S-1-5-32-553
Eine lokale Gruppe, die RAS- und IAS-Server darstellt. Diese Gruppe ermöglicht den Zugriff auf verschiedene Attribute von Benutzerobjekten.
_ _ DOMÄNENALIAS-RID _ PREW2KCOMPACCESS
0x0000022A
S-1-5-32-554
Eine lokale Gruppe, die nur auf Systemen mit Windows Server 2000 vorhanden ist. Weitere Informationen finden Sie unter Zulassen des anonymen Zugriffs.
_ _ REMOTEDESKTOPBENUTZER MIT _ DOMÄNENALIAS-RID _ _
0x0000022B
S-1-5-32-555
Eine lokale Gruppe, die alle Remotedesktopbenutzer darstellt.
_ _ _ _ DOMÄNENALIAS-RID-NETZWERKKONFIGURATIONSOPTIONEN _
0x0000022C
S-1-5-32-556
Eine lokale Gruppe, die die Netzwerkkonfiguration darstellt.
_ _ DOMÄNENALIAS-RID _ EINGEHENDE _ _ GESAMTSTRUKTUR-VERTRAUENSSTELLUNGS-GENERATOREN _
0x0000022D
S-1-5-32-557
Eine lokale Gruppe, die alle Gesamtstruktur-Vertrauensstellungsbenutzer darstellt.
_ _ _ DOMÄNENALIAS-RID-ÜBERWACHUNGSBENUTZER _
0x0000022E
S-1-5-32-558
Eine lokale Gruppe, die alle überwachten Benutzer darstellt.
_ _ _ DOMÄNENALIAS-RID-PROTOKOLLIERUNGSBENUTZER _
0x0000022F
S-1-5-32-559
Eine lokale Gruppe, die für die Protokollierung von Benutzern zuständig ist.
DOMAIN _ ALIAS _ RID _ AUTHORIZATIONACCESS
0x00000230
S-1-5-32-560
Eine lokale Gruppe, die alle autorisierten Zugriffe darstellt.
_ _ DOMÄNENALIAS-RID _ _ TS-LIZENZSERVER _
0x00000231
S-1-5-32-561
Eine lokale Gruppe, die nur auf Systemen mit Serverbetriebssystemen vorhanden ist, die Terminaldienste und Remotezugriff zulassen.
_ _ _ DOMÄNENALIAS-RID-DCOM-BENUTZER _
0x00000232
S-1-5-32-562
Eine lokale Gruppe, die Benutzer darstellt, die Distributed Component Object Model (DCOM) verwenden können.
_ _ _ DOMÄNENALIAS-RID-IUSER
0X00000238
S-1-5-32-568
Eine lokale Gruppe, die Internetbenutzer darstellt.
_ _ DOMÄNENALIAS-RID _ _ CRYPTO-OPERATOREN
0x00000239
S-1-5-32-569
Eine lokale Gruppe, die den Zugriff auf Kryptografieoperatoren darstellt.
_DOMÄNENALIAS _ RID _ CACHEABLE _ PRINCIPALS _ GROUP
0x0000023B
S-1-5-32-571
Eine lokale Gruppe, die Prinzipale darstellt, die zwischengespeichert werden können.
_ _ DOMÄNENALIAS-RID: _ GRUPPE NICHT _ _ ZWISCHENSPEICHERBARER _ PRINZIPALE
0x0000023C
S-1-5-32-572
Eine lokale Gruppe, die Prinzipale darstellt, die nicht zwischengespeichert werden können.
GRUPPE "LESER _ DES _ DOMÄNENALIAS-RID-EREIGNISPROTOKOLLS" _ _ _ _
0x0000023D
S-1-5-32-573
Eine lokale Gruppe, die Ereignisprotokollleser darstellt.
DOMAIN _ ALIAS _ RID _ CERTSVC _ DCOM _ ACCESS _ GROUP
0x0000023E
S-1-5-32-574
Die lokale Gruppe von Benutzern, die mithilfe von Distributed Component Object Model (DCOM) eine Verbindung mit Zertifizierungsstellen herstellen können.
_ _ REMOTEZUGRIFFSSERVER FÜR _ REMOTEZUGRIFF MIT _ DOMÄNENALIAS-RID _ _
0x0000023F
S-1-5-32-575
Eine lokale Gruppe, die RDS-Remotezugriffsserver darstellt.
_ _ DOMÄNENALIAS-RID _ _ RDS-ENDPUNKTSERVER _ 0x00000240
S-1-5-32-576
Eine lokale Gruppe, die Endpunktserver darstellt.
_ _ _ RDS-VERWALTUNGSSERVER MIT _ DOMÄNENALIAS-RID _ 0x00000241
S-1-5-32-577
Eine lokale Gruppe, die Verwaltungsserver darstellt.
_ _ DOMÄNENALIAS-RID _ HYPER _ _ V-ADMINISTRATOREN 0x00000242
S-1-5-32-578
Eine lokale Gruppe, die Hyper-V-Administratoren darstellt.
_ _ DOMÄNENALIAS-RID- _ _ _ ZUGRIFFSSTEUERUNGSUNTERSTÜTZUNGS-OPS _ 0x00000243
S-1-5-32-579
Eine lokale Gruppe, die die Zugriffssteuerungsunterstützung OPS darstellt.
_REMOTEVERWALTUNGSBENUTZER _ DER _ _ DOMÄNENALIAS-RID _ 0x00000244
S-1-5-32-580
Eine lokale Gruppe, die Remoteverwaltungsbenutzer darstellt.
_ _ _ DOMÄNENALIAS-RID-STANDARDKONTO _ 0x00000245
S-1-5-32-581
Eine lokale Gruppe, die das Standardkonto darstellt.
_ _ _ _ DOMÄNENALIAS-RID-SPEICHERREPLIKATADMINISTRATOREN _ 0x00000246
S-1-5-32-582
Eine lokale Gruppe, die Speicherreplikatadministratoren darstellt.
_ _ _ DOMÄNENALIAS-RID-GERÄTEBESITZER _ 0x00000247
S-1-5-32-583
Eine lokale Gruppe, die darstellt, kann Einstellungen für Gerätebesitzer erwarten.

Die WELL KNOWN SID _ _ _ TYPE-Enumeration definiert die Liste der häufig verwendeten SIDs. Darüber hinaus verwendet die Security Descriptor Definition Language (SDDL) SID-Zeichenfolgen, um auf bekannte SIDs in einem Zeichenfolgenformat zu verweisen.