Identificadores de seguridad

Se aplica a

  • Windows10
  • Windows11
  • Windows Server 2016
  • Windows Server 2019

En este tema para el profesional de TI se describen los identificadores de seguridad y cómo funcionan con respecto a las cuentas y grupos del sistema operativo Windows.

¿Qué son los identificadores de seguridad?

Se usa un identificador de seguridad (SID) para identificar de forma única una entidad de seguridad o un grupo de seguridad. Las entidades de seguridad pueden representar cualquier entidad que el sistema operativo pueda autenticar, como una cuenta de usuario, una cuenta de equipo o un subproceso o proceso que se ejecute en el contexto de seguridad de una cuenta de usuario o equipo.

Cada cuenta, grupo o proceso que se ejecuta en el contexto de seguridad de la cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Windows. Se almacena en una base de datos de seguridad. El sistema genera el SID que identifica una cuenta o un grupo determinados en el momento en que se crea la cuenta o el grupo. Cuando se ha usado un SID como identificador único para un usuario o grupo, nunca se puede volver a usar para identificar a otro usuario o grupo.

Cada vez que un usuario inicia sesión, el sistema crea un token de acceso para ese usuario. El token de acceso contiene el SID del usuario, los derechos de usuario y los SID de los grupos a los que pertenece el usuario. Este token proporciona el contexto de seguridad para las acciones que el usuario realiza en ese equipo.

Además de los SID específicos del dominio creados de forma única que se asignan a usuarios y grupos específicos, hay SID conocidos que identifican grupos genéricos y usuarios genéricos. Por ejemplo, los SID Todos y Mundo identifican un grupo que incluye a todos los usuarios. Los SID conocidos tienen valores que permanecen constantes en todos los sistemas operativos.

Los SID son un bloque de creación fundamental del modelo de seguridad de Windows. Funcionan con componentes específicos de las tecnologías de autorización y control de acceso en la infraestructura de seguridad de los sistemas operativos Windows Server. Esto ayuda a proteger el acceso a los recursos de red y proporciona un entorno informático más seguro.

El contenido de este tema se aplica a los equipos que ejecutan las versiones compatibles del sistema operativo Windows, como se indica en la lista Se aplica a al principio de este tema.

Funcionamiento de los identificadores de seguridad

Los usuarios hacen referencia a las cuentas mediante el nombre de cuenta, pero el sistema operativo hace referencia internamente a las cuentas y procesos que se ejecutan en el contexto de seguridad de la cuenta mediante sus identificadores de seguridad (SID). Para las cuentas de dominio, el SID de una entidad de seguridad se crea concatenando el SID del dominio con un identificador relativo (RID) para la cuenta. Los SID son únicos dentro de su ámbito (dominio o local) y nunca se reutilizan.

El sistema operativo genera un SID que identifica una cuenta o grupo determinados en el momento en que se crea la cuenta o el grupo. El SID de una cuenta o grupo local lo genera la autoridad de seguridad local (LSA) en el equipo y se almacena con otra información de cuenta en un área segura del registro. La entidad de seguridad de dominio genera el SID de una cuenta de dominio o grupo y se almacena como atributo del objeto User o Group en Servicios de dominio de Active Directory.

Para cada cuenta y grupo local, el SID es único para el equipo donde se creó. No hay dos cuentas o grupos en el equipo que nunca compartan el mismo SID. Del mismo modo, para cada cuenta de dominio y grupo, el SID es único dentro de una empresa. Esto significa que el SID de una cuenta o grupo que se crea en un dominio nunca coincidirá con el SID de una cuenta o grupo creado en cualquier otro dominio de la empresa.

Los SID siempre permanecen únicos. Las autoridades de seguridad nunca emiten el mismo SID dos veces y nunca reutilizan los SID para las cuentas eliminadas. Por ejemplo, si un usuario con una cuenta de usuario en un dominio de Windows deja su trabajo, un administrador elimina su cuenta de Active Directory, incluido el SID que identifica la cuenta. Si más adelante vuelve a un trabajo diferente en la misma empresa, un administrador crea una nueva cuenta y el sistema operativo Windows Server genera un nuevo SID. El nuevo SID no coincide con el anterior; por lo que ninguno de los accesos del usuario desde su cuenta anterior se transfiere a la nueva cuenta. Sus dos cuentas representan dos entidades de seguridad completamente diferentes.

Arquitectura de identificador de seguridad

Un identificador de seguridad es una estructura de datos en formato binario que contiene un número variable de valores. Los primeros valores de la estructura contienen información sobre la estructura del SID. Los valores restantes se organizan en una jerarquía (similar a un número de teléfono) e identifican la entidad emisora del SID (por ejemplo, "Nt Authority"), el dominio emisor del SID y una entidad de seguridad o grupo determinados. En la imagen siguiente se muestra la estructura de un SID.

Arquitectura de identificador de seguridad.

Los valores individuales de un SID se describen en la tabla siguiente.

Comentario Descripción
Revisión Indica la versión de la estructura del SID que se usa en un SID determinado.
Entidad de identificador Identifica el nivel más alto de autoridad que puede emitir SID para un tipo determinado de entidad de seguridad. Por ejemplo, el valor de la entidad de identificación en el SID para el grupo Todos es 1 (Autoridad mundial). El valor de la entidad de identificación en el SID para una cuenta o grupo de Windows Server específico es 5 (entidad nt).
Subautorías >contiene la información más importante de un SID, que se encuentra en una serie de uno o varios valores de subautoría. Todos los valores hasta, pero sin incluir, el último valor de la serie identifican colectivamente un dominio en una empresa. Esta parte de la serie se denomina identificador de dominio. El último valor de la serie, que se denomina identificador relativo (RID), identifica una cuenta o un grupo determinados en relación con un dominio.

Los componentes de un SID son más fáciles de visualizar cuando los SID se convierten de un archivo binario a un formato de cadena mediante la notación estándar:

S-R-X-Y1-Y2-Yn-1-Yn

En esta notación, los componentes de un SID se representan como se muestra en la tabla siguiente.

Comentario Descripción
S Indica que la cadena es un SID.
R Indica el nivel de revisión
X Indica el valor de la entidad de identificador
Y Representa una serie de valores de subautoría, donde n es el número de valores.

La información más importante del SID se encuentra en la serie de valores de subautoría. La primera parte de la serie (-Y1-Y2-Yn-1) es el identificador de dominio. Este elemento del SID se convierte en significativo en una empresa con varios dominios, ya que el identificador de dominio diferencia los SID emitidos por un dominio de los SID emitidos por todos los demás dominios de la empresa. No hay dos dominios en una empresa que compartan el mismo identificador de dominio.

El último elemento de la serie de valores de subautoría (-Yn) es el identificador relativo. Distingue una cuenta o grupo de todas las demás cuentas y grupos del dominio. No hay dos cuentas o grupos en ningún dominio que compartan el mismo identificador relativo.

Por ejemplo, el SID para el grupo de administradores integrado se representa en notación SID estandarizada como la siguiente cadena:

S-1-5-32-544

Este SID tiene cuatro componentes:

  • Un nivel de revisión (1)

  • Valor de entidad de identificación (5, entidad de nt)

  • Un identificador de dominio (32, Builtin)

  • Un identificador relativo (544, Administradores)

Los SID para cuentas y grupos integrados siempre tienen el mismo valor de identificador de dominio: 32. Este valor identifica el dominio Builtin, que existe en todos los equipos que ejecutan una versión del sistema operativo Windows Server. Nunca es necesario distinguir las cuentas y grupos integrados de un equipo de las cuentas y grupos integrados de otro equipo porque son locales en el ámbito. Son locales para un único equipo o, en el caso de los controladores de dominio de un dominio de red, son locales para varios equipos que actúan como uno.

Las cuentas y grupos integrados deben distinguirse entre sí dentro del ámbito del dominio Builtin . Por lo tanto, el SID de cada cuenta y grupo tiene un identificador relativo único. Un valor de identificador relativo de 544 es único para el grupo de administradores integrado. Ninguna otra cuenta o grupo del dominio Builtin tiene un SID con un valor final de 544.

En otro ejemplo, considere el SID del grupo global, Administradores de dominio. Cada dominio de una empresa tiene un grupo de administradores de dominio y el SID para cada grupo es diferente. En el ejemplo siguiente se representa el SID del grupo Administradores de dominio en el dominio Contoso, Ltd. (Contoso\Domain Admins):

S-1-5-21-1004336348-1177238915-682003330-512

El SID para Contoso\Domain Admins tiene:

  • Un nivel de revisión (1)

  • Una entidad de identificador (5, nt authority)

  • Un identificador de dominio (21-1004336348-1177238915-682003330, Contoso)

  • Un identificador relativo (512, Administradores de dominio)

El SID para Contoso\Domain Admins se distingue de los SID de otros grupos de administradores de dominio de la misma empresa por su identificador de dominio: 21-1004336348-1177238915-682003330. Ningún otro dominio de la empresa usa este valor como identificador de dominio. El SID para Contoso\Domain Admins se distingue de los SID de otras cuentas y grupos creados en el dominio Contoso por su identificador relativo, 512. Ninguna otra cuenta o grupo del dominio tiene un SID con un valor final de 512.

Asignación de identificador relativa

Cuando las cuentas y grupos se almacenan en una base de datos de cuentas administrada por un Administrador de cuentas de seguridad (SAM) local, es bastante fácil para el sistema generar un identificador relativo único para cada cuenta y en un grupo que crea en un equipo independiente. El SAM de un equipo independiente puede realizar un seguimiento de los valores de identificador relativos que ha usado antes y asegurarse de que nunca los usa de nuevo.

Sin embargo, en un dominio de red, la generación de identificadores relativos únicos es un proceso más complejo. Los dominios de red de Windows Server pueden tener varios controladores de dominio. Cada controlador de dominio almacena la información de la cuenta de Active Directory. Esto significa que, en un dominio de red, hay tantas copias de la base de datos de cuenta como controladores de dominio. Además de esto, cada copia de la base de datos de cuenta es una copia maestra. Se pueden crear nuevas cuentas y grupos en cualquier controlador de dominio. Los cambios realizados en Active Directory en un controlador de dominio se replican en todos los demás controladores de dominio del dominio. El proceso de replicación de cambios en una copia maestra de la base de datos de la cuenta en todas las demás copias maestras se denomina operación multimaestro.

El proceso de generar identificadores relativos únicos es una operación de un solo patrón. A un controlador de dominio se le asigna el rol de maestro de identificador relativo (RID) y asigna una secuencia de identificadores relativos a cada controlador de dominio del dominio. Cuando se crea una nueva cuenta de dominio o grupo en la réplica de Un controlador de dominio de Active Directory, se le asigna un SID. El identificador relativo del nuevo SID se toma de la asignación del controlador de dominio de identificadores relativos. Cuando su suministro de identificadores relativos comienza a ejecutarse bajo, el controlador de dominio solicita otro bloque del maestro de RID.

Cada controlador de dominio usa cada valor de un bloque de identificadores relativos solo una vez. El patrón RID asigna cada bloque de valores de identificador relativos solo una vez. Este proceso garantiza que todas las cuentas y grupos creados en el dominio tienen un identificador relativo único.

Identificadores de seguridad e identificadores únicos globales

Cuando se crea una nueva cuenta de grupo o usuario de dominio, Active Directory almacena el SID de la cuenta en la propiedad ObjectSID de un objeto User o Group. También asigna al nuevo objeto un identificador único global (GUID), que es un valor de 128 bits que es único no solo en la empresa, sino también en todo el mundo. Los GUID se asignan a todos los objetos creados por Active Directory, no solo a los objetos User y Group. El GUID de cada objeto se almacena en su propiedad ObjectGUID .

Active Directory usa GUID internamente para identificar objetos. Por ejemplo, el GUID es una de las propiedades de un objeto que se publica en el catálogo global. La búsqueda en el catálogo global de un GUID de objeto user genera resultados si el usuario tiene una cuenta en algún lugar de la empresa. De hecho, la búsqueda de cualquier objeto por ObjectGUID podría ser la forma más confiable de encontrar el objeto que desea buscar. Los valores de otras propiedades de objeto pueden cambiar, pero la propiedad ObjectGUID nunca cambia. Cuando se asigna un GUID a un objeto, mantiene ese valor de por vida.

Si un usuario se mueve de un dominio a otro, el usuario obtiene un nuevo SID. El SID de un objeto de grupo no cambia porque los grupos permanecen en el dominio donde se crearon. Sin embargo, si las personas se mueven, sus cuentas pueden moverse con ellas. Si un empleado pasa de Norteamérica a Europa, pero permanece en la misma empresa, un administrador de la empresa puede mover el objeto User del empleado, por ejemplo, Contoso\NoAm a Contoso\Europe. Si el administrador hace esto, el objeto User de la cuenta necesita un nuevo SID. La parte del identificador de dominio de un SID que se emite en NoAm es exclusiva de NoAm; por lo que el SID de la cuenta del usuario en Europa tiene un identificador de dominio diferente. La parte del identificador relativo de un SID es única en relación con el dominio; por lo que si cambia el dominio, también cambia el identificador relativo.

Cuando un objeto User se mueve de un dominio a otro, se debe generar un nuevo SID para la cuenta de usuario y almacenarse en la propiedad ObjectSID . Antes de escribir el nuevo valor en la propiedad , el valor anterior se copia en otra propiedad de un objeto User, SIDHistory. Esta propiedad puede contener varios valores. Cada vez que un objeto User se mueve a otro dominio, se genera y almacena un nuevo SID en la propiedad ObjectSID y se agrega otro valor a la lista de SID antiguos en SIDHistory. Cuando un usuario inicia sesión y se autentica correctamente, el servicio de autenticación de dominio consulta a Active Directory todos los SID asociados al usuario, incluidos el SID actual del usuario, los SID antiguos del usuario y los SID para los grupos del usuario. Todos estos SID se devuelven al cliente de autenticación y se incluyen en el token de acceso del usuario. Cuando el usuario intenta obtener acceso a un recurso, cualquiera de los SID del token de acceso (incluido uno de los SID de SIDHistory), puede permitir o denegar el acceso del usuario.

Si permite o deniega el acceso de los usuarios a un recurso en función de sus trabajos, debe permitir o denegar el acceso a un grupo, no a un individuo. De este modo, cuando los usuarios cambian de trabajo o se mueven a otros departamentos, puede ajustar fácilmente su acceso quitándolos de determinados grupos y añadiéndolos a otros.

Sin embargo, si permite o deniega el acceso de un usuario individual a los recursos, probablemente quiera que el acceso de ese usuario siga siendo el mismo, independientemente del número de veces que cambie el dominio de la cuenta del usuario. La propiedad SIDHistory hace que esto sea posible. Cuando un usuario cambia de dominio, no es necesario cambiar la lista de control de acceso (ACL) en ningún recurso. Si una ACL tiene el SID antiguo del usuario, pero no el nuevo, el SID anterior sigue estando en el token de acceso del usuario. Aparece entre los SID para los grupos del usuario y se le concede o se deniega el acceso al usuario en función del SID anterior.

SID conocidos

Los valores de determinados SID son constantes en todos los sistemas. Se crean cuando se instala el sistema operativo o el dominio. Se denominan SID conocidos porque identifican usuarios genéricos o grupos genéricos.

Hay SID universalmente conocidos que son significativos en todos los sistemas seguros que usan este modelo de seguridad, incluidos los sistemas operativos distintos de Windows. Además, hay SID conocidos que solo son significativos en sistemas operativos Windows.

En la tabla siguiente se enumeran los SID universales conocidos.

Valor Universal Well-Known SID Identifica
S-1-0-0 SID nulo Un grupo sin miembros. Esto se usa a menudo cuando no se conoce un valor de SID.
S-1-1-0 Mundo Grupo que incluye a todos los usuarios.
S-1-2-0 Local Usuarios que inician sesión en terminales que están conectados localmente (físicamente) al sistema.
S-1-2-1 Inicio de sesión de consola Grupo que incluye usuarios que han iniciado sesión en la consola física.
S-1-3-0 Identificador de propietario de Creator Identificador de seguridad que se va a reemplazar por el identificador de seguridad del usuario que creó un nuevo objeto. Este SID se usa en las ACE heredadas.
S-1-3-1 Identificador de grupo de Creator Identificador de seguridad que se va a reemplazar por el SID del grupo principal del usuario que creó un nuevo objeto. Use este SID en las ACE heredadas.
S-1-3-2 Creator Owner Server
S-1-3-3 Servidor de grupo de Creator
S-1-3-4 Derechos de propietario Grupo que representa el propietario actual del objeto. Cuando una ACE que lleva este SID se aplica a un objeto, el sistema omite los permisos implícitos READ_CONTROL y WRITE_DAC para el propietario del objeto.
S-1-4 Autoridad no única SID que representa una entidad de identificador.
S-1-5 NT Authority SID que representa una entidad de identificador.
S-1-5-80-0 Todos los servicios Grupo que incluye todos los procesos de servicio configurados en el sistema. El sistema operativo controla la pertenencia.

En la tabla siguiente se enumeran las constantes de entidad de identificador predefinidas. Los cuatro primeros valores se usan con SID universales conocidos y el resto de los valores se usan con SID conocidos en sistemas operativos Windows designados en la lista Se aplica a .

Entidad de identificador Valor Prefijo de cadena SID
SECURITY_NULL_SID_AUTHORITY 0 S-1-0
SECURITY_WORLD_SID_AUTHORITY 1 S-1-1
SECURITY_LOCAL_SID_AUTHORITY 2 S-1-2
SECURITY_CREATOR_SID_AUTHORITY 3 S-1-3
SECURITY_NT_AUTHORITY 5 S-1-5
SECURITY_AUTHENTICATION_AUTHORITY 18 S-1-18

Los siguientes valores de RID se usan con SID universales conocidos. La columna Entidad de identificador muestra el prefijo de la entidad de identificador con la que puede combinar el RID para crear un SID universal conocido.

Entidad de identificador relativa Valor Entidad de identificador
SECURITY_NULL_RID 0 S-1-0
SECURITY_WORLD_RID 0 S-1-1
SECURITY_LOCAL_RID 0 S-1-2
SECURITY_CREATOR_OWNER_RID 0 S-1-3
SECURITY_CREATOR_GROUP_RID 1 S-1-3

La entidad de identificador predefinida SECURITY_NT_AUTHORITY (S-1-5) genera SID que no son universales y son significativos solo en las instalaciones de los sistemas operativos Windows que se designan en la lista Se aplica a al principio de este tema. En la tabla siguiente se enumeran los SID conocidos.

SID Nombre para mostrar Descripción
S-1-5-1 Dialup Un grupo que incluye a todos los usuarios que han iniciado sesión en el sistema mediante una conexión de acceso telefónico local.
S-1-5-113 Cuenta local Puede usar este SID al restringir el inicio de sesión de red a cuentas locales en lugar de "administrador" o equivalente. Este SID puede ser eficaz para bloquear el inicio de sesión de red para usuarios y grupos locales por tipo de cuenta, independientemente de cómo se llamen realmente.
S-1-5-114 Cuenta local y miembro del grupo Administradores Puede usar este SID al restringir el inicio de sesión de red a cuentas locales en lugar de "administrador" o equivalente. Este SID puede ser eficaz para bloquear el inicio de sesión de red para usuarios y grupos locales por tipo de cuenta, independientemente de cómo se llamen realmente.
S-1-5-2 Red Un grupo que incluye todos los usuarios que han iniciado sesión mediante una conexión de red. Los tokens de acceso para usuarios interactivos no contienen el SID de red.
S-1-5-3 Lote Un grupo que incluye todos los usuarios que han iniciado sesión mediante una instalación de cola por lotes, como trabajos del programador de tareas.
S-1-5-4 Interactivo Grupo que incluye todos los usuarios que inician sesión de forma interactiva. Un usuario puede iniciar una sesión de inicio de sesión interactiva iniciando sesión directamente en el teclado, abriendo una conexión de Servicios de Escritorio remoto desde un equipo remoto o usando un shell remoto como Telnet. En cada caso, el token de acceso del usuario contiene el SID interactivo. Si el usuario inicia sesión mediante una conexión de Servicios de Escritorio remoto, el token de acceso del usuario también contiene el SID de inicio de sesión interactivo remoto.
S-1-5-5- X-Y Sesión de inicio de sesión Los valores X e Y de estos SID identifican de forma única una sesión de inicio de sesión determinada.
S-1-5-6 Servicio Grupo que incluye todas las entidades de seguridad que han iniciado sesión como servicio.
S-1-5-7 Inicio de sesión anónimo Un usuario que se ha conectado al equipo sin proporcionar un nombre de usuario y una contraseña.
La identidad de inicio de sesión anónimo es diferente de la identidad que usa Internet Information Services (IIS) para el acceso web anónimo. IIS usa una cuenta real, de forma predeterminada, IUSR_ ComputerName, para el acceso anónimo a los recursos de un sitio web. En términos estrictos, este acceso no es anónimo porque la entidad de seguridad se conoce a pesar de que las personas no identificadas usan la cuenta. IUSR_ NombreDeEquipo (o el nombre de la cuenta) tiene una contraseña y IIS registra en la cuenta cuando se inicia el servicio. Como resultado, el usuario "anónimo" de IIS es miembro de usuarios autenticados, pero no lo es el inicio de sesión anónimo.
S-1-5-8 Proxy No se aplica actualmente: no se usa este SID.
S-1-5-9 Controladores de dominio de empresa Grupo que incluye todos los controladores de dominio de un bosque de dominios.
S-1-5-10 Propio Marcador de posición en una ACE para un usuario, grupo o objeto de equipo en Active Directory. Al conceder permisos a Self, se conceden a la entidad de seguridad representada por el objeto . Durante una comprobación de acceso, el sistema operativo reemplaza el SID de Self por el SID de la entidad de seguridad representada por el objeto .
S-1-5-11 Usuarios autentificados Grupo que incluye todos los usuarios y equipos con identidades que se han autenticado. Usuarios autenticados no incluye Invitado aunque la cuenta de invitado tenga una contraseña.
Este grupo incluye entidades de seguridad autenticadas de cualquier dominio de confianza, no solo el dominio actual.
S-1-5-12 Código restringido Identidad que usa un proceso que se ejecuta en un contexto de seguridad restringido. En los sistemas operativos Windows y Windows Server, una directiva de restricción de software puede asignar uno de los tres niveles de seguridad al código: sin restricciones, restringidos o no permitidos. Cuando el código se ejecuta en el nivel de seguridad restringido, el SID restringido se agrega al token de acceso del usuario.
S-1-5-13 Usuario de Terminal Server Grupo que incluye todos los usuarios que inician sesión en un servidor con Servicios de Escritorio remoto habilitados.
S-1-5-14 Inicio de sesión interactivo remoto Grupo que incluye todos los usuarios que inician sesión en el equipo mediante una conexión de escritorio remoto. Este grupo es un subconjunto del grupo interactivo. Los tokens de acceso que contienen el SID de inicio de sesión interactivo remoto también contienen el SID interactivo.
S-1-5-15 Esta organización Grupo que incluye a todos los usuarios de la misma organización. Solo se incluye con cuentas de Active Directory y solo se agrega mediante un controlador de dominio.
S-1-5-17 IUSR Una cuenta que usa el usuario predeterminado de Internet Information Services (IIS).
S-1-5-18 Sistema (o LocalSystem) Identidad que usa localmente el sistema operativo y los servicios configurados para iniciar sesión como LocalSystem.
System es un miembro oculto de los administradores. Es decir, cualquier proceso que se ejecute como Sistema tiene el SID para el grupo de administradores integrado en su token de acceso.
Cuando un proceso que se ejecuta localmente a medida que el sistema accede a los recursos de red, lo hace mediante la identidad de dominio del equipo. Su token de acceso en el equipo remoto incluye el SID de la cuenta de dominio del equipo local y los SID para los grupos de seguridad de los que es miembro el equipo, como equipos de dominio y usuarios autenticados.
S-1-5-19 Nt Authority (LocalService) Identidad que usan los servicios que son locales para el equipo, no necesitan acceso local amplio y no necesitan acceso a la red autenticado. Los servicios que se ejecutan como LocalService acceden a los recursos locales como usuarios normales y acceden a los recursos de red como usuarios anónimos. Como resultado, un servicio que se ejecuta como LocalService tiene significativamente menos autoridad que un servicio que se ejecuta como LocalSystem localmente y en la red.
S-1-5-20 Servicio de red Identidad que usan los servicios que no necesitan un acceso local amplio, pero que necesitan acceso a la red autenticado. Los servicios que se ejecutan como NetworkService acceden a los recursos locales como usuarios normales y acceden a los recursos de red mediante la identidad del equipo. Como resultado, un servicio que se ejecuta como NetworkService tiene el mismo acceso de red que un servicio que se ejecuta como LocalSystem, pero ha reducido significativamente el acceso local.
S-1-5-domain-500** Administrator Una cuenta de usuario para el administrador del sistema. Cada equipo tiene una cuenta de administrador local y cada dominio tiene una cuenta de administrador de dominio.
La cuenta de administrador es la primera cuenta creada durante la instalación del sistema operativo. La cuenta no se puede eliminar, deshabilitar ni bloquear, pero se puede cambiar el nombre.
De forma predeterminada, la cuenta de administrador es miembro del grupo Administradores y no se puede quitar de ese grupo.
S-1-5-domain-501** Invitado Una cuenta de usuario para las personas que no tienen cuentas individuales. Cada equipo tiene una cuenta de invitado local y cada dominio tiene una cuenta de invitado de dominio.
De forma predeterminada, Invitado es miembro de los grupos Todos y Invitados. La cuenta de invitado de dominio también es miembro de los grupos Invitados de dominio y Usuarios del dominio.
A diferencia de Inicio de sesión anónimo, Invitado es una cuenta real y se puede usar para iniciar sesión de forma interactiva. La cuenta de invitado no requiere una contraseña, pero puede tener una.
S-1-5-domain-502** krbtgt Una cuenta de usuario que usa el servicio Centro de distribución de claves (KDC). La cuenta solo existe en los controladores de dominio.
S-1-5-domain-512** Administradores de dominio Un grupo global con miembros autorizados para administrar el dominio. De forma predeterminada, el grupo Administradores de dominio es miembro del grupo Administradores en todos los equipos que se han unido al dominio, incluidos los controladores de dominio.
Los administradores de dominio son el propietario predeterminado de cualquier objeto creado en active directory del dominio por cualquier miembro del grupo. Si los miembros del grupo crean otros objetos, como archivos, el propietario predeterminado es el grupo Administradores.
S-1-5-domain-513** Usuarios de dominio Un grupo global que incluye todos los usuarios de un dominio. Al crear un nuevo objeto User en Active Directory, el usuario se agrega automáticamente a este grupo.
S-1-5-domain-514** Invitados de dominio Un grupo global, que de forma predeterminada, solo tiene un miembro: la cuenta de invitado integrada del dominio.
S-1-5-domain-515** Equipos de dominio Un grupo global que incluye todos los equipos que se han unido al dominio, excepto los controladores de dominio.
S-1-5-domain-516** Controladores de dominio Un grupo global que incluye todos los controladores de dominio del dominio. Los nuevos controladores de dominio se agregan automáticamente a este grupo.
S-1-5-domain-517** Publicadores de certificados Un grupo global que incluye todos los equipos que hospedan una entidad de certificación empresarial.
Los publicadores de certificados están autorizados para publicar certificados para objetos User en Active Directory.
S-1-5-root domain-518** Administradores de esquema Un grupo que solo existe en el dominio raíz del bosque. Es un grupo universal si el dominio está en modo nativo y es un grupo global si el dominio está en modo mixto. El grupo Administradores de esquema está autorizado para realizar cambios de esquema en Active Directory. De forma predeterminada, el único miembro del grupo es la cuenta Administrador del dominio raíz del bosque.
S-1-5-root domain-519** Administradores de empresa Un grupo que solo existe en el dominio raíz del bosque. Es un grupo universal si el dominio está en modo nativo y es un grupo global si el dominio está en modo mixto.
El grupo Administradores de empresa está autorizado para realizar cambios en la infraestructura del bosque, como agregar dominios secundarios, configurar sitios, autorizar servidores DHCP e instalar entidades de certificación empresariales.
De forma predeterminada, el único miembro de administradores de empresa es la cuenta de administrador del dominio raíz del bosque. El grupo es un miembro predeterminado de todos los grupos de administradores de dominio del bosque.
S-1-5-domain-520** Propietarios de directiva de grupo Creador Un grupo global autorizado para crear nuevos objetos directiva de grupo en Active Directory. De forma predeterminada, el único miembro del grupo es Administrador.
Los objetos creados por miembros de directiva de grupo Creator Owners son propiedad del usuario individual que los crea. De este modo, el grupo propietarios de creadores de directiva de grupo es diferente a otros grupos administrativos (como administradores y administradores de dominio). Los objetos creados por los miembros de estos grupos pertenecen al grupo en lugar de al individuo.
S-1-5-domain-553** Servidores RAS e IAS Un grupo de dominio local. De forma predeterminada, este grupo no tiene miembros. Los equipos que ejecutan el servicio enrutamiento y acceso remoto se agregan automáticamente al grupo.
Los miembros de este grupo tienen acceso a determinadas propiedades de Objetos de usuario, como Restricciones de cuenta de lectura, Leer información de inicio de sesión y Leer información de acceso remoto.
S-1-5-32-544 Administradores Un grupo integrado. Después de la instalación inicial del sistema operativo, el único miembro del grupo es la cuenta de administrador. Cuando un equipo se une a un dominio, el grupo Administradores de dominio se agrega al grupo Administradores. Cuando un servidor se convierte en controlador de dominio, el grupo Administradores de empresa también se agrega al grupo Administradores.
S-1-5-32-545 Usuarios Un grupo integrado. Después de la instalación inicial del sistema operativo, el único miembro es el grupo Usuarios autenticados.
S-1-5-32-546 Invitados Un grupo integrado. De forma predeterminada, el único miembro es la cuenta Invitado. El grupo Invitados permite a los usuarios ocasionales o únicos iniciar sesión con privilegios limitados en la cuenta de invitado integrada de un equipo.
S-1-5-32-547 Usuarios avanzados Un grupo integrado. De forma predeterminada, el grupo no tiene miembros. Los usuarios avanzados pueden crear usuarios y grupos locales; modificar y eliminar cuentas que han creado; y quitar usuarios de los grupos Usuarios avanzados, Usuarios e Invitados. Los usuarios avanzados también pueden instalar programas; crear, administrar y eliminar impresoras locales; y crear y eliminar recursos compartidos de archivos.
S-1-5-32-548 Operadores de cuenta Un grupo integrado que solo existe en controladores de dominio. De forma predeterminada, el grupo no tiene miembros. De forma predeterminada, los operadores de cuenta tienen permiso para crear, modificar y eliminar cuentas para usuarios, grupos y equipos en todos los contenedores y unidades organizativas de Active Directory, excepto el contenedor Builtin y la unidad organizativa Controladores de dominio. Los operadores de cuenta no tienen permiso para modificar los grupos Administradores y Administradores de dominio, ni tienen permiso para modificar las cuentas de los miembros de esos grupos.
S-1-5-32-549 Operadores de servidor Descripción: un grupo integrado que solo existe en controladores de dominio. De forma predeterminada, el grupo no tiene miembros. Los operadores de servidor pueden iniciar sesión en un servidor de forma interactiva; crear y eliminar recursos compartidos de red; start and stop services; copia de seguridad y restauración de archivos; formatear el disco duro del equipo; y apagar el equipo.
S-1-5-32-550 Operadores de impresión Un grupo integrado que solo existe en controladores de dominio. De forma predeterminada, el único miembro es el grupo Usuarios del dominio. Los operadores de impresión pueden administrar impresoras y colas de documentos.
S-1-5-32-551 Operadores de copia de seguridad Un grupo integrado. De forma predeterminada, el grupo no tiene miembros. Los operadores de copia de seguridad pueden realizar copias de seguridad y restaurar todos los archivos de un equipo, independientemente de los permisos que protejan esos archivos. Los operadores de copia de seguridad también pueden iniciar sesión en el equipo y apagarlo.
S-1-5-32-552 Replicantes Un grupo integrado que usa el servicio de replicación de archivos en controladores de dominio. De forma predeterminada, el grupo no tiene miembros. No agregue usuarios a este grupo.
S-1-5-32-554 Acceso compatible con Builtin\Pre-Windows 2000 Alias agregado por Windows 2000. Un grupo de compatibilidad con versiones anteriores que permite el acceso de lectura en todos los usuarios y grupos del dominio.
S-1-5-32-555 Usuarios de Builtin\Remote Desktop Alias. A los miembros de este grupo se les concede el derecho de iniciar sesión de forma remota.
S-1-5-32-556 Operadores de configuración de red integrados Alias. Los miembros de este grupo pueden tener algunos privilegios administrativos para administrar la configuración de las características de red.
S-1-5-32-557 Builtin\Incoming Forest Trust Builders Alias. Los miembros de este grupo pueden crear confianzas unidireccionales entrantes en este bosque.
S-1-5-32-558 Builtin\Monitor de rendimiento Users Alias. Los miembros de este grupo tienen acceso remoto para supervisar este equipo.
S-1-5-32-559 Usuarios de registro de rendimiento integrados Alias. Los miembros de este grupo tienen acceso remoto para programar el registro de contadores de rendimiento en este equipo.
S-1-5-32-560 Builtin\Windows Authorization Access Group Alias. Los miembros de este grupo tienen acceso al atributo tokenGroupsGlobalAndUniversal calculado en objetos User.
S-1-5-32-561 Builtin\Terminal Server License Servers Alias. Un grupo para servidores de licencias de Terminal Server. Cuando se instala Windows Server 2003 Service Pack 1, se crea un nuevo grupo local.
S-1-5-32-562 Usuarios COM integrados o distribuidos Alias. Un grupo de COM para proporcionar controles de acceso en todo el equipo que rigen el acceso a todas las solicitudes de llamada, activación o inicio en el equipo.
S-1-5-32-568 Builtin\IIS_IUSRS Alias. Una cuenta de grupo integrada para los usuarios de IIS.
S-1-5-32-569 Operadores builtin\cryptographic Un grupo local integrado. Los miembros están autorizados para realizar operaciones criptográficas.
S-1-5-32-573 Builtin\Event Log Readers Un grupo local integrado. Los miembros de este grupo pueden leer los registros de eventos del equipo local.
S-1-5-32-574 Acceso DCOM de builtin\Certificate Service Un grupo local integrado. Los miembros de este grupo pueden conectarse a entidades de certificación de la empresa.
S-1-5-32-575 Servidores de acceso remoto builtin\RDS Un grupo local integrado. Los servidores de este grupo permiten a los usuarios de programas RemoteApp y escritorios virtuales personales acceder a estos recursos. En las implementaciones accesibles desde Internet, estos servidores se suelen implementar en una red perimetral. Este grupo debe rellenarse en servidores que ejecutan el Agente de conexión a Escritorio remoto. Los servidores de puerta de enlace de Escritorio remoto y los servidores de acceso web de Escritorio remoto que se usan en la implementación deben estar en este grupo.
S-1-5-32-576 Servidores de punto de conexión builtin\RDS Un grupo local integrado. Los servidores de este grupo ejecutan máquinas virtuales y sesiones de host donde se ejecutan los usuarios Programas remoteApp y escritorios virtuales personales. Este grupo debe rellenarse en servidores que ejecutan el Agente de conexión a Escritorio remoto. Los servidores host de sesión de Escritorio remoto y los servidores host de virtualización de Escritorio remoto que se usan en la implementación deben estar en este grupo.
S-1-5-32-577 Servidores de administración builtin\RDS Un grupo local integrado. Los servidores de este grupo pueden realizar acciones administrativas rutinarias en servidores que ejecutan Servicios de Escritorio remoto. Este grupo debe rellenarse en todos los servidores de una implementación de Servicios de Escritorio remoto. Los servidores que ejecutan el servicio administración central de RDS deben incluirse en este grupo.
S-1-5-32-578 Administradores de Builtin\Hyper-V Un grupo local integrado. Los miembros de este grupo tienen acceso completo y sin restricciones a todas las características de Hyper-V.
S-1-5-32-579 Operadores de asistencia builtin\Access Control Un grupo local integrado. Los miembros de este grupo pueden consultar de forma remota los atributos y permisos de autorización de los recursos de este equipo.
S-1-5-32-580 Usuarios integrados o de administración remota Un grupo local integrado. Los miembros de este grupo pueden acceder a los recursos WMI a través de protocolos de administración (como WS-Management a través del servicio de administración remota de Windows). Esto solo se aplica a los espacios de nombres WMI que conceden acceso al usuario.
S-1-5-64-10 Autenticación NTLM Sid que se usa cuando el paquete de autenticación NTLM autentica al cliente
S-1-5-64-14 Autenticación SChannel SID que se usa cuando el paquete de autenticación SChannel autentica al cliente.
S-1-5-64-21 Autenticación implícita SID que se usa cuando el paquete de autenticación implícita autentica al cliente.
S-1-5-80 Servicio NT SID que se usa como prefijo de cuenta de servicio NT.
S-1-5-80-0 Todos los servicios Grupo que incluye todos los procesos de servicio configurados en el sistema. El sistema operativo controla la pertenencia. SID S-1-5-80-0 es igual a NT SERVICES\ALL SERVICES. Este SID se introdujo en Windows Server 2008 R2.
S-1-5-83-0 NT VIRTUAL MACHINE\Virtual Machines Un grupo integrado. El grupo se crea cuando se instala el rol de Hyper-V. El servicio de administración de Hyper-V (VMMS) mantiene la pertenencia al grupo. Este grupo requiere el derecho Crear vínculos simbólicos (SeCreateSymbolicLinkPrivilege) y también el derecho Iniciar sesión como servicio (SeServiceLogonRight).

Los siguientes IDENTIFICADORES son relativos a cada dominio.

RID Valor decimal Identifica
DOMAIN_USER_RID_ADMIN 500 La cuenta de usuario administrativo de un dominio.
DOMAIN_USER_RID_GUEST 501 La cuenta de usuario invitado de un dominio. Los usuarios que no tienen una cuenta pueden iniciar sesión automáticamente en esta cuenta.
DOMAIN_GROUP_RID_USERS 513 Grupo que contiene todas las cuentas de usuario de un dominio. Todos los usuarios se agregan automáticamente a este grupo.
DOMAIN_GROUP_RID_GUESTS 514 La cuenta de invitado del grupo en un dominio.
DOMAIN_GROUP_RID_COMPUTERS 515 Grupo Equipo de dominio. Todos los equipos del dominio son miembros de este grupo.
DOMAIN_GROUP_RID_CONTROLLERS 516 El grupo Controlador de dominio. Todos los controladores de dominio del dominio son miembros de este grupo.
DOMAIN_GROUP_RID_CERT_ADMINS 517 Grupo de publicadores de certificados. Los equipos que ejecutan Servicios de certificados de Active Directory son miembros de este grupo.
DOMAIN_GROUP_RID_SCHEMA_ADMINS 518 Grupo de administradores de esquema. Los miembros de este grupo pueden modificar el esquema de Active Directory.
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS 519 Grupo de administradores de empresa. Los miembros de este grupo tienen acceso total a todos los dominios del bosque de Active Directory. Los administradores empresariales son responsables de las operaciones de nivel de bosque, como agregar o quitar nuevos dominios.
DOMAIN_GROUP_RID_POLICY_ADMINS 520 Grupo de administradores de directivas.

En la tabla siguiente se proporcionan ejemplos de IDENTIFICADOR relativos al dominio que se usan para formar SID conocidos para grupos locales.

RID Valor decimal Identifica
DOMAIN_ALIAS_RID_ADMINS 544 Administradores del dominio.
DOMAIN_ALIAS_RID_USERS 545 Todos los usuarios del dominio.
DOMAIN_ALIAS_RID_GUESTS 546 Invitados del dominio.
DOMAIN_ALIAS_RID_POWER_USERS 547 Un usuario o un conjunto de usuarios que esperan tratar un sistema como si fuera su equipo personal en lugar de como una estación de trabajo para varios usuarios.
DOMAIN_ALIAS_RID_BACKUP_OPS 551 Un grupo local que se usa para controlar la asignación de derechos de usuario de copia de seguridad y restauración de archivos.
DOMAIN_ALIAS_RID_REPLICATOR 552 Un grupo local que es responsable de copiar bases de datos de seguridad del controlador de dominio principal a los controladores de dominio de copia de seguridad. Estas cuentas solo las usa el sistema.
DOMAIN_ALIAS_RID_RAS_SERVERS 553 Un grupo local que representa el acceso remoto y los servidores que ejecutan el Servicio de autenticación de Internet (IAS). Este grupo permite el acceso a varios atributos de objetos User.

Cambios en la funcionalidad del identificador de seguridad

En la tabla siguiente se describen los cambios en la implementación del SID en los sistemas operativos Windows designados en la lista.

Cambio Versión del sistema operativo Descripción y recursos
La mayoría de los archivos del sistema operativo pertenecen al identificador de seguridad TrustedInstaller (SID) Windows Server 2008, Windows Vista El propósito de este cambio es evitar que un proceso que se ejecuta como administrador o en la cuenta localSystem reemplace automáticamente los archivos del sistema operativo.
Se implementan comprobaciones de SID restringidas Windows Server 2008, Windows Vista Cuando se restringen los SID, Windows realiza dos comprobaciones de acceso. La primera es la comprobación de acceso normal y la segunda es la misma comprobación de acceso con respecto a los SID de restricción del token. Ambas comprobaciones de acceso deben pasar para permitir que el proceso acceda al objeto.

SID de funcionalidad

Los identificadores de seguridad de funcionalidad (SID) se usan para identificar funcionalidades de forma única e inmutable. Las capacidades representan un token de autoridad imperecebles que concede acceso a los recursos (ejemplos: documentos, cámara, ubicaciones, etc.) a aplicaciones universales de Windows. A una aplicación que "tiene" una funcionalidad se le concede acceso al recurso al que está asociada la funcionalidad, y a una que "no tiene" una funcionalidad se le deniega el acceso al recurso.

Todos los SID de funcionalidad que el sistema operativo conoce se almacenan en el Registro de Windows en la ruta de acceso "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities". Cualquier SID de funcionalidad agregado a Windows por aplicaciones propias o de terceros se agregará a esta ubicación.

Ejemplos de claves del Registro tomadas de Windows 10, versión 1909, edición Enterprise de 64 bits

Es posible que vea las siguientes claves del Registro en AllCachedCapabilities:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

Todos los SID de funcionalidad tienen el prefijo S-1-15-3.

Ejemplos de claves del Registro tomadas de Windows 11, versión 21H2, edición Enterprise de 64 bits

Es posible que vea las siguientes claves del Registro en AllCachedCapabilities:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

Todos los SID de funcionalidad tienen el prefijo S-1-15-3.

Consulte también