Identificateurs de sécurité
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Cet article décrit comment les identificateurs de sécurité fonctionnent en ce qui concerne les comptes et les groupes dans le système d’exploitation Windows Server.
Qu’est-ce que les identificateurs de sécurité ?
Un identificateur de sécurité (SID) est utilisé pour identifier de manière unique un principal de sécurité ou un groupe de sécurité. Les principaux de sécurité peuvent représenter n’importe quelle entité qui peut être authentifiée par le système d’exploitation, comme un compte d’utilisateur, un compte d’ordinateur ou un thread ou un processus qui s’exécute dans le contexte de sécurité d’un compte d’utilisateur ou d’ordinateur.
Chaque compte ou groupe, ou processus s’exécutant dans le contexte de sécurité du compte, a un SID unique émis par une autorité, tel qu’un contrôleur de domaine Windows. Il est stocké dans une base de données de sécurité. Le système génère le SID qui identifie un compte ou un groupe particulier au moment où le compte ou le groupe est créé. Lorsqu’un SID a été utilisé comme identificateur unique pour un utilisateur ou un groupe, il ne peut jamais être utilisé à nouveau pour identifier un autre utilisateur ou groupe.
Chaque fois qu’un utilisateur se connecte, le système crée un jeton d’accès pour cet utilisateur. Le jeton d’accès contient le SID, les droits de l’utilisateur et les SID pour tous les groupes auxquels appartient l’utilisateur. Ce jeton fournit le contexte de sécurité pour toutes les actions effectuées par l’utilisateur sur cet ordinateur.
En plus des SID spécifiques au domaine créés de manière unique qui sont attribués à des utilisateurs et groupes spécifiques, il existe des SID connus qui identifient des groupes génériques et des utilisateurs génériques. Par exemple, les SID tout le monde et tout le monde identifient un groupe qui inclut tous les utilisateurs. Les SID connus ont des valeurs qui restent constantes sur tous les systèmes d’exploitation.
Les SID sont un bloc de construction fondamental du modèle de sécurité Windows. Ils fonctionnent avec des composants spécifiques des technologies de contrôle d’autorisation et d’accès dans l’infrastructure de sécurité des systèmes d’exploitation Windows Server. Cela permet de protéger l’accès aux ressources réseau et fournit un environnement informatique plus sécurisé.
Le contenu de cet article s’applique aux ordinateurs qui exécutent les versions prises en charge du système d’exploitation Windows référencé dans la liste s’applique.
Fonctionnement des identificateurs de sécurité
Les utilisateurs font référence à des comptes à l’aide du nom du compte, mais le système d’exploitation fait référence en interne aux comptes et aux processus qui s’exécutent dans le contexte de sécurité du compte à l’aide de leurs identificateurs de sécurité (SID). Pour les comptes de domaine, le SID d’un principal de sécurité est créé en concaténant le SID du domaine avec un identificateur relatif (RID) pour le compte. Les SID sont uniques dans leur étendue (domaine ou local) et ne sont jamais réutilisés.
Le système d’exploitation génère un SID qui identifie un compte ou un groupe particulier au moment où le compte ou le groupe est créé. Le SID d’un compte ou d’un groupe local est généré par l’Autorité de sécurité locale (LSA) sur l’ordinateur, et il est stocké avec d’autres informations de compte dans une zone sécurisée du Registre. Le SID d’un compte de domaine ou d’un groupe est généré par l’autorité de sécurité de domaine, et il est stocké en tant qu’attribut de l’objet Utilisateur ou Groupe dans services de domaine Active Directory.
Pour chaque compte et groupe local, le SID est unique pour l’ordinateur où il a été créé. Aucun compte ou groupe sur l’ordinateur ne partage jamais le même SID. De même, pour chaque compte de domaine et groupe, le SID est unique au sein d’une entreprise. Cela signifie que le SID d’un compte ou d’un groupe créé dans un domaine ne correspond jamais au SID d’un compte ou d’un groupe créé dans n’importe quel autre domaine de l’entreprise.
Les SID restent toujours uniques. Les autorités de sécurité n’émettent jamais le même SID deux fois et ne réutilisent jamais les SID pour les comptes supprimés. Par exemple, si un utilisateur disposant d’un compte d’utilisateur dans un domaine Windows quitte son travail, un administrateur supprime son compte Active Directory, y compris le SID qui identifie le compte. S’ils retournent ultérieurement à un travail différent à la même entreprise, un administrateur crée un compte et le système d’exploitation Windows Server génère un nouveau SID. Le nouveau SID ne correspond pas à l’ancien ; ainsi aucun accès de l’utilisateur à partir de son ancien compte n’est transféré vers le nouveau compte. Les deux comptes représentent deux principaux de sécurité complètement différents.
Architecture de l’identificateur de sécurité
Un identificateur de sécurité est une structure de données au format binaire qui contient un nombre variable de valeurs. Les premières valeurs de la structure contiennent des informations sur la structure SID. Les valeurs restantes sont organisées dans une hiérarchie (similaire à un numéro de téléphone) et identifient l’autorité émettrice du SID (par exemple, « NT Authority »), le domaine d’émission du SID et un principal de sécurité ou un groupe particulier. L’image suivante illustre la structure d’un SID.

Les valeurs individuelles d’un SID sont décrites dans le tableau suivant.
| Commentaire | Description |
|---|---|
| Révision | Indique la version de la structure SID utilisée dans un SID particulier. |
| Autorité d’identificateur | Identifie le niveau d’autorité le plus élevé qui peut émettre des SID pour un type particulier de principal de sécurité. Par exemple, la valeur de l’autorité d’identificateur dans le SID pour le groupe Tout le monde est 1 (Autorité mondiale). La valeur de l’autorité d’identificateur dans le SID pour un compte ou un groupe Windows Server spécifique est 5 (autorité NT). |
| Sous-authentification | Contient les informations les plus importantes dans un SID, qui est contenue dans une série d’une ou plusieurs valeurs de sous-auteur. Toutes les valeurs jusqu’à, mais pas y compris, la dernière valeur de la série identifient collectivement un domaine dans une entreprise. Cette partie de la série est appelée identificateur de domaine. La dernière valeur de la série, appelée identificateur relatif (RID), identifie un compte ou un groupe particulier par rapport à un domaine. |
Les composants d’un SID sont plus faciles à visualiser quand les SID sont convertis d’un fichier binaire en format de chaîne à l’aide de la notation standard :
S-R-X-Y1-Y2-Yn-1-Yn
Dans cette notation, les composants d’un SID sont représentés comme indiqué dans le tableau suivant :
| Commentaire | Description |
|---|---|
| S | Indique que la chaîne est un SID |
| R | Indique le niveau de révision |
| X | Indique la valeur de l’autorité d’identificateur |
| O | Représente une série de valeurs de sous-auteur, où n est le nombre de valeurs |
Les SID sont les informations les plus importantes contenues dans la série de valeurs de sous-autorisation. La première partie de la série (-Y1-Y2-Yn-1) est l’identificateur de domaine. Cet élément du SID devient significatif dans une entreprise avec plusieurs domaines, car l’identificateur de domaine différencie les SID émis par un domaine des SID émis par les SID émis par tous les autres domaines de l’entreprise. Aucun deux domaines d’une entreprise ne partagent le même identificateur de domaine.
Le dernier élément de la série de valeurs de sous-auteur (-Yn) est l’identificateur relatif. Il distingue un compte ou un groupe de tous les autres comptes et groupes du domaine. Aucun compte ou groupe dans n’importe quel domaine partage le même identificateur relatif.
Par exemple, le SID du groupe Administrateurs intégré est représenté dans la notation SID normalisée comme chaîne suivante :
S-1-5-32-544
Ce SID comporte quatre composants :
Un niveau de révision (1)
Valeur d’autorité d’identificateur (5, autorité NT)
Identificateur de domaine (32, Builtin)
Identificateur relatif (544, Administrateurs)
Les SID pour les comptes et groupes intégrés ont toujours la même valeur d’identificateur de domaine, 32. Cette valeur identifie le domaine Builtin, qui existe sur chaque ordinateur exécutant une version du système d’exploitation Windows Server. Il n’est jamais nécessaire de distinguer les comptes et groupes intégrés d’un ordinateur par rapport aux comptes et groupes intégrés d’un autre ordinateur, car ils sont locaux dans l’étendue. Ils sont locaux à un seul ordinateur, ou dans le cas de contrôleurs de domaine pour un domaine réseau, ils sont locaux à plusieurs ordinateurs qui agissent comme un.
Les comptes et groupes intégrés doivent être distingués d’un autre dans l’étendue du domaine Builtin . Par conséquent, le SID pour chaque compte et groupe a un identificateur relatif unique. Une valeur d’identificateur relative de 544 est unique au groupe Administrateurs intégré. Aucun autre compte ou groupe dans le domaine Builtin n’a un SID avec une valeur finale de 544.
Dans un autre exemple, tenez compte du SID pour le groupe global, administrateurs de domaine. Chaque domaine d’une entreprise possède un groupe d’administrateurs de domaine et le SID pour chaque groupe est différent. L’exemple suivant représente le SID du groupe Administrateurs de domaine dans le domaine Contoso, Ltd. (Contoso\Domain Admins) :
S-1-5-21-1004336348-1177238915-682003330-512
Le SID pour Contoso\Domain Admins a :
Un niveau de révision (1)
Autorité d’identificateur (5, autorité NT)
Identificateur de domaine (21-100436348-1177238915-682003330, Contoso)
Identificateur relatif (512, Administrateurs de domaine)
Le SID pour Contoso\Domain Admins est distingué des SID pour les autres groupes d’administrateurs de domaine dans la même entreprise par son identificateur de domaine : 21-100436348-1177238915-682003330. Aucun autre domaine de l’entreprise n’utilise cette valeur comme identificateur de domaine. Le SID pour Contoso\Domain Admins est distingué des SID pour d’autres comptes et groupes créés dans le domaine Contoso par son identificateur relatif, 512. Aucun autre compte ou groupe dans le domaine n’a un SID avec une valeur finale de 512.
Allocation d’identificateur relatif
Lorsque des comptes et des groupes sont stockés dans une base de données de compte gérée par un gestionnaire de comptes de sécurité local (SAM), il est assez facile pour le système de générer un identificateur relatif unique pour chaque compte et dans un groupe qu’il crée sur un ordinateur autonome. Le SAM sur un ordinateur autonome peut suivre les valeurs d’identificateur relatives qu’il a utilisées avant et s’assurer qu’il ne les utilise jamais à nouveau.
Dans un domaine réseau, toutefois, la génération d’identificateurs relatifs uniques est un processus plus complexe. Les domaines réseau Windows Server peuvent avoir plusieurs contrôleurs de domaine. Chaque contrôleur de domaine stocke les informations de compte Active Directory. Cela signifie que, dans un domaine réseau, il existe autant de copies de la base de données de compte qu’il existe des contrôleurs de domaine. De plus, chaque copie de la base de données de compte est une copie principale. Vous pouvez créer de nouveaux comptes et groupes sur n’importe quel contrôleur de domaine. Les modifications apportées à Active Directory sur un contrôleur de domaine sont répliquées sur tous les autres contrôleurs de domaine du domaine. Le processus de réplication des modifications dans une copie principale de la base de données de compte sur toutes les autres copies maîtres est appelé opération multimaster.
Le processus de génération d’identificateurs relatifs uniques est une opération monomaître. Un contrôleur de domaine est affecté au rôle de maître RID (Relative Identifier), et il alloue une séquence d’identificateurs relatifs à chaque contrôleur de domaine dans le domaine. Lorsqu’un nouveau compte de domaine ou un groupe est créé dans le réplica d’un contrôleur de domaine d’Active Directory, il est affecté à un SID. L’identificateur relatif du nouveau SID est extrait de l’allocation des identificateurs relatifs du contrôleur de domaine. Lorsque son approvisionnement d’identificateurs relatifs commence à s’exécuter bas, le contrôleur de domaine demande un autre bloc à partir du maître RID.
Chaque contrôleur de domaine utilise chaque valeur dans un bloc d’identificateurs relatifs une seule fois. Le maître RID alloue chaque bloc de valeurs d’identificateur relative une seule fois. Ce processus garantit que chaque compte et groupe créé dans le domaine a un identificateur relatif unique.
Identificateurs de sécurité et identificateurs globaux uniques
Lorsqu’un compte d’utilisateur ou de groupe de domaine est créé, Active Directory stocke le SID du compte dans la propriété ObjectSID d’un objet Utilisateur ou Groupe. Il affecte également le nouvel objet un identificateur global unique (GUID), qui est une valeur 128 bits qui est unique non seulement dans l’entreprise, mais aussi dans le monde entier. Les GUID sont attribués à chaque objet créé par Active Directory et non seulement dans les objets Utilisateur et Groupe. Le GUID de chaque objet est stocké dans sa propriété ObjectGUID .
Active Directory utilise des GUID en interne pour identifier les objets. Par exemple, le GUID est l’une des propriétés d’un objet publiée dans le catalogue global. La recherche du catalogue global pour un GUID d’objet utilisateur produit des résultats si l’utilisateur a un compte quelque part dans l’entreprise. En fait, la recherche d’un objet par ObjectGUID peut être le moyen le plus fiable de trouver l’objet que vous souhaitez localiser. Les valeurs d’autres propriétés d’objet peuvent changer, mais la propriété ObjectGUID ne change jamais. Lorsqu’un objet est affecté à un GUID, il conserve cette valeur pour la durée de vie.
Si un utilisateur passe d’un domaine à un autre, l’utilisateur obtient un nouveau SID. Le SID d’un objet de groupe ne change pas, car les groupes restent dans le domaine où ils ont été créés. Toutefois, si des personnes se déplacent, leurs comptes peuvent les déplacer avec eux. Si un employé passe de Amérique du Nord à l’Europe, mais reste dans la même entreprise, un administrateur de l’entreprise peut déplacer l’objet Utilisateur de l’employé depuis, par exemple Contoso\NoAm vers Contoso\Europe. Si l’administrateur effectue cette opération, l’objet Utilisateur du compte a besoin d’un nouveau SID. La partie d’identificateur de domaine d’un SID émis dans NoAm est unique à NoAm ; ainsi, le SID pour le compte de l’utilisateur en Europe a un identificateur de domaine différent. La partie d’identificateur relative d’un SID est unique par rapport au domaine; ainsi, si le domaine change, l’identificateur relatif change également.
Lorsqu’un objet Utilisateur passe d’un domaine à un autre, un nouveau SID doit être généré pour le compte d’utilisateur et stocké dans la propriété ObjectSID . Avant que la nouvelle valeur soit écrite dans la propriété, la valeur précédente est copiée dans une autre propriété d’un objet User, SIDHistory. Cette propriété peut contenir plusieurs valeurs. Chaque fois qu’un objet Utilisateur se déplace vers un autre domaine, un nouveau SID est généré et stocké dans la propriété ObjectSID , et une autre valeur est ajoutée à la liste des anciens SID dans SIDHistory. Lorsqu’un utilisateur se connecte et s’authentifie correctement, le service d’authentification de domaine interroge Active Directory pour tous les SID associés à l’utilisateur, y compris le SID actuel de l’utilisateur, les anciens SID de l’utilisateur et les SID pour les groupes d’utilisateurs. Tous ces SID sont retournés au client d’authentification et sont inclus dans le jeton d’accès de l’utilisateur. Lorsque l’utilisateur tente d’accéder à une ressource, l’un des SID dans le jeton d’accès (y compris l’un des SID dans SIDHistory) peut autoriser ou refuser l’accès utilisateur.
Si vous autorisez ou refusez l’accès des utilisateurs à une ressource en fonction de leurs travaux, vous devez autoriser ou refuser l’accès à un groupe, et non à un individu. De cette façon, lorsque les utilisateurs changent de travail ou passent à d’autres services, vous pouvez facilement ajuster leur accès en les supprimant de certains groupes et en les ajoutant à d’autres.
Toutefois, si vous autorisez ou refusez un accès individuel aux ressources, vous souhaitez probablement que l’accès de l’utilisateur reste le même, quel que soit le nombre de fois que le domaine du compte de l’utilisateur change. La propriété SIDHistory permet de le faire. Lorsqu’un utilisateur change de domaine, il n’est pas nécessaire de modifier la liste de contrôle d’accès (ACL) sur n’importe quelle ressource. Si une liste de contrôle d’accès a l’ancien SID de l’utilisateur, mais pas la nouvelle, l’ancien SID est toujours dans le jeton d’accès de l’utilisateur. Il est répertorié parmi les SID pour les groupes de l’utilisateur, et l’utilisateur est accordé ou refusé l’accès en fonction de l’ancien SID.
SID connus
Les valeurs de certains SID sont constantes dans tous les systèmes. Ils sont créés lorsque le système d’exploitation ou le domaine est installé. Ils sont appelés SID connus, car ils identifient des utilisateurs génériques ou des groupes génériques.
Il existe des SID connus universels qui sont significatifs sur tous les systèmes sécurisés qui utilisent ce modèle de sécurité, y compris les systèmes d’exploitation autres que Windows. En outre, il existe des SID connus qui sont significatifs uniquement sur les systèmes d’exploitation Windows.
Le tableau suivant répertorie les SID connus universels.
| Valeur | SID de Well-Known universel | Identifie |
|---|---|---|
| S-1-0-0 | Null SID | Groupe sans membres. Cela est souvent utilisé lorsqu’une valeur SID n’est pas connue. |
| S-1-1-0 | World (Monde) | Groupe qui inclut tous les utilisateurs. |
| S-1-2-0 | Local | Utilisateurs qui se connectent aux terminaux qui sont connectés localement (physiquement) au système. |
| S-1-2-1 | Ouverture de session de la console | Groupe qui inclut des utilisateurs connectés à la console physique. |
| S-1-3-0 | ID du propriétaire du créateur | Identificateur de sécurité à remplacer par l’identificateur de sécurité de l’utilisateur qui a créé un objet. Ce SID est utilisé dans les ACL héritées. |
| S-1-3-1 | ID de groupe créateur | Identificateur de sécurité à remplacer par le SID de groupe principal de l’utilisateur qui a créé un objet. Utilisez ce SID dans les acEs héritées. |
| S-1-3-2 | Creator Owner Server (CREATOR OWNER SERVER) | |
| S-1-3-3 | Creator Group Server (CREATOR GROUP SERVER) | |
| S-1-3-4 | Droits de propriétaire | Groupe qui représente le propriétaire actuel de l’objet. Lorsqu’un ACE qui porte ce SID est appliqué à un objet, le système ignore les autorisations implicites READ_CONTROL et WRITE_DAC pour le propriétaire de l’objet. |
| S-1-4 | Autorité non unique | SID qui représente une autorité d’identificateur. |
| S-1-5 | NT Authority (AUTORITE NT) | SID qui représente une autorité d’identificateur. |
| S-1-5-80-0 | Tous les services | Groupe qui inclut tous les processus de service configurés sur le système. L’appartenance est contrôlée par le système d’exploitation. |
Le tableau suivant répertorie les constantes d’autorité d’identificateur prédéfinies. Les quatre premières valeurs sont utilisées avec des SID connus universels et le reste des valeurs sont utilisées avec des SID connus dans les systèmes d’exploitation Windows désignés dans la liste S’applique à .
| Autorité d’identificateur | Valeur | Préfixe de chaîne SID |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 | S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 | S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 | S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 | S-1-3 |
| SECURITY_NT_AUTHORITY | 5 | S-1-5 |
| SECURITY_AUTHENTICATION_AUTHORITY | 18 | S-1-18 |
Les valeurs RID suivantes sont utilisées avec des SID connus universels. La colonne d’autorité d’identificateur affiche le préfixe de l’autorité d’identificateur avec laquelle vous pouvez combiner le RID pour créer un SID connu universel.
| Autorité d’identificateur relative | Valeur | Autorité d’identificateur |
|---|---|---|
| SECURITY_NULL_RID | 0 | S-1-0 |
| SECURITY_WORLD_RID | 0 | S-1-1 |
| SECURITY_LOCAL_RID | 0 | S-1-2 |
| SECURITY_CREATOR_OWNER_RID | 0 | S-1-3 |
| SECURITY_CREATOR_GROUP_RID | 1 | S-1-3 |
L’autorité d’identificateur prédéfinie SECURITY_NT_AUTHORITY (S-1-5) produit des SID qui ne sont pas universels et qui sont significatifs uniquement dans les installations des systèmes d’exploitation Windows désignés dans la liste S’applique à au début de cet article. Le tableau suivant répertorie les SID connus.
| SID | Nom d’affichage | Description |
|---|---|---|
| S-1-5-1 | Dialup (LIGNE) | Groupe qui inclut tous les utilisateurs connectés au système par le biais d’une connexion d’accès à distance. |
| S-1-5-113 | Compte local | Vous pouvez utiliser ce SID lors de la restriction de l’ouverture de session réseau aux comptes locaux au lieu de « administrateur » ou équivalent. Ce SID peut être efficace pour bloquer l’ouverture de session réseau pour les utilisateurs et les groupes locaux par type de compte, quel que soit leur nom. |
| S-1-5-114 | Compte local et membre du groupe Administrateurs | Vous pouvez utiliser ce SID lors de la restriction de l’ouverture de session réseau aux comptes locaux au lieu de « administrateur » ou équivalent. Ce SID peut être efficace pour bloquer l’ouverture de session réseau pour les utilisateurs et les groupes locaux par type de compte, quel que soit leur nom. |
| S-1-5-2 | Réseau | Groupe qui inclut tous les utilisateurs connectés via une connexion réseau. Les jetons d’accès pour les utilisateurs interactifs ne contiennent pas le SID réseau. |
| S-1-5-3 | Batch | Groupe qui inclut tous les utilisateurs qui se sont connectés via l’installation de file d’attente par lots, tels que les travaux du planificateur de tâches. |
| S-1-5-4 | Interactive | Groupe qui inclut tous les utilisateurs qui se connectent de manière interactive. Un utilisateur peut démarrer une session d’ouverture de session interactive en ouvrant une connexion Des services Bureau à distance à partir d’un ordinateur distant ou à l’aide d’un interpréteur de commandes distant tel que Telnet. Dans chaque cas, le jeton d’accès de l’utilisateur contient le SID interactif. Si l’utilisateur se connecte à l’aide d’une connexion des services Bureau à distance, le jeton d’accès de l’utilisateur contient également le SID d’ouverture de session interactive à distance. |
| S-1-5-5- X-Y | Session d’ouverture de session | Les valeurs X et Y de ces SID identifient de manière unique une session d’ouverture de session particulière. |
| S-1-5-6 | Service | Groupe qui inclut tous les principaux de sécurité qui se sont connectés en tant que service. |
| S-1-5-7 | Ouverture de session anonyme | Utilisateur qui s’est connecté à l’ordinateur sans fournir de nom d’utilisateur et de mot de passe. L’identité d’ouverture de session anonyme est différente de l’identité utilisée par Internet Information Services (IIS) pour l’accès web anonyme. IIS utilise un compte réel , par défaut, IUSR_ComputerName, pour l’accès anonyme aux ressources sur un site web. Strictement parlant, ce type d’accès n’est pas anonyme, car le principal de sécurité est connu même si des personnes non identifiées utilisent le compte. IUSR_ComputerName (ou tout ce que vous nommez le compte) a un mot de passe et IIS se connecte au compte au démarrage du service. Par conséquent, l’utilisateur IIS « anonyme » est membre des utilisateurs authentifiés, mais l’ouverture de session anonyme n’est pas. |
| S-1-5-8 | Proxy | Ne s’applique pas actuellement : ce SID n’est pas utilisé. |
| S-1-5-9 | Contrôleurs de domaine d’entreprise | Groupe qui inclut tous les contrôleurs de domaine dans une forêt de domaines. |
| S-1-5-10 | Self | Espace réservé dans un ace pour un objet utilisateur, groupe ou ordinateur dans Active Directory. Lorsque vous accordez des autorisations à Self, vous les accordez au principal de sécurité représenté par l’objet. Lors d’une vérification d’accès, le système d’exploitation remplace le SID pour Self par le SID du principal de sécurité représenté par l’objet. |
| S-1-5-11 | Utilisateurs authentifiés | Groupe qui inclut tous les utilisateurs et tous les ordinateurs avec des identités qui ont été authentifiées. Les utilisateurs authentifiés n’incluent pas l’invité même si le compte invité a un mot de passe. Ce groupe inclut des principaux de sécurité authentifiés à partir de n’importe quel domaine approuvé, et non seulement le domaine actuel. |
| S-1-5-12 | Code restreint | Identité utilisée par un processus qui s’exécute dans un contexte de sécurité restreint. Dans les systèmes d’exploitation Windows et Windows Server, une stratégie de restriction logicielle peut affecter l’un des trois niveaux de sécurité au code : Non autorisé sans restriction lorsque le code s’exécute au niveau de sécurité restreint, le SID restreint est ajouté au jeton d’accès de l’utilisateur. |
| S-1-5-13 | Utilisateur Terminal Server | Groupe qui inclut tous les utilisateurs qui se connectent à un serveur avec les services Bureau à distance activés. |
| S-1-5-14 | Ouverture de session interactive à distance | Groupe qui inclut tous les utilisateurs qui se connectent à l’ordinateur à l’aide d’une connexion Bureau à distance. Ce groupe est un sous-ensemble du groupe interactif. Les jetons d’accès qui contiennent le SID d’ouverture de session interactive à distance contiennent également le SID interactif. |
| S-1-5-15 | This Organization (Cette organisation) | Groupe qui inclut tous les utilisateurs de la même organisation. Uniquement inclus avec les comptes Active Directory et ajoutés uniquement par un contrôleur de domaine. |
| S-1-5-17 | IUSR | Compte utilisé par l’utilisateur IIS (Internet Information Services) par défaut. |
| S-1-5-18 | Système (ou LocalSystem) | Identité utilisée localement par le système d’exploitation et par les services configurés pour se connecter en tant que LocalSystem. Le système est un membre masqué des administrateurs. Autrement dit, tout processus s’exécutant en tant que système a le SID pour le groupe Administrateurs intégré dans son jeton d’accès. Lorsqu’un processus qui s’exécute localement en tant que système accède aux ressources réseau, il le fait à l’aide de l’identité de domaine de l’ordinateur. Son jeton d’accès sur l’ordinateur distant inclut le SID du compte de domaine de l’ordinateur local, ainsi que les SID pour les groupes de sécurité dont l’ordinateur est membre, comme les ordinateurs de domaine et les utilisateurs authentifiés. |
| S-1-5-19 | NT Authority (LocalService) | Une identité utilisée par les services qui sont locaux sur l’ordinateur, n’a pas besoin d’un accès local étendu et n’a pas besoin d’un accès réseau authentifié. Les services qui s’exécutent en tant que LocalService accèdent aux ressources locales en tant qu’utilisateurs ordinaires et accèdent aux ressources réseau en tant qu’utilisateurs anonymes. Par conséquent, un service qui s’exécute en tant que LocalService a considérablement moins d’autorité qu’un service qui s’exécute en tant que LocalSystem localement et sur le réseau. |
| S-1-5-20 | Service réseau | Identité utilisée par les services qui n’ont pas besoin d’un accès local étendu, mais qui ont besoin d’un accès réseau authentifié. Les services s’exécutant en tant que NetworkService accèdent aux ressources locales en tant qu’utilisateurs ordinaires et accèdent aux ressources réseau à l’aide de l’identité de l’ordinateur. Par conséquent, un service qui s’exécute en tant que NetworkService dispose du même accès réseau qu’un service qui s’exécute en tant que LocalSystem, mais il a considérablement réduit l’accès local. |
| S-1-5-domain-500 | Administrateur | Un compte d’utilisateur pour l’administrateur système. Chaque ordinateur dispose d’un compte d’administrateur local et chaque domaine possède un compte d’administrateur de domaine. Le compte Administrateur est le premier compte créé lors de l’installation du système d’exploitation. Le compte ne peut pas être supprimé, désactivé ou verrouillé, mais il peut être renommé. Par défaut, le compte Administrateur est membre du groupe Administrateurs et ne peut pas être supprimé de ce groupe. |
| S-1-5-domain-501 | Invité | Un compte d’utilisateur pour les personnes qui n’ont pas de comptes individuels. Chaque ordinateur dispose d’un compte invité local et chaque domaine possède un compte invité de domaine. Par défaut, Guest est membre des groupes Tout le monde et Invités. Le compte invité de domaine est également membre des groupes Invités de domaine et Utilisateurs du domaine. Contrairement à l’ouverture de session anonyme, l’invité est un compte réel et il peut être utilisé pour se connecter de manière interactive. Le compte invité ne nécessite pas de mot de passe, mais il peut en avoir un. |
| S-1-5-domain-502 | KRBTGT | Un compte d’utilisateur utilisé par le service centre de distribution de clés (KDC). Le compte existe uniquement sur les contrôleurs de domaine. |
| S-1-5-domain-512 | Administrateurs du domaine | Groupe global avec des membres autorisés à administrer le domaine. Par défaut, le groupe Administrateurs de domaine est membre du groupe Administrateurs sur tous les ordinateurs qui ont rejoint le domaine, y compris les contrôleurs de domaine. Les administrateurs de domaine sont le propriétaire par défaut de tout objet créé dans Active Directory du domaine par n’importe quel membre du groupe. Si les membres du groupe créent d’autres objets, tels que des fichiers, le propriétaire par défaut est le groupe Administrateurs. |
| S-1-5-domain-513 | Utilisateurs du domaine | Groupe global qui inclut tous les utilisateurs d’un domaine. Lorsque vous créez un objet Utilisateur dans Active Directory, l’utilisateur est automatiquement ajouté à ce groupe. |
| S-1-5-domain-514 | Invités de domaine | Un groupe global, qui, par défaut, n’a qu’un seul membre : le compte invité intégré du domaine. |
| S-1-5-domain-515 | Ordinateurs de domaine | Groupe global qui inclut tous les ordinateurs qui ont rejoint le domaine, à l’exception des contrôleurs de domaine. |
| S-1-5-domain-516 | Contrôleurs de domaine | Groupe global qui inclut tous les contrôleurs de domaine du domaine. De nouveaux contrôleurs de domaine sont ajoutés automatiquement à ce groupe. |
| S-1-5-domain-517 | Éditeurs de certificats | Groupe global qui inclut tous les ordinateurs qui hébergent une autorité de certification d’entreprise. Les serveurs de publication de certificats sont autorisés à publier des certificats pour les objets utilisateur dans Active Directory. |
| Domaine racine S-1-5-518 | Administrateurs du schéma | Groupe qui existe uniquement dans le domaine racine de forêt. Il s’agit d’un groupe universel si le domaine est en mode natif et s’il s’agit d’un groupe global si le domaine est en mode mixte. Le groupe Administrateurs de schémas est autorisé à apporter des modifications de schéma dans Active Directory. Par défaut, le seul membre du groupe est le compte Administrateur du domaine racine de forêt. |
| Domaine racine S-1-5-519 | Administrateurs de l’entreprise | Groupe qui existe uniquement dans le domaine racine de forêt. Il s’agit d’un groupe universel si le domaine est en mode natif et s’il s’agit d’un groupe global si le domaine est en mode mixte. Le groupe Administrateurs d’entreprise est autorisé à apporter des modifications à l’infrastructure de forêt, telles que l’ajout de domaines enfants, la configuration de sites, l’autorisation des serveurs DHCP et l’installation des autorités de certification d’entreprise. Par défaut, le seul membre des administrateurs d’entreprise est le compte d’administrateur du domaine racine de forêt. Le groupe est membre par défaut de chaque groupe Administrateurs de domaine dans la forêt. |
| S-1-5-domain-520 | Propriétaires créateurs de la stratégie de groupe | Groupe global autorisé à créer de nouveaux objets stratégie de groupe dans Active Directory. Par défaut, le seul membre du groupe est Administrateur. Les objets créés par des membres de stratégie de groupe Propriétaires créateur appartiennent à l’utilisateur individuel qui les crée. De cette façon, le groupe propriétaires du créateur stratégie de groupe est différent d’autres groupes d’administration (tels que administrateurs et administrateurs de domaine). Les objets créés par les membres de ces groupes appartiennent au groupe plutôt qu’à l’individu. |
| S-1-5-domain-553 | Serveurs RAS et IAS | Un groupe de domaines local. Par défaut, ce groupe n’a aucun membre. Les ordinateurs qui exécutent le service Routage et Accès à distance sont ajoutés automatiquement au groupe. Les membres de ce groupe ont accès à certaines propriétés d’objets utilisateur, telles que les restrictions de compte de lecture, les informations d’ouverture de session et les informations d’accès à distance en lecture. |
| S-1-5-32-544 | Administrateurs | Un groupe intégré. Après l’installation initiale du système d’exploitation, le seul membre du groupe est le compte Administrateur. Lorsqu’un ordinateur rejoint un domaine, le groupe Administrateurs de domaine est ajouté au groupe Administrateurs. Lorsqu’un serveur devient un contrôleur de domaine, le groupe Administrateurs d’entreprise est également ajouté au groupe Administrateurs. |
| S-1-5-32-545 | Utilisateurs | Un groupe intégré. Après l’installation initiale du système d’exploitation, le seul membre est le groupe Utilisateurs authentifiés. |
| S-1-5-32-546 | Invités | Un groupe intégré. Par défaut, le seul membre est le compte invité. Le groupe Invités permet aux utilisateurs occasionnels ou ponctuels de se connecter avec des privilèges limités au compte invité intégré d’un ordinateur. |
| S-1-5-32-547 | Utilisateurs avec pouvoir | Un groupe intégré. Par défaut, le groupe n’a aucun membre. Les utilisateurs power peuvent créer des utilisateurs et des groupes locaux ; modifier et supprimer des comptes qu’ils ont créés ; et supprimez les utilisateurs des groupes Power Users, Users et Guests. Les utilisateurs power peuvent également installer des programmes ; créer, gérer et supprimer des imprimantes locales ; et créez et supprimez des partages de fichiers. |
| S-1-5-32-548 | Opérateurs de compte | Groupe intégré qui existe uniquement sur les contrôleurs de domaine. Par défaut, le groupe n’a aucun membre. Par défaut, les opérateurs de compte sont autorisés à créer, modifier et supprimer des comptes pour les utilisateurs, les groupes et les ordinateurs de tous les conteneurs et unités d’organisation d’Active Directory, à l’exception du conteneur Intégré et de l’unité d’organisation contrôleurs de domaine. Les opérateurs de compte ne sont pas autorisés à modifier les groupes Administrateurs et Administrateurs de domaine, ni à modifier les comptes des membres de ces groupes. |
| S-1-5-32-549 | Opérateurs de serveur | Description : groupe intégré qui existe uniquement sur les contrôleurs de domaine. Par défaut, le groupe n’a aucun membre. Les opérateurs de serveur peuvent se connecter à un serveur de manière interactive ; créer et supprimer des partages réseau ; démarrer et arrêter les services ; sauvegarder et restaurer des fichiers ; mettre en forme le disque dur de l’ordinateur ; et arrêtez l’ordinateur. |
| S-1-5-32-550 | Opérateurs d'impression | Groupe intégré qui existe uniquement sur les contrôleurs de domaine. Par défaut, le seul membre est le groupe Utilisateurs du domaine. Les opérateurs d’impression peuvent gérer les imprimantes et les files d’attente de documents. |
| S-1-5-32-551 | Opérateurs de sauvegarde | Un groupe intégré. Par défaut, le groupe n’a aucun membre. Les opérateurs de sauvegarde peuvent sauvegarder et restaurer tous les fichiers sur un ordinateur, quelles que soient les autorisations qui protègent ces fichiers. Les opérateurs de sauvegarde peuvent également se connecter à l’ordinateur et l’arrêter. |
| S-1-5-32-552 | Duplicateurs | Groupe intégré utilisé par le service de réplication de fichiers sur les contrôleurs de domaine. Par défaut, le groupe n’a aucun membre. N'ajoutez pas d'utilisateurs à ce groupe. |
| S-1-5-32-554 | Accès intégré\Pré-Windows 2000 compatible | Alias ajouté par Windows 2000. Groupe de compatibilité descendante qui autorise l’accès en lecture sur tous les utilisateurs et groupes du domaine. |
| S-1-5-32-555 | Builtin\Remote Desktop Users | Alias. Les membres de ce groupe ont le droit de se connecter à distance. |
| S-1-5-32-556 | Builtin\Network Configuration Operators | Alias. Les membres de ce groupe peuvent avoir des privilèges d’administration pour gérer la configuration des fonctionnalités réseau. |
| S-1-5-32-557 | Builtin\Entrant Forest Trust Builders | Alias. Les membres de ce groupe peuvent créer des approbations unidirectionnelle entrantes à cette forêt. |
| S-1-5-32-558 | Builtin\Analyseur de performances Users | Alias. Les membres de ce groupe disposent d’un accès à distance pour surveiller cet ordinateur. |
| S-1-5-32-559 | Utilisateurs du journal des performances intégrés | Alias. Les membres de ce groupe ont un accès à distance pour planifier la journalisation des compteurs de performances sur cet ordinateur. |
| S-1-5-32-560 | Builtin\Groupe d’accès d’autorisation Windows | Alias. Les membres de ce groupe ont accès à l’attribut tokenGroupsGlobalAndUniversal calculé sur les objets User. |
| S-1-5-32-561 | Builtin\Serveurs de licences Terminal Server | Alias. Groupe pour les serveurs de licences Terminal Server. Lorsque Windows Server 2003 Service Pack 1 est installé, un nouveau groupe local est créé. |
| S-1-5-32-562 | Utilisateurs COM intégrés\distribués | Alias. Groupe pour COM pour fournir des contrôles d’accès à l’échelle de l’ordinateur qui régissent l’accès à tous les appels, l’activation ou les demandes de lancement sur l’ordinateur. |
| S-1-5-32-568 | Builtin\IIS_IUSRS | Alias. Un compte de groupe intégré pour les utilisateurs IIS. |
| S-1-5-32-569 | Builtin\Cryptographic Operators | Un groupe local intégré. Les membres sont autorisés à effectuer des opérations de chiffrement. |
| S-1-5-32-573 | Builtin\Lecteurs du journal des événements | Un groupe local intégré. Les membres de ce groupe peuvent lire les journaux des événements à partir de l’ordinateur local. |
| S-1-5-32-574 | Accès DCOM builtin\Certificate Service | Un groupe local intégré. Les membres de ce groupe sont autorisés à se connecter aux autorités de certification dans l’entreprise. |
| S-1-5-32-575 | Builtin\RDS Remote Access Servers | Groupe local intégré. Les serveurs de ce groupe permettent aux utilisateurs de programmes RemoteApp et aux bureaux virtuels personnels d’accéder à ces ressources. Dans les déploiements accessibles à Internet, ces serveurs sont généralement déployés dans un réseau de périphérie. Ce groupe doit être rempli sur les serveurs exécutant le service Broker de connexion Bureau à distance. Les serveurs de passerelle Bureau à distance et les serveurs d’accès Web Bureau à distance utilisés dans le déploiement doivent se trouver dans ce groupe. |
| S-1-5-32-576 | Serveurs de points de terminaison RdS intégrés | Groupe local intégré. Les serveurs de ce groupe exécutent des machines virtuelles et hébergent des sessions où les utilisateurs des programmes RemoteApp et des bureaux virtuels personnels s’exécutent. Ce groupe doit être rempli sur les serveurs exécutant le service Broker de connexion Bureau à distance. Les serveurs hôtes de session Bureau à distance et les serveurs hôtes de virtualisation Bureau à distance utilisés dans le déploiement doivent se trouver dans ce groupe. |
| S-1-5-32-577 | Serveurs d’administration RdS intégrés | Groupe local intégré. Les serveurs de ce groupe peuvent effectuer des actions d’administration de routine sur des serveurs exécutant des services Bureau à distance. Ce groupe doit être rempli sur tous les serveurs d’un déploiement des services Bureau à distance. Les serveurs exécutant le service de gestion centrale rdS doivent être inclus dans ce groupe. |
| S-1-5-32-578 | Administrateurs Intégrés\Hyper-V | Groupe local intégré. Les membres de ce groupe ont un accès complet et illimité à toutes les fonctionnalités d’Hyper-V. |
| S-1-5-32-579 | Opérateurs d’assistance intégrés\Access Control | Groupe local intégré. Les membres de ce groupe peuvent interroger à distance des attributs d’autorisation et des autorisations pour les ressources sur cet ordinateur. |
| S-1-5-32-580 | Buildin\Remote Management Users | Groupe local intégré. Les membres de ce groupe peuvent accéder aux ressources WMI via des protocoles de gestion (tels que WS-Management via le service Gestion à distance Windows). Cela s’applique uniquement aux espaces de noms WMI qui accordent l’accès à l’utilisateur. |
| S-1-5-64-10 | Authentification NTLM | SID utilisé lorsque le package d’authentification NTLM a authentifié le client. |
| S-1-5-64-14 | Authentification SChannel | SID utilisé lorsque le package d’authentification SChannel a authentifié le client. |
| S-1-5-64-21 | Authentification Digest | SID utilisé lorsque le package d’authentification Digest a authentifié le client. |
| S-1-5-80 | Service Windows NT | SID utilisé comme préfixe de compte de service NT. |
| S-1-5-80-0 | Tous les services | Groupe qui inclut tous les processus de service configurés sur le système. L’appartenance est contrôlée par le système d’exploitation. SID S-1-5-80-0 est égal à NT SERVICES\ALL SERVICES. Ce SID a été introduit dans Windows Server 2008 R2. |
| S-1-5-83-0 | NT VIRTUAL MACHINE\Virtual Machines | Groupe intégré. Le groupe est créé lorsque le rôle Hyper-V est installé. L’appartenance au groupe est conservée par le service de gestion Hyper-V (VMMS). Ce groupe nécessite le droit Créer des liens symboliques (SeCreateSymbolicLinkPrivilege), ainsi que le droit de connexion en tant que service (SeServiceLogonRight). |
Les RID suivants sont relatifs à chaque domaine :
| RID | Valeur décimale | Identifie |
|---|---|---|
| DOMAIN_USER_RID_ADMIN | 500 | Compte d’utilisateur administratif dans un domaine. |
| DOMAIN_USER_RID_GUEST | 501 | Compte d’utilisateur invité dans un domaine. Les utilisateurs qui n’ont pas de compte peuvent se connecter automatiquement à ce compte. |
| DOMAIN_GROUP_RID_USERS | 513 | Groupe qui contient tous les comptes d’utilisateur dans un domaine. Tous les utilisateurs sont automatiquement ajoutés à ce groupe. |
| DOMAIN_GROUP_RID_GUESTS | 514 | Compte invité de groupe dans un domaine. |
| DOMAIN_GROUP_RID_COMPUTERS | 515 | Groupe d’ordinateurs de domaine. Tous les ordinateurs du domaine sont membres de ce groupe. |
| DOMAIN_GROUP_RID_CONTROLLERS | 516 | Groupe contrôleur de domaine. Tous les contrôleurs de domaine du domaine sont membres de ce groupe. |
| DOMAIN_GROUP_RID_CERT_ADMINS | 517 | Groupe des éditeurs de certificats. Les ordinateurs exécutant les services de certificats Active Directory sont membres de ce groupe. |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS | 518 | Groupe des administrateurs de schémas. Les membres de ce groupe peuvent modifier le schéma Active Directory. |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS | 519 | Groupe des administrateurs d’entreprise. Les membres de ce groupe ont accès à tous les domaines de la forêt Active Directory. Les administrateurs d’entreprise sont responsables des opérations au niveau de la forêt, telles que l’ajout ou la suppression de nouveaux domaines. |
| DOMAIN_GROUP_RID_POLICY_ADMINS | 520 | Groupe des administrateurs de stratégie. |
Le tableau suivant fournit des exemples de RID relatifs au domaine utilisés pour former des SID connus pour les groupes locaux.
| RID | Valeur décimale | Identifie |
|---|---|---|
| DOMAIN_ALIAS_RID_ADMINS | 544 | Administrateurs du domaine. |
| DOMAIN_ALIAS_RID_USERS | 545 | Tous les utilisateurs du domaine. |
| DOMAIN_ALIAS_RID_GUESTS | 546 | Invités du domaine. |
| DOMAIN_ALIAS_RID_POWER_USERS | 547 | Un utilisateur ou un ensemble d’utilisateurs qui s’attendent à traiter un système comme s’il s’agissait de leur ordinateur personnel plutôt que comme station de travail pour plusieurs utilisateurs. |
| DOMAIN_ALIAS_RID_BACKUP_OPS | 551 | Groupe local utilisé pour contrôler l’attribution des droits utilisateur de sauvegarde et de restauration de fichiers. |
| DOMAIN_ALIAS_RID_REPLICATOR | 552 | Groupe local chargé de copier des bases de données de sécurité à partir du contrôleur de domaine principal vers les contrôleurs de domaine de sauvegarde. Ces comptes sont utilisés uniquement par le système. |
| DOMAIN_ALIAS_RID_RAS_SERVERS | 553 | Groupe local qui représente l’accès à distance et les serveurs exécutant le service d’authentification Internet (IAS). Ce groupe permet d’accéder à différents attributs d’objets Utilisateur. |
Modifications apportées aux fonctionnalités de l’identificateur de sécurité
Le tableau suivant décrit les modifications apportées à l’implémentation de SID dans les systèmes d’exploitation Windows désignés dans la liste ci-dessous :
| Modifier | Version du système d'exploitation | Description et ressources |
|---|---|---|
| La plupart des fichiers du système d’exploitation appartiennent à l’identificateur de sécurité TrustedInstaller (SID) | Windows Server 2008, Windows Vista | L’objectif de cette modification est d’empêcher un processus qui s’exécute en tant qu’administrateur ou sous le compte LocalSystem de remplacer automatiquement les fichiers du système d’exploitation. |
| Les contrôles SID restreints sont implémentés | Windows Server 2008, Windows Vista | Lorsque vous limitez les SID sont présents, Windows effectue deux vérifications d’accès. La première est la vérification d’accès normale, et la seconde est la même vérification d’accès par rapport aux SID restreints dans le jeton. Les deux vérifications d’accès doivent passer pour autoriser le processus à accéder à l’objet. |
SID de fonctionnalité
Les identificateurs de sécurité des fonctionnalités (SID) sont utilisés pour des fonctionnalités d’identificateur uniques et immuables qui représentent un jeton d’autorité qui accorde l’accès aux ressources (Exemples : documents, caméra, emplacement, etc.) aux applications Windows universelles. Une application qui « a » une fonctionnalité est autorisée à accéder à la ressource avec laquelle la fonctionnalité est associée, et celle qui « n’a pas » une fonctionnalité est refusée à la ressource.
Tous les SID de capacité dont le système d’exploitation est conscient sont stockés dans le Registre Windows dans le chemin « HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities ». Tout SID de capacité ajouté à Windows par les applications tierces ou d’abord est ajouté à cet emplacement.
Exemples de clés de Registre extraites de Windows 10, version 1909, édition Entreprise 64 bits
Vous pouvez voir les clés de Registre suivantes sous AllCachedCapabilities :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
Tous les SID de fonctionnalité sont préfixés par S-1-15-3
Exemples de clés de Registre extraites de Windows 11, version 21H2, édition Entreprise 64 bits
Vous pouvez voir les clés de Registre suivantes sous AllCachedCapabilities :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
Tous les SID de capacité sont préfixés par S-1-15-3.