Identificatori di sicurezza

Si applica a

  • Windows 10
  • Windows Server 2016

In questo argomento per i professionisti IT vengono descritti gli identificatori di sicurezza e il relativo funzionamento per quanto riguarda gli account e i gruppi nel Windows sistema operativo.

Che cosa sono gli identificatori di sicurezza?

Un identificatore di sicurezza (SID) viene utilizzato per identificare in modo univoco un'entità di sicurezza o un gruppo di sicurezza. Le entità di sicurezza possono rappresentare qualsiasi entità che può essere autenticata dal sistema operativo, ad esempio un account utente, un account computer o un thread o un processo eseguito nel contesto di sicurezza di un account utente o computer.

Ogni account o gruppo o processo in esecuzione nel contesto di sicurezza dell'account dispone di un SID univoco emesso da un'autorità, ad esempio un Windows di dominio. Viene archiviato in un database di sicurezza. Il sistema genera il SID che identifica un account o un gruppo specifico al momento della creazione dell'account o del gruppo. Quando un SID è stato utilizzato come identificatore univoco per un utente o un gruppo, non può mai essere utilizzato di nuovo per identificare un altro utente o gruppo.

Ogni volta che un utente accede, il sistema crea un token di accesso per tale utente. Il token di accesso contiene il SID dell'utente, i diritti utente e i SID per tutti i gruppi a cui appartiene l'utente. Questo token fornisce il contesto di sicurezza per tutte le azioni eseguite dall'utente nel computer.

Oltre ai SID specifici del dominio creati in modo univoco assegnati a utenti e gruppi specifici, esistono SID noti che identificano gruppi generici e utenti generici. Ad esempio, i SID Everyone e World identificano un gruppo che include tutti gli utenti. I SID noti hanno valori che rimangono costanti in tutti i sistemi operativi.

I SID sono un blocco predefinito fondamentale del modello Windows sicurezza. Funzionano con componenti specifici delle tecnologie di autorizzazione e controllo di accesso nell'infrastruttura di sicurezza dei sistemi operativi Windows Server. Ciò consente di proteggere l'accesso alle risorse di rete e fornisce un ambiente di elaborazione più sicuro.

Il contenuto di questo argomento si applica ai computer che eseguono le versioni **** supportate del sistema operativo Windows come indicato nell'elenco Si applica a all'inizio di questo argomento.

Funzionamento degli identificatori di sicurezza

Gli utenti fanno riferimento agli account utilizzando il nome dell'account, ma il sistema operativo si riferisce internamente agli account e ai processi eseguiti nel contesto di sicurezza dell'account utilizzando gli identificatori di sicurezza (SID). Per gli account di dominio, il SID di un'entità di sicurezza viene creato concatenando il SID del dominio con un identificatore relativo (RID) per l'account. I SID sono univoci nell'ambito (dominio o locale) e non vengono mai riutilizzati.

Il sistema operativo genera un SID che identifica un account o un gruppo specifico al momento della creazione dell'account o del gruppo. Il SID per un account o un gruppo locale viene generato dall'Autorità di sicurezza locale (LSA) nel computer e viene archiviato con altre informazioni sull'account in un'area sicura del Registro di sistema. Il SID di un account di dominio o di un gruppo viene generato dall'autorità di sicurezza del dominio e viene archiviato come attributo dell'oggetto Utente o Gruppo in Servizi di dominio Active Directory.

Per ogni account e gruppo locale, il SID è univoco per il computer in cui è stato creato. Nessun account o gruppo nel computer condivide mai lo stesso SID. Analogamente, per ogni account di dominio e gruppo, il SID è univoco all'interno di un'organizzazione. Ciò significa che il SID per un account o un gruppo creato in un dominio non corrisponderà mai al SID di un account o di un gruppo creato in qualsiasi altro dominio dell'organizzazione.

I SID rimangono sempre univoci. Le autorità di sicurezza non rilascino mai lo stesso SID due volte e non riutilizzano mai i SID per gli account eliminati. Ad esempio, se un utente con un account utente in un dominio di Windows lascia il suo lavoro, un amministratore elimina il suo account di Active Directory, incluso il SID che identifica l'account. Se successivamente torna a un altro processo nella stessa società, un amministratore crea un nuovo account e il sistema operativo Windows Server genera un nuovo SID. Il nuovo SID non corrisponde a quello precedente. quindi nessuno degli accessi dell'utente dal suo vecchio account viene trasferito al nuovo account. I due account rappresentano due entità di sicurezza completamente diverse.

Architettura degli identificatori di sicurezza

Un identificatore di sicurezza è una struttura di dati in formato binario che contiene un numero variabile di valori. I primi valori della struttura contengono informazioni sulla struttura SID. I valori rimanenti sono disposti in una gerarchia (simile a un numero di telefono) e identificano l'autorità emittente del SID (ad esempio, "NT Authority"), il dominio di emissione del SID e un'entità di sicurezza o un gruppo specifico. Nell'immagine seguente viene illustrata la struttura di un SID.

Architettura degli identificatori di sicurezza.

I singoli valori di un SID sono descritti nella tabella seguente.

Comment Descrizione
Revisione Indica la versione della struttura SID utilizzata in un SID specifico.
Autorità identificatore Identifica il livello più alto di autorità che può rilasciare SID per un particolare tipo di entità di sicurezza. Ad esempio, il valore dell'autorità dell'identificatore nel SID per il gruppo Everyone è 1 (Autorità mondiale). Il valore dell'autorità dell'identificatore nel SID per un account o un gruppo Windows Server specifico è 5 (NT Authority).
Sottoautorità >contiene le informazioni più importanti in un SID, contenute in una serie di uno o più valori di sottoautorità. Tutti i valori fino all'ultimo valore della serie identificano collettivamente un dominio in un'organizzazione. Questa parte della serie è denominata identificatore di dominio. L'ultimo valore della serie, denominato identificatore relativo (RID), identifica un account o un gruppo specifico relativo a un dominio.

I componenti di un SID sono più facili da visualizzare quando i SID vengono convertiti da un formato binario a un formato stringa utilizzando la notazione standard:

S-R-X-Y1-Y2-Yn-1-Yn

In questa notazione, i componenti di un SID sono rappresentati come illustrato nella tabella seguente.

Comment Descrizione
S Indica che la stringa è un SID
R Indica il livello di revisione
X Indica il valore dell'autorità dell'identificatore
S Rappresenta una serie di valori di sottoautorità, dove n è il numero di valori

Le informazioni più importanti del SID sono contenute nella serie di valori di sottoautorità. La prima parte della serie (-Y1-Y2-Yn-1) è l'identificatore di dominio. Questo elemento del SID diventa significativo in un'azienda con diversi domini, perché l'identificatore di dominio distingue i SID emessi da un dominio dai SID emessi da tutti gli altri domini dell'organizzazione. Due domini di un'organizzazione non condividono lo stesso identificatore di dominio.

L'ultimo elemento della serie di valori di sottoautorità (-Yn) è l'identificatore relativo. Distingue un account o un gruppo da tutti gli altri account e gruppi nel dominio. Nessun account o gruppo in alcun dominio condivide lo stesso identificatore relativo.

Ad esempio, il SID per il gruppo Administrators predefinito è rappresentato nella notazione SID standardizzata come la stringa seguente:

S-1-5-32-544

Questo SID ha quattro componenti:

  • Livello di revisione (1)

  • Valore dell'autorità identificatore (5, NT Authority)

  • Identificatore di dominio (32, Builtin)

  • Identificatore relativo (544, Administrators)

I SID per gli account e i gruppi incorporati hanno sempre lo stesso valore dell'identificatore di dominio: 32. Questo valore identifica il dominio Builtin, presente in ogni computer che esegue una versione del sistema operativo Windows Server. Non è mai necessario distinguere gli account e i gruppi predefiniti di un computer dagli account e dai gruppi predefiniti di un altro computer perché sono nell'ambito locale. Sono locali a un singolo computer o, nel caso dei controller di dominio per un dominio di rete, sono locali a più computer che agiscono come uno.

Gli account e i gruppi predefiniti devono essere distinti l'uno dall'altro nell'ambito del dominio Builtin. Di conseguenza, il SID per ogni account e gruppo ha un identificatore relativo univoco. Un valore identificatore relativo pari a 544 è univoco per il gruppo Administrators predefinito. Nessun altro account o gruppo nel dominio builtin dispone di un SID con un valore finale pari a 544.

In un altro esempio si consideri il SID del gruppo globale Domain Admins. Ogni dominio di un'organizzazione dispone di un gruppo Domain Admins e il SID di ogni gruppo è diverso. Nell'esempio seguente viene rappresentato il SID per il gruppo Domain Admins nel dominio Contoso, Ltd. (Contoso\Domain Admins):

S-1-5-21-1004336348-1177238915-682003330-512

Il SID per Contoso\Domain Admins include:

  • Livello di revisione (1)

  • Un'autorità identificatore (5, NT Authority)

  • Un identificatore di dominio (21-1004336348-1177238915-682003330, Contoso)

  • Identificatore relativo (512, Domain Admins)

Il SID per Contoso\Domain Admins si distingue dai SID per altri gruppi Domain Admins nella stessa organizzazione in base al relativo identificatore di dominio: 21-1004336348-1177238915-6820033330. Nessun altro dominio dell'organizzazione utilizza questo valore come identificatore di dominio. Il SID per Contoso\Domain Admins si distingue dai SID per altri account e gruppi creati nel dominio Contoso dal relativo identificatore relativo, 512. Nessun altro account o gruppo nel dominio ha un SID con un valore finale pari a 512.

Allocazione dell'identificatore relativo

Quando gli account e i gruppi vengono archiviati in un database degli account gestito da un sam (Security Accounts Manager) locale, è abbastanza semplice per il sistema generare un identificatore relativo univoco per ogni account e in un gruppo creato in un computer autonomo. Il sam in un computer autonomo può tenere traccia dei valori dell'identificatore relativo utilizzati in precedenza e assicurarsi che non li utilizzi mai più.

In un dominio di rete, tuttavia, la generazione di identificatori relativi univoci è un processo più complesso. Windows I domini di rete del server possono avere diversi controller di dominio. In ogni controller di dominio vengono archiviate le informazioni sull'account di Active Directory. Ciò significa che, in un dominio di rete, sono presenti tutte le copie del database degli account quanti sono i controller di dominio. Inoltre, ogni copia del database degli account è una copia master. È possibile creare nuovi account e gruppi in qualsiasi controller di dominio. Le modifiche apportate ad Active Directory in un controller di dominio vengono replicate in tutti gli altri controller di dominio del dominio. Il processo di replica delle modifiche in una copia master del database degli account in tutte le altre copie master è denominato operazione multimaster.

Il processo di generazione di identificatori relativi univoci è un'operazione a master singolo. A un controller di dominio viene assegnato il ruolo di master RID (Relative Identifier) e viene allocata una sequenza di identificatori relativi a ogni controller di dominio nel dominio. Quando un nuovo account o gruppo di dominio viene creato nella replica di Active Directory di un controller di dominio, viene assegnato un SID. L'identificatore relativo per il nuovo SID viene preso dall'allocazione degli identificatori relativi da parte del controller di dominio. Quando la fornitura di identificatori relativi inizia a scarseggiare, il controller di dominio richiede un altro blocco dal master RID.

Ogni controller di dominio utilizza ogni valore in un blocco di identificatori relativi una sola volta. Il master RID alloca ogni blocco di valori dell'identificatore relativo una sola volta. Questo processo garantisce che ogni account e gruppo creato nel dominio abbia un identificatore relativo univoco.

Identificatori di sicurezza e identificatori univoci globali

Quando viene creato un nuovo account utente o di gruppo di dominio, Active Directory archivia il SID dell'account nella proprietà ObjectSID di un oggetto User o Group. Assegna inoltre al nuovo oggetto un identificatore univoco globale (GUID), ovvero un valore a 128 bit univoco non solo nell'organizzazione, ma anche in tutto il mondo. I GUID vengono assegnati a ogni oggetto creato da Active Directory, non solo agli oggetti User e Group. Il GUID di ogni oggetto viene archiviato nella relativa proprietà ObjectGUID.

Active Directory utilizza i GUID internamente per identificare gli oggetti. Ad esempio, il GUID è una delle proprietà di un oggetto pubblicato nel catalogo globale. La ricerca nel catalogo globale di un GUID oggetto utente produce risultati se l'utente dispone di un account da qualche parte nell'organizzazione. In realtà, la ricerca di qualsiasi oggetto in base a ObjectGUID potrebbe essere il modo più affidabile per trovare l'oggetto che si desidera individuare. I valori di altre proprietà dell'oggetto possono cambiare, ma la proprietà ObjectGUID non cambia mai. Quando a un oggetto viene assegnato un GUID, mantiene tale valore per tutta la vita.

Se un utente si sposta da un dominio a un altro, l'utente ottiene un nuovo SID. Il SID per un oggetto gruppo non cambia perché i gruppi rimangono nel dominio in cui sono stati creati. Tuttavia, se gli utenti si spostano, i loro account possono spostarsi con loro. Se un dipendente si sposta dal Nord America all'Europa, ma rimane nella stessa società, un amministratore dell'organizzazione può spostare l'oggetto User del dipendente, ad esempio Contoso\NoAm in Contoso\Europe. Se l'amministratore esegue questa operazione, l'oggetto User per l'account necessita di un nuovo SID. La parte dell'identificatore di dominio di un SID emesso in NoAm è univoca per NoAm. in modo che il SID per l'account dell'utente in Europa abbia un identificatore di dominio diverso. La parte relativa dell'identificatore di un SID è univoca rispetto al dominio. quindi, se il dominio cambia, cambia anche l'identificatore relativo.

Quando un oggetto User si sposta da un dominio a un altro, deve essere generato un nuovo SID per l'account utente e archiviato nella proprietà ObjectSID. Prima che il nuovo valore venga scritto nella proprietà, il valore precedente viene copiato in un'altra proprietà di un oggetto User, SIDHistory. Questa proprietà può contenere più valori. Ogni volta che un oggetto User viene spostato in un altro dominio, viene generato e archiviato un nuovo SID nella proprietà ObjectSID e viene aggiunto un altro valore all'elenco dei SID vecchi in SIDHistory. Quando un utente accede e viene autenticato correttamente, il servizio di autenticazione del dominio esegue una query in Active Directory per tutti i SID associati all'utente, inclusi il SID corrente dell'utente, i VECCHI SID dell'utente e i SID per i gruppi dell'utente. Tutti questi SID vengono restituiti al client di autenticazione e sono inclusi nel token di accesso dell'utente. Quando l'utente tenta di accedere a una risorsa, uno qualsiasi dei SID nel token di accesso (incluso uno dei SID in SIDHistory) può consentire o negare l'accesso dell'utente.

Se si consente o si nega l'accesso degli utenti a una risorsa in base ai processi, è consigliabile consentire o negare l'accesso a un gruppo e non a un singolo utente. In questo modo, quando gli utenti cambiano lavoro o si spostano in altri reparti, è possibile modificare facilmente l'accesso rimuovendoli da determinati gruppi e aggiungendoli ad altri.

Tuttavia, se si consente o si nega a un singolo utente l'accesso alle risorse, è probabile che si desideri che l'accesso dell'utente rimanga lo stesso indipendentemente dal numero di modifiche apportate al dominio dell'account utente. La proprietà SIDHistory rende possibile questa operazione. Quando un utente modifica i domini, non è necessario modificare l'elenco di controllo di accesso (ACL) in alcuna risorsa. Se un ACL ha il VECCHIO SID dell'utente, ma non quello nuovo, il VECCHIO SID è ancora nel token di accesso dell'utente. È elencato tra i SID per i gruppi dell'utente e all'utente viene concesso o negato l'accesso in base al SID precedente.

SID noti

I valori di alcuni SID sono costanti in tutti i sistemi. Vengono creati quando viene installato il sistema operativo o il dominio. Sono denominati SID noti perché identificano utenti generici o gruppi generici.

Esistono SID universali noti che sono significativi in tutti i sistemi sicuri che utilizzano questo modello di sicurezza, inclusi i sistemi operativi diversi da Windows. Inoltre, esistono SID noti che sono significativi solo nei Windows operativi.

Nella tabella seguente sono elencati i SID noti universali.

Valore SID Well-Known universale Identifica
S-1-0-0 Null SID Gruppo senza membri. Questo viene spesso utilizzato quando un valore SID non è noto.
S-1-1-0 World Gruppo che include tutti gli utenti.
S-1-2-0 Locali Utenti che a log-on a terminali connessi localmente (fisicamente) al sistema.
S-1-2-1 Accesso console Gruppo che include gli utenti connessi alla console fisica.
S-1-3-0 ID proprietario creatore Identificatore di sicurezza da sostituire con l'identificatore di sicurezza dell'utente che ha creato un nuovo oggetto. Questo SID viene utilizzato nelle voci di controllo di accesso ereditabili.
S-1-3-1 ID gruppo creatore Identificatore di sicurezza da sostituire con il SID del gruppo primario dell'utente che ha creato un nuovo oggetto. Utilizzare questo SID nelle voci di controllo di accesso ereditabili.
S-1-3-2 Creator Owner Server
S-1-3-3 Creator Group Server
S-1-3-4 Diritti proprietari Gruppo che rappresenta il proprietario corrente dell'oggetto. Quando una ACE che trasporta questo SID viene applicata a un oggetto, il sistema ignora le autorizzazioni READ_CONTROL e WRITE_DAC implicite per il proprietario dell'oggetto.
S-1-4 Autorità non univoca SID che rappresenta un'autorità identificatore.
S-1-5 NT Authority SID che rappresenta un'autorità identificatore.
S-1-5-80-0 Tutti i servizi Gruppo che include tutti i processi di servizio configurati nel sistema. L'appartenenza è controllata dal sistema operativo.

Nella tabella seguente sono elencate le costanti di autorità degli identificatori predefinite. I primi quattro valori vengono utilizzati con SID noti universali e l'ultimo valore viene utilizzato con SID noti nei sistemi operativi Windows designati nell'elenco Si applica a.

Identificatore Autorità Valore Prefisso stringa SID
SECURITY_NULL_SID_AUTHORITY 0 S-1-0
SECURITY_WORLD_SID_AUTHORITY 1 S-1-1
SECURITY_LOCAL_SID_AUTHORITY 2 S-1-2
SECURITY_CREATOR_SID_AUTHORITY 3 S-1-3

I seguenti valori RID vengono utilizzati con i SID noti universali. Nella colonna Identificatore autorità viene visualizzato il prefisso dell'autorità dell'identificatore con cui è possibile combinare il RID per creare un SID noto universale.

Autorità identificatore relativo Valore Identificatore Autorità
SECURITY_NULL_RID 0 S-1-0
SECURITY_WORLD_RID 0 S-1-1
SECURITY_LOCAL_RID 0 S-1-2
SECURITY_CREATOR_OWNER_RID 0 S-1-3
SECURITY_CREATOR_GROUP_RID 1 S-1-3

L'autorità identificatore predefinita SECURITY_NT_AUTHORITY (S-1-5) produce SID non universali e significativi solo nelle installazioni dei sistemi operativi Windows **** designate nell'elenco Si applica a all'inizio di questo argomento. Nella tabella seguente sono elencati i SID noti.

SID Nome visualizzato Descrizione
S-1-5-1 Connessione remota Gruppo che include tutti gli utenti connessi al sistema tramite una connessione remota.
S-1-5-113 Account locale È possibile utilizzare questo SID per limitare l'accesso di rete agli account locali anziché "amministratore" o equivalente. Questo SID può essere efficace nel bloccare l'accesso di rete per utenti e gruppi locali in base al tipo di account, indipendentemente dal nome effettivo.
S-1-5-114 Account locale e membro del gruppo Administrators È possibile utilizzare questo SID per limitare l'accesso di rete agli account locali anziché "amministratore" o equivalente. Questo SID può essere efficace nel bloccare l'accesso di rete per utenti e gruppi locali in base al tipo di account, indipendentemente dal nome effettivo.
S-1-5-2 Rete Gruppo che include tutti gli utenti connessi tramite una connessione di rete. I token di accesso per gli utenti interattivi non contengono il SID di rete.
S-1-5-3 Batch Gruppo che include tutti gli utenti che hanno eseguito l'accesso tramite una funzionalità di coda batch, ad esempio i processi dell'utilità di pianificazione.
S-1-5-4 Interattivo Un gruppo che include tutti gli utenti che a questo punto esere connessi in modo interattivo. Un utente può avviare una sessione di accesso interattivo accedendo direttamente alla tastiera, aprendo una connessione a Servizi Desktop remoto da un computer remoto o utilizzando una shell remota, ad esempio Telnet. In ogni caso, il token di accesso dell'utente contiene il SID interattivo. Se l'utente accede utilizzando una connessione a Servizi Desktop remoto, il token di accesso dell'utente contiene anche il SID accesso interattivo remoto.
S-1-5-5- X - Y Sessione di accesso I valori X e Y per questi SID identificano in modo univoco una particolare sessione di accesso.
S-1-5-6 Servizio Gruppo che include tutte le entità di sicurezza che hanno eseguito l'accesso come servizio.
S-1-5-7 Accesso anonimo Un utente che si è connesso al computer senza fornire un nome utente e una password.
L'identità accesso anonimo è diversa dall'identità utilizzata da Internet Information Services (IIS) per l'accesso Web anonimo. IIS utilizza un account effettivo, per impostazione predefinita, IUSR_ ComputerName, per l'accesso anonimo alle risorse in un sito Web. In senso stretto, tale accesso non è anonimo perché l'entità di sicurezza è nota anche se persone non identificate usano l'account. IUSR_ ComputerName (o qualsiasi altro nome dell'account) dispone di una password e IIS accede all'account all'avvio del servizio. Di conseguenza, l'utente "anonimo" IIS è membro di Authenticated Users, ma accesso anonimo no.
S-1-5-8 Proxy Attualmente non è applicabile: questo SID non viene utilizzato.
S-1-5-9 Enterprise Controller di dominio Gruppo che include tutti i controller di dominio in una foresta di domini.
S-1-5-10 Self Segnaposto in una ACE per un utente, un gruppo o un oggetto computer in Active Directory. Quando si concedono le autorizzazioni a Self, vengono concesse all'entità di sicurezza rappresentata dall'oggetto. Durante un controllo di accesso, il sistema operativo sostituisce il SID per Self con il SID dell'entità di sicurezza rappresentata dall'oggetto.
S-1-5-11 Authenticated Users Gruppo che include tutti gli utenti e i computer con identità autenticate. Authenticated Users non include Guest anche se l'account Guest dispone di una password.
Questo gruppo include entità di sicurezza autenticate da qualsiasi dominio trusted, non solo dal dominio corrente.
S-1-5-12 Codice con restrizioni Identità utilizzata da un processo in esecuzione in un contesto di sicurezza con restrizioni. Nei sistemi operativi Windows e Windows Server, un criterio di restrizione software può assegnare uno dei tre livelli di sicurezza al codice: senza restrizioni, con restrizioni o non consentito. Quando il codice viene eseguito al livello di sicurezza con restrizioni, il SID con restrizioni viene aggiunto al token di accesso dell'utente.
S-1-5-13 Utente di Terminal Server Gruppo che include tutti gli utenti che a tale server sono abilitati Servizi Desktop remoto.
S-1-5-14 Accesso interattivo remoto Gruppo che include tutti gli utenti che a tale computer a cui accede utilizzando una connessione desktop remoto. Questo gruppo è un sottoinsieme del gruppo Interattivo. I token di accesso che contengono il SID di accesso interattivo remoto contengono anche il SID interattivo.
S-1-5-15 Questa organizzazione Gruppo che include tutti gli utenti della stessa organizzazione. Incluso solo con gli account di Active Directory e aggiunto solo da un controller di dominio.
S-1-5-17 IIS_USRS Account utilizzato dall'utente Internet Information Services (IIS) predefinito.
S-1-5-18 Sistema (o LocalSystem) Identità utilizzata localmente dal sistema operativo e dai servizi configurati per l'accesso come LocalSystem.
System è un membro nascosto di Administrators. In altre informazioni, qualsiasi processo eseguito come sistema dispone del SID per il gruppo Administrators predefinito nel relativo token di accesso.
Quando un processo eseguito localmente come Sistema accede alle risorse di rete, lo fa utilizzando l'identità di dominio del computer. Il token di accesso nel computer remoto include il SID per l'account di dominio del computer locale più i SID per i gruppi di sicurezza di cui il computer è membro, ad esempio Computer di dominio e Utenti autenticati.
S-1-5-19 NT Authority (LocalService) Identità utilizzata dai servizi locali del computer, che non necessitano di un accesso locale esteso e non necessitano di accesso di rete autenticato. I servizi eseguiti come LocalService accedono alle risorse locali come utenti ordinari e accedono alle risorse di rete come utenti anonimi. Di conseguenza, un servizio eseguito come LocalService ha un'autorità significativamente inferiore rispetto a un servizio eseguito come LocalSystem in locale e in rete.
S-1-5-20 Servizio di rete Identità utilizzata dai servizi che non necessitano di un accesso locale esteso, ma che necessitano di accesso di rete autenticato. I servizi in esecuzione come NetworkService accedono alle risorse locali come utenti normali e accedono alle risorse di rete utilizzando l'identità del computer. Di conseguenza, un servizio eseguito come NetworkService ha lo stesso accesso di rete di un servizio eseguito come LocalSystem, ma ha notevolmente ridotto l'accesso locale.
S-1-5-dominio-500 Amministratore Un account utente per l'amministratore di sistema. Ogni computer dispone di un account amministratore locale e di ogni dominio dispone di un account di amministratore di dominio.
L'account Administrator è il primo account creato durante l'installazione del sistema operativo. L'account non può essere eliminato, disabilitato o bloccato, ma può essere rinominato.
Per impostazione predefinita, l'account Administrator è un membro del gruppo Administrators e non può essere rimosso da tale gruppo.
S-1-5-dominio-501 Guest Un account utente per le persone che non dispongono di singoli account. Ogni computer dispone di un account Guest locale e ogni dominio dispone di un account Guest di dominio.
Per impostazione predefinita, Guest è un membro dei gruppi Everyone e Guests. L'account Guest di dominio è anche membro dei gruppi Domain Guests e Domain Users.
A differenza dell'accesso anonimo, Guest è un account reale e può essere utilizzato per accedere in modo interattivo. L'account Guest non richiede una password, ma può avere una password.
S-1-5-dominio-502 krbtgt Account utente utilizzato dal servizio Centro distribuzione chiavi (KDC). L'account esiste solo nei controller di dominio.
S-1-5-dominio-512 Domain Admins Gruppo globale con membri autorizzati ad amministrare il dominio. Per impostazione predefinita, il gruppo Domain Admins è membro del gruppo Administrators in tutti i computer aggiunti al dominio, inclusi i controller di dominio.
Domain Admins è il proprietario predefinito di qualsiasi oggetto creato in Active Directory del dominio da qualsiasi membro del gruppo. Se i membri del gruppo creano altri oggetti, ad esempio i file, il proprietario predefinito è il gruppo Administrators.
S-1-5-dominio-513 Utenti di dominio Gruppo globale che include tutti gli utenti di un dominio. Quando si crea un nuovo oggetto User in Active Directory, l'utente viene aggiunto automaticamente a questo gruppo.
S-1-5-dominio-514 Domain Guests Un gruppo globale, che per impostazione predefinita dispone di un solo membro: l'account Guest predefinito del dominio.
S-1-5-dominio-515 Computer di dominio Gruppo globale che include tutti i computer aggiunti al dominio, esclusi i controller di dominio.
S-1-5-dominio-516 Controller di dominio Gruppo globale che include tutti i controller di dominio nel dominio. I nuovi controller di dominio vengono aggiunti automaticamente a questo gruppo.
S-1-5-dominio-517 Autori certificati Gruppo globale che include tutti i computer che ospitano un'autorità di certificazione aziendale.
Gli editori di certificati sono autorizzati a pubblicare certificati per gli oggetti utente in Active Directory.
S-1-5-dominio radice-518 Schema Admins Gruppo presente solo nel dominio radice della foresta. Si tratta di un gruppo universale se il dominio è in modalità nativa ed è un gruppo globale se il dominio è in modalità mista. Il gruppo Schema Admins è autorizzato ad apportare modifiche allo schema in Active Directory. Per impostazione predefinita, l'unico membro del gruppo è l'account Administrator per il dominio radice della foresta.
S-1-5-dominio radice-519 Enterprise Amministratori Gruppo presente solo nel dominio radice della foresta. Si tratta di un gruppo universale se il dominio è in modalità nativa ed è un gruppo globale se il dominio è in modalità mista.
Il Enterprise Admins è autorizzato ad apportare modifiche all'infrastruttura della foresta, ad esempio l'aggiunta di domini figlio, la configurazione dei siti, l'autorizzazione dei server DHCP e l'installazione delle autorità di certificazione dell'organizzazione.
Per impostazione predefinita, l'unico membro di Enterprise Admins è l'account Administrator per il dominio radice della foresta. Il gruppo è un membro predefinito di ogni gruppo Domain Admins nella foresta.
S-1-5-dominio-520 Proprietari dei creatori di Criteri di gruppo Gruppo globale autorizzato a creare nuovi oggetti Criteri di gruppo in Active Directory. Per impostazione predefinita, l'unico membro del gruppo è Administrator.
Gli oggetti creati dai membri dei proprietari dei creatori di Criteri di gruppo sono di proprietà del singolo utente che li crea. In questo modo, il gruppo Proprietari creatori criteri di gruppo è diverso da altri gruppi amministrativi (ad esempio Administrators e Domain Admins). Gli oggetti creati dai membri di questi gruppi sono di proprietà del gruppo anziché dell'individuo.
S-1-5-dominio-553 Server RAS e IAS Gruppo di dominio locale. Per impostazione predefinita, questo gruppo non dispone di membri. I computer che eseguono il servizio Routing e Accesso remoto vengono aggiunti automaticamente al gruppo.
I membri di questo gruppo hanno accesso a determinate proprietà degli oggetti Utente, ad esempio Restrizioni di lettura account, Lettura informazioni di accesso e Lettura informazioni di accesso remoto.
S-1-5-32-544 Administrators Gruppo predefinito. Dopo l'installazione iniziale del sistema operativo, l'unico membro del gruppo è l'account Administrator. Quando un computer viene aggiunto a un dominio, il gruppo Domain Admins viene aggiunto al gruppo Administrators. Quando un server diventa un controller di dominio, il Enterprise Admins viene aggiunto anche al gruppo Administrators.
S-1-5-32-545 Utenti Gruppo predefinito. Dopo l'installazione iniziale del sistema operativo, l'unico membro è il gruppo Authenticated Users.
S-1-5-32-546 Guest Gruppo predefinito. Per impostazione predefinita, l'unico membro è l'account Guest. Il gruppo Guests consente agli utenti occasionali o occasionali di accedere con privilegi limitati all'account Guest predefinito di un computer.
S-1-5-32-547 Power Users Gruppo predefinito. Per impostazione predefinita, il gruppo non dispone di membri. Gli utenti esperti possono creare utenti e gruppi locali; modificare ed eliminare gli account creati; e rimuovere gli utenti dai gruppi Power Users, Users e Guests. Gli utenti esperti possono anche installare programmi; creare, gestire ed eliminare stampanti locali; e creare ed eliminare condivisioni file.
S-1-5-32-548 Account Operators Gruppo incorporato che esiste solo nei controller di dominio. Per impostazione predefinita, il gruppo non dispone di membri. Per impostazione predefinita, gli operatori account dispongono dell'autorizzazione per creare, modificare ed eliminare account per utenti, gruppi e computer in tutti i contenitori e unità organizzative di Active Directory ad eccezione del contenitore Builtin e dell'unità organizzativa Controller di dominio. Gli operatori di account non dispongono dell'autorizzazione per modificare i gruppi Administrators e Domain Admins né dispongono dell'autorizzazione per modificare gli account per i membri di tali gruppi.
S-1-5-32-549 Server Operators Descrizione: gruppo incorporato che esiste solo nei controller di dominio. Per impostazione predefinita, il gruppo non dispone di membri. Server Operators può accedere a un server in modo interattivo. creare ed eliminare condivisioni di rete; avviare e arrestare i servizi; eseguire il backup e il ripristino dei file; formattare il disco rigido del computer; e arrestare il computer.
S-1-5-32-550 Operatori di stampa Gruppo incorporato che esiste solo nei controller di dominio. Per impostazione predefinita, l'unico membro è il gruppo Domain Users. Gli operatori di stampa possono gestire le stampanti e le code dei documenti.
S-1-5-32-551 Operatori di backup Gruppo predefinito. Per impostazione predefinita, il gruppo non dispone di membri. Gli operatori di backup possono eseguire il backup e il ripristino di tutti i file in un computer, indipendentemente dalle autorizzazioni che proteggono tali file. Backup Operators può anche accedere al computer e arrestarlo.
S-1-5-32-552 Replicatori Gruppo incorporato utilizzato dal servizio Replica file nei controller di dominio. Per impostazione predefinita, il gruppo non dispone di membri. Non aggiungere utenti a questo gruppo.
S-1-5-32-554 Builtin\Pre-Windows 2000 Compatible Access Alias aggiunto da Windows 2000. Gruppo di compatibilità con le versioni precedenti che consente l'accesso in lettura a tutti gli utenti e i gruppi del dominio.
S-1-5-32-555 Builtin\Utenti desktop remoto Alias. Ai membri di questo gruppo viene concesso il diritto di accedere in remoto.
S-1-5-32-556 Builtin\Network Configuration Operators Alias. I membri di questo gruppo possono disporre di alcuni privilegi amministrativi per gestire la configurazione delle funzionalità di rete.
S-1-5-32-557 Builtin\Incoming Forest Trust Builders Alias. I membri di questo gruppo possono creare trust unidirezionale in ingresso nella foresta.
S-1-5-32-558 Builtin\Performance Monitor Users Alias. I membri di questo gruppo dispongono dell'accesso remoto per monitorare il computer.
S-1-5-32-559 Builtin\Performance Log Users Alias. I membri di questo gruppo dispongono dell'accesso remoto per pianificare la registrazione dei contatori delle prestazioni nel computer.
S-1-5-32-560 Builtin\Windows Authorization Access Group Alias. I membri di questo gruppo hanno accesso all'attributo calcolato tokenGroupsGlobalAndUniversal sugli oggetti User.
S-1-5-32-561 Builtin\Terminal Server License Servers Alias. Gruppo per server licenze Terminal Server. Quando Windows Server 2003 Service Pack 1, viene creato un nuovo gruppo locale.
S-1-5-32-562 Builtin\Distributed COM Users Alias. Gruppo che consente a COM di fornire controlli di accesso a livello di computer che regolano l'accesso a tutte le richieste di chiamata, attivazione o avvio nel computer.
S-1-5-32-569 Builtin\Cryptographic Operators Gruppo locale predefinito. I membri sono autorizzati a eseguire operazioni di crittografia.
S-1-5-32-573 Builtin\Lettori log eventi Gruppo locale predefinito. I membri di questo gruppo possono leggere i registri eventi dal computer locale.
S-1-5-32-574 Builtin\Certificate Service DCOM Access Gruppo locale predefinito. Ai membri di questo gruppo è consentito connettersi alle Autorità di certificazione dell'organizzazione.
S-1-5-32-575 Builtin\RDS Remote Access Servers Gruppo locale predefinito. I server di questo gruppo consentono agli utenti di programmi RemoteApp e desktop virtuali personali di accedere a queste risorse. Nelle distribuzioni con connessione Internet, questi server vengono in genere distribuiti in una rete perimetrale. Questo gruppo deve essere popolato nei server che eseguono Gestore connessione Desktop remoto. I server Gateway Desktop remoto e i server Accesso Web Desktop remoto utilizzati nella distribuzione devono essere in questo gruppo.
S-1-5-32-576 Builtin\RDS Endpoint Servers Gruppo locale predefinito. I server in questo gruppo eseguono macchine virtuali e sessioni host in cui gli utenti eseguono programmi RemoteApp e desktop virtuali personali. Questo gruppo deve essere popolato nei server che eseguono Gestore connessione Desktop remoto. I server Host sessione Desktop remoto e i server Host di virtualizzazione Desktop remoto utilizzati nella distribuzione devono essere in questo gruppo.
S-1-5-32-577 Builtin\RDS Management Servers Gruppo locale predefinito. I server di questo gruppo possono eseguire azioni amministrative di routine nei server che eseguono Servizi Desktop remoto. Questo gruppo deve essere popolato in tutti i server in una distribuzione di Servizi Desktop remoto. I server che eseguono il servizio Gestione centrale Servizi Desktop remoto devono essere inclusi in questo gruppo.
S-1-5-32-578 Builtin\Hyper-V Administrators Gruppo locale predefinito. I membri di questo gruppo hanno accesso completo e senza restrizioni a tutte le funzionalità di Hyper-V.
S-1-5-32-579 Builtin\Access Control Assistance Operators Gruppo locale predefinito. I membri di questo gruppo possono eseguire query in remoto sugli attributi e sulle autorizzazioni di autorizzazione per le risorse nel computer.
S-1-5-32-580 Builtin\Remote Management Users Gruppo locale predefinito. I membri di questo gruppo possono accedere alle risorse WMI tramite protocolli di gestione (ad esempio, WS-Management tramite il Windows Remote Management). Questo vale solo per gli spazi dei nomi WMI che concedono l'accesso all'utente.
S-1-5-64-10 Autenticazione NTLM SID utilizzato quando il pacchetto di autenticazione NTLM ha autenticato il client
S-1-5-64-14 Autenticazione SChannel SID utilizzato quando il pacchetto di autenticazione SChannel ha autenticato il client.
S-1-5-64-21 Autenticazione del digest SID utilizzato quando il pacchetto di autenticazione del digest ha autenticato il client.
S-1-5-80 Servizio NT SID utilizzato come prefisso dell'account di servizio NT.
S-1-5-80-0 Tutti i servizi Gruppo che include tutti i processi di servizio configurati nel sistema. L'appartenenza è controllata dal sistema operativo. SID S-1-5-80-0 equivale a NT SERVICES\ALL SERVICES. Questo SID è stato introdotto in Windows Server 2008 R2.
S-1-5-83-0 MACCHINA VIRTUALE NT\Macchine virtuali Gruppo predefinito. Il gruppo viene creato quando viene installato il ruolo Hyper-V. L'appartenenza al gruppo viene gestita dal servizio di gestione Hyper-V (VMM). Questo gruppo richiede il diritto Crea collegamenti simbolici (SeCreateSymbolicLinkPrivilege) e anche il diritto Accedi come servizio (SeServiceLogonRight). ****
S-1-16-0 Livello obbligatorio non attendibile SID che rappresenta un livello di integrità non attendibile.
S-1-16-4096 Livello obbligatorio basso SID che rappresenta un livello di integrità basso.
S-1-16-8192 Livello obbligatorio medio Questo SID rappresenta un livello di integrità medio.
S-1-16-8448 Livello medio più obbligatorio SID che rappresenta un livello di integrità medium plus.
S-1-16-12288 Livello obbligatorio elevato SID che rappresenta un livello di integrità elevato.
S-1-16-16384 Livello obbligatorio di sistema SID che rappresenta un livello di integrità del sistema.
S-1-16-20480 Livello obbligatorio processo protetto SID che rappresenta un livello di integrità del processo protetto.
S-1-16-28672 Livello obbligatorio processo sicuro SID che rappresenta un livello di integrità del processo sicuro.

I riD seguenti sono relativi a ogni dominio.

RID Valore decimale Identifica
DOMAIN_USER_RID_ADMIN 500 Account utente amministrativo in un dominio.
DOMAIN_USER_RID_GUEST 501 Account utente guest in un dominio. Gli utenti che non dispongono di un account possono accedere automaticamente a questo account.
DOMAIN_GROUP_RID_USERS 513 Gruppo che contiene tutti gli account utente in un dominio. Tutti gli utenti vengono aggiunti automaticamente a questo gruppo.
DOMAIN_GROUP_RID_GUESTS 514 Account Guest di gruppo in un dominio.
DOMAIN_GROUP_RID_COMPUTERS 515 Gruppo Computer di dominio. Tutti i computer del dominio sono membri di questo gruppo.
DOMAIN_GROUP_RID_CONTROLLERS 516 Gruppo controller di dominio. Tutti i controller di dominio nel dominio sono membri di questo gruppo.
DOMAIN_GROUP_RID_CERT_ADMINS 517 Gruppo degli editori di certificati. I computer che eseguono Servizi certificati Active Directory sono membri di questo gruppo.
DOMAIN_GROUP_RID_SCHEMA_ADMINS 518 Gruppo degli amministratori dello schema. I membri di questo gruppo possono modificare lo schema di Active Directory.
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS 519 Gruppo di amministratori dell'organizzazione. I membri di questo gruppo hanno accesso completo a tutti i domini nella foresta di Active Directory. Enterprise amministratori sono responsabili delle operazioni a livello di foresta, ad esempio l'aggiunta o la rimozione di nuovi domini.
DOMAIN_GROUP_RID_POLICY_ADMINS 520 Gruppo di amministratori dei criteri.

Nella tabella seguente vengono forniti esempi di RID relativi al dominio utilizzati per formare SID noti per i gruppi locali.

RID Valore decimale Identifica
DOMAIN_ALIAS_RID_ADMINS 544 Amministratori del dominio.
DOMAIN_ALIAS_RID_USERS 545 Tutti gli utenti nel dominio.
DOMAIN_ALIAS_RID_GUESTS 546 Guest del dominio.
DOMAIN_ALIAS_RID_POWER_USERS 547 Un utente o un set di utenti che si aspettano di considerare un sistema come se fosse il proprio personal computer anziché come una workstation per più utenti.
DOMAIN_ALIAS_RID_BACKUP_OPS 551 Gruppo locale utilizzato per controllare l'assegnazione dei diritti utente di backup e ripristino dei file.
DOMAIN_ALIAS_RID_REPLICATOR 552 Gruppo locale responsabile della copia dei database di protezione dal controller di dominio primario ai controller di dominio di backup. Questi account vengono utilizzati solo dal sistema.
DOMAIN_ALIAS_RID_RAS_SERVERS 553 Gruppo locale che rappresenta l'accesso remoto e i server che eseguono il servizio IAS (Internet Authentication Service). Questo gruppo consente l'accesso a vari attributi degli oggetti User.

Modifiche alle funzionalità dell'identificatore di sicurezza

Nella tabella seguente vengono descritte le modifiche apportate all'implementazione del SID Windows sistemi operativi designati nell'elenco.

Modifica Versione del sistema operativo Descrizione e risorse
La maggior parte dei file del sistema operativo è di proprietà dell'identificatore di sicurezza (SID) TrustedInstaller Windows Server 2008, Windows Vista Lo scopo di questa modifica è impedire a un processo in esecuzione come amministratore o con l'account LocalSystem di sostituire automaticamente i file del sistema operativo.
Vengono implementati controlli SID con restrizioni Windows Server 2008, Windows Vista Quando si limitano i SID, Windows due controlli di accesso. Il primo è il normale controllo di accesso e il secondo è lo stesso controllo di accesso rispetto ai SID di limitazione nel token. Entrambi i controlli di accesso devono passare per consentire al processo di accedere all'oggetto.

SID delle funzionalità

Gli identificatori di sicurezza (SID) delle funzionalità vengono utilizzati per identificare in modo univoco e immutabile le funzionalità. Le funzionalità rappresentano un token di autorità imperforabile che concede l'accesso alle risorse (esempi: documenti, fotocamera, posizioni e così via) a Universal Windows Applications. A un'app che "dispone" di una funzionalità viene concesso l'accesso alla risorsa a cui è associata la funzionalità e a un'app che "non dispone" di una funzionalità viene negato l'accesso alla risorsa.

Tutti i SID delle funzionalità di cui il sistema operativo è a conoscenza sono archiviati nel Registro di sistema di Windows nel percorso 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities'. Qualsiasi SID di funzionalità aggiunto Windows da applicazioni di terze parti o di terze parti verrà aggiunto a questo percorso.

Esempi di chiavi del Registro di Windows 10, versione 1909, edizione Enterprise 64 bit

In AllCachedCapabilities potrebbero essere disponibili le seguenti chiavi del Registro di sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

Tutti i SID delle funzionalità sono preceduti da S-1-15-3

Vedi anche