잘 알려진 SID
잘 알려진 SID( 보안 식별자 )는 제네릭 그룹 및 일반 사용자를 식별합니다. 예를 들어 다음 그룹 및 사용자를 식별하는 잘 알려진 SID가 있습니다.
- 모든 사용자 또는 World는 모든 사용자를 포함하는 그룹입니다.
- CREATOR_OWNER 상속 가능한 ACE에서 자리 표시자로 사용됩니다. ACE가 상속되면 시스템은 CREATOR_OWNER SID를 개체 작성자의 SID로 바꿉니다.
- 로컬 컴퓨터의 기본 제공 도메인에 대한 관리자 그룹입니다.
Windows 이외의 운영 체제를 포함하여 이 보안 모델을 사용하는 모든 보안 시스템에 의미 있는 범용 잘 알려진 SID가 있습니다. 또한 Windows 시스템에서만 의미 있는 잘 알려진 SID가 있습니다.
Windows API는 잘 알려진 식별자 권한 및 RID(상대 식별자) 값에 대한 상수 집합을 정의합니다. 이러한 상수는 잘 알려진 SID를 만드는 데 사용할 수 있습니다. 다음 예제에서는 SECURITY_WORLD_SID_AUTHORITY 및 SECURITY_WORLD_RID 상수와 결합하여 모든 사용자(모든 사용자 또는 세계)를 나타내는 특수 그룹에 대해 잘 알려진 범용 SID를 표시합니다.
S-1-1-0
이 예제에서는 S가 문자열을 SID로 식별하는 SID에 문자열 표기법을 사용하고, 첫 번째 1은 SID의 수정 수준이며 나머지 두 자리는 SECURITY_WORLD_SID_AUTHORITY 및 SECURITY_WORLD_RID 상수입니다.
AllocateAndInitializeSid 함수를 사용하여 식별자 기관 값을 최대 8개의 하위 인증 값과 결합하여 SID를 빌드할 수 있습니다. 예를 들어 로그온한 사용자가 잘 알려진 특정 그룹의 구성원인지 확인하려면 AllocateAndInitializeSid 를 호출하여 잘 알려진 그룹에 대한 SID를 빌드하고 EqualSid 함수를 사용하여 해당 SID를 사용자의 액세스 토큰에 있는 그룹 SID와 비교합니다. 예를 들어 C++의 액세스 토큰에서 SID 검색을 참조하세요. AllocateAndInitializeSid에서 할당한 SID를 해제하려면 FreeSid 함수를 호출해야 합니다.
이 섹션의 나머지 부분에는 잘 알려진 SID 테이블과 잘 알려진 SID를 빌드하는 데 사용할 수 있는 식별자 기관 및 하위 인증 상수 테이블이 포함되어 있습니다.
| 범용 잘 알려진 SID | 문자열 값 | 식별 |
|---|---|---|
| Null SID |
S-1-0-0 |
멤버가 없는 그룹입니다. SID 값을 알 수 없는 경우에 자주 사용됩니다. |
| World |
S-1-1-0 |
모든 사용자를 포함하는 그룹입니다. |
| 로컬 |
S-1-2-0 |
로컬(물리적으로) 시스템에 연결된 터미널 에 로그온하는 사용자입니다. |
| 작성자 소유자 ID |
S-1-3-0 |
새 개체를 만든 사용자의 보안 식별자로 대체될 보안 식별자입니다. 이 SID는 상속 가능한 ACE에서 사용됩니다. |
| 작성자 그룹 ID |
S-1-3-1 |
새 개체를 만든 사용자의 기본 그룹 SID로 대체될 보안 식별자입니다. 상속 가능한 ACE에서 이 SID를 사용합니다. |
다음 표에는 미리 정의된 식별자 기관 상수가 나열됩니다. 처음 네 개의 값은 범용 잘 알려진 SID와 함께 사용됩니다. 마지막 값은 Windows 잘 알려진 SID와 함께 사용됩니다.
| 식별자 기관 | 값 | 문자열 값 |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY |
0 |
S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY |
1 |
S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY |
2 |
S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY |
3 |
S-1-3 |
| SECURITY_NT_AUTHORITY |
5 |
S-1-5 |
다음 RID 값은 범용 잘 알려진 SID와 함께 사용됩니다. 식별자 기관 열에는 RID를 결합하여 잘 알려진 범용 SID를 만들 수 있는 식별자 기관의 접두사가 표시됩니다.
| 상대 식별자 기관 | 값 | 문자열 값 |
|---|---|---|
| SECURITY_NULL_RID |
0 |
S-1-0 |
| SECURITY_WORLD_RID |
0 |
S-1-1 |
| SECURITY_LOCAL_RID |
0 |
S-1-2 |
| SECURITY_LOCAL_LOGON_RID |
1 |
S-1-2 |
| SECURITY_CREATOR_OWNER_RID |
0 |
S-1-3 |
| SECURITY_CREATOR_GROUP_RID |
1 |
S-1-3 |
SECURITY_NT_AUTHORITY(S-1-5) 미리 정의된 식별자는 범용이 아니지만 Windows 설치에서만 의미 있는 SID를 생성합니다. SECURITY_NT_AUTHORITY 다음 RID 값을 사용하여 잘 알려진 SID를 만들 수 있습니다.
| 지속적임 | 문자열 값 | 식별 |
|---|---|---|
| SECURITY_DIALUP_RID |
S-1-5-1 |
전화 접속 모뎀 을 사용하여 터미널 에 로그온하는 사용자입니다. 그룹 식별자입니다. |
| SECURITY_NETWORK_RID |
S-1-5-2 |
네트워크를 통해 로그온하는 사용자입니다. 네트워크를 통해 로그온할 때 프로세스의 토큰에 추가된 그룹 식별자입니다. 해당 로그온 유형이 LOGON32_LOGON_NETWORK. |
| SECURITY_BATCH_RID |
S-1-5-3 |
일괄 처리 큐 기능을 사용하여 로그온하는 사용자입니다. 일괄 처리 작업으로 기록될 때 프로세스의 토큰에 추가된 그룹 식별자입니다. 해당 로그온 유형이 LOGON32_LOGON_BATCH. |
| SECURITY_INTERACTIVE_RID |
S-1-5-4 |
대화형 작업을 위해 로그온하는 사용자입니다. 대화형으로 로그온한 프로세스의 토큰에 추가된 그룹 식별자입니다. 해당 로그온 유형이 LOGON32_LOGON_INTERACTIVE. |
| SECURITY_LOGON_IDS_RID |
S-1-5-5-XY- |
로그온 세션입니다. 이는 지정된 로그온 세션의 프로세스 만 해당 세션의 창 스테이션 개체에 액세스할 수 있도록 하는 데 사용됩니다. 이러한 SID의 X 및 Y 값은 로그온 세션마다 다릅니다. SECURITY_LOGON_IDS_RID_COUNT 값은 이 식별자(5-XY-)의 RID 수입니다. |
| SECURITY_SERVICE_RID |
S-1-5-6 |
서비스로 로그온할 권한이 있는 계정입니다. 서비스로 기록될 때 프로세스의 토큰에 추가된 그룹 식별자입니다. 해당 로그온 유형이 LOGON32_LOGON_SERVICE. |
| SECURITY_ANONYMOUS_LOGON_RID |
S-1-5-7 |
익명 로그온 또는 null 세션 로그온 |
| SECURITY_PROXY_RID |
S-1-5-8 |
프록시. |
| SECURITY_ENTERPRISE_CONTROLLERS_RID |
S-1-5-9 |
컨트롤러를 Enterprise. |
| SECURITY_PRINCIPAL_SELF_RID |
S-1-5-10 |
PRINCIPAL_SELF 보안 식별자는 사용자 또는 그룹 개체의 ACL에서 사용할 수 있습니다. 액세스 확인 중에 시스템은 SID를 개체의 SID로 바꿉니다. PRINCIPAL_SELF SID는 ACE를 상속하는 사용자 또는 그룹 개체에 적용되는 상속 가능한 ACE를 지정하는 데 유용합니다. 스키마의 기본 보안 설명자 에서 만든 개체의 SID를 나타내는 유일한 방법입니다. |
| SECURITY_AUTHENTICATED_USER_RID |
S-1-5-11 |
인증된 사용자입니다. |
| SECURITY_RESTRICTED_CODE_RID |
S-1-5-12 |
제한된 코드입니다. |
| SECURITY_TERMINAL_SERVER_RID |
S-1-5-13 |
터미널 서비스. 터미널 서버에 로그온하는 사용자의 보안 토큰에 자동으로 추가됩니다. |
| SECURITY_LOCAL_SYSTEM_RID |
S-1-5-18 |
운영 체제에서 사용하는 특수 계정입니다. |
| SECURITY_NT_NON_UNIQUE |
S-1-5-21 |
SIDS는 고유하지 않습니다. |
| SECURITY_BUILTIN_DOMAIN_RID |
S-1-5-32 |
기본 제공 시스템 도메인입니다. |
| SECURITY_WRITE_RESTRICTED_CODE_RID |
S-1-5-33 |
제한된 코드를 작성합니다. |
다음 RID는 각 도메인을 기준으로 합니다.
| RID | 값 | 식별 |
|---|---|---|
| DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP |
0x0000023E | DCOM(분산 구성 요소 개체 모델)을 사용하여 인증 기관에 연결할 수 있는 사용자 그룹입니다. |
| DOMAIN_USER_RID_ADMIN |
0x000001F4 | 도메인의 관리 사용자 계정입니다. |
| DOMAIN_USER_RID_GUEST |
0x000001F5 | 도메인의 게스트 사용자 계정입니다. 계정이 없는 사용자는 이 계정에 자동으로 로그온할 수 있습니다. |
| DOMAIN_GROUP_RID_ADMINS |
0x00000200 | 도메인 관리자 그룹입니다. 이 계정은 서버 운영 체제를 실행하는 시스템에만 존재합니다. |
| DOMAIN_GROUP_RID_USERS |
0x00000201 | 도메인의 모든 사용자 계정을 포함하는 그룹입니다. 모든 사용자가 이 그룹에 자동으로 추가됩니다. |
| DOMAIN_GROUP_RID_GUESTS |
0x00000202 | 도메인의 게스트 그룹 계정입니다. |
| DOMAIN_GROUP_RID_COMPUTERS |
0x00000203 | 도메인 컴퓨터의 그룹입니다. 도메인의 모든 컴퓨터는 이 그룹의 구성원입니다. |
| DOMAIN_GROUP_RID_CONTROLLERS |
0x00000204 | 도메인 컨트롤러의 그룹입니다. 도메인의 모든 DC는 이 그룹의 구성원입니다. |
| DOMAIN_GROUP_RID_CERT_ADMINS |
0x00000205 | 인증서 게시자 그룹입니다. 인증서 서비스를 실행하는 컴퓨터는 이 그룹의 구성원입니다. |
| DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS |
0x000001F2 | 엔터프라이즈 읽기 전용 도메인 컨트롤러 그룹입니다. |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS |
0x00000206 | 스키마 관리자 그룹입니다. 이 그룹의 멤버는 Active Directory 스키마를 수정할 수 있습니다. |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS |
0x00000207 | 엔터프라이즈 관리자 그룹입니다. 이 그룹의 구성원은 Active Directory 포리스트의 모든 도메인에 대한 모든 액세스 권한을 갖습니다. Enterprise 관리자는 새 도메인 추가 또는 제거와 같은 포리스트 수준 작업을 담당합니다. |
| DOMAIN_GROUP_RID_POLICY_ADMINS |
0x00000208 | 정책 관리자 그룹입니다. |
| DOMAIN_GROUP_RID_READONLY_CONTROLLERS |
0x00000209 | 읽기 전용 도메인 컨트롤러 그룹입니다. |
| DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS |
0x0000020A | 복제 가능한 도메인 컨트롤러 그룹입니다. |
| DOMAIN_GROUP_RID_CDC_RESERVED |
0x0000020C | 예약된 CDC 그룹입니다. |
| DOMAIN_GROUP_RID_PROTECTED_USERS |
0x0000020D | 보호된 사용자 그룹입니다. |
| DOMAIN_GROUP_RID_KEY_ADMINS |
0x0000020E | 키 관리자 그룹입니다. |
| DOMAIN_GROUP_RID_ENTERPRISE_KEY_ADMINS |
0x0000020F | 엔터프라이즈 키 관리자 그룹 |
다음 RID는 필수 무결성 수준을 지정하는 데 사용됩니다.
| RID | 값 | 식별 |
|---|---|---|
| SECURITY_MANDATORY_UNTRUSTED_RID |
0x00000000 |
신뢰할 수 없는. |
| SECURITY_MANDATORY_LOW_RID |
0x00001000 |
낮은 무결성. |
| SECURITY_MANDATORY_MEDIUM_RID |
0x00002000 |
중간 무결성. |
| SECURITY_MANDATORY_MEDIUM_PLUS_RID |
SECURITY_MANDATORY_MEDIUM_RID + 0x100 |
중간 수준의 높은 무결성. |
| SECURITY_MANDATORY_HIGH_RID |
0X00003000 |
높은 무결성. |
| SECURITY_MANDATORY_SYSTEM_RID |
0x00004000 |
시스템 무결성. |
| SECURITY_MANDATORY_PROTECTED_PROCESS_RID |
0x00005000 |
보호된 프로세스입니다. |
다음 표에는 로컬 그룹(별칭)에 대해 잘 알려진 SID를 형성하는 데 사용할 수 있는 도메인 상대 RID의 예가 있습니다. 로컬 및 전역 그룹에 대한 자세한 내용은 로컬 그룹 함수 및 그룹 함수를 참조하세요.
| RID | 값 | 문자열 값 | 식별 |
|---|---|---|---|
| DOMAIN_ALIAS_RID_ADMINS |
0x00000220 |
S-1-5-32-544 |
도메인 관리에 사용되는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_USERS |
0x00000221 |
S-1-5-32-545 |
도메인의 모든 사용자를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_GUESTS |
0x00000222 |
S-1-5-32-546 |
도메인의 게스트를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_POWER_USERS |
0x00000223 |
S-1-5-32-547 |
시스템을 여러 사용자의 워크스테이션이 아닌 개인용 컴퓨터인 것처럼 취급하려는 사용자 또는 사용자 집합을 나타내는 데 사용되는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_ACCOUNT_OPS |
0x00000224 |
S-1-5-32-548 |
서버 운영 체제를 실행하는 시스템에만 존재하는 로컬 그룹입니다. 이 로컬 그룹은 비지정자 계정에 대한 제어를 허용합니다. |
| DOMAIN_ALIAS_RID_SYSTEM_OPS |
0x00000225 |
S-1-5-32-549 |
서버 운영 체제를 실행하는 시스템에만 존재하는 로컬 그룹입니다. 이 로컬 그룹은 보안 기능을 포함하지 않고 시스템 관리 기능을 수행합니다. 네트워크 공유를 설정하고, 프린터를 제어하고, 워크스테이션의 잠금을 해제하고, 다른 작업을 수행합니다. |
| DOMAIN_ALIAS_RID_PRINT_OPS |
0x00000226 |
S-1-5-32-550 |
서버 운영 체제를 실행하는 시스템에만 존재하는 로컬 그룹입니다. 이 로컬 그룹은 프린터 및 인쇄 큐를 제어합니다. |
| DOMAIN_ALIAS_RID_BACKUP_OPS |
0x00000227 |
S-1-5-32-551 |
파일 백업 및 복원 권한 할당을 제어하는 데 사용되는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_REPLICATOR |
0x00000228 |
S-1-5-32-552 |
주 도메인 컨트롤러에서 백업 도메인 컨트롤러로 보안 데이터베이스를 복사하는 로컬 그룹입니다. 이러한 계정은 시스템에서만 사용됩니다. |
| DOMAIN_ALIAS_RID_RAS_SERVERS |
0x00000229 |
S-1-5-32-553 |
RAS 및 IAS 서버를 나타내는 로컬 그룹입니다. 이 그룹은 사용자 개체의 다양한 특성에 대한 액세스를 허용합니다. |
| DOMAIN_ALIAS_RID_PREW2KCOMPACCESS |
0x0000022A |
S-1-5-32-554 |
Windows 2000 Server를 실행하는 시스템에만 존재하는 로컬 그룹입니다. 자세한 내용은 익명 액세스 허용을 참조하세요. |
| DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS |
0x0000022B |
S-1-5-32-555 |
모든 원격 데스크톱 사용자를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS |
0x0000022C |
S-1-5-32-556 |
네트워크 구성을 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_INCOMING_FOREST_TRUST_BUILDERS |
0x0000022D |
S-1-5-32-557 |
포리스트 트러스트 사용자를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_MONITORING_USERS |
0x0000022E |
S-1-5-32-558 |
모니터링되는 모든 사용자를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_LOGGING_USERS |
0x0000022F |
S-1-5-32-559 |
사용자 로깅을 담당하는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_AUTHORIZATIONACCESS |
0x00000230 |
S-1-5-32-560 |
모든 권한 있는 액세스를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_TS_LICENSE_SERVERS |
0x00000231 |
S-1-5-32-561 |
터미널 서비스 및 원격 액세스를 허용하는 서버 운영 체제를 실행하는 시스템에만 존재하는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_DCOM_USERS |
0x00000232 |
S-1-5-32-562 |
DCOM(Distributed Component Object Model)을 사용할 수 있는 사용자를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_IUSERS |
0X00000238 |
S-1-5-32-568 |
인터넷 사용자를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_CRYPTO_OPERATORS |
0x00000239 |
S-1-5-32-569 |
암호화 연산자 액세스를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_CACHEABLE_PRINCIPALS_GROUP |
0x0000023B |
S-1-5-32-571 |
캐시할 수 있는 보안 주체를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_NON_CACHEABLE_PRINCIPALS_GROUP |
0x0000023C |
S-1-5-32-572 |
캐시할 수 없는 보안 주체를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP |
0x0000023D |
S-1-5-32-573 |
이벤트 로그 판독기를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP |
0x0000023E |
S-1-5-32-574 |
DCOM(분산 구성 요소 개체 모델)을 사용하여 인증 기관에 연결할 수 있는 로컬 사용자 그룹입니다. |
| DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_SERVERS |
0x0000023F |
S-1-5-32-575 |
RDS 원격 액세스 서버를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_RDS_ENDPOINT_SERVERS | 0x00000240 |
S-1-5-32-576 |
엔드포인트 서버를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_RDS_MANAGEMENT_SERVERS | 0x00000241 |
S-1-5-32-577 |
관리 서버를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_HYPER_V_ADMINS | 0x00000242 |
S-1-5-32-578 |
hyper-v 관리자를 나타내는 로컬 그룹 |
| DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS | 0x00000243 |
S-1-5-32-579 |
액세스 제어 지원 OPS를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_REMOTE_MANAGEMENT_USERS | 0x00000244 |
S-1-5-32-580 |
원격 관리 사용자를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_DEFAULT_ACCOUNT | 0x00000245 |
S-1-5-32-581 |
기본 계정을 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_STORAGE_REPLICA_ADMINS | 0x00000246 |
S-1-5-32-582 |
스토리지 복제본 관리자를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_DEVICE_OWNERS | 0x00000247 |
S-1-5-32-583 |
나타내는 로컬 그룹은 디바이스 소유자에 대해 설정을 예상할 수 있습니다. |
WELL_KNOWN_SID_TYPE 열거형은 일반적으로 사용되는 SID 목록을 정의합니다. 또한 SDDL( 보안 설명자 정의 언어 )은 SID 문자열을 사용하여 잘 알려진 SID를 문자열 형식으로 참조합니다.