Известные идентификаторы безопасности в операционных системах Windows

В этой статье содержится информация об известных ИД безопасности во всех версиях Windows.

Исходная версия продукта:   Windows 10 — все выпуски, Windows Server 2019, Windows Server 2016
Исходный номер КБ:   243330

Аннотация

Идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для идентификации основного (например, группы безопасности) в операционных системах Windows. SiDs that identify generic users or generic groups is well known. Их значения остаются постоянными во всех операционных системах.

Эти сведения полезны для устранения неполадок, которые связаны с безопасностью. Он также полезен для устранения неполадок отображения в редакторе списка управления доступом Windows (ACL). Windows отслеживает директора безопасности по его SID. Чтобы отобразить в редакторе ACL имя этого директора безопасности, Windows соединяет SID с его связанным именем.

Примечание

В этой статье описываются условия, при которых редактор ACL отображает ИД безопасности вместо имени.

Со временем этот набор известных ИД безопасности стал больше. Таблицы в этой статье упорядоют эти ИД в соответствии с тем, в какой версии Windows их представили.

Известные ИД безопасности (все версии Windows)

Во всех версиях Windows используются следующие известные ИД безопасности.

SID Имя Описание
S-1-0 Null Authority Полномочия по идентификатору.
S-1-0-0 Никто Нет основного безопасности.
S-1-1 World Authority Полномочия по идентификатору.
S-1-1-0 Все Группа, включаемая всех пользователей, даже анонимных пользователей и гостей. Членство контролируется операционной системой.

Примечание
По умолчанию группа "Все" больше не включает анонимных пользователей на компьютере под управлением Windows XP Пакет обновления 2 (SP2).
S-1-2 Local Authority Полномочия по идентификатору.
S-1-2-0 Локальный Группа, включаемая всех пользователей, выехавших локально.
S-1-3 Creator Authority Полномочия по идентификатору.
S-1-3-0 Владелец-создатель Место в наследуемой записи управления доступом (ACE). При наследовании ACE система заменяет этот ИД безопасности на SID для создателя объекта.
S-1-3-1 Группа создателей Замество в наследуемом ACE. При наследовании ACE система заменяет этот ИД безопасности на SID для основной группы создателя объекта. Основная группа используется только подсистемой POSIX.
S-1-3-4 Права владельца Группа, представляюющая текущего владельца объекта. Когда К объекту применяется ACE, который выполняет этот ИД безопасности, система игнорирует неявные разрешения READ_CONTROL и WRITE_DAC для владельца объекта.
S-1-4 Неуникационный орган Полномочия по идентификатору.
S-1-5 NT Authority Полномочия по идентификатору.
S-1-5-1 Dialup Группа, включаемая всех пользователей, которые вошли в систему через подключение с подключением к телефонной сети. Членство контролируется операционной системой.
S-1-5-2 Сеть Группа, включаемая всех пользователей, которые вошли в систему через сетевое подключение. Членство контролируется операционной системой.
S-1-5-3 Batch Группа, включаемая всех пользователей, которые вошли в систему через объект пакетной очереди. Членство контролируется операционной системой.
S-1-5-4 Интерактивны Группа, включаемая всех пользователей, которые вошли в систему в интерактивном режиме. Членство контролируется операционной системой.
S-1-5-5-X-Y Сеанс логона Сеанс для работы с логотипом. Значения X и Y для этих ИД отличаются для каждого сеанса.
S-1-5-6 Служба Группа, включаемая в себя всех основных безопасности, которые вошли в систему как служба. Членство контролируется операционной системой.
S-1-5-7 Анонимный Группа, включаемая всех пользователей, которые вошел в систему анонимно. Членство контролируется операционной системой.
S-1-5-9 Контроллеры домена предприятия Группа, включаемая все контроллеры домена в лесу, использующая службу каталогов Active Directory. Членство контролируется операционной системой.
S-1-5-10 Principal Self Подстановщик в наследуемом ACE для объекта учетной записи или объекта группы в Active Directory. При наследовании ACE система заменяет этот ИД безопасности на SID для основного пользователя безопасности, который содержит учетную запись.
S-1-5-11 Пользователи, прошедшие проверку Группа, включаемая всех пользователей, удостоверения которых были аутентификацией при входе в систему. Членство контролируется операционной системой.
S-1-5-12 Код с ограниченным доступом Этот SID зарезервирован для будущего использования.
S-1-5-13 Пользователи сервера терминалов Группа, включаемая всех пользователей, которые вошли на сервер служб терминалов. Членство контролируется операционной системой.
S-1-5-14 Удаленный интерактивный логотип Группа, включаемая всех пользователей, которые вошли в систему с помощью входа в службы терминалов.
S-1-5-17 Эта организация Учетная запись, используемая пользователем служб IIS по умолчанию.
S-1-5-18 Локальная система Учетная запись службы, используемая операционной системой.
S-1-5-19 NT Authority Локализованная служба
S-1-5-20 NT Authority Сетевая служба
S-1-5-21domain-500 Администратор Учетная запись пользователя для системного администратора. По умолчанию это единственная учетная запись пользователя, которая получает полный контроль над системой.
S-1-5-21domain-501 Guest Учетная запись пользователя для пользователей, у которых нет отдельных учетных записей. Этой учетной записи пользователя не требуется пароль. По умолчанию гостевая учетная запись отключена.
S-1-5-21domain-502 KRBTGT Учетная запись службы, используемая службой центра распространения ключей (KDC).
S-1-5-21domain-512 Администраторы домена Глобальная группа, члены которой имеют право на администрирование домена. По умолчанию группа администраторов домена является членом группы администраторов на всех компьютерах, которые присоединились к домену, включая контроллеры домена. Администраторы домена — это владелец любого объекта по умолчанию, созданного любым членом группы.
S-1-5-21domain-513 Пользователи домена Глобальная группа, которая по умолчанию включает все учетные записи пользователей в домене. При создании учетной записи пользователя в домене она добавляется в эту группу по умолчанию.
S-1-5-21domain-514 Гости домена Глобальная группа, в которую по умолчанию входит только один член— встроенная гостевая учетная запись домена.
S-1-5-21domain-515 Компьютеры домена Глобальная группа, включаемая все клиенты и серверы, которые присоединились к домену.
S-1-5-21domain-516 Контроллеры домена Глобальная группа, включаемая все контроллеры домена в домене. Новые контроллеры домена добавляются в эту группу по умолчанию.
S-1-5-21domain-517 Издатели сертификатов Глобальная группа, включаемая все компьютеры, на которые работает корпоративный сертификационный орган. Издатели сертификатов имеют право публиковать сертификаты для объектов User в Active Directory.
Домен S-1-5-21root-518 Администраторы схемы Универсальная группа в домене в режиме натива; глобальная группа в домене смешанного режима. Группа имеет право вносить изменения в схему в Active Directory. По умолчанию единственным членом группы является учетная запись администратора корневого домена леса.
Домен S-1-5-21root-519 Администраторы предприятия Универсальная группа в домене в режиме натива; глобальная группа в домене смешанного режима. Группа имеет право вносить изменения на всех уровнях леса в Active Directory, такие как добавление дополнительных доменов. По умолчанию единственным членом группы является учетная запись администратора корневого домена леса.
S-1-5-21domain-520 Владельцы-создатели групповой политики Глобальная группа, уполномоченная создавать новые объекты групповой политики в Active Directory. По умолчанию единственным членом группы является администратор.
S-1-5-21domain-526 Ключевые администраторы Группа безопасности. Целью этой группы является делегирование доступа на записи только для msdsKeyCredentialLink атрибута. Группа предназначена для использования в сценариях, в которых за изменение этого атрибута отвечают доверенные внешние органы (например, федераированные службы Active Directory). Только доверенные администраторы должны быть членами этой группы.
S-1-5-21domain-527 Администраторы корпоративных ключей Группа безопасности. Целью этой группы является делегирование доступа на записи только для msdsKeyCredentialLink атрибута. Группа предназначена для использования в сценариях, в которых за изменение этого атрибута отвечают доверенные внешние органы (например, федераированные службы Active Directory). Только доверенные администраторы должны быть членами этой группы.
S-1-5-21domain-553 Серверы RAS и IAS Локализованная группа домена. По умолчанию в этой группе нет членов. Серверы в этой группе имеют доступ на чтение учетных записей и чтение сведений о входе в учетные записи к объектам пользователей в локальной группе домена Active Directory.
S-1-5-32-544 Администраторы Встроенная группа. После начальной установки операционной системы единственным членом группы является учетная запись администратора. Когда компьютер присоединяется к домену, группа администраторов домена добавляется в группу администраторов. Когда сервер становится контроллером домена, группа администраторов предприятия также добавляется в группу администраторов.
S-1-5-32-545 Пользователи Встроенная группа. После начальной установки операционной системы единственным членом является группа "Пользователи, для проверки подлинности". Когда компьютер присоединяется к домену, группа "Пользователи домена" добавляется в группу "Пользователи" на компьютере.
S-1-5-32-546 Гости Встроенная группа. По умолчанию единственным участником является гостевая учетная запись. Группа "Гости" позволяет периодически или разово пользователям входить в систему с ограниченными привилегиями для встроенной гостевой учетной записи компьютера.
S-1-5-32-547 Power Users Встроенная группа. По умолчанию группа не имеет членов. Power users can create local users and groups; изменение и удаление созданных учетных записей; и удалите пользователей из групп "Power Users", "Пользователи" и "Гости". Power users also can install programs; создание, управление и удаление локальных принтеров; создание и удаление файловой папки.
S-1-5-32-548 Операторы учетных записей Встроенная группа, которая существует только на контроллерах домена. По умолчанию группа не имеет членов. По умолчанию операторы учетных записей имеют разрешение на создание, изменение и удаление учетных записей пользователей, групп и компьютеров во всех контейнерах и подразделениях Active Directory, кроме контейнера и подразделения контроллеров Builtin домена. У операторов учетных записей нет разрешения на изменение групп администраторов и администраторов домена, а также у них нет разрешения на изменение учетных записей для членов этих групп.
S-1-5-32-549 Операторы сервера Встроенная группа, которая существует только на контроллерах домена. По умолчанию группа не имеет членов. Операторы сервера могут в интерактивном режиме войти на сервер; создание и удаление сетевых сетей; запуск и остановка служб; архивировать и восстанавливать файлы; форматирование жесткого диска компьютера; и выключит компьютер.
S-1-5-32-550 Операторы печати Встроенная группа, которая существует только на контроллерах домена. По умолчанию единственным членом является группа "Пользователи домена". Операторы печати могут управлять принтерами и очередями документов.
S-1-5-32-551 Операторы архивации Встроенная группа. По умолчанию группа не имеет членов. Операторы резервного копирования могут архивировать и восстанавливать все файлы на компьютере независимо от разрешений, которые защищают эти файлы. Операторы резервного копирования также могут войти на компьютер и отключить его.
S-1-5-32-552 Репликаторы Встроенная группа, используемая службой репликации файлов на контроллерах домена. По умолчанию группа не имеет членов. Не добавляйте пользователей в эту группу.
S-1-5-32-582 Администраторы реплики хранилища Встроенная группа, которая предоставляет полный и неограниченный доступ ко всем функциям реплики хранилища.
S-1-5-64-10 Проверка подлинности NTLM Sid, используемый при проверке подлинности клиента пакетом проверки подлинности NTLM.
S-1-5-64-14 SChannel Проверка подлинности Sid, используемый при проверке подлинности клиента SChannel пакетом проверки подлинности.
S-1-5-64-21 Дайджест-проверка подлинности Sid, используемый при проверке подлинности клиента пакетом дайджест-проверки подлинности.
S-1-5-80 Служба NT Префикс учетной записи службы NT.

ИД безопасности, добавленные в Windows Server 2003 и более поздних версиях

При добавлении контроллера домена под управлением Windows Server 2003 или более поздней версии в домен Active Directory добавляет в следующую таблицу основные точки безопасности.

Примечание

Редактор ACL Windows может не отображать эти принципы безопасности по имени. Active Directory не разрешает эти ИД в соответствующие имена, пока роль эмулятора PDC FSMO не будет перенаправляться контроллером домена под управлением Windows Server 2003 или более поздней версии.

SID Имя Описание
S-1-3-2 Сервер-владелец создателя Этот SID не используется в Windows 2000.
S-1-3-3 Сервер группы создателей Этот SID не используется в Windows 2000.
S-1-5-8 Прокси-сервер Этот SID не используется в Windows 2000.
S-1-5-15 Эта организация Группа, включаемая всех пользователей из одной организации. Включается только в учетные записи AD и добавляется только контроллером домена Windows Server 2003 или более поздней версии.
S-1-5-32-554 Builtin\Pre-Windows 2000 Compatible Access Псевдоним, добавленный в Windows 2000. Группа обратной совместимости, которая обеспечивает доступ на чтение для всех пользователей и групп в домене.
S-1-5-32-555 Builtin\Удаленные пользователи рабочего стола Псевдоним. Членам этой группы предоставляется право на удаленный вход.
S-1-5-32-556 Builtin\Network Configuration Operators Псевдоним. Члены этой группы могут иметь некоторые права администратора для управления настройкой сетевых функций.
S-1-5-32-557 Builtin\Incoming Forest Trust Builders Псевдоним. Участники этой группы могут создавать входящие, однонастоовые отношения доверия с этим лесом.
S-1-5-32-558 Builtin\Performance Monitor Users Псевдоним. Члены этой группы имеют удаленный доступ для наблюдения за этим компьютером.
S-1-5-32-559 Builtin\Performance Log Users Псевдоним. Члены этой группы имеют удаленный доступ к расписанию ведения журнала счетчиков производительности на этом компьютере.
S-1-5-32-560 Builtin\Группа доступа авторизации Windows Псевдоним. Члены этой группы имеют доступ к вычисляемого атрибута tokenGroupsGlobalAndUniversal объектов User.
S-1-5-32-561 Builtin\Terminal Server License Servers Псевдоним. Группа для серверов лицензий сервера терминалов. При установке Windows Server 2003 Пакет обновления 1 создается новая локализованная группа.
S-1-5-32-562 Builtin\Distributed COM Users Псевдоним. Группа COM, которая предоставляет средства управления доступом на всем компьютере, которые управляют доступом ко всем запросам на вызовы, активацию или запуск на компьютере.

SiDs added by Windows Server 2008 and later versions

При добавлении контроллера домена под управлением Windows Server 2008 или более поздней версии в домен Active Directory добавляет в следующую таблицу основные точки безопасности.

Примечание

Редактор ACL Windows может не отображать эти принципы безопасности по имени. Active Directory не разрешает эти ИД в соответствующие имена, пока роль эмулятора PDC FSMO не будет перенаправляться контроллером домена под управлением Windows Server 2008 или более поздней версии.

SID Имя Описание
S-1-2-1 Консольный логон Группа, включаемая пользователей, которые вошли в физическую консоль.

Примечание
Добавлено в Windows 7 и Windows Server 2008 R2.
Домен S-1-5-21 -498 Корпоративные контроллеры домена только для чтения Универсальная группа. Участники этой группы являются контроллерами домена только для чтения на предприятии.
Домен S-1-5-21 -521 Контроллеры домена, доступного только для чтения Глобальная группа. Участники этой группы являются контроллерами домена только для чтения в домене.
Домен S-1-5-21 -571 Разрешенная группа репликации паролей RODC Локализованная группа домена. Пароли членов этой группы могут быть реплицированы на все контроллеры домена, доступного только для чтения, в домене.
Домен S-1-5-21 -572 Группа репликации паролей Denied RODC Локализованная группа домена. Члены этой группы не могут иметь свои пароли, реплицированные на контроллеры домена, доступного только для чтения, в домене.
S-1-5-32-569 Builtin\Cryptographic Operators Встроенная локализованная группа. Участники имеют право на выполнение криптографических операций.
S-1-5-32-573 Builtin\Event Log Readers Встроенная локализованная группа. Участники этой группы могут читать журналы событий с локального компьютера.
S-1-5-32-574 Builtin\Certificate Service DCOM Access Встроенная локализованная группа. Членам этой группы разрешено подключаться к сертификационным органам предприятия.
S-1-5-80-0 Службы NT\Все службы Группа, включаемая все процессы обслуживания, настроенные в системе. Членство контролируется операционной системой.

Примечание
Добавлено в Windows Server 2008 R2.
S-1-5-80-0 Все службы Группа, включаемая все процессы обслуживания, настроенные в системе. Членство контролируется операционной системой.

Примечание
Добавлено в Windows Vista и Windows Server 2008.
S-1-5-83-0 Виртуальная машина NT\Виртуальные машины Встроенная группа. Группа создается при установке роли Hyper-V. Членство в группе поддерживается службой управления Hyper-V (VMMS). Для этой группы требуется право на создание символических ссылок (S eCreateSymbolicLinkPrivilege), а также право входа в качестве службы (SeServiceLogonRight).

Примечание
Добавлено в Windows 8 Windows Server 2012.
S-1-5-90-0 Windows Manager\Группа Диспетчер Windows Встроенная группа, используемая диспетчером окон рабочего стола (DWM). DWM — это служба Windows, которая управляет отображением информации для приложений Windows.

Примечание
Добавлено в Windows Vista.
S-1-16-0 Неподтвердимый обязательный уровень Неверная степень целостности.
Примечание
Добавлено в Windows Vista и Windows Server 2008.
S-1-16-4096 Низкий обязательный уровень Низкий уровень целостности.

Примечание
Добавлено в Windows Vista и Windows Server 2008.
S-1-16-8192 Средний обязательный уровень Средний уровень целостности.

Примечание Добавлено в Windows Vista и Windows Server 2008.
S-1-16-8448 Средний плюс обязательный уровень Средний плюс уровень целостности.

Примечание
Добавлено в Windows Vista и Windows Server 2008.
S-1-16-12288 Высокий обязательный уровень Высокий уровень целостности.

Примечание
Добавлено в Windows Vista и Windows Server 2008.
S-1-16-16384 Обязательный уровень системы Уровень целостности системы.

Примечание
Добавлено в Windows Vista и Windows Server 2008.
S-1-16-20480 Обязательный уровень защищенного процесса Уровень целостности защищенного процесса.

Примечание
Добавлено в Windows Vista и Windows Server 2008.
S-1-16-28672 Обязательный уровень безопасного процесса Безопасный уровень целостности процесса.

Примечание
Добавлено в Windows Vista и Windows Server 2008.

SiDs added by Windows Server 2012 and later versions

При добавлении контроллера домена под управлением Windows Server 2012 или более поздней версии в домен Active Directory добавляет в следующую таблицу основные точки безопасности.

Примечание

Редактор ACL Windows может не отображать эти принципы безопасности по имени. Active Directory не разрешает эти ИД в соответствующие имена, пока роль эмулятора PDC FSMO не будет перенаправляться контроллеру домена под управлением Windows Server 2012 или более поздней версии.

SID Имя Описание
S-1-5-21-домен-522 Клонируемые контроллеры домена Глобальная группа. Члены этой группы, которые являются контроллерами домена, могут быть клонированы.
S-1-5-32-575 Builtin\RDS Remote Access Servers Встроенная локализованная группа. Серверы в этой группе позволяют пользователям программ RemoteApp и личным виртуальным рабочим столам получать доступ к этим ресурсам. В развертываниях с доступом к Интернету эти серверы обычно развертываются в сети границы. Эта группа должна быть заполнена на серверах с брокером подключений RD. Серверы шлюзов RD и серверы веб-доступа к RD, используемые в развертывании, должны быть в этой группе.
S-1-5-32-576 Builtin\RDS Endpoint Servers Встроенная локализованная группа. Серверы в этой группе запускают виртуальные машины и сеансы, на которых запускают пользователи программ RemoteApp и личных виртуальных рабочих столах. Эта группа должна быть заполнена на серверах с брокером подключений RD. Серверы RD Session Host и RD Virtualization Host, используемые в развертывании, должны быть в этой группе.
S-1-5-32-577 Builtin\RDS Management Servers Встроенная локализованная группа. Серверы в этой группе могут выполнять обычные административные действия на серверах со службами удаленных рабочих стола. Эту группу необходимо заполнить на всех серверах в развертывании служб удаленных рабочих стола. Серверы, на которые запущена служба центрального управления RDS, должны быть включены в эту группу.
S-1-5-32-578 Builtin\Администраторы Hyper-V Встроенная локализованная группа. Участники этой группы имеют полный и неограниченный доступ ко всем функциям Hyper-V.
S-1-5-32-579 Builtin\Access Control Assistance Operators Встроенная локализованная группа. Участники этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на этом компьютере.
S-1-5-32-580 Builtin\Remote Management Users Встроенная локализованная группа. Участники этой группы могут получать доступ к ресурсам WMI по протоколам управления (например, WS-Management через службу Windows Remote Management). Это относится только к пространствам имен WMI, которые предоставляет пользователю доступ.

ИД возможностей

Windows 8 идентификаторы безопасности возможностей . ИД безопасности возможности идентифицирует возможность уникальным и неуемным образом. Возможность представляет собой маркер ценности, который предоставляет доступ к ресурсам (например, документам, камере, расположениям и так далее) к универсальным приложениям для Windows. Приложению, которое имеет возможность, предоставляется доступ к связанному ресурсу. Приложению, которое не имеет возможности, отказано в доступе к ресурсу.

Все ИД безопасности возможностей, которые известны операционной системе, хранятся в реестре Windows в следующем поднайме:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities

В этом подмайке также содержится любой ИД безопасности возможности, добавляемой приложениями от первого или сторонних приложений. Все ИД безопасности возможностей начинаются с S-1-15-3 .

Важно!

Active Directory не соедит ИД безопасности возможностей с именами. Такое поведение является особенностью данного продукта.

Ссылки