Идентификаторы безопасности
Область применения
- Windows 10
- Windows 11
- Windows Server 2016
- Windows Server 2019
В этом разделе для ИТ-специалистов описываются идентификаторы безопасности и их работа в отношении учетных записей и групп в операционной системе Windows.
Что такое идентификаторы безопасности?
Идентификатор безопасности (SID) используется для уникальной идентификации субъекта безопасности или группы безопасности. Субъекты безопасности могут представлять любую сущность, которую может проверить операционная система, например учетную запись пользователя, учетную запись компьютера, поток или процесс, выполняемый в контексте безопасности учетной записи пользователя или компьютера.
Каждая учетная запись, группа или процесс, выполняющиеся в контексте безопасности учетной записи, имеет уникальный идентификатор безопасности, выданный центром, например контроллером домена Windows. Он хранится в базе данных безопасности. Система создает идентификатор безопасности, определяющий определенную учетную запись или группу во время создания учетной записи или группы. Если идентификатор безопасности используется в качестве уникального идентификатора для пользователя или группы, его больше нельзя использовать для идентификации другого пользователя или группы.
При каждом входе пользователя система создает маркер доступа для этого пользователя. Маркер доступа содержит идентификатор безопасности пользователя, права пользователя и идентификаторы безопасности для любых групп, к которым принадлежит пользователь. Этот маркер предоставляет контекст безопасности для любых действий, выполняемых пользователем на этом компьютере.
Помимо уникально созданных идентификаторов безопасности для определенных доменов, назначенных определенным пользователям и группам, существуют хорошо известные идентификаторы безопасности, определяющие универсальные группы и универсальных пользователей. Например, идентификаторы безопасности "Все" и "Мир" определяют группу, включаемую всех пользователей. Хорошо известные идентификаторы безопасности имеют значения, которые остаются постоянными во всех операционных системах.
Идентификаторы безопасности — это фундаментальный стандартный блок модели безопасности Windows. Они работают с определенными компонентами технологий авторизации и контроля доступа в инфраструктуре безопасности операционных систем Windows Server. Это помогает защитить доступ к сетевым ресурсам и обеспечивает более безопасную вычислительную среду.
Содержимое в этом разделе относится к компьютерам, на которых выполняются поддерживаемые версии операционной системы Windows, как описано в **** списке "Применимо к" в начале этого раздела.
Принцип работы идентификаторов безопасности
Пользователи ссылаются на учетные записи, используя имя учетной записи, но операционная система внутренне ссылается на учетные записи и процессы, которые выполняются в контексте безопасности учетной записи с помощью идентификаторов безопасности (SID). Для учетных записей домена идентификатор безопасности субъекта безопасности создается путем объединения идентификатора безопасности домена с относительным идентификатором (RID) для учетной записи. Идентификаторы безопасности уникальны в пределах области (домена или локального домена) и никогда не используются повторно.
Операционная система создает идентификатор безопасности, определяющий определенную учетную запись или группу во время создания учетной записи или группы. Идентификатор безопасности для локальной учетной записи или группы создается локальным центром безопасности (LSA) на компьютере и хранится с другими сведениями об учетной записи в безопасной области реестра. Идентификатор безопасности для учетной записи домена или группы создается центром безопасности домена и хранится в виде атрибута объекта User или Group в доменные службы Active Directory.
Для каждой локальной учетной записи и группы идентификатор безопасности является уникальным для компьютера, на котором он был создан. Ни одна из двух учетных записей или групп на компьютере не имеет одного и того же идентификатора безопасности. Аналогичным образом, для каждой учетной записи домена и группы идентификатор безопасности является уникальным в пределах предприятия. Это означает, что идентификатор безопасности для учетной записи или группы, созданной в одном домене, никогда не будет соответствовать идентификатору безопасности для учетной записи или группы, созданной в любом другом домене предприятия.
Идентификаторы безопасности всегда остаются уникальными. Центры безопасности никогда не выданы один и тот же идентификатор безопасности дважды и никогда не будут повторно использовать идентификаторы безопасности для удаленных учетных записей. Например, если пользователь с учетной записью пользователя в домене Windows покидает свою работу, администратор удаляет свою учетную запись Active Directory, включая идентификатор безопасности, определяющий учетную запись. Если позже она возвращается к другому заданию в той же компании, администратор создает новую учетную запись, а операционная система Windows Server создает новый идентификатор безопасности. Новый идентификатор безопасности не соответствует старому; поэтому доступ пользователя из старой учетной записи не передается в новую учетную запись. Две ее учетные записи представляют два совершенно разных субъекта безопасности.
Архитектура идентификатора безопасности
Идентификатор безопасности — это структура данных в двоичном формате, содержащая переменное число значений. Первые значения в структуре содержат сведения о структуре sid. Остальные значения упорядочиваются в иерархии (аналогично номеру телефона) и определяют центр выдачи идентификаторов безопасности (например, "NT Authority"), домен, выдающий sid, и определенный субъект безопасности или группу. На следующем рисунке показана структура идентификатора безопасности.
Отдельные значения идентификатора безопасности описаны в следующей таблице.
| Comment | Описание |
|---|---|
| Редакция | Указывает версию структуры sid, используемую в определенном идентификаторе безопасности. |
| Центра идентификации | Определяет наивысший уровень полномочий, которые могут выдачи идентификаторов безопасности для определенного типа субъекта безопасности. Например, значение центра идентификатора в sid для группы "Все" равно 1 (World Authority). Значение центра идентификатора в sid для определенной учетной записи или группы Windows Server равно 5 (NT Authority). |
| Вложенные проверки подлинности | >содержит наиболее важную информацию в идентификаторе безопасности, который содержится в ряду из одного или нескольких значений вложенности. Все значения, не включая последнее значение в ряду, совместно идентифицируют домен на предприятии. Эта часть ряда называется идентификатором домена. Последнее значение в ряду, которое называется относительным идентификатором (RID), определяет определенную учетную запись или группу относительно домена. |
Компоненты sid проще визуализировать, когда идентификаторы безопасности преобразуются из двоичного в строковый формат с помощью стандартной нотации:
S-R-X-Y1-Y2-Yn-1-Yn
В этой нотации компоненты идентификатора безопасности представлены, как показано в следующей таблице.
| Comment | Описание |
|---|---|
| S | Указывает, что строка является идентификатором безопасности |
| R | Указывает уровень редакции |
| X | Указывает значение центра идентификатора |
| Y | Представляет ряд значений вложенной проверки подлинности, где n — это число значений. |
Наиболее важные сведения идентификатора безопасности содержатся в ряде значений вложенной проверки подлинности. Первая часть ряда (-Y1-Y2-Y-Yn-1) является идентификатором домена. Этот элемент идентификатора безопасности становится значимым на предприятии с несколькими доменами, так как идентификатор домена различает идентификаторы безопасности, выданные одним доменом, от идентификаторов безопасности, выданных всеми другими доменами предприятия. Два домена в организации не используют один и тот же идентификатор домена.
Последний элемент в ряду значений вложенной проверки подлинности (-Yn) является относительным идентификатором. Она различает одну учетную запись или группу от всех остальных учетных записей и групп в домене. Две учетные записи или группы в домене не имеют одного и того же относительного идентификатора.
Например, идентификатор безопасности для встроенной группы администраторов представлен в стандартизированной нотации sid в виде следующей строки:
S-1-5-32-544
Этот идентификатор безопасности состоит из четырех компонентов:
Уровень редакции (1)
Значение центра идентификатора (5, NT Authority)
Идентификатор домена (32, Builtin)
Относительный идентификатор (544, администраторы)
Идентификаторы безопасности для встроенных учетных записей и групп всегда имеют одно и то же значение идентификатора домена: 32. Это значение определяет домен Builtin, который существует на каждом компьютере под управлением версии операционной системы Windows Server. Никогда не нужно отличать встроенные учетные записи и группы одного компьютера от встроенных учетных записей и групп другого компьютера, так как они являются локальными в области действия. Они являются локальными для одного компьютера или в случае контроллеров домена для сетевого домена они являются локальными для нескольких компьютеров, которые выполняют роль одного.
Встроенные учетные записи и группы должны отличаться друг от друга в области домена Builtin . Таким образом, идентификатор безопасности для каждой учетной записи и группы имеет уникальный относительный идентификатор. Значение относительного идентификатора 544 уникально для встроенной группы администраторов. Ни у другой учетной записи или группы в домене Builtin нет идентификатора безопасности с окончательным значением 544.
В другом примере рассмотрим идентификатор безопасности глобальной группы "Администраторы домена". Каждый домен на предприятии имеет группу администраторов домена, и идентификатор безопасности для каждой группы отличается. В следующем примере представлен идентификатор безопасности группы администраторов домена в домене Contoso, Ltd. (Contoso\Domain Admins):
S-1-5-21-1004336348-1177238915-682003330-512
Sid for Contoso\Domain Admins has:
Уровень редакции (1)
Центра идентификаторов (5, NT Authority)
Идентификатор домена (21-1004336348-1177238915-682003330, Contoso)
Относительный идентификатор (512, администраторы домена)
Идентификатор безопасности для администраторов домена Contoso\Domain различается от идентификаторов безопасности для других групп администраторов домена на том же предприятии по идентификатору домена: 21-1004336348-1177238915-682003330. Ни один другой домен на предприятии не использует это значение в качестве идентификатора домена. Идентификатор безопасности для администраторов домена Contoso\Domain различается от идентификаторов безопасности для других учетных записей и групп, созданных в домене Contoso по относительному идентификатору 512. Ни у другой учетной записи или группы в домене нет идентификатора безопасности с окончательным значением 512.
Выделение относительного идентификатора
Когда учетные записи и группы хранятся в базе данных учетной записи, управляемой локальным диспетчером учетных записей безопасности (SAM), система может легко создать уникальный относительный идентификатор для каждой учетной записи и в группе, создаемой на автономном компьютере. Sam на автономном компьютере может отслеживать относительные значения идентификаторов, которые он использовал ранее, и убедиться, что он больше не использует их.
Однако в сетевом домене создание уникальных относительных идентификаторов является более сложным процессом. Сетевые домены Windows Server могут иметь несколько контроллеров домена. Каждый контроллер домена хранит сведения об учетной записи Active Directory. Это означает, что в сетевом домене существует столько копий базы данных учетной записи, сколько имеется контроллеров домена. Кроме того, каждая копия базы данных учетной записи является основной копией. Новые учетные записи и группы можно создавать на любом контроллере домена. Изменения, внесенные в Active Directory на одном контроллере домена, реплицируются на все остальные контроллеры домена в домене. Процесс репликации изменений в одной главной копии базы данных учетной записи во все остальные главные копии называется операцией multimaster.
Процесс создания уникальных относительных идентификаторов является операцией с одним главным узом. Одному контроллеру домена назначается роль главного узла относительного идентификатора (RID), и он выделяет последовательность относительных идентификаторов каждому контроллеру домена в домене. При создании новой учетной записи домена или группы в реплике одного контроллера домена Active Directory назначается идентификатор безопасности. Относительный идентификатор для нового идентификатора безопасности взят из выделения контроллером домена относительных идентификаторов. Когда количество относительных идентификаторов начинает низкое, контроллер домена запрашивает у главного узла RID еще один блок.
Каждый контроллер домена использует каждое значение в блоке относительных идентификаторов только один раз. Мастер RID выделяет каждый блок значений относительных идентификаторов только один раз. Этот процесс гарантирует, что каждая учетная запись и группа, созданные в домене, имеет уникальный относительный идентификатор.
Идентификаторы безопасности и глобально уникальные идентификаторы
При создании новой учетной записи пользователя или группы домена Active Directory сохраняет идентификатор безопасности учетной записи в свойстве ObjectSID объекта User или Group. Он также назначает новому объекту глобальный уникальный идентификатор (GUID), который является 128-разрядным значением, уникальным не только на предприятии, но и во всем мире. Идентификаторы GUID назначаются каждому объекту, созданному Active Directory, а не только объектам пользователей и групп. GUID каждого объекта хранится в свойстве ObjectGUID .
Active Directory использует идентификаторы GUID внутри организации для идентификации объектов. Например, GUID — это одно из свойств объекта, опубликованное в глобальном каталоге. Поиск GUID объекта User в глобальном каталоге дает результаты, если у пользователя есть учетная запись где-то на предприятии. На самом деле поиск любого объекта по ObjectGUID может быть самым надежным способом поиска объекта, который требуется найти. Значения других свойств объекта могут изменяться, но свойство ObjectGUID никогда не изменяется. Когда объекту назначается GUID, он сохраняет это значение в течение всего времени.
Если пользователь перемещается из одного домена в другой, он получает новый идентификатор безопасности. Идентификатор безопасности для объекта группы не изменяется, так как группы остаются в домене, где они были созданы. Однако при перемещении пользователей их учетные записи могут перемещаться вместе с ними. Если сотрудник перемещается из Северная Америка в Европу, но остается в одной компании, администратор предприятия может переместить объект user сотрудника, например Contoso\NoAm в Contoso\Europe. Если администратор делает это, объекту User для учетной записи требуется новый идентификатор безопасности. Часть идентификатора домена идентификатора безопасности, выданного в NoAm, уникальна для NoAm; поэтому идентификатор безопасности учетной записи пользователя в Европе имеет другой идентификатор домена. Часть относительного идентификатора идентификатора безопасности уникальна относительно домена; Поэтому при изменении домена изменяется и относительный идентификатор.
Когда объект User перемещается из одного домена в другой, для учетной записи пользователя необходимо создать новый идентификатор безопасности и сохранить его в свойстве ObjectSID . Перед записью нового значения в свойство предыдущее значение копируется в другое свойство объекта User , SIDHistory. Это свойство может содержать несколько значений. Каждый раз, когда объект User перемещается в другой домен, создается и сохраняется новый идентификатор безопасности в свойстве ObjectSID , а другое значение добавляется в список старых идентификаторов безопасности в SIDHistory. Когда пользователь входит в систему и успешно выполняет проверку подлинности, служба проверки подлинности домена запрашивает Active Directory для всех идентификаторов безопасности, связанных с пользователем, включая текущий идентификатор безопасности пользователя, старые идентификаторы безопасности пользователя и идентификаторы безопасности для групп пользователя. Все эти идентификаторы безопасности возвращаются клиенту проверки подлинности и включаются в маркер доступа пользователя. Когда пользователь пытается получить доступ к ресурсу, любой идентификатор безопасности в маркере доступа (включая один из идентификаторов безопасности в SIDHistory) может разрешить или запретить доступ пользователя.
Если вы разрешаете или запрещаете доступ пользователей к ресурсу на основе их заданий, следует разрешить или запретить доступ к группе, а не к отдельному пользователю. Таким образом, когда пользователи изменяют задания или переход на другие отделы, вы можете легко настроить их доступ, удалив их из определенных групп и добавив их в другие.
Однако если вы разрешаете или запрещаете отдельным пользователям доступ к ресурсам, возможно, вы захотите, чтобы доступ этого пользователя был одинаковым независимо от того, сколько раз изменяется домен учетной записи пользователя. Это можно сделать с помощью свойства SIDHistory . Когда пользователь изменяет домены, нет необходимости изменять список управления доступом (ACL) для любого ресурса. Если в списке ACL есть старый идентификатор безопасности пользователя, но не новый, старый идентификатор безопасности по-прежнему находится в маркере доступа пользователя. Он указан в списке идентификаторов безопасности для групп пользователей, и пользователю предоставляется или отказано в доступе на основе старого идентификатора безопасности.
Хорошо известные идентификаторы безопасности
Значения определенных идентификаторов безопасности являются постоянными во всех системах. Они создаются при установке операционной системы или домена. Они называются хорошо известными идентификаторами безопасности, так как они определяют универсальных пользователей или универсальные группы.
Существуют универсальные хорошо известные идентификаторы безопасности, которые имеют смысл во всех защищенных системах, использующих эту модель безопасности, включая операционные системы, отличные от Windows. Кроме того, существуют хорошо известные идентификаторы безопасности, которые имеют смысл только в операционных системах Windows.
В следующей таблице перечислены универсальные хорошо известные идентификаторы безопасности.
| Значение | Идентификатор безопасности Well-Known универсальной платформы | Определяет |
|---|---|---|
| S-1-0-0 | Null SID | Группа без участников. Это часто используется, если значение идентификатора безопасности неизвестно. |
| S-1-1-0 | World | Группа, включающее всех пользователей. |
| S-1-2-0 | Локальные | Пользователи, которые выполняют вход в терминалы, которые локально (физически) подключены к системе. |
| S-1-2-1 | Вход в консоль | Группа, включаемая пользователей, которые вошли в физическую консоль. |
| S-1-3-0 | Идентификатор владельца создателя | Идентификатор безопасности, заменяющийся идентификатором безопасности пользователя, создавшего новый объект. Этот идентификатор безопасности используется в наследуемых ACL. |
| S-1-3-1 | Идентификатор группы создателей | Идентификатор безопасности, заменяющийся идентификатором безопасности первичной группы пользователя, создавшего новый объект. Используйте этот идентификатор безопасности в наследуемых ACL. |
| S-1-3-2 | Сервер владельца создателя | |
| S-1-3-3 | Сервер группы создателей | |
| S-1-3-4 | Права владельца | Группа, представляющая текущего владельца объекта. Когда к объекту применяется ACE, который содержит этот идентификатор безопасности, система игнорирует неявные разрешения READ_CONTROL и WRITE_DAC для владельца объекта. |
| S-1-4 | Неуникаленный орган | Идентификатор безопасности, представляющий полномочия идентификатора. |
| S-1-5 | NT Authority | Идентификатор безопасности, представляющий полномочия идентификатора. |
| S-1-5-80-0 | Все службы | Группа, которая включает все процессы службы, настроенные в системе. Членство контролируется операционной системой. |
В следующей таблице перечислены предопределенные константы центра идентификаторов. Первые четыре значения используются с универсальными хорошо известными идентификаторами безопасности, а остальные значения используются с известными идентификаторами безопасности в операционных системах Windows, указанными в списке "Применимо к ".
| Identifier Authority | Значение | Префикс строки SID |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 | S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 | S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 | S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 | S-1-3 |
| SECURITY_NT_AUTHORITY | 5 | S-1-5 |
| SECURITY_AUTHENTICATION_AUTHORITY | 18 | S-1-18 |
Следующие значения RID используются с универсальными хорошо известными идентификаторами безопасности. В столбце центра идентификаторов отображается префикс центра идентификаторов, с которым можно объединить RID для создания универсального хорошо известного идентификатора безопасности.
| Относительный идентификатор центра | Значение | Identifier Authority |
|---|---|---|
| SECURITY_NULL_RID | 0 | S-1-0 |
| SECURITY_WORLD_RID | 0 | S-1-1 |
| SECURITY_LOCAL_RID | 0 | S-1-2 |
| SECURITY_CREATOR_OWNER_RID | 0 | S-1-3 |
| SECURITY_CREATOR_GROUP_RID | 1 | S-1-3 |
Предопределенный центр идентификаторов SECURITY_NT_AUTHORITY (S-1-5) создает идентификаторы безопасности, которые не являются универсальными и значимы только в установках операционных систем Windows, указанных в списке "Применимо к" в начале этой статьи.**** В следующей таблице перечислены хорошо известные идентификаторы безопасности.
| SID | Отображаемое имя | Описание |
|---|---|---|
| S-1-5-1 | Dialup | Группа, включаемая всех пользователей, вошедшем в систему с помощью подключения с помощью набора номера. |
| S-1-5-113 | Локальная учетная запись | Этот идентификатор безопасности можно использовать при ограничении сетевого входа локальными учетными записями, а не "администратором" или эквивалентом. Этот идентификатор безопасности может быть эффективным при блокировке сетевого входа для локальных пользователей и групп по типу учетной записи независимо от того, как они на самом деле именуются. |
| S-1-5-114 | Локализованная учетная запись и член группы "Администраторы" | Этот идентификатор безопасности можно использовать при ограничении сетевого входа локальными учетными записями, а не "администратором" или эквивалентом. Этот идентификатор безопасности может быть эффективным при блокировке сетевого входа для локальных пользователей и групп по типу учетной записи независимо от того, как они на самом деле именуются. |
| S-1-5-2 | Network | Группа, включаемая всех пользователей, которые вошли в систему с помощью сетевого подключения. Маркеры доступа для интерактивных пользователей не содержат идентификатор безопасности сети. |
| S-1-5-3 | Batch | Группа, включаемая всех пользователей, которые выполнили вход с помощью средства пакетной очереди, например заданий планировщика задач. |
| S-1-5-4 | Interactive (Интерактивные) | Группа, включающее всех пользователей, которые входят в систему в интерактивном режиме. Пользователь может запустить интерактивный сеанс входа, войдите непосредственно на клавиатуре, открыв подключение к службам удаленных рабочих столов с удаленного компьютера или используя удаленную оболочку, например Telnet. В каждом случае маркер доступа пользователя содержит интерактивный идентификатор безопасности. Если пользователь входит с помощью подключения к службам удаленных рабочих столов, маркер доступа пользователя также содержит идентификатор безопасности удаленного интерактивного входа. |
| S-1-5-5-X **-Y | Сеанс входа | Значения X и Y для этих идентификаторов безопасности уникально идентифицируют определенный сеанс входа. |
| S-1-5-6 | Обслуживание | Группа, включаемая все субъекты безопасности, которые выполнили вход в качестве службы. |
| S-1-5-7 | Анонимный вход | Пользователь, подключившийся к компьютеру без указания имени пользователя и пароля. Удостоверение анонимного входа отличается от удостоверения, используемого службами IIS для анонимного веб-доступа. Службы IIS используют фактическую учетную запись IUSR_ ComputerName для анонимного доступа к ресурсам на веб-сайте. Строго говоря, такой доступ не является анонимным, так как субъект безопасности известен, даже если неопознаваемый пользователь использует учетную запись. IUSR_ ComputerName (или любое имя учетной записи) имеет пароль, а служба IIS регистрирует учетную запись при запуске службы. В результате "анонимный" пользователь IIS является членом пользователей, прошедших проверку подлинности, а анонимный вход — нет. |
| S-1-5-8 | Прокси-сервер | В настоящее время не применяется: этот идентификатор безопасности не используется. |
| S-1-5-9 | Контроллеры домена предприятия | Группа, которая включает все контроллеры домена в лесу доменов. |
| S-1-5-10 | Самостоятельно | Заполнитель в ACE для пользователя, группы или объекта компьютера в Active Directory. При предоставлении разрешений для Self вы предоставляете их субъекту безопасности, который представлен объектом. Во время проверки доступа операционная система заменяет sid for Self идентификатором безопасности субъекта безопасности, представленного объектом. |
| S-1-5-11 | Прошедшие проверку пользователи | Группа, включающее всех пользователей и компьютеры с удостоверениями, прошедшими проверку подлинности. Пользователи, прошедшие проверку подлинности, не включают guest, даже если у гостевой учетной записи есть пароль. Эта группа включает субъекты безопасности, прошедшие проверку подлинности, из любого доверенного домена, а не только из текущего домена. |
| S-1-5-12 | Ограниченный код | Удостоверение, используемого процессом, который выполняется в ограниченном контексте безопасности. В операционных системах Windows и Windows Server политика ограниченного использования программного обеспечения может назначать коду один из трех уровней безопасности: неограниченный, ограниченный или запрещенный. При выполнении кода на ограниченном уровне безопасности идентификатор безопасности с ограниченным доступом добавляется в маркер доступа пользователя. |
| S-1-5-13 | Пользователь сервера терминалов | Группа, включаемая всех пользователей, которые входят на сервер с включенными службами удаленных рабочих столов. |
| S-1-5-14 | Удаленный интерактивный вход | Группа, включаемая всех пользователей, которые входят на компьютер с помощью подключения к удаленному рабочему столу. Эта группа является подмножеством интерактивной группы. Маркеры доступа, которые содержат SID удаленного интерактивного входа в систему, также содержат интерактивный SID. |
| S-1-5-15 | Эта организация | Группа, включающее всех пользователей из одной организации. Включается только в учетные записи Active Directory и добавляется только контроллером домена. |
| S-1-5-17 | IUSR | Учетная запись, используемая пользователем служб IIS по умолчанию. |
| S-1-5-18 | Система (или LocalSystem) | Удостоверение, используемого локально операционной системой и службами, настроенными для входа в систему как LocalSystem. Система является скрытым членом администраторов. То есть любой процесс, выполняемый как System, имеет идентификатор безопасности для встроенной группы администраторов в маркере доступа. Когда процесс, который выполняется локально в качестве системного доступа к сетевым ресурсам, он делает это с помощью удостоверения домена компьютера. Маркер доступа на удаленном компьютере включает идентификатор безопасности для учетной записи домена локального компьютера, а также идентификаторы безопасности для групп безопасности, членом которых является компьютер, таких как "Компьютеры домена" и "Прошедшие проверку подлинности пользователи". |
| S-1-5-19 | NT Authority (LocalService) | Удостоверение, которое используется локальными службами на компьютере, не имеет необходимости в расширенном локальном доступе и не требуется доступ к сети с проверкой подлинности. Службы, которые выполняются как LocalService, имеют доступ к локальным ресурсам в качестве обычных пользователей и имеют доступ к сетевым ресурсам как анонимные пользователи. В результате служба, которая выполняется как LocalService, имеет значительно меньше полномочий, чем служба, которая работает как LocalSystem локально и в сети. |
| S-1-5-20 | Сетевая служба | Удостоверение, которое используется службами, которые не требуют расширенного локального доступа, но требуют доступа к сети с проверкой подлинности. Службы, работающие как NetworkService, имеют доступ к локальным ресурсам в качестве обычных пользователей и доступ к сетевым ресурсам с помощью удостоверения компьютера. В результате служба, которая выполняется как NetworkService, имеет тот же сетевой доступ, что и служба LocalSystem, но значительно сокращает локальный доступ. |
| S-1-5-domain-500** | Администратор | Учетная запись пользователя для системного администратора. На каждом компьютере есть локальная учетная запись администратора, а для каждого домена — учетная запись администратора домена. Учетная запись администратора — это первая учетная запись, созданная во время установки операционной системы. Учетную запись нельзя удалить, отключить или заблокировать, но ее можно переименовать. По умолчанию учетная запись администратора является членом группы администраторов и не может быть удалена из этой группы. |
| S-1-5-domain-501** | Гость | Учетная запись пользователя для пользователей, у которых нет отдельных учетных записей. Каждый компьютер имеет локальную гостевую учетную запись, а каждый домен имеет гостевую учетную запись домена. По умолчанию гость является членом групп "Все" и "Гости". Гостевая учетная запись домена также входит в группы "Гости домена" и "Пользователи домена". В отличие от анонимного входа, guest — это реальная учетная запись, и ее можно использовать для входа в интерактивном режиме. Гостевой учетной записи не требуется пароль, но он может иметь его. |
| S-1-5-domain-502** | krbtgt | Учетная запись пользователя, используемая службой центра распространения ключей (KDC). Учетная запись существует только на контроллерах домена. |
| S-1-5-domain-512** | Администраторы домена | Глобальная группа с участниками, которым разрешено администрировать домен. По умолчанию группа "Администраторы домена" входит в группу "Администраторы" на всех компьютерах, присоединенных к домену, включая контроллеры домена. Администраторы домена — это владелец по умолчанию любого объекта, созданного в Active Directory домена любым участником группы. Если участники этой группы создают другие объекты, например файлы, то владельцем по умолчанию является группа "Администраторы". |
| S-1-5-domain-513** | Пользователи домена | Глобальная группа, включающее всех пользователей в домене. При создании объекта User в Active Directory пользователь автоматически добавляется в эту группу. |
| S-1-5-domain-514** | Гости домена | Глобальная группа, которая по умолчанию имеет только одного участника: встроенную гостевую учетную запись домена. |
| S-1-5-domain-515** | Компьютеры домена | Глобальная группа, которая включает все компьютеры, присоединенные к домену, за исключением контроллеров домена. |
| S-1-5-domain-516** | Контроллеры домена | Глобальная группа, которая включает в себя все контроллеры домена в домене. Новые контроллеры домена добавляются в эту группу автоматически. |
| S-1-5-domain-517** | Издатели сертификатов | Глобальная группа, включающее все компьютеры, на которых размещен центр сертификации предприятия. Издатели сертификатов имеют право публиковать сертификаты для объектов пользователей в Active Directory. |
| S-1-5-root domain-518** | Администраторы схемы | Группа, которая существует только в корневом домене леса. Это универсальная группа, если домен находится в собственном режиме, и глобальная группа, если домен находится в смешанном режиме. Группа администраторов схемы имеет право вносить изменения в схему в Active Directory. По умолчанию единственным участником этой группы является учетная запись администратора для корневого домена леса. |
| S-1-5-root domain-519** | Администраторы предприятия | Группа, которая существует только в корневом домене леса. Это универсальная группа, если домен находится в собственном режиме, и глобальная группа, если домен находится в смешанном режиме. Группа администраторов предприятия имеет право вносить изменения в инфраструктуру леса, такие как добавление дочерних доменов, настройка сайтов, авторизация DHCP-серверов и установка центров сертификации предприятия. По умолчанию единственным членом администраторов предприятия является учетная запись администратора для корневого домена леса. Группа является членом по умолчанию для каждой группы администраторов домена в лесу. |
| S-1-5-domain-520** | Владельцы и создатели групповой политики | Глобальная группа, которая имеет право создавать новые объекты групповая политика в Active Directory. По умолчанию единственным участником этой группы является администратор. Объекты, созданные членами групповая политика creator Owners, принадлежат отдельному пользователю, который их создает. Таким образом, группа владельцев групповая политика создателя не является в отличие от других административных групп (например, администраторов и администраторов домена). Объекты, созданные членами этих групп, принадлежат группе, а не отдельному пользователю. |
| S-1-5-domain-553** | Серверы RAS и IAS | Локальная группа доменов. По умолчанию в этой группе нет участников. Компьютеры, на которых запущена служба маршрутизации и удаленного доступа, автоматически добавляются в группу. Участники этой группы обладают доступом к определенным свойствам объектов пользователей, таким как ограничения на чтение учетных записей, чтение сведений о входе и чтение сведений об удаленном доступе. |
| S-1-5-32-544 | Администраторы | Встроенная группа. После первоначальной установки операционной системы единственным членом группы является учетная запись администратора. Когда компьютер присоединяется к домену, группа "Администраторы домена" добавляется в группу "Администраторы". Когда сервер становится контроллером домена, группа "Администраторы предприятия" также добавляется в группу "Администраторы". |
| S-1-5-32-545 | Пользователи | Встроенная группа. После начальной настройки операционной системы единственным участником этой группы становится группа "Прошедшие проверку пользователи". |
| S-1-5-32-546 | Гости | Встроенная группа. Единственный участник этой группы по умолчанию — учетная запись "Гость". Группа "Гости" позволяет случайным или разово пользователям выполнять вход с ограниченными правами доступа к встроенной гостевой учетной записи компьютера. |
| S-1-5-32-547 | Пользователи с питанием | Встроенная группа. По умолчанию в этой группе нет участников. Пользователи power могут создавать локальных пользователей и группы; изменение и удаление созданных учетных записей; и удалите пользователей из групп Power Users, Users и Guests. Пользователи power также могут устанавливать программы; создание, администрирование и удаление локальных принтеров; и создание и удаление общих папок. |
| S-1-5-32-548 | Операторы учетных записей | Встроенная группа, которая существует только на контроллерах домена. По умолчанию в этой группе нет участников. По умолчанию операторы учетных записей имеют разрешение на создание, изменение и удаление учетных записей для пользователей, групп и компьютеров во всех контейнерах и подразделениях Active Directory, за исключением контейнера Builtin и подразделения контроллеров домена. Операторы учетных записей не имеют разрешения на изменение групп администраторов и администраторов домена, а также не имеют разрешения на изменение учетных записей для членов этих групп. |
| S-1-5-32-549 | Операторы серверов | Описание: встроенная группа, которая существует только на контроллерах домена. По умолчанию в этой группе нет участников. Операторы сервера могут выполнять вход на сервер в интерактивном режиме; создание и удаление общих сетевых ресурсов; запуск и остановка служб; резервное копирование и восстановление файлов; форматирование жесткого диска компьютера; и завершите работу компьютера. |
| S-1-5-32-550 | Операторы печати | Встроенная группа, которая существует только на контроллерах домена. По умолчанию единственным участником является группа "Пользователи домена". Операторы печати могут управлять принтерами и очередями документов. |
| S-1-5-32-551 | Операторы архива | Встроенная группа. По умолчанию в этой группе нет участников. Операторы резервного копирования могут выполнять резервное копирование и восстановление всех файлов на компьютере, независимо от разрешений, которые защищают эти файлы. Операторы резервного копирования также могут войти на компьютер и завершить его работу. |
| S-1-5-32-552 | Репликаторы | Встроенная группа, используемая службой репликации файлов на контроллерах домена. По умолчанию в этой группе нет участников. Не добавляйте пользователей в эту группу. |
| S-1-5-32-554 | Builtin\Pre-Windows 2000 Compatible Access | Псевдоним, добавленный в Windows 2000. Группа обратной совместимости, которая обеспечивает доступ на чтение для всех пользователей и групп в домене. |
| S-1-5-32-555 | Builtin\Remote Desktop Users | Псевдоним. Участникам этой группы предоставляется право на удаленный вход. |
| S-1-5-32-556 | Builtin\Операторы конфигурации сети | Псевдоним. Члены этой группы могут иметь некоторые права администратора для управления конфигурацией сетевых функций. |
| S-1-5-32-557 | Builtin\Incoming Forest Trust Builders | Псевдоним. Члены этой группы могут создавать входящие односторонние отношения доверия с этим лесом. |
| S-1-5-32-558 | Builtin\Монитор производительности Users | Псевдоним. Члены этой группы имеют удаленный доступ для мониторинга этого компьютера. |
| S-1-5-32-559 | Builtin\Performance Log Users | Псевдоним. Члены этой группы имеют удаленный доступ к расписанию ведения журнала счетчиков производительности на этом компьютере. |
| S-1-5-32-560 | Builtin\Группа доступа авторизации Windows | Псевдоним. Члены этой группы имеют доступ к вычисляемому атрибуту tokenGroupsGlobalAndUniversal в объектах User. |
| S-1-5-32-561 | Builtin\Terminal Server License Servers | Псевдоним. Группа серверов лицензирования сервера терминалов. При установке Windows Server 2003 с пакетом обновления 1 (SP1) создается новая локальная группа. |
| S-1-5-32-562 | Builtin\Distributed COM Users | Псевдоним. Группа com для предоставления элементов управления доступом на уровне компьютера, которые управляют доступом ко всем запросам на вызов, активацию или запуск на компьютере. |
| S-1-5-32-568 | Builtin\IIS_IUSRS | Псевдоним. Встроенная учетная запись группы для пользователей IIS. |
| S-1-5-32-569 | Builtin\Cryptographic Operators | Встроенная локальная группа. Участники имеют право на выполнение криптографических операций. |
| S-1-5-32-573 | Builtin\Event Log Readers | Встроенная локальная группа. Члены этой группы могут считывать журналы событий с локального компьютера. |
| S-1-5-32-574 | Builtin\Certificate Service DCOM Access | Встроенная локальная группа. Участникам этой группы разрешено подключаться к центрам сертификации на предприятии. |
| S-1-5-32-575 | Встроенные серверы удаленного доступа RDS | Встроенная локальная группа. Серверы в этой группе позволяют пользователям программ RemoteApp и личным виртуальным рабочим столам получать доступ к этим ресурсам. В развертываниях с выходом в Интернет эти серверы обычно развертываются в пограничной сети. Эта группа должна быть заполнена на серверах с посредником подключений к удаленному рабочему столу. Серверы шлюза удаленных рабочих столов и серверы веб-доступа к удаленным рабочим столам, используемые в развертывании, должны быть в этой группе. |
| S-1-5-32-576 | Серверы конечных точек Builtin\RDS | Встроенная локальная группа. Серверы в этой группе запускают виртуальные машины и сеансы узлов, в которых выполняются программы RemoteApp и личные виртуальные рабочие столы. Эта группа должна быть заполнена на серверах с посредником подключений к удаленному рабочему столу. Серверы узла сеансов удаленных рабочих столов и серверы узла виртуализации удаленных рабочих столов, используемые в развертывании, должны быть в этой группе. |
| S-1-5-32-577 | Встроенные серверы управления RDS | Встроенная локальная группа. Серверы в этой группе могут выполнять стандартные административные действия на серверах, на котором работают службы удаленных рабочих столов. Эта группа должна быть заполнена на всех серверах в развертывании служб удаленных рабочих столов. В состав этой группы должны входить серверы со службой централизованного управления RDS. |
| S-1-5-32-578 | Builtin\Hyper-V Administrators | Встроенная локальная группа. Члены этой группы имеют полный и неограниченный доступ ко всем функциям Hyper-V. |
| S-1-5-32-579 | Builtin\контроль доступа Assistance Operators | Встроенная локальная группа. Члены этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на этом компьютере. |
| S-1-5-32-580 | Builtin\Remote Management Users | Встроенная локальная группа. Члены этой группы могут получать доступ к ресурсам WMI через протоколы управления (например, WS-Management через службу удаленного управления Windows). Это относится только к тем пространствам имен WMI, которые предоставляет доступ пользователям. |
| S-1-5-64-10 | Проверка подлинности NTLM | Идентификатор безопасности, используемый при проверке подлинности клиента пакетом проверки подлинности NTLM |
| S-1-5-64-14 | Проверка подлинности SChannel | Идентификатор безопасности, используемый при проверке подлинности клиента пакетом проверки подлинности SChannel. |
| S-1-5-64-21 | Дайджест-проверка подлинности | Идентификатор безопасности, используемый при проверке подлинности клиента пакетом дайджест-проверки подлинности. |
| S-1-5-80 | Служба NT | Идентификатор безопасности, используемый в качестве префикса учетной записи службы NT. |
| S-1-5-80-0 | Все службы | Группа, которая включает все процессы службы, настроенные в системе. Членство контролируется операционной системой. SID S-1-5-80-0 равно NT SERVICES\ALL SERVICES. Этот идентификатор безопасности появился в Windows Server 2008 R2. |
| S-1-5-83-0 | Виртуальная машина NT\Виртуальные машины | Встроенная группа. Группа создается при установке роли Hyper-V. Членство в группе поддерживается службой управления Hyper-V (VMMS). Для этой группы требуется право **** на создание символьных ссылок (SeCreateSymbolicLinkPrivilege), **** а также право входа в качестве службы (SeServiceLogonRight). |
Следующие идентификаторы RID являются относительным для каждого домена.
| RID | Десятичное значение | Определяет |
|---|---|---|
| DOMAIN_USER_RID_ADMIN | 500 | Учетная запись администратора в домене. |
| DOMAIN_USER_RID_GUEST | 501 | Учетная запись гостевого пользователя в домене. Пользователи, у которых нет учетной записи, могут автоматически войти в эту учетную запись. |
| DOMAIN_GROUP_RID_USERS | 513 | Группа, содержащая все учетные записи пользователей в домене. Все пользователи автоматически добавляются в эту группу. |
| DOMAIN_GROUP_RID_GUESTS | 514 | Гостевая учетная запись группы в домене. |
| DOMAIN_GROUP_RID_COMPUTERS | 515 | Группа компьютеров домена. Все компьютеры в домене являются членами этой группы. |
| DOMAIN_GROUP_RID_CONTROLLERS | 516 | Группа контроллера домена. Все контроллеры домена в домене являются членами этой группы. |
| DOMAIN_GROUP_RID_CERT_ADMINS | 517 | Группа издателей сертификатов. Компьютеры, на которые запущены службы сертификатов Active Directory, являются членами этой группы. |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS | 518 | Группа администраторов схемы. Члены этой группы могут изменять схему Active Directory. |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS | 519 | Группа администраторов предприятия. Члены этой группы имеют полный доступ ко всем доменам в лесу Active Directory. Администраторы предприятия отвечают за операции уровня леса, такие как добавление или удаление новых доменов. |
| DOMAIN_GROUP_RID_POLICY_ADMINS | 520 | Группа администраторов политики. |
В следующей таблице приведены примеры идентификаторов RID, относящиеся к домену, которые используются для формирования хорошо известных идентификаторов безопасности для локальных групп.
| RID | Десятичное значение | Определяет |
|---|---|---|
| DOMAIN_ALIAS_RID_ADMINS | 544 | Администраторы домена. |
| DOMAIN_ALIAS_RID_USERS | 545 | Все пользователи в домене. |
| DOMAIN_ALIAS_RID_GUESTS | 546 | Гости домена. |
| DOMAIN_ALIAS_RID_POWER_USERS | 547 | Пользователь или набор пользователей, которые ожидают, что система будет рассматриваться как личный компьютер, а не как рабочая станция для нескольких пользователей. |
| DOMAIN_ALIAS_RID_BACKUP_OPS | 551 | Локальная группа, которая используется для управления назначением прав пользователя резервного копирования и восстановления файлов. |
| DOMAIN_ALIAS_RID_REPLICATOR | 552 | Локальная группа, отвечающая за копирование баз данных безопасности с основного контроллера домена на контроллеры домена резервного копирования. Эти учетные записи используются только системой. |
| DOMAIN_ALIAS_RID_RAS_SERVERS | 553 | Локальная группа, представляющая удаленный доступ и серверы, на которых запущена служба проверки подлинности Интернета (IAS). Эта группа разрешает доступ к различным атрибутам объектов User. |
Изменения в функциональных возможностях идентификатора безопасности
В следующей таблице описаны изменения в реализации sid в операционных системах Windows, указанных в списке.
| Изменение | Версия операционной системы | Описание и ресурсы |
|---|---|---|
| Большинство файлов операционной системы принадлежат идентификатору безопасности TrustedInstaller (SID). | Windows Server 2008, Windows Vista | Это изменение предназначено для предотвращения автоматической замены файлов операционной системы процессом, который выполняется от имени администратора или учетной записи LocalSystem. |
| Реализованы проверки ограниченного идентификатора безопасности | Windows Server 2008, Windows Vista | При ограничении идентификаторов безопасности Windows выполняет две проверки доступа. Первый — это обычная проверка доступа, а второй — та же проверка доступа для ограничивающих идентификаторов безопасности в маркере. Обе проверки доступа должны пройти, чтобы разрешить процессу доступ к объекту. |
Идентификаторы безопасности возможностей
Идентификаторы безопасности возможностей (SID) используются для уникальной и неизменяемой идентификации возможностей. Возможности представляют собой неподдерживаемый маркер полномочий, который предоставляет доступ к ресурсам (примеры: документы, камера, расположения и т. д.) универсальным приложениям Windows. Приложению, у которого есть возможность, предоставляется доступ к ресурсу, с которым связана эта возможность, а приложению, у которого нет возможности, запрещается доступ к ресурсу.
Все идентификаторы БЕЗОПАСНОСТИ возможностей, которые учитывает операционная система, хранятся в реестре Windows по пути "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities". В это расположение будут добавлены все идентификаторы безопасности возможностей, добавленные в Windows приложениями первого или стороннего производителя.
Примеры разделов реестра, взятых из Windows 10 версии 1909, 64-разрядной версии Enterprise
В разделе AllCachedCapabilities могут отображаться следующие разделы реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
Все идентификаторы безопасности возможностей имеют префикс S-1-15-3
Примеры разделов реестра, взятых из Windows 11 версии 21H2, 64-разрядной версии Enterprise
В разделе AllCachedCapabilities могут отображаться следующие разделы реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
Все идентификаторы безопасности возможностей имеют префикс S-1-15-3
См. также
Обратная связь
Отправить и просмотреть отзыв по