Идентификаторы безопасности

Область применения

  • Windows 10
  • Windows Server 2016

В этом разделе для ИТ-специалистов описываются идентификаторы безопасности и их работа в отношении учетных записей и групп Windows операционной системы.

Что такое идентификаторы безопасности?

Идентификатор безопасности (SID) используется для уникальной идентификации директора или группы безопасности. Принципы безопасности могут представлять любую сущность, которая может быть аутентификацией операционной системы, например учетную запись пользователя, учетную запись компьютера или поток или процесс, который выполняется в контексте безопасности пользователя или учетной записи компьютера.

Каждая учетная запись, группа или процесс, запущенный в контексте безопасности учетной записи, имеет уникальный SID, выданный органом, например контроллером Windows домена. Он хранится в базе данных безопасности. Система создает SID, который определяет определенную учетную запись или группу во время создания учетной записи или группы. Когда SID был использован в качестве уникального идентификатора для пользователя или группы, он никогда не может быть использован для идентификации другого пользователя или группы.

При каждом входе пользователя система создает маркер доступа для этого пользователя. Маркер доступа содержит ПОЛЬЗОВАТЕЛЬСКИЙ ИНТЕРФЕЙС пользователя, права пользователя и СИД для любых групп, к которой принадлежит пользователь. Этот маркер обеспечивает контекст безопасности для любых действий, выполняемых пользователем на этом компьютере.

Помимо уникально созданных ИИИ, определенных для домена, которые назначены определенным пользователям и группам, существуют хорошо известные СИД, которые определяют общие группы и общих пользователей. Например, СИД "Все" и "Мир" определяют группу, включаемую всех пользователей. Известные SID-системы имеют значения, которые остаются неизменными во всех операционных системах.

SiDs — это фундаментальный строительный блок Windows безопасности. Они работают с определенными компонентами технологий управления авторизацией и доступом в инфраструктуре безопасности операционных систем Windows Server. Это помогает защитить доступ к сетевым ресурсам и обеспечивает более безопасную вычислительную среду.

Содержимое в этом разделе относится к компьютерам, на которые запущены поддерживаемые версии операционной системы Windows, как это обозначено в списке Applies To в начале этой темы.

Работа идентификаторов безопасности

Пользователи ссылаются на учетные записи с помощью имени учетной записи, но операционная система внутренне ссылается на учетные записи и процессы, которые работают в контексте безопасности учетной записи с помощью идентификаторов безопасности (SID). Для учетных записей домена, SID директора безопасности создается путем согласовывания SID домена с относительным идентификатором (RID) для учетной записи. SiDs являются уникальными в пределах их области (домена или локального), и они никогда не будут повторно.

Операционная система создает SID, который определяет определенную учетную запись или группу во время создания учетной записи или группы. Sid для локальной учетной записи или группы создается местным управлением безопасности (LSA) на компьютере и хранится с другими сведениями учетной записи в безопасной области реестра. Sid для учетной записи домена или группы создается органом безопасности домена и хранится в качестве атрибута объекта User или Group в службах домена Active Directory.

Для каждой локальной учетной записи и группы sid является уникальным для компьютера, на котором он был создан. Нет двух учетных записей или групп на компьютере никогда не имеют одного и того же SID. Кроме того, для каждой учетной записи домена и группы sid является уникальным в пределах предприятия. Это означает, что SID для учетной записи или группы, созданной в одном домене, никогда не будет соответствовать SID для учетной записи или группы, созданной в любом другом домене предприятия.

SID всегда остаются уникальными. Органы безопасности никогда не выпускают один и тот же SID дважды и никогда не будут повторно использовать SID-данные для удаленных учетных записей. Например, если пользователь с учетной записью пользователя в домене Windows покидает свою работу, администратор удаляет ее учетную запись Active Directory, в том числе sid, который идентифицирует учетную запись. Если позже она возвращается на другую работу в одной и той же компании, администратор создает новую учетную запись, а операционная система Windows Server создает новый SID. Новый SID не соответствует старому; поэтому доступ пользователя со старой учетной записи не передается на новую учетную запись. Две ее учетные записи представляют две совершенно разные принципы безопасности.

Архитектура идентификатора безопасности

Идентификатор безопасности — это структура данных в двоичном формате, которая содержит переменное количество значений. Первые значения в структуре содержат сведения о структуре SID. Остальные значения расположены в иерархии (аналогично номеру телефона), и они идентифицируют орган по выдаче SID (например, "NT Authority"), домен sid-issuing и определенного доверителя безопасности или группу. На следующем изображении иллюстрируется структура SID.

Архитектура идентификатора безопасности.

Отдельные значения SID описаны в следующей таблице.

Comment Описание
Редакция Указывает версию структуры SID, которая используется в определенном SID.
Управление идентификатором Определяет самый высокий уровень полномочий, которые могут выдавать SID-коды для определенного типа доверителем безопасности. Например, значение авторитета идентификатора в группе SID для всех — 1 (World Authority). Значение авторитета идентификатора в SID для определенной учетной записи Windows Server или группы — 5 (NT Authority).
Subauthorities >содержит наиболее важную информацию в SID, которая содержится в серии из одного или более значений subauthority. Все значения до, но не включая, последнее значение в серии совместно идентифицируют домен в предприятии. Эта часть серии называется идентификатором домена. Последнее значение в серии, которое называется относительным идентификатором (RID), определяет определенную учетную запись или группу по отношению к домену.

Компоненты SID легче визуализировать при преобразовании SID из двоичного в формат строки с помощью стандартной нотации:

S-R-X-Y1-Y2-Yn-1-Yn

В этой нотации компоненты SID представлены, как показано в следующей таблице.

Comment Описание
S Указывает, что строка является SID
R Указывает уровень пересмотра
X Указывает значение авторитета идентификатора
Y Представляет ряд значений подавторности, где n — это число значений

Наиболее важные сведения SID содержатся в серии значений подавторитета. Первая часть серии (-Y1-Y2-Y** n-1) — идентификатор домена. Этот элемент SID становится значительным в предприятии с несколькими доменами, так как идентификатор домена отличает идентификаторы SID, которые выданы одним доменом, от СИД, которые выданы всеми другими доменами предприятия. Нет двух доменов в корпоративном идентификаторе одного и того же домена.

Последний элемент из серии значений subauthority (-Yn)— это относительный идентификатор. Она отличает одну учетную запись или группу от всех других учетных записей и групп в домене. Нет двух учетных записей или групп в любом домене с одинаковым относительным идентификатором.

Например, SID для встроенной группы администраторов представлен в стандартизированной нотации SID в качестве следующей строки:

S-1-5-32-544

Этот SID имеет четыре компонента:

  • Уровень пересмотра (1)

  • Значение авторитета идентификатора (5, NT Authority)

  • Идентификатор домена (32, Builtin)

  • Относительный идентификатор (544, Администраторы)

SiD-коды для встроенных учетных записей и групп всегда имеют одно и то же значение идентификатора домена: 32. Это значение определяет домен Builtin, который существует на каждом компьютере, на котором работает версия операционной системы Windows Server. Никогда не нужно отличать встроенные учетные записи и группы одного компьютера от встроенных учетных записей и групп другого компьютера, так как они локальны в области. Они локализованы на одном компьютере, или в случае контроллеров домена для сетевого домена они локальны для нескольких компьютеров, которые действуют как один.

Встроенные учетные записи и группы должны отличаться друг от друга в области домена Builtin. Таким образом, sid для каждой учетной записи и группы имеет уникальный относительный идентификатор. Относительное значение идентификатора 544 уникально для встроенной группы администраторов. Ни одна другая учетная запись или группа в домене Builtin не имеет SID с конечным значением 544.

В другом примере рассмотрим sid для глобальной группы , Администраторы домена. Каждый домен в предприятии имеет группу администраторов домена, и sid для каждой группы отличается. В следующем примере представлен sid для группы администраторов домена в домене Contoso, Ltd. (Администраторы Contoso\Domain):

S-1-5-21-1004336348-1177238915-682003330-512

Sid для администраторов Contoso\Domain имеет:

  • Уровень пересмотра (1)

  • Орган идентификатора (5, NT Authority)

  • Идентификатор домена (21-10043363348-1177238915-6820033330, Contoso)

  • Относительный идентификатор (512, Администраторы домена)

Sid для администраторов Contoso\Domain отличается от SID для других групп администраторов домена в том же предприятии идентификатором домена: 21-1004336348-1177238915-68200333330. Ни один другой домен в предприятии не использует это значение в качестве идентификатора домена. Sid для администраторов Contoso\Domain отличается от СИД для других учетных записей и групп, созданных в домене Contoso относительным идентификатором 512. Ни одна другая учетная запись или группа в домене не имеет SID с конечным значением 512.

Распределение относительного идентификатора

Когда учетные записи и группы хранятся в базе данных учетных записей, управляемой локальным диспетчером учетных записей безопасности (SAM), система может создать уникальный относительный идентификатор для каждой учетной записи и группы, которую она создает на отдельном компьютере. Sam на отдельном компьютере может отслеживать относительные значения идентификатора, которые он использовал ранее, и убедиться, что он никогда не использует их снова.

Однако в сетевом домене создание уникальных относительных идентификаторов является более сложным процессом. Windows серверных сетевых доменов может иметь несколько контроллеров домена. Каждый контроллер домена хранит сведения об учетной записи Active Directory. Это означает, что в сетевом домене существует столько же копий базы данных учетных записей, сколько контроллеров домена. Кроме того, каждая копия базы данных учетных записей является основной копией. Новые учетные записи и группы можно создавать на любом контроллере домена. Изменения, внесенные в Active Directory на одном контроллере домена, реплицированы во все другие контроллеры домена в домене. Процесс репликации изменений в одной мастер-копии базы данных учетной записи во все остальные мастер-копии называется операцией multimaster.

Процесс создания уникальных относительных идентификаторов — это одноуголовная операция. Одному контроллеру домена назначена роль мастера относительного идентификатора (RID), и он выделяет последовательность относительные идентификаторы каждому контроллеру домена в домене. Когда новая учетная запись домена или группа создается в реплике одного контроллера домена Active Directory, ему назначен SID. Относительный идентификатор для нового SID взят из выделения контроллером домена относительных идентификаторов. Когда его предложение относительных идентификаторов начинает работать низко, контроллер домена запрашивает еще один блок от мастера RID.

Каждый контроллер домена использует каждое значение в блоке относительных идентификаторов только один раз. Мастер RID выделяет каждый блок относительных значений идентификатора только один раз. Этот процесс гарантирует, что каждая учетная запись и группа, созданные в домене, имеет уникальный относительный идентификатор.

Идентификаторы безопасности и уникальные идентификаторы глобального масштаба

Когда создается новый пользователь домена или учетная запись группы, Active Directory хранит SID учетной записи в свойстве ObjectSID объекта User или Group. Он также назначает новому объекту глобальный уникальный идентификатор (GUID), который является 128-битным значением, уникальным не только на предприятии, но и во всем мире. GUID назначены каждому объекту, созданному Active Directory, а не только объектам user и Group. GUID каждого объекта хранится в свойстве ObjectGUID.

Active Directory использует внутренние GUID-интерфейсы для идентификации объектов. Например, GUID — это одно из свойств объекта, которое публикуется в глобальном каталоге. Поиск глобального каталога GUID объекта Пользователя дает результаты, если у пользователя есть учетная запись где-то на предприятии. На самом деле поиск любого объекта с помощью ObjectGUID может быть самым надежным способом поиска объекта, который необходимо найти. Значения других свойств объектов могут изменяться, но свойство ObjectGUID никогда не меняется. Когда объекту назначен GUID, оно сохраняет это значение для жизни.

Если пользователь перемещается из одного домена в другой, он получает новый SID. Sid для группового объекта не меняется, так как группы остаются в домене, где они были созданы. Однако если люди перемещаются, их учетные записи могут перемещаться вместе с ними. Если сотрудник перемещается из Северной Америки в Европу, но остается в одной компании, администратор предприятия может переместить объект Пользователя сотрудника из, например, Contoso\NoAm в Contoso\Europe. Если администратор делает это, объекту User для учетной записи необходим новый SID. Часть идентификатора домена sid, выданная в NoAm, является уникальной для NoAm; таким образом, sid для учетной записи пользователя в Европе имеет другой идентификатор домена. Относительная часть идентификатора SID уникальна по отношению к домену; так что если домен изменяется, то изменяется и относительный идентификатор.

Когда объект Пользователя перемещается из одного домена в другой, для учетной записи пользователя и хранения в свойстве ObjectSID должен быть создан новый SID. Перед тем, как новое значение будет записано в свойство, предыдущее значение копируется в другое свойство объекта Пользователя, SIDHistory. Это свойство может иметь несколько значений. Каждый раз, когда объект Пользователя перемещается в другой домен, новый SID создается и хранится в свойстве ObjectSID, а в списке старых SID в SIDHistoryдобавляется другое значение. При успешной проверке подлинности пользователя служба проверки подлинности домена запрашивает Active Directory для всех СИД, связанных с пользователем, включая текущий SID пользователя, старые СИД пользователя и СИД для групп пользователей. Все эти СИД возвращаются клиенту проверки подлинности и включаются в маркер доступа пользователя. Когда пользователь пытается получить доступ к ресурсу, любой из СИД в маркере доступа (в том числе один из SID в SIDHistory), может разрешить или запретить доступ к пользователю.

Если вы разрешаете или отказываете пользователям в доступе к ресурсу на основе их заданий, то следует разрешить или запретить доступ к группе, а не к отдельному лицу. Таким образом, при смене рабочих мест или переходе в другие отделы можно легко настроить доступ, удалив их из определенных групп и добавив их в другие.

Однако, если вы разрешаете или отказываете отдельному пользователю в доступе к ресурсам, возможно, вы хотите, чтобы доступ этого пользователя не менялся независимо от того, сколько раз изменяется домен учетной записи пользователя. Свойство SIDHistory позволяет это сделать. При изменении доменов пользователем нет необходимости изменять список управления доступом (ACL) на любом ресурсе. Если ACL имеет старый SID пользователя, но не новый, старый SID по-прежнему находится в маркере доступа пользователя. Он перечислены среди sid для групп пользователя, и пользователю предоставляется или отказано в доступе на основе старого SID.

Хорошо известные SID

Значения определенных SID-данных являются постоянными во всех системах. Они создаются при установке операционной системы или домена. Они называются хорошо известными СИД, так как они определяют общих пользователей или общие группы.

Существуют универсальные хорошо известные СИИ, которые имеют значение во всех безопасных системах, которые используют эту модель безопасности, включая операционные системы, не Windows. Кроме того, существуют хорошо известные СИИ, которые имеют значение только Windows операционных системах.

В следующей таблице перечислены универсальные хорошо известные СИИ.

Значение Универсальный Well-Known SID Идентификаторы
S-1-0-0 Null SID Группа без участников. Это часто используется, когда значение SID неизвестно.
S-1-1-0 World Группа, включаемая всех пользователей.
S-1-2-0 Локальные Пользователи, которые подключаются к терминалам, подключенным к системе локально (физически).
S-1-2-1 Консоли Logon Группа, включаемая пользователей, которые вошли в физическую консоль.
S-1-3-0 ID владельца-создателя Идентификатор безопасности, который должен быть заменен идентификатором безопасности пользователя, создавшего новый объект. Этот SID используется в наследуемых acEs.
S-1-3-1 ID группы создателей Идентификатор безопасности, который должен быть заменен пользовательским интерфейсом основной группы пользователя, создавшего новый объект. Используйте этот SID в наследуемых acEs.
S-1-3-2 Сервер владельца-создателя
S-1-3-3 Сервер группы Creator
S-1-3-4 Права владельца Группа, представляюющая текущего владельца объекта. Когда ACE, несущий этот SID, применяется к объекту, система игнорирует неявные разрешения READ_CONTROL WRITE_DAC для владельца объекта.
S-1-4 Non-unique Authority Sid, представляю для себя орган идентификатора.
S-1-5 NT Authority Sid, представляю для себя орган идентификатора.
S-1-5-80-0 Все службы Группа, которая включает все процессы службы, настроенные в системе. Членство контролируется операционной системой.

В следующей таблице перечислены предопределяемые константы полномочий идентификатора. Первые четыре значения используются с универсальными хорошо известными SID-данными, а последнее — с известными siD-данными в Windows операционных системах, указанных в списке Applies To.

Управление идентификаторами Значение Префикс строки SID
SECURITY_NULL_SID_AUTHORITY 0 S-1-0
SECURITY_WORLD_SID_AUTHORITY 1 S-1-1
SECURITY_LOCAL_SID_AUTHORITY 2 S-1-2
SECURITY_CREATOR_SID_AUTHORITY 3 S-1-3

Следующие значения RID используются с универсальными хорошо известными СИД. Столбец авторитета идентификатора показывает префикс органа идентификатора, с которым можно объединить RID для создания универсального общеизвестного SID.

Управление относительным идентификатором Значение Управление идентификаторами
SECURITY_NULL_RID 0 S-1-0
SECURITY_WORLD_RID 0 S-1-1
SECURITY_LOCAL_RID 0 S-1-2
SECURITY_CREATOR_OWNER_RID 0 S-1-3
SECURITY_CREATOR_GROUP_RID 1 S-1-3

Орган предварительного идентификации security_NT_AUTHORITY (S-1-5) создает идентификаторы SID, которые не являются универсальными и имеют смысл только в установках операционных систем Windows, указанных в списке Applies To в начале этой темы. В следующей таблице перечислены известные СИД.

SID Отображаемое имя Описание
S-1-5-1 Dialup Группа, включаемая всех пользователей, которые вошли в систему с помощью телефонного подключения.
S-1-5-113 Локализованная учетная запись Этот SID можно использовать при ограничении сетевого логотипа локальными учетными записями вместо "администратора" или эквивалента. Этот SID может быть эффективным в блокировании сетевого логотипа для местных пользователей и групп по типу учетной записи независимо от того, как они на самом деле именуются.
S-1-5-114 Локализованная учетная запись и член группы Администраторы Этот SID можно использовать при ограничении сетевого логотипа локальными учетными записями вместо "администратора" или эквивалента. Этот SID может быть эффективным в блокировании сетевого логотипа для местных пользователей и групп по типу учетной записи независимо от того, как они на самом деле именуются.
S-1-5-2 Network Группа, включаемая всех пользователей, которые вошли в систему с помощью сетевого подключения. Маркеры доступа для интерактивных пользователей не содержат сетевой SID.
S-1-5-3 Batch Группа, включаемая всех пользователей, которые вошли в систему с помощью объекта пакетной очереди, например заданий планировщика задач.
S-1-5-4 Interactive (Интерактивные) Группа, включаемая всех пользователей, которые входят в систему в интерактивном режиме. Пользователь может запустить сеанс интерактивного логотипа, войдя непосредственно на клавиатуру, открыв подключение удаленных служб рабочего стола с удаленного компьютера или используя удаленную оболочку, например Telnet. В каждом случае маркер доступа пользователя содержит интерактивный SID. Если пользователь входит с помощью подключения к службам удаленного рабочего стола, маркер доступа пользователя также содержит удаленный интерактивный sid logon.
S-1-5-5- X - Y Сеанс Logon Значения X и Y для этих СИД однозначно определяют определенный сеанс логотипа.
S-1-5-6 Обслуживание Группа, включаемая все принципы безопасности, которые вошли в качестве службы.
S-1-5-7 Анонимный логотип Пользователь, подключенный к компьютеру, не подав имя пользователя и пароль.
Идентификатор Anonymous Logon отличается от удостоверения, используемого службы IIS (IIS) для анонимного веб-доступа. IIS использует фактическую учетную запись по умолчанию IUSR_ ComputerNameдля анонимного доступа к ресурсам на веб-сайте. Строго говоря, такой доступ не является анонимным, так как принцип безопасности известен, даже если неизвестные используют учетную запись. IUSR_ ComputerName (или все, что вы называете учетной записью) имеет пароль и журналы IIS в учетной записи при начале службы. В итоге "анонимный" пользователь IIS является членом пользователей с проверкой подлинности, а анонимный логотип — нет.
S-1-5-8 Прокси-сервер В настоящее время не применяется: этот SID не используется.
S-1-5-9 Enterprise контроллеры домена Группа, которая включает в себя все контроллеры доменов в лесу доменов.
S-1-5-10 Self Местообладатель в ACE для пользователя, группы или объекта компьютера в Active Directory. Когда вы предоставляете разрешения Self, вы предоставляете их директору безопасности, который представлен объектом. Во время проверки доступа операционная система заменяет SID для Self на SID для доверителем безопасности, представленным объектом.
S-1-5-11 Проверка подлинности пользователей Группа, включаемая всех пользователей и компьютеры с удостоверениями, которые были аутентификацией. Пользователи с проверкой подлинности не включают Гостевой, даже если у учетной записи гостевой учетной записи есть пароль.
В эту группу входят проверенные принципы безопасности из любого доверенного домена, а не только текущего домена.
S-1-5-12 Код с ограниченным доступом Удостоверение, используемого процессом, запущенным в контексте ограниченной безопасности. В Windows и Windows сервере политика ограничения программного обеспечения может назначить коду один из трех уровней безопасности: неограниченный, ограниченный или запрещенный. При запуске кода на уровне ограниченной безопасности в маркер доступа пользователя добавляется ограниченный SID.
S-1-5-13 Пользователь терминала Server Группа, включаемая всех пользователей, входивших на сервер с включенной службой удаленного рабочего стола.
S-1-5-14 Удаленный интерактивный логотип Группа, включаемая всех пользователей, которые входят на компьютер с помощью удаленного подключения к рабочему столу. Эта группа — подмножество интерактивной группы. Маркеры доступа, содержащие удаленный интерактивный sid logon, также содержат интерактивный SID.
S-1-5-15 Эта Организация Группа, включаемая всех пользователей из одной организации. Только в учетных записях Active Directory и добавлены только контроллером домена.
S-1-5-17 IIS_USRS Учетная запись, используемая пользователем службы IIS (IIS).
S-1-5-18 System (или LocalSystem) Идентификатор, используемый локально операционной системой и службами, настроенными для регистрации в качестве LocalSystem.
Система является скрытым членом администраторов. То есть любой процесс, запущенный как System, имеет SID для встроенной группы администраторов в маркере доступа.
При локальном использовании сетевых ресурсов система использует идентификатор домена компьютера. Маркер доступа на удаленном компьютере включает sid для учетной записи домена локального компьютера плюс SID для групп безопасности, в которые входит компьютер, таких как доменные компьютеры и аутентификационные пользователи.
S-1-5-19 NT Authority (LocalService) Идентификатор, используемый службами, локальными для компьютера, не нуждается в обширном локальном доступе и не нуждается в проверке подлинности сетевого доступа. Службы, которые работают в качестве LocalService, имеют доступ к локальным ресурсам в качестве обычных пользователей, а сетевые ресурсы — к анонимным пользователям. В результате служба, которая выполняется как LocalService, обладает значительно меньшими полномочиями, чем служба, которая выполняется как LocalSystem локально, так и в сети.
S-1-5-20 Служба сети Удостоверение, которое используется службами, которые не нуждаются в обширном локальном доступе, но нуждаются в проверке подлинности сетевого доступа. Службы, работающие как NetworkService, имеют доступ к локальным ресурсам в качестве обычных пользователей и к сетевым ресурсам с помощью удостоверения компьютера. В результате служба, которая выполняется как NetworkService, имеет такой же сетевой доступ, как и служба LocalSystem, но значительно снизила локальный доступ.
S-1-5-domain -500** Администратор Учетная запись пользователя для системного администратора. На каждом компьютере есть учетная запись администратора, а на каждом домене — учетная запись администратора домена.
Учетная запись администратора — это первая учетная запись, созданная во время установки операционной системы. Учетная запись не может быть удалена, отключена или заблокирована, но ее можно переименовать.
По умолчанию учетная запись администратора является членом группы Администраторов, и ее нельзя удалить из этой группы.
S-1-5-domain -501** Гость Учетная запись пользователя для людей, у которых нет отдельных учетных записей. На каждом компьютере есть локализованная учетная запись для гостей, а в каждом домене — учетная запись гостевого домена.
По умолчанию Гостевой является членом групп "Все и гости". Учетная запись для гостей домена также входит в группы "Гости домена" и "Пользователи домена".
В отличие от Anonymous Logon, Guest — это реальная учетная запись, которая может использоваться для входа в систему в интерактивном режиме. Гостевой учетной записи не требуется пароль, но он может иметь один.
S-1-5-domain -502** krbtgt Учетная запись пользователя, используемая службой Центра рассылки ключей (KDC). Учетная запись существует только на контроллерах домена.
S-1-5-domain -512** Администраторы домена Глобальная группа с участниками, уполномоченными управлять доменом. По умолчанию группа администраторов домена входит в группу администраторов на всех компьютерах, которые присоединились к домену, включая контроллеры домена.
Администраторы домена по умолчанию является владельцем любого объекта, созданного в active Directory домена любым членом группы. Если члены группы создают другие объекты, например файлы, то владельцем по умолчанию является группа Администраторы.
S-1-5-domain -513** Пользователи домена Глобальная группа, включаемая всех пользователей домена. При создании нового объекта Пользователя в Active Directory пользователь автоматически добавляется в эту группу.
S-1-5-domain -514** Гости домена Глобальная группа, которая по умолчанию имеет только один член: встроенную учетную запись гостевого домена.
S-1-5-domain -515** Компьютеры домена Глобальная группа, которая включает все компьютеры, присоединились к домену, за исключением контроллеров домена.
S-1-5-domain -516** Контроллеры домена Глобальная группа, которая включает в себя все контроллеры домена в домене. В эту группу автоматически добавляются новые контроллеры домена.
S-1-5-domain -517** Издатели Cert Глобальная группа, включающая все компьютеры, на которые имеется корпоративный орган сертификации.
Издателям Cert разрешено публиковать сертификаты для объектов пользователей в Active Directory.
Домен S-1-5-root -518** Администраторы схемы Группа, которая существует только в корневом домене леса. Это универсальная группа, если домен находится в родном режиме, и это глобальная группа, если домен находится в смешанном режиме. Группа администраторов схемы уполномочена вносить изменения схемы в Active Directory. По умолчанию единственным членом группы является учетная запись Администратора для корневого домена леса.
Домен S-1-5-root-519 Enterprise администраторы Группа, которая существует только в корневом домене леса. Это универсальная группа, если домен находится в родном режиме, и это глобальная группа, если домен находится в смешанном режиме.
Группа Enterprise администраторов уполномочена вносить изменения в лесную инфраструктуру, такие как добавление детских доменов, настройка сайтов, авторизации серверов DHCP и установка органов сертификации предприятий.
По умолчанию единственным членом администраторов Enterprise является учетная запись администратора для корневого домена леса. Группа является членом по умолчанию для каждой группы администраторов домена в лесу.
S-1-5-домен-520 Владельцы создателей групповой политики Глобальная группа, которая уполномочена создавать новые объекты групповой политики в Active Directory. По умолчанию единственным членом группы является Администратор.
Объекты, созданные членами владельцев создателей групповой политики, принадлежат отдельному пользователю, который их создает. Таким образом, группа владельцев создателей групповой политики отличается от других административных групп (например, администраторов и администраторов доменов). Объекты, созданные членами этих групп, принадлежат группе, а не отдельному лицу.
S-1-5-домен-553 Серверы RAS и IAS Локализованная группа доменов. По умолчанию у этой группы нет членов. Компьютеры, на которые запущена служба маршрутного и удаленного доступа, автоматически добавляются в группу.
Члены этой группы имеют доступ к определенным свойствам объектов пользователей, таким как ограничения учетной записи чтения, сведения о считыве логотипа и сведения о удаленном доступе.
S-1-5-32-544 Администраторы Встроенная группа. После начальной установки операционной системы единственным членом группы является учетная запись администратора. Когда компьютер присоединяется к домену, группа администраторов домена добавляется в группу Администраторы. Когда сервер становится контроллером домена, группа Enterprise администраторов также добавляется в группу Администраторы.
S-1-5-32-545 Пользователи Встроенная группа. После первоначальной установки операционной системы единственным участником является группа пользователей с проверкой подлинности.
S-1-5-32-546 Гости Встроенная группа. По умолчанию единственным участником является учетная запись "Гость". Группа Гостей позволяет случайным или разово пользователям входить в систему с ограниченными привилегиями для встроенной учетной записи гостей компьютера.
S-1-5-32-547 Power Users Встроенная группа. По умолчанию группа не имеет членов. Пользователи power могут создавать локальных пользователей и группы; изменение и удаление созданных учетных записей; и удалите пользователей из групп Power Users, Users и Guests. Пользователи power также могут устанавливать программы; создание, управление и удаление локальных принтеров; создание и удаление файлов.
S-1-5-32-548 Операторы учетных записей Встроенная группа, которая существует только на контроллерах домена. По умолчанию группа не имеет членов. По умолчанию операторы учетных записей имеют разрешение на создание, изменение и удаление учетных записей для пользователей, групп и компьютеров во всех контейнерах и организационных подразделениях Active Directory, кроме контейнера Builtin и OU контроллеров домена. Операторы учетных записей не имеют разрешения на изменение групп администраторов и администраторов доменов и не имеют разрешения на изменение учетных записей для членов этих групп.
S-1-5-32-549 Операторы серверов Описание. Встроенная группа, которая существует только на контроллерах домена. По умолчанию группа не имеет членов. Операторы серверов могут войти на сервер в интерактивном режиме; создание и удаление сетевых акций; запуск и остановка служб; архивировать и восстанавливать файлы; формат жесткого диска компьютера; и выключить компьютер.
S-1-5-32-550 Операторы печати Встроенная группа, которая существует только на контроллерах домена. По умолчанию единственным участником является группа пользователей домена. Операторы печати могут управлять принтерами и очередями документов.
S-1-5-32-551 Операторы архива Встроенная группа. По умолчанию группа не имеет членов. Операторы резервного копирования могут резервного копирования и восстановления всех файлов на компьютере, независимо от разрешений, которые защищают эти файлы. Операторы резервного копирования также могут войти на компьютер и отключить его.
S-1-5-32-552 Репликаторы Встроенная группа, используемая службой репликации файлов на контроллерах домена. По умолчанию группа не имеет членов. Не добавляйте пользователей в эту группу.
S-1-5-32-554 Builtin\Pre-Windows 2000 совместимый доступ Псевдоним, добавленный Windows 2000. Группа обратной совместимости, которая позволяет читать доступ ко всем пользователям и группам в домене.
S-1-5-32-555 Builtin\Remote Desktop Users Псевдоним. Участникам этой группы предоставляется право входа в систему удаленно.
S-1-5-32-556 Операторы конфигурации builtin\Network Псевдоним. Члены этой группы могут иметь некоторые административные привилегии для управления конфигурацией сетевых функций.
S-1-5-32-557 Builtin\Incoming Forest Trust Builders Псевдоним. Члены этой группы могут создавать входящие, в одну сторону доверия к этому лесу.
S-1-5-32-558 Builtin\Performance Monitor Users Псевдоним. Члены этой группы имеют удаленный доступ для мониторинга этого компьютера.
S-1-5-32-559 Builtin\Performance Log Users Псевдоним. Члены этой группы имеют удаленный доступ к расписанию ведения журнала счетчиков производительности на этом компьютере.
S-1-5-32-560 Builtin\Windows группа доступа к авторизации Псевдоним. Члены этой группы имеют доступ к атрибуту computed tokenGroupsGlobalAndUniversal на объектах User.
S-1-5-32-561 Серверы лицензий builtin\Terminal Server Псевдоним. Группа серверов лицензий терминалов сервера. При Windows Server 2003 Пакет обновления 1 создается новая локализованная группа.
S-1-5-32-562 Builtin\Distributed COM Users Псевдоним. Группа для com для обеспечения компьютерного управления доступом, которые регулируют доступ ко всем запросам на вызовы, активацию или запуск на компьютере.
S-1-5-32-569 Операторы builtin\Cryptographic Встроенная локализованная группа. Участники уполномочены выполнять криптографические операции.
S-1-5-32-573 Считыватели журнала builtin\Event Встроенная локализованная группа. Члены этой группы могут читать журналы событий с локального компьютера.
S-1-5-32-574 Доступ к службе builtin\Certificate DCOM Встроенная локализованная группа. Членам этой группы разрешено подключаться к органам сертификации на предприятии.
S-1-5-32-575 Серверы удаленного доступа Builtin\RDS Встроенная локализованная группа. Серверы этой группы позволяют пользователям программ RemoteApp и персональных виртуальных настольных компьютеров получать доступ к этим ресурсам. В развертываниях, стоящих перед Интернетом, эти серверы обычно развертываются в краевой сети. Эта группа должна быть заполнена на серверах под управлением RD Connection Broker. Серверы шлюза RD и серверы веб-доступа RD, используемые в развертывании, должны быть в этой группе.
S-1-5-32-576 Серверы конечных точек Builtin\RDS Встроенная локализованная группа. Серверы этой группы запускают виртуальные машины и сеансы хост-серверов, на которых запускают программы удаленного приложения и персональные виртуальные настольные компьютеры. Эта группа должна быть заполнена на серверах под управлением RD Connection Broker. Хост-серверы RD Session и хост-серверы RD Virtualization, используемые в развертывании, должны быть в этой группе.
S-1-5-32-577 Серверы управления Builtin\RDS Встроенная локализованная группа. Серверы этой группы могут выполнять обычные административные действия на серверах с удаленными службами настольных компьютеров. Эта группа должна быть заполнена на всех серверах в развертывании служб удаленного рабочего стола. Серверы, на которые работает служба центрального управления RDS, должны быть включены в эту группу.
S-1-5-32-578 Builtin\Hyper-V администраторы Встроенная локализованная группа. Члены этой группы имеют полный и неограниченный доступ ко всем функциям Hyper-V.
S-1-5-32-579 Операторы помощи в области управления доступом builtin\Access Встроенная локализованная группа. Члены этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на этом компьютере.
S-1-5-32-580 Builtin\Remote Management Users Встроенная локализованная группа. Члены этой группы могут получать доступ к ресурсам WMI по протоколам управления (например, WS-Management с помощью Windows службы удаленного управления). Это относится только к пространствам имен WMI, которые предоставляет доступ пользователю.
S-1-5-64-10 Проверка подлинности NTLM SID, используемый при проверке подлинности клиента пакетом проверки подлинности NTLM
S-1-5-64-14 Проверка подлинности SChannel SID, используемый при проверке подлинности клиента пакетом проверки подлинности SChannel.
S-1-5-64-21 Дайджест проверки подлинности SID, используемый при проверке подлинности клиента пакетом проверки подлинности Digest.
S-1-5-80 Служба NT Sid, который используется в качестве префикса учетной записи службы NT.
S-1-5-80-0 Все службы Группа, которая включает все процессы службы, настроенные в системе. Членство контролируется операционной системой. SID S-1-5-80-0 равно NT SERVICES\ALL SERVICES. Этот SID был представлен в Windows Server 2008 R2.
S-1-5-83-0 Виртуальная машина NT\Виртуальные машины Встроенная группа. Группа создается при Hyper-V роли. Членство в группе поддерживается службой управления Hyper-V (VMMS). Для этой группы **** требуется право Создать символические ссылки (SeCreateSymbolicLinkPrivilege), а также вход в качестве права службы (SeServiceLogonRight). ****
S-1-16-0 Необученный обязательный уровень Sid, который представляет неоправдаированный уровень целостности.
S-1-16-4096 Низкий обязательный уровень Sid, который представляет низкий уровень целостности.
S-1-16-8192 Средний обязательный уровень Этот SID представляет средний уровень целостности.
S-1-16-8448 Средний плюс обязательный уровень SID, представляю следующий средний плюс уровень целостности.
S-1-16-12288 Высокий обязательный уровень Sid, который представляет высокий уровень целостности.
S-1-16-16384 Обязательный уровень системы SID, представляю следующий уровень целостности системы.
S-1-16-20480 Обязательный уровень защищенных процессов SID, представляющив уровень целостности защищенного процесса.
S-1-16-28672 Обязательный уровень безопасного процесса SID, представляю следующий уровень целостности процесса.

Следующие RID относительно каждого домена.

RID Десятичная величина Идентификаторы
DOMAIN_USER_RID_ADMIN 500 Учетная запись административного пользователя в домене.
DOMAIN_USER_RID_GUEST 501 Учетная запись гостевого пользователя в домене. Пользователи, у которых нет учетной записи, могут автоматически войти в эту учетную запись.
DOMAIN_GROUP_RID_USERS 513 Группа, которая содержит все учетные записи пользователей в домене. Все пользователи автоматически добавляются в эту группу.
DOMAIN_GROUP_RID_GUESTS 514 Учетная запись группового гостя в домене.
DOMAIN_GROUP_RID_COMPUTERS 515 Группа "Компьютер домена". Все компьютеры в домене являются членами этой группы.
DOMAIN_GROUP_RID_CONTROLLERS 516 Группа контроллера домена. Все контроллеры домена в домене являются членами этой группы.
DOMAIN_GROUP_RID_CERT_ADMINS 517 Группа издателей сертификатов. Компьютеры с службами сертификатов Active Directory являются членами этой группы.
DOMAIN_GROUP_RID_SCHEMA_ADMINS 518 Группа администраторов схемы. Члены этой группы могут изменять схему Active Directory.
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS 519 Группа администраторов предприятия. Члены этой группы имеют полный доступ ко всем доменам в лесу Active Directory. Enterprise администраторы отвечают за операции на уровне лесов, такие как добавление или удаление новых доменов.
DOMAIN_GROUP_RID_POLICY_ADMINS 520 Группа администраторов политики.

В следующей таблице приводится пример СИИ, используемых для формирования известных СИД для локальных групп.

RID Десятичная величина Идентификаторы
DOMAIN_ALIAS_RID_ADMINS 544 Администраторы домена.
DOMAIN_ALIAS_RID_USERS 545 Все пользователи в домене.
DOMAIN_ALIAS_RID_GUESTS 546 Гости домена.
DOMAIN_ALIAS_RID_POWER_USERS 547 Пользователь или набор пользователей, которые рассчитывают относиться к системе как к своему персональному компьютеру, а не как к рабочей станции для нескольких пользователей.
DOMAIN_ALIAS_RID_BACKUP_OPS 551 Локализованная группа, которая используется для управления назначением прав пользователя на резервное копирование и восстановление файлов.
DOMAIN_ALIAS_RID_REPLICATOR 552 Локализованная группа, которая отвечает за копирование баз данных безопасности с основного контроллера домена на контроллеры резервного копирования домена. Эти учетные записи используются только системой.
DOMAIN_ALIAS_RID_RAS_SERVERS 553 Локализованная группа, которая представляет удаленный доступ и серверы, работающие в службе проверки подлинности в Интернете (IAS). Эта группа разрешает доступ к различным атрибутам объектов Пользователя.

Изменения в функциональных возможностях идентификатора безопасности

В следующей таблице описываются изменения в реализации SID в Windows операционных системах, указанных в списке.

Изменение Версия операционной системы Описание и ресурсы
Большинство файлов операционной системы принадлежат идентификатору безопасности TrustedInstaller (SID) Windows Server 2008, Windows Vista Целью этого изменения является предотвращение автоматической замены файлов операционной системы в качестве администратора или учетной записи LocalSystem.
Реализованы ограниченные проверки SID Windows Server 2008, Windows Vista При ограничении SID присутствуют, Windows выполняет две проверки доступа. Во-первых, это обычная проверка доступа, а вторая — та же проверка доступа к ограничивающим SID-данным в маркере. Для доступа к объекту необходимо пройти обе проверки доступа.

SiD-функции

Идентификаторы безопасности возможностей (SID) используются для уникальной и неумолимой идентификации возможностей. Возможности представляют собой неумолимый маркер власти, который предоставляет доступ к ресурсам (Примеры: документы, камера, расположения и т.д. ...) к универсальным Windows приложениям. Приложению, которое "имеет" возможность, предоставляется доступ к ресурсу, с который связан этот ресурс, и приложению, которое "не имеет" возможности, отказано в доступе к ресурсу.

Все SID-данные о возможностях, о чем известно операционной системе, хранятся в Windows реестре в путиHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities. К этому расположению будут добавлены Windows возможности, добавленные в Windows или сторонними приложениями.

Примеры ключей реестра, взятых из Windows 10 версии 1909, 64-Enterprise версии

В статье AllCachedCapabilities можно увидеть следующие клавиши реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

Все SID-функции префиксом S-1-15-3

См. также