Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje, jak identifikátory zabezpečení (SID) pracují s účty a skupinami v operačním systému Windows Server.
Co jsou identifikátory SID?
Identifikátor SID slouží k jednoznačné identifikaci objektu zabezpečení nebo skupiny zabezpečení. Objekty zabezpečení můžou představovat libovolnou entitu, kterou může operační systém ověřit. Mezi příklady patří uživatelský účet, účet počítače nebo vlákno nebo proces, který běží v kontextu zabezpečení uživatelského nebo počítačového účtu.
Každý účet nebo skupina nebo každý proces, který běží v kontextu zabezpečení účtu, má jedinečný identifikátor SID vydaný autoritou, například řadičem domény Windows. Identifikátor SID je uložený v databázi zabezpečení. Systém vygeneruje identifikátor SID, který identifikuje konkrétní účet nebo skupinu v okamžiku vytvoření účtu nebo skupiny. Pokud se identifikátor SID používá jako jedinečný identifikátor uživatele nebo skupiny, nelze jej nikdy použít k identifikaci jiného uživatele nebo skupiny.
Pokaždé, když se uživatel přihlásí, vytvoří systém přístupový token pro daného uživatele. Přístupový token obsahuje identifikátor SID uživatele, uživatelská práva a identifikátory SID pro všechny skupiny, do nichž uživatel patří. Tento token poskytuje kontext zabezpečení pro všechny akce, které uživatel na tomto počítači provede.
Kromě jedinečných identifikátorů SID specifických pro doménu, které jsou přiřazené konkrétním uživatelům a skupinám, existují dobře známé identifikátory SID, které identifikují obecné skupiny a obecné uživatele. Například identifikátory SID "Everyone" a "World" identifikují skupinu, která zahrnuje všechny uživatele. Dobře známé identifikátory SID mají hodnoty, které zůstávají konstantní ve všech operačních systémech.
Identifikátory SID jsou základním stavebním blokem modelu zabezpečení Systému Windows. Pracují s konkrétními součástmi technologie autorizace a řízení přístupu v infrastruktuře zabezpečení operačních systémů Windows Server. Tento návrh pomáhá chránit přístup k síťovým prostředkům a poskytuje bezpečnější výpočetní prostředí.
Note
Tento obsah se týká pouze verzí Systému Windows v seznamu Platí pro na začátku článku.
Jak fungují SID identifikátory
Uživatelé odkazují na účty podle názvu účtu. Operační systém interně odkazuje na účty a procesy, které běží v kontextu zabezpečení účtu pomocí jejich identifikátorů SID. U doménových účtů se identifikátor SID bezpečnostního hlavního prvku vytvoří zřetězením identifikátoru SID domény s relativním identifikátorem (RID) pro účet. Identifikátory SID jsou v rámci svého oboru (domény nebo lokálního prostředí) jedinečné a nikdy se nepoužívají opakovaně.
Operační systém vygeneruje identifikátor SID, který identifikuje konkrétní účet nebo skupinu v okamžiku vytvoření účtu nebo skupiny. Pro místní účet nebo skupinu vygeneruje identifikátor SID místní bezpečnostní autorita (LSA) v počítači. Identifikátor SID se ukládá s dalšími informacemi o účtu v zabezpečené oblasti registru. U doménového účtu nebo skupiny vygeneruje identifikátor SID autorita zabezpečení domény. Tento typ identifikátoru SID je uložen jako atribut objektu User nebo Group ve službě Active Directory Domain Services.
Pro každý místní účet a skupinu je identifikátor SID jedinečný pro počítač, ve kterém je vytvořený. Žádné dva účty ani skupiny v počítači nikdy nesdílely stejný identifikátor SID. Podobně platí, že identifikátor SID pro každý účet a skupinu domény je jedinečný v rámci podniku. V důsledku toho identifikátor SID účtu nebo skupiny v jedné doméně nikdy neodpovídá identifikátoru SID účtu nebo skupiny v jakékoli jiné doméně v podniku.
Identifikátory SID vždy zůstávají jedinečné. Bezpečnostní autority nikdy nevydávají stejný identifikátor SID dvakrát a nikdy znovu nevyužívají identifikátory SID pro odstraněné účty. Pokud například uživatel s uživatelským účtem v doméně Windows opustí svoji úlohu, správce odstraní svůj účet Active Directory, včetně identifikátoru SID, který tento účet identifikuje. Pokud se později vrátí do jiné úlohy ve stejné společnosti, správce vytvoří nový účet a operační systém Windows Server vygeneruje nový identifikátor SID. Nový identifikátor SID se neshoduje se starým identifikátorem, takže žádný přístup uživatele ze starého účtu se do nového účtu nepřenese. Oba jejich účty představují dva různé principy zabezpečení.
Architektura SID
Identifikátor SID je datová struktura v binárním formátu, která obsahuje proměnný počet hodnot. První hodnoty ve struktuře obsahují informace o struktuře SID. Zbývající hodnoty jsou uspořádány v hierarchii (podobně jako telefonní číslo) a identifikují autoritu vydávající identifikátor SID (například NT Authority), doménu vydávající identifikátor SID a konkrétní objekt zabezpečení nebo skupinu. Následující obrázek znázorňuje strukturu identifikátoru SID.
Jednotlivé hodnoty identifikátoru SID jsou popsány v následující tabulce:
| Component | Description |
|---|---|
| Revision | Označuje verzi struktury SID, která je použita v určitém identifikátoru SID. |
| Autorita identifikátoru | Identifikuje nejvyšší úroveň autority, která může vydávat identifikátory SID pro konkrétní typ objektu zabezpečení. Například hodnota autority identifikátoru v identifikátoru SID pro skupinu Všichni je 1 (World Authority). Hodnota autority identifikátoru v identifikátoru SID pro konkrétní účet nebo skupinu Systému Windows Server je 5 (NT Authority). |
| Subauthorities | SID obsahuje nejdůležitější informace, které jsou obsaženy v sérii jedné nebo více dílčích autoritních hodnot. Všechny hodnoty až po, kromě poslední hodnoty v sérii, společně identifikují doménu v rámci podniku. Tato část série se nazývá identifikátor domény. Poslední hodnota v řadě IDENTIFIKÁTOR RID identifikuje konkrétní účet nebo skupinu vzhledem k doméně. |
Komponenty identifikátoru SID se snadněji vizualizují, když jsou identifikátory SID převedené z binárního formátu na formát řetězce pomocí standardního zápisu:
S-R-X-Y1-Y2-Yn-1-Yn
V tomto zápisu jsou součásti identifikátoru SID popsány v následující tabulce:
| Component | Description |
|---|---|
| S | Označuje, že řetězec je identifikátor SID. |
| R | Označuje úroveň revize. |
| X | Označuje hodnotu autority identifikátoru. |
| Y | Představuje řadu hodnot dílčí autority, kde počet hodnot je vyjádřen jako n. |
Nejdůležitější informace o SID jsou obsaženy v sérii hodnot subautority. První část série (-Y1-Y2-Yn-1) je identifikátor domény. Tento prvek identifikátoru SID se v podniku s několika doménami stává významným. Konkrétně identifikátor domény rozlišuje identifikátory SID, které jedna doména vydává, od identifikátorů SID, které vydávají všechny ostatní domény v podniku. Žádné dvě domény v podniku sdílejí stejný identifikátor domény.
Poslední položkou v řadě hodnot dílčího ověřování (-Yn) je identifikátor RID. Rozlišuje jeden účet nebo skupinu od všech ostatních účtů a skupin v doméně. Žádné dva účty ani skupiny v žádné doméně nemají stejný identifikátor RID.
Identifikátor SID pro integrovanou skupinu Administrators je například reprezentován ve standardizované notaci SID jako následující řetězec:
S-1-5-32-544
Tento identifikátor SID má čtyři komponenty:
- Úroveň revize (1)
- Hodnota autoritativního identifikátoru (5, NT Authority)
- Identifikátor domény (32, Builtin)
- Identifikátor RID (544, Správci)
Identifikátory SID pro předdefinované účty a skupiny mají vždy stejnou hodnotu identifikátoru domény 32. Tato hodnota identifikuje doménu Builtin, která existuje na každém počítači, na kterém běží verze operačního systému Windows Server. Nikdy není nutné rozlišovat předdefinované účty a skupiny jednoho počítače od předdefinovaných účtů a skupin jiného počítače, protože mají lokální působnost. Jsou lokální pro jeden počítač, nebo pokud jsou použity řadiče domény pro síťovou doménu, jsou lokální pro několik počítačů, které fungují jako jeden celek.
Vestavěné účty a skupiny je potřeba rozlišovat od sebe v rámci domény Builtin. Identifikátor SID pro každý účet a skupinu má proto jedinečný identifikátor RID. Hodnota identifikátoru RID 544 je jedinečná pro integrovanou skupinu Administrators. Žádný jiný účet nebo skupina v integrované doméně nemá identifikátor SID s konečnou hodnotou 544.
V jiném příkladu zvažte identifikátor SID pro globální skupinu Domain Admins. Každá doména v podniku má skupinu Domain Admins a identifikátor SID pro každou skupinu se liší. Následující příklad představuje identifikátor SID pro skupinu Domain Admins v doméně Contoso, Ltd. (Contoso\Domain Admins):
S-1-5-21-1004336348-1177238915-682003330-512
Identifikátor SID pro contoso\Domain Admins obsahuje následující komponenty:
- Úroveň revize (1)
- Autorita identifikátoru (5, NT Authority)
- Identifikátor domény (21-1004336348-1177238915-682003330, Contoso)
- Identifikátor RID (512, Domain Admins)
Identifikátor SID pro Contoso\Domain Admins se liší od identifikátorů SID jiných skupin Domain Admins ve stejné organizaci pomocí identifikátoru domény: 21-1004336348-1177238915-682003330. Žádná jiná doména v podniku tuto hodnotu nepoužívá jako identifikátor domény. Identifikátor SID pro Contoso\Domain Admins se liší od identifikátorů SID pro ostatní účty a skupiny vytvořené v doméně Contoso díky RID 512. Žádný jiný účet nebo skupina v doméně nemá identifikátor SID s konečnou hodnotou 512.
Přidělení identifikátorů RID
Když jsou účty a skupiny uložené v databázi účtů, kterou spravuje místní správce účtů zabezpečení (SAM), je pro systém poměrně snadné vygenerovat jedinečný identifikátor RID pro každý účet a skupinu, kterou vytvoří na samostatném počítači. SAM na samostatném počítači může sledovat hodnoty identifikátorů RID, které použil, a zajistit, aby je nikdy znovu nepoužíval.
V síťové doméně je však generování jedinečných identifikátorů RID složitější proces. Síťové domény Windows Serveru můžou mít několik řadičů domény. Každý řadič domény ukládá informace o účtu služby Active Directory. V důsledku toho v síťové doméně existuje tolik kopií databáze účtů, kolik je řadičů domény. Každá kopie databáze účtu je navíc hlavní kopií.
Nové účty a skupiny je možné vytvořit na libovolném řadiči domény. Změny provedené ve službě Active Directory na jednom řadiči domény se replikují do všech ostatních řadičů domény v doméně. Proces replikace změn z jedné hlavní kopie databáze účtu do všech ostatních hlavních kopií se nazývá operace s multimaster.
Proces generování jedinečných identifikátorů RID je operace s jedním hlavním serverem. Jednomu řadiči domény se přiřadí role hlavního serveru RID a přidělí se posloupnost identifikátorů RID každému řadiči domény v doméně. Když se vytvoří nový účet domény nebo skupina v replice jednoho řadiče domény služby Active Directory, přiřadí se identifikátor SID. Identifikátor RID pro nový SID pochází z přidělení identifikátorů RID řadičem domény. Když se jeho zásoba RID začne zmenšovat, řadič domény požádá o další blok od master RID.
Každý řadič domény používá každou hodnotu v bloku identifikátorů RID pouze jednou. RID master přiděluje každý blok hodnot RID pouze jednou. Tento proces zajišťuje, že každý účet a skupina vytvořené v doméně mají jedinečný identifikátor RID.
SIDs a globálně unikátní identifikátory
Když se vytvoří nový účet uživatele domény nebo skupiny, služba Active Directory uloží identifikátor SID účtu do vlastnosti ObjectSID objektu User nebo Group. Také přiřadí novému objektu globálně jedinečný identifikátor (GUID), což je 128bitová hodnota, která je jedinečná nejen v podniku, ale i po celém světě. Identifikátor GUID se přiřadí každému objektu, který služba Active Directory vytvoří, nejen k objektům User a Group. Identifikátor GUID každého objektu je uložen ve své vlastnosti ObjectGUID.
Služba Active Directory interně používá identifikátory GUID k identifikaci objektů. Identifikátor GUID je například jednou z vlastností objektu, které jsou publikovány v globálním katalogu. Vyhledávání v globálním katalogu identifikátoru GUID objektu uživatele vytvoří výsledky, pokud má uživatel účet někde v podniku. Hledání libovolného objektu pomocí ObjectGUID může být ve skutečnosti nejspolehlivější způsob vyhledání objektu, který chcete najít. Hodnoty jiných vlastností objektu se mohou změnit, ale ObjectGUID vlastnost se nikdy nezmění. Když je objekt přiřazen identifikátor GUID, zachová tuto hodnotu po dobu životnosti.
Pokud se uživatel přesune z jedné domény do jiné, získá nový identifikátor SID. Identifikátor SID pro objekt skupiny se nezmění, protože skupiny zůstanou v doméně, kde se vytvářejí. Pokud se ale lidé přestěhují, můžou se s nimi účty přesouvat. Pokud se zaměstnanec přesune ze Severní Ameriky do Evropy, ale zůstane ve stejné společnosti, správce podniku může přesunout objekt User zaměstnance, například Contoso\NoAm do Contoso\Europe. V tomto případě uživatelský objekt pro účet potřebuje nový identifikátor SID. Část identifikátoru SID vydané v NoAm je jedinečná pro NoAm, takže identifikátor SID pro účet uživatele v Evropě má jiný identifikátor domény. Část RID identifikátoru SID je jedinečná vzhledem k doméně, takže pokud se doména změní, RID se také změní.
Když se objekt User přesune z jedné domény do jiné, musí být pro uživatelský účet vygenerován nový identifikátor SID a uložen v ObjectSID vlastnosti. Před zápisem nové hodnoty do vlastnosti se předchozí hodnota zkopíruje do jiné vlastnosti objektu User SIDHistory. Tato vlastnost může obsahovat více hodnot. Pokaždé, když se objekt User přesune do jiné domény, vygeneruje se nový identifikátor SID a uloží se do ObjectSID vlastnosti a do seznamu starých identifikátorů SID v hodnotě SIDHistory se přidá další hodnota. Když se uživatel přihlásí a úspěšně se ověří, služba ověřování domény se dotazuje služby Active Directory na všechny identifikátory SID, které jsou přidružené k uživateli. Dotaz obsahuje aktuální SID uživatele, staré SIDy uživatele a SIDy pro skupiny uživatele. Všechny tyto SIDy se vrátí do ověřovacího klienta a následně jsou zahrnuté v přístupovém tokenu uživatele. Když se uživatel pokusí získat přístup k prostředku, může jakýkoli identifikátor SID v přístupovém tokenu (včetně jednoho z identifikátorů SID ve SIDHistory vlastnosti) povolit nebo odepřít přístup uživatele.
Uživatelům můžete povolit nebo odepřít přístup k prostředku na základě jejich úloh. Měli byste ale povolit nebo odepřít přístup ke skupině, ne k jednotlivci. Když tak uživatelé změní úlohy nebo přejdou do jiných oddělení, můžete jejich přístup snadno upravit tak, že je odeberete z určitých skupin a přidáte je do jiných.
Pokud ale povolíte nebo odmítnete přístup jednotlivých uživatelů k prostředkům, pravděpodobně budete chtít, aby přístup uživatele zůstal stejný bez ohledu na to, kolikrát se doména účtu uživatele změní. Vlastnost SIDHistory umožňuje, aby přístup zůstal stejný. Když uživatel změní domény, není nutné měnit seznam řízení přístupu (ACL) u jakéhokoli prostředku. Seznam ACL může obsahovat uživatelův starý identifikátor SID, ale ne nový. Starý identifikátor SID je ale stále v přístupovém tokenu uživatele. Uvádí se mezi identifikátory SID pro skupiny uživatele a uživatel má udělený nebo odepřený přístup na základě starého identifikátoru SID.
Známé identifikátory SID
Hodnoty určitých identifikátorů SID jsou ve všech systémech konstantní. Vytvoří se při instalaci operačního systému nebo domény. Označují se jako dobře známé identifikátory SID, protože identifikují obecné uživatele nebo obecné skupiny.
Existují univerzální dobře známé identifikátory SID, které mají smysl pro všechny zabezpečené systémy, které tento model zabezpečení používají, včetně jiných operačních systémů než Windows. Kromě toho existují dobře známé identifikátory SID, které jsou smysluplné pouze v operačních systémech Windows.
Následující tabulka uvádí univerzální dobře známé identifikátory SID:
| Univerzální dobře známý identifikátor SID | Name | Identifies |
|---|---|---|
| S-1-0-0 | Nulový SID | Skupina bez členů. Tato hodnota se často používá, když není známá hodnota SID. |
| S-1-1-0 | World | Skupina, která zahrnuje všechny uživatele. |
| S-1-2-0 | Local | Uživatelé, kteří se přihlašují k terminálům, které jsou místně (fyzicky) připojené k systému. |
| S-1-2-1 | Přihlášení ke konzole | Skupina, která zahrnuje uživatele, kteří jsou přihlášení k fyzické konzole. |
| S-1-3-0 | ID vlastníka tvůrce | Identifikátor SID, který se má nahradit identifikátorem SID uživatele, který vytvoří nový objekt. Tento identifikátor SID se používá v zděditelných položkách řízení přístupu (ACE). |
| S-1-3-1 | ID skupiny tvůrce | Identifikátor SID, který má být nahrazen identifikátorem SID primární skupiny uživatele, který vytvoří nový objekt. Tento identifikátor SID použijte v zděděných seznamech ACL. |
| S-1-3-2 | Server vlastníka | Zástupný symbol ve zděděné ACE. Při zdědění ACE systém nahradí tento identifikátor SID identifikátorem SID pro server vlastníka objektu a uloží informace o tom, kdo vytvořil daný objekt nebo soubor. |
| S-1-3-3 | Skupinový server | Zástupný symbol ve zděděné ACE. Po zdědění ACE systém nahradí tento identifikátor SID identifikátorem SID pro server skupiny objektu. Systém také ukládá informace o skupinách, které mají povoleno pracovat s objektem. |
| S-1-3-4 | Práva vlastníka | Skupina, která představuje aktuálního vlastníka objektu. Pokud se pro objekt použije ACE, který tento identifikátor SID nese, systém ignoruje implicitní READ_CONTROL a WRITE_DAC standardní přístupová práva pro vlastníka objektu. |
| S-1-4 | Ne jedinečná autorita | SID, který představuje autoritu v oblasti identifikace. |
| S-1-5 | NT Autorita | SID, který představuje autoritu v oblasti identifikace. |
| S-1-5-80-0 | Všechny služby | Skupina, která zahrnuje všechny procesy služby nakonfigurované v systému. Operační systém řídí členství v této skupině. |
Následující tabulka uvádí předdefinované konstanty autority identifikátoru. První čtyři hodnoty se používají s univerzálními dobře známými identifikátory SID a zbývající hodnoty se používají s dobře známými identifikátory SID v operačních systémech Windows v seznamu Platí pro na začátku článku.
| Autorita identifikátoru | Value | Předpona řetězce SID |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 | S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 | S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 | S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 | S-1-3 |
| SECURITY_NT_AUTHORITY | 5 | S-1-5 |
| SECURITY_AUTHENTICATION_AUTHORITY | 18 | S-1-18 |
Následující hodnoty identifikátorů RID se používají s univerzálními dobře známými identifikátory SID. Sloupec Autorita identifikátoru zobrazuje předponu autority identifikátoru, se kterou můžete identifikátor RID zkombinovat a vytvořit univerzální dobře známý identifikátor SID.
| Autorita RID | Value | Autorita identifikátoru |
|---|---|---|
| SECURITY_NULL_RID | 0 | S-1-0 |
| SECURITY_WORLD_RID | 0 | S-1-1 |
| SECURITY_LOCAL_RID | 0 | S-1-2 |
| SECURITY_CREATOR_OWNER_RID | 0 | S-1-3 |
| SECURITY_CREATOR_GROUP_RID | 1 | S-1-3 |
Předdefinovaná autorita identifikátoru SECURITY_NT_AUTHORITY (S-1-5) vytváří identifikátory SID, které nejsou univerzální. Tyto identifikátory SID mají smysl pouze v instalacích operačních systémů Windows uvedených v seznamu "Platí pro" na začátku tohoto článku.
V následující tabulce jsou uvedeny dobře známé identifikátory SID:
| SID | Zobrazované jméno | Description |
|---|---|---|
| S-1-5-1 | Dialup | Skupina, která zahrnuje všechny uživatele, kteří jsou přihlášení k systému prostřednictvím telefonického připojení. |
| S-1-5-113 | Místní účet | Identifikátor SID, který můžete použít při omezení síťového přihlašování na místní účty místo účtů správce nebo ekvivalentních účtů. Tento identifikátor SID může být efektivní při blokování přihlašování k síti pro místní uživatele a skupiny podle typu účtu bez ohledu na jejich název. |
| S-1-5-114 | Místní účet a člen skupiny Administrators | Identifikátor SID, který můžete použít při omezení síťového přihlašování na místní účty místo účtů správce nebo ekvivalentních účtů. Tento identifikátor SID může být efektivní při blokování přihlašování k síti pro místní uživatele a skupiny podle typu účtu bez ohledu na jejich název. |
| S-1-5-2 | Network | Skupina, která zahrnuje všechny uživatele, kteří jsou přihlášení přes síťové připojení. Přístupové tokeny pro interaktivní uživatele neobsahují identifikátor SID sítě. |
| S-1-5-3 | Batch | Skupina, která zahrnuje všechny uživatele, kteří jsou přihlášeni prostřednictvím zařízení pro zpracování dávkových úloh, jako jsou úlohy plánovače úkolů. |
| S-1-5-4 | Interactive | Skupina, která zahrnuje všechny uživatele, kteří se přihlašují interaktivně. Uživatel může spustit interaktivní přihlašovací relaci otevřením připojení ke vzdálené ploše ze vzdáleného počítače nebo pomocí vzdáleného prostředí, jako je Telnet. V každém případě přístupový token uživatele obsahuje interaktivní identifikátor SID. Pokud se uživatel přihlásí pomocí připojení ke službám vzdálené plochy, přístupový token uživatele obsahuje také identifikátor SID vzdáleného interaktivního přihlášení. |
| S-1-5-5- X-Y | Relace přihlášení | Konkrétní přihlašovací sezení. Hodnoty X a Y pro identifikátory SID v tomto formátu jsou jedinečné pro každou přihlašovací relaci. |
| S-1-5-6 | Service | Skupina zahrnující všechny bezpečnostní subjekty přihlášené jako služba. |
| S-1-5-7 | Anonymní přihlášení | Uživatel, který se připojí k počítači bez zadání uživatelského jména a hesla. Identita anonymního přihlášení se liší od identity používané službou IIS (Internet Information Services) pro anonymní webový přístup. Služba IIS používá skutečný účet – ve výchozím nastavení IUSR_ názevpočítače– pro anonymní přístup k prostředkům na webu. Přísně řečeno, takový přístup není anonymní, protože bezpečnostní subjekt je známý, i když neidentifikovaní lidé používají tento účet. IUSR_názevpočítače (nebo jakýkoli jiný název účtu, který zvolíte) má heslo a služba IIS se k tomuto účtu přihlašuje při spuštění služby. V důsledku toho je anonymní uživatel IIS členem ověřených uživatelů, ale anonymního přihlášení není. |
| S-1-5-8 | Proxy | Identifikátor SID, který se aktuálně nepoužívá. |
| S-1-5-9 | Podnikové řadiče domény | Skupina, která zahrnuje všechny řadiče domény v lesu domén. |
| S-1-5-10 | Self | Zástupný symbol v ACE pro objekt uživatele, skupiny nebo počítače ve službě Active Directory. Když udělíte oprávnění Self, udělíte je bezpečnostnímu subjektu, který objekt představuje. Během kontroly přístupu operační systém nahradí identifikátor SID pro Self identifikátorem SID pro bezpečnostní principál, který objekt představuje. |
| S-1-5-11 | Ověření uživatelé | Skupina, která zahrnuje všechny uživatele a počítače s identitami, které byly ověřeny. Ověření uživatelé nezahrnují účet hosta, ani když má tento účet heslo. Tato skupina zahrnuje ověřené objekty zabezpečení z jakékoli důvěryhodné domény, nejen z aktuální domény. |
| S-1-5-12 | Omezený kód | Identita, kterou používá proces spuštěný v omezeném kontextu zabezpečení. V operačních systémech Windows a Windows Server můžou zásady omezení softwaru přiřadit ke kódu jednu ze tří úrovní zabezpečení: UnrestrictedRestrictedDisallowed Když se kód spustí na úrovni omezeného zabezpečení, přidá se do přístupového tokenu uživatele omezený identifikátor SID. |
| S-1-5-13 | Uživatel terminálového serveru | Skupina, která zahrnuje všechny uživatele, kteří se přihlašují k serveru s povolenou službou Vzdálená plocha. |
| S-1-5-14 | Vzdálené interaktivní přihlašování | Skupina, která zahrnuje všechny uživatele, kteří se přihlásí k počítači pomocí připojení ke vzdálené ploše. Tato skupina je podmnožinou interaktivní skupiny. Přístupové tokeny, které obsahují identifikátor SID vzdáleného interaktivního přihlášení, obsahují také interaktivní identifikátor SID. |
| S-1-5-15 | Tato organizace | Skupina, která zahrnuje všechny uživatele ze stejné organizace. Tato skupina je součástí pouze účtů služby Active Directory a přidává se jenom řadičem domény. |
| S-1-5-17 | IUSR | Účet, který používá výchozí uživatel služby IIS. |
| S-1-5-18 | Systém (nebo LocalSystem) | Identita místně používaná operačním systémem a službami, které jsou nakonfigurované pro přihlášení jako LocalSystem. Systém je skrytým členem skupiny Administrators. To znamená, že jakýkoli proces, který běží jako systém, má identifikátor SID pro integrovanou skupinu Administrators ve svém přístupovém tokenu. Když proces spuštěný místně jako systém přistupuje k síťovým prostředkům, provede to pomocí identity domény počítače. Jeho přístupový token na vzdáleném počítači zahrnuje identifikátor SID pro účet domény místního počítače a identifikátory SID pro skupiny zabezpečení, ve které je počítač členem, jako jsou Domain Computers a Authenticated Users. |
| S-1-5-19 | Autorita NT (LocalService) | Identita používaná službami, které jsou místní pro počítač, a které nepotřebují rozsáhlý místní přístup ani ověřený síťový přístup. Služby, které běží jako LocalService, mají přístup k místním prostředkům jako běžní uživatelé a přistupují k síťovým prostředkům jako anonymní uživatelé. V důsledku toho má služba, která běží jako LocalService, výrazně menší autoritu než služba, která běží jako LocalSystem místně a v síti. |
| S-1-5-20 | NetworkService | Identita používaná službami, které nepotřebují rozsáhlý místní přístup, ale potřebují ověřený síťový přístup. Služby, které běží jako NetworkService, můžou přistupovat k místním prostředkům jako běžným uživatelům a přistupovat k síťovým prostředkům pomocí identity počítače. V důsledku toho má služba, která běží jako NetworkService, stejný síťový přístup jako služba, která běží jako LocalSystem, ale její místní přístup se výrazně snižuje. |
| S-1-5-domain-500 | Aministrátoři | Uživatelský účet správce systému. Každý počítač má místní účet správce a každá doména má účet správce domény. Účet správce je první účet vytvořený během instalace operačního systému. Účet nejde odstranit, zakázat ani uzamknout, ale dá se přejmenovat. Ve výchozím nastavení je účet Správce členem skupiny Administrators a nedá se z ní odebrat. |
| S-1-5-domain-501 | Guest | Uživatelský účet pro uživatele, kteří nemají jednotlivé účty. Každý počítač má místní účet hosta a každá doména má účet hosta domény. Ve výchozím nastavení je host členem skupin Všichni a Hosté. Účet hosta domény je také členem skupin Domain Guests a Domain Users. Na rozdíl od anonymního přihlášení je host skutečným účtem a dá se použít k interaktivnímu přihlášení. Účet hosta nevyžaduje heslo, ale může ho mít. |
| S-1-5-domain-502 | KRBTGT | Uživatelský účet, který používá služba KDC (Key Distribution Center). Účet existuje pouze na řadičích domény. |
| S-1-5-domain-512 | Správci domény | Globální skupina s členy, kteří mají oprávnění ke správě domény. Ve výchozím nastavení je skupina Domain Admins členem skupiny Administrators na všech počítačích připojených k doméně, včetně řadičů domény. Domain Admins je výchozí vlastník libovolného objektu vytvořeného ve službě Active Directory domény libovolným členem skupiny. Pokud členové skupiny vytvářejí další objekty, například soubory, je výchozím vlastníkem skupina Administrators. |
| S-1-5-domain-513 | Uživatelé domény | Globální skupina, která zahrnuje všechny uživatele v doméně. Když ve službě Active Directory vytvoříte nový objekt User, uživatel se automaticky přidá do této skupiny. |
| S-1-5-domain-514 | Hosté domény | Globální skupina, která má ve výchozím nastavení pouze jeden člen: předdefinovaný účet hosta domény. |
| S-1-5-domain-515 | Počítače domény | Globální skupina, která zahrnuje všechny počítače, které jsou připojené k doméně, s výjimkou řadičů domény. |
| S-1-5-domain-516 | Řadiče domény | Globální skupina, která zahrnuje všechny řadiče domény. Do této skupiny se automaticky přidají nové řadiče domény. |
| S-1-5-domain-517 | Vydavatelé certifikátů | Globální skupina, která zahrnuje všechny počítače, které hostují certifikační autoritu organizace. Vydavatelé certifikátů mají oprávnění publikovat certifikáty pro objekty uživatele ve službě Active Directory. |
| S-1-5-kořenové domény-518 | Správci schématu | Skupina, která existuje pouze v kořenové doméně lesa. Jedná se o univerzální skupinu, pokud je doména v nativním režimu, a pokud je doména ve smíšeném režimu, jedná se o globální skupinu. Skupina Schema Admins má oprávnění provádět změny schématu ve službě Active Directory. Ve výchozím nastavení je jediným členem skupiny účet správce pro kořenovou doménu lesa. |
| S-1-5-kořenová doména-519 | Podnikoví správci | Skupina, která existuje pouze v kořenové doméně lesa. Jedná se o univerzální skupinu, pokud je doména v nativním režimu, a pokud je doména ve smíšeném režimu, jedná se o globální skupinu. Skupina Enterprise Admins má oprávnění provádět změny infrastruktury lesní struktury. Mezi příklady patří přidání podřízených domén, konfigurace lokalit, autorizace serverů DHCP (Dynamic Host Configuration Protocol) a instalace podnikových certifikačních autorit. Ve výchozím nastavení je jediným členem Enterprise Admins účet správce kořenové domény lesa. Skupina je předdefinovaným členem každé skupiny Domain Admins v rámci lesní struktury. |
| S-1-5-domain-520 | Tvůrci vlastníci zásad skupiny | Globální skupina, která má oprávnění vytvářet nové objekty zásad skupiny ve službě Active Directory. Ve výchozím nastavení je jediným členem skupiny Správce. Když člen skupiny Group Policy Creator Owners vytvoří objekt, tento člen objekt vlastní. Tímto způsobem se skupina Vlastníci zásad skupiny liší od jiných administrativních skupin (jako jsou správci a správci domény). Když člen těchto skupin vytvoří objekt, skupina vlastní objekt, nikoli jednotlivec. |
| S-1-5-domain-521 | Řadiče domény jen pro čtení | Globální skupina, která zahrnuje všechny doménové řadiče s omezenými právy jen pro čtení. |
| S-1-5-domain-522 | Klonovatelné kontrolery | Globální skupina, která zahrnuje všechny řadiče domény v doméně, kterou je možné naklonovat. |
| S-1-5-domain-525 | Chránění uživatelé | Globální skupina, která poskytuje dodatečnou ochranu před bezpečnostními hrozbami ověřování. |
| S-1-5-kořenová doména-526 | Správci klíčů | Skupina, která je určená pro použití ve scénářích, kdy důvěryhodné externí autority zodpovídají za úpravu tohoto atributu. Jako člen této skupiny by měli být pouze důvěryhodní správci. |
| S-1-5-domain-527 | Správci podnikových klíčů | Skupina, která je určená pro použití ve scénářích, kdy důvěryhodné externí autority zodpovídají za úpravu tohoto atributu. Jako člen této skupiny by měli být pouze důvěryhodní podnikoví správci. |
| S-1-5-32-544 | Administrators | Integrovaná skupina. Po počáteční instalaci operačního systému je jediným členem skupiny účet Správce. Když se počítač připojí k doméně, skupina Domain Admins se přidá do skupiny Administrators. Když se server stane řadičem domény, přidá se do skupiny Administrators také skupina Enterprise Admins. |
| S-1-5-32-545 | Uživatelé | Integrovaná skupina. Po počáteční instalaci operačního systému je jediným členem skupina Authenticated Users. |
| S-1-5-32-546 | Guests | Integrovaná skupina. Ve výchozím nastavení je jediným členem účet Host. Skupina Hosté umožňuje příležitostným nebo jednorázovým uživatelům přihlásit se s omezenými oprávněními k integrovanému účtu hosta počítače. |
| S-1-5-32-547 | Zkušenější uživatelé | Integrovaná skupina. Ve výchozím nastavení skupina nemá žádné členy. Pokročilí uživatelé mohou: |
| S-1-5-32-548 | Operátoři účtu | Integrovaná skupina, která existuje pouze na řadičích domény. Ve výchozím nastavení skupina nemá žádné členy. Ve výchozím nastavení mají operátoři účtů oprávnění vytvářet, upravovat a odstraňovat účty pro uživatele, skupiny a počítače ve všech kontejnerech a organizačních jednotkách služby Active Directory s výjimkou integrovaného kontejneru a organizační jednotky OU řadiče domény. Operátoři účtů nemají oprávnění ke změnám skupin Administrators a Domain Admins. Nemají také oprávnění upravovat účty pro členy těchto skupin. |
| S-1-5-32-549 | Operátory serveru | Integrovaná skupina, která existuje pouze na řadičích domény. Ve výchozím nastavení skupina nemá žádné členy. Operátory serveru můžou: |
| S-1-5-32-550 | Operátory tisku | Integrovaná skupina, která existuje pouze na řadičích domény. Ve výchozím nastavení je jediným členem skupina Domain Users. Operátory tisku můžou spravovat tiskárny a fronty dokumentů. |
| S-1-5-32-551 | Operátory zálohování | Integrovaná skupina. Ve výchozím nastavení skupina nemá žádné členy. Backup Operators může zálohovat a obnovovat všechny soubory v počítači bez ohledu na oprávnění, která chrání tyto soubory. Backup Operators se také může přihlásit k počítači a vypnout ho. |
| S-1-5-32-552 | Replicators | Integrovaná skupina, která podporuje replikaci souborů v doméně. Ve výchozím nastavení skupina nemá žádné členy. Nepřidávejte uživatele do této skupiny. |
| S-1-5-domain-553 | Servery RAS a IAS | Místní doménová skupina. Ve výchozím nastavení tato skupina nemá žádné členy. Počítače se službou Směrování a vzdálený přístup se automaticky přidají do skupiny. Členové této skupiny mají přístup k určitým vlastnostem objektů uživatele, jako jsou Čtení omezení účtu, Čtení informací o přihlášení a Čtení informací o vzdáleném přístupu. |
| S-1-5-32-554 | Vestavěný\Pre-Windows 2000 kompatibilní přístup | Skupina zpětné kompatibility, která umožňuje přístup pro čtení u všech uživatelů a skupin v doméně. |
| S-1-5-32-555 | Builtin\Uživatelé vzdálené plochy | Jeden alias. Členům této skupiny je uděleno právo přihlásit se vzdáleně. |
| S-1-5-32-556 | Builtin\Operátoři konfigurace sítě | Jeden alias. Členové této skupiny můžou mít určitá oprávnění správce ke správě konfigurace síťových funkcí. |
| S-1-5-32-557 | Vestavěné\Příchozí tvůrci důvěryhodnosti doménové struktury | Jeden alias. Členové této skupiny mohou vytvářet příchozí jednosměrné důvěryhodné vztahy k lesu. |
| S-1-5-32-558 | Builtin\Uživatelé monitoru výkonu | Jeden alias. Členové této skupiny mají vzdálený přístup k monitorování počítače. |
| S-1-5-32-559 | Builtin\Uživatelé protokolu výkonu | Jeden alias. Členové této skupiny mají vzdálený přístup k naplánování protokolování čítačů výkonu v počítači. |
| S-1-5-32-560 | Builtin\Skupina pro autorizaci přístupu Windows | Jeden alias. Členové této skupiny mají přístup k vypočítaným tokenGroupsGlobalAndUniversal atributům objektů uživatele. |
| S-1-5-32-561 | Builtin\Licenční servery Terminálového serveru | Jeden alias. Skupina licenčních serverů terminálového serveru. |
| S-1-5-32-562 | Builtin\Uživatelé distribuovaného COM | Jeden alias. Skupina pro uživatele modelu COM (Component Object Model) k poskytování řízení přístupu na úrovni počítače, které řídí přístup ke všem voláním, aktivaci nebo spouštění požadavků v počítači. |
| S-1-5-32-568 | Builtin\IIS_IUSRS | Jeden alias. Předdefinovaný účet skupiny pro uživatele služby IIS |
| S-1-5-32-569 | Builtin\Kryptografičtí operátoři | Integrovaná místní skupina. Členové mají oprávnění provádět kryptografické operace. |
| S-1-5-domain-571 | Povolená skupina replikace hesel pro řadič domény s právy jen pro čtení | Skupina s členy, kteří můžou mít svá hesla replikovaná na všechny řadiče domény jen pro čtení v doméně. |
| S-1-5-domain-572 | Odepřená skupina replikace hesel RODC | Skupina, jejíž členové nemohou mít svá hesla replikována do všech doménových řadičů pouze pro čtení v doméně. |
| S-1-5-32-573 | Vestavěné\Čtečky protokolů událostí | Integrovaná místní skupina. Členové této skupiny mohou číst protokoly událostí z místního počítače. |
| S-1-5-32-574 | Builtin\Certificate Service DCOM Access (vestavěné\přístup ke službě certifikátů DCOM) | Integrovaná místní skupina. Členové této skupiny se můžou připojit k certifikačním autoritě v podniku. |
| S-1-5-32-575 | Vestavěné\RDS servery pro vzdálený přístup | Integrovaná místní skupina. Servery v této skupině poskytují uživatelům programů RemoteApp a osobních virtuálních ploch přístup k těmto prostředkům. V internetových nasazeních se tyto servery obvykle nasazují v hraniční síti. Tuto skupinu je potřeba naplnit na serverech se spuštěným zprostředkovatelem připojení ke vzdálené ploše (Zprostředkovatel připojení k VP). Servery brány vzdálené plochy (Brána VP) a servery webového přístupu vzdálené plochy (RD Web Access) používané v nasazení musí být v této skupině. |
| S-1-5-32-576 | Vestavěné\RDS koncové servery | Integrovaná místní skupina. Servery v této skupině spouštějí virtuální počítače a hostitelské relace, na kterých běží programy RemoteApp uživatelů a osobní virtuální plochy. Je třeba naplnit tuto skupinu na serverech, na kterých běží zprostředkovatel připojení RD. Servery Hostitel relace vzdálené plochy (Hostitel relace VP) a servery virtualizace vzdálené plochy (Hostitel virtualizace VP) používané v nasazení musí být v této skupině. |
| S-1-5-32-577 | Builtin\Servery správy RDS | Integrovaná místní skupina. Servery v této skupině mohou provádět rutinní akce správy na serverech se službou Vzdálená plocha. Tuto skupinu je třeba naplnit na všech serverech v nasazení služeb Vzdálené plochy. Servery, na kterých běží centrální služba pro správu Vzdálené plochy, musí být součástí této skupiny. |
| S-1-5-32-578 | Builtin\Hyper-V Administrátoři | Integrovaná místní skupina. Členové této skupiny mají úplný a neomezený přístup ke všem funkcím technologie Hyper-V. |
| S-1-5-32-579 | Vestavěné\Operátoři asistence řízení přístupu | Integrovaná místní skupina. Členové této skupiny mohou vzdáleně dotazovat atributy autorizace a oprávnění pro prostředky v počítači. |
| S-1-5-32-580 | Builtin\Uživatelé vzdálené správy | Integrovaná místní skupina. Členové této skupiny mají přístup k prostředkům služby WMI (Windows Management Instrumentation) přes protokoly pro správu, jako jsou webové služby pro správu (WS-Management) prostřednictvím služby Vzdálená správa systému Windows. Tento přístup platí jenom pro obory názvů WMI, které uživateli udělují přístup. |
| S-1-5-64-10 | Ověřování NTLM | Identifikátor SID, který se používá, když ověřovací balíček New Technology LAN Manager (NTLM) ověřuje klienta. |
| S-1-5-64-14 | Ověřování SChannel | Identifikátor SID, který se používá, když ověřovací balíček Schannel (Secure Channel) ověřuje klienta. |
| S-1-5-64-21 | Ověřování pomocí Digest | Identifikátor SID, který se používá, když ověřovací balíček digest ověřuje klienta. |
| S-1-5-80 | SLUŽBA NT | Identifikátor SID, který se používá jako předpona účtu New Technology Service (NT Service). |
| S-1-5-80-0 | Všechny služby | Skupina, která zahrnuje všechny procesy služby nakonfigurované v systému. Operační systém řídí členství v této skupině. IDENTIFIKÁTOR SID S-1-5-80-0 představuje NT SERVICES\ALL SERVICES. |
| S-1-5-83-0 | NT VIRTUAL MACHINE\Virtuální stroje | Integrovaná skupina. Skupina se vytvoří při instalaci Hyper-V role. Služba Hyper-V Management Service (VMMS) udržuje členství v této skupině. cs-CZ: Tato skupina vyžaduje právo Vytvořit symbolické odkazy (SeCreateSymbolicLinkPrivilege) a právo Přihlásit se jako služba (SeServiceLogonRight). |
Následující identifikátory RID jsou relativní ke každé doméně:
| RID | Desetinná hodnota | Identifies |
|---|---|---|
| DOMAIN_USER_RID_ADMIN | 500 | Uživatelský účet správce v doméně. |
| DOMAIN_USER_RID_GUEST | 501 | Účet typu host - uživatel v doméně. Uživatelé, kteří nemají účet, se můžou k tomuto účtu automaticky přihlásit. |
| DOMAIN_GROUP_RID_USERS | 513 | Skupina, která obsahuje všechny uživatelské účty v doméně. Všichni uživatelé se do této skupiny automaticky přidají. |
| DOMAIN_GROUP_RID_GUESTS | 514 | Účet skupiny Host v doméně. |
| DOMAIN_GROUP_RID_COMPUTERS | 515 | Skupina Domain Computer (Počítač domény). Všechny počítače v doméně jsou členy této skupiny. |
| DOMAIN_GROUP_RID_CONTROLLERS | 516 | Skupina Řadič domény. Všechny řadiče domény v doméně jsou členy této skupiny. |
| DOMAIN_GROUP_RID_CERT_ADMINS | 517 | Skupina vydavatelů certifikátů. Počítače se službou Active Directory Certificate Services jsou členy této skupiny. |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS | 518 | Skupina správci schématu. Členové této skupiny mohou změnit schéma služby Active Directory. |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS | 519 | Skupina podnikových správců. Členové této skupiny mají úplný přístup ke všem doménám v doménové struktuře služby Active Directory. Podnikoví správci jsou zodpovědní za operace na lesní úrovni, jako je přidání nebo odebrání nových domén. |
| DOMAIN_GROUP_RID_POLICY_ADMINS | 520 | Skupina správců zásad. |
Následující tabulka uvádí příklady identifikátorů RID relativních k doméně, které se používají k vytvoření známých identifikátorů SID pro místní skupiny:
| RID | Desetinná hodnota | Identifies |
|---|---|---|
| DOMAIN_ALIAS_RID_ADMINS | 544 | Správci domény. |
| DOMAIN_ALIAS_RID_USERS | 545 | Všichni uživatelé v doméně. |
| DOMAIN_ALIAS_RID_GUESTS | 546 | Hosté domény. |
| DOMAIN_ALIAS_RID_POWER_USERS | 547 | Uživatel nebo sada uživatelů, kteří očekávají, že systém považují za svůj osobní počítač, a ne jako pracovní stanici pro více uživatelů. |
| DOMAIN_ALIAS_RID_BACKUP_OPS | 551 | Místní skupina, která slouží k řízení přiřazení uživatelských práv k zálohování a obnovení souborů. |
| DOMAIN_ALIAS_RID_REPLICATOR | 552 | Místní skupina, která je zodpovědná za kopírování databází zabezpečení z primárního řadiče domény do záložních řadičů domény. Tyto účty používají pouze systém. |
| DOMAIN_ALIAS_RID_RAS_SERVERS | 553 | Místní skupina, která představuje vzdálený přístup a servery se spuštěnou službou IAS (Internet Authentication Service). Tato skupina umožňuje přístup k různým atributům uživatelských objektů. |
Změny ve funkcích SID
Následující tabulka popisuje změny v implementaci siD v operačních systémech Windows:
| Change | Verze operačního systému | Popis a zdroje informací |
|---|---|---|
| Identifikátor SID TrustedInstaller vlastní většinu souborů operačního systému. | Windows Server 2008, Windows Vista | Účelem této změny je zabránit tomu, aby proces spuštěný jako správce nebo pod účtem LocalSystem automaticky nahradil soubory operačního systému. |
| Implementují se omezené kontroly identifikátorů SID. | Windows Server 2008, Windows Vista | Při omezení identifikátorů SID provádí Systém Windows dvě kontroly přístupu. První je normální kontrola přístupu a druhá je stejná kontrola přístupu proti omezením identifikátorů SID v tokenu. Obě kontroly přístupu musí projít, aby proces mohl přistupovat k objektu. |
identifikátory schopností SID
Identifikátory SID schopností slouží jako jedinečné a neměnné identifikátory schopností. Funkce představuje nepůjčitelný token autority, který uděluje univerzálním aplikacím pro Windows přístup k prostředkům (například k dokumentům, fotoaparátům a umístěním). Aplikace, která má schopnost, má udělený přístup k prostředku, ke kterému je funkce přidružená. Aplikace, která nemá funkci, má odepřený přístup k prostředku.
Všechny identifikátory SID schopností, o které operační systém ví, jsou uloženy v registru Systému Windows v cestě HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities. Do tohoto umístění se přidají všechny funkce SID přidané do Windows microsoftem nebo partnerskými aplikacemi.
Příklady klíčů registru převzatých z Windows 10 verze 1909, 64bitové edice Enterprise
V části AllCachedCapabilities se můžou zobrazit následující klíče registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
Předpona všech identifikátorů SID schopností je S-1-15-3.
Příklady klíčů registru převzatých z Windows 11 verze 21H2, 64bitové edice Enterprise
V části AllCachedCapabilities se můžou zobrazit následující klíče registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
Předpona všech identifikátorů SID schopností je S-1-15-3.