SID conocidos
Los identificadores de seguridad (SID) conocidos identifican grupos genéricos y usuarios genéricos. Por ejemplo, hay SID conocidos para identificar los siguientes grupos y usuarios:
- Todos o Mundo, que es un grupo que incluye a todos los usuarios.
- CREATOR_OWNER, que se usa como marcador de posición en una ACE que se puede heredar. Cuando se hereda la ACE, el sistema reemplaza el SID CREATOR_OWNER por el SID del creador del objeto.
- Grupo Administradores para el dominio integrado en el equipo local.
Existen SID universales conocidos, que son significativos en todos los sistemas seguros que utilizan este modelo de seguridad, incluidos los sistemas operativos distintos de Windows. Además, hay SID conocidos que solo son significativos en sistemas Windows.
La API de Windows define un conjunto de constantes para los valores conocidos de entidad de identificador e identificador relativo (RID). Puede usar estas constantes para crear SID conocidos. En el ejemplo siguiente se combinan las constantes SECURITY_WORLD_SID_AUTHORITY y SECURITY_WORLD_RID para mostrar el SID conocido universal para el grupo especial que representa a todos los usuarios (Todos o Mundo):
S-1-1-0
En este ejemplo se usa la notación de cadena para los SID en los que S identifica la cadena como SID, el primer 1 es el nivel de revisión del SID y los dos dígitos restantes son las constantes SECURITY_WORLD_SID_AUTHORITY y SECURITY_WORLD_RID.
Puede usar la función AllocateAndInitializeSid para compilar un SID mediante la combinación de un valor de entidad de identificador con hasta ocho valores de subautoridad. Por ejemplo, para determinar si el usuario que ha iniciado sesión es miembro de un grupo conocido determinado, llame a AllocateAndInitializeSid para compilar un SID para el grupo conocido y use la función EqualSid para comparar ese SID con los SID del grupo en el token de acceso del usuario. Para obtener un ejemplo, vea Buscar un SID en un token de acceso en C++. Debe llamar a la función FreeSid para liberar un SID asignado por AllocateAndInitializeSid.
El resto de esta sección contiene tablas de SID conocidos y tablas de constantes de autoridad y subautoridad de identificador que puede usar para crear SID conocidos.
A continuación se muestran algunos SID conocidos universales.
| SID conocido universal | Identifica |
|---|---|
| SID nulo Valor de cadena: S-1-0-0 |
Grupo sin miembros. Se usa a menudo cuando no se conoce un valor de SID. |
| World Valor de cadena: S-1-1-0 |
Grupo que incluye todos los usuarios. |
| Local Valor de cadena: S-1-2-0 |
Usuarios que inician sesión en terminales conectados localmente (físicamente) al sistema. |
| Id. de Creador Propietario Valor de cadena: S-1-3-0 |
Identificador de seguridad que se va a reemplazar por el identificador de seguridad del usuario que creó un nuevo objeto. Este SID se utiliza en ACE que se pueden heredar. |
| Id. de grupo de Creador Valor de cadena: S-1-3-1 |
Identificador de seguridad que se va a reemplazar por el SID de grupo principal del usuario que creó un nuevo objeto. Use este SID en ACE herederas. |
En la tabla siguiente se enumeran las constantes de entidad de identificador predefinidas. Los cuatro primeros valores se usan con SID conocidos universales; el último valor se usa con SID conocidos de Windows.
| Entidad de identificador | Valor | Valor de cadena |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 |
S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 |
S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 |
S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 |
S-1-3 |
| SECURITY_NT_AUTHORITY | 5 |
S-1-5 |
Los siguientes valores RID se usan con SID conocidos universales. La columna Entidad de identificador muestra el prefijo de la entidad de identificador con la que puede combinar el RID para crear un SID conocido universal.
| Entidad de identificador relativa | Valor | Valor de cadena |
|---|---|---|
| SECURITY_NULL_RID | 0 |
S-1-0 |
| SECURITY_WORLD_RID | 0 |
S-1-1 |
| SECURITY_LOCAL_RID | 0 |
S-1-2 |
| SECURITY_LOCAL_LOGON_RID | 1 |
S-1-2 |
| SECURITY_CREATOR_OWNER_RID | 0 |
S-1-3 |
| SECURITY_CREATOR_GROUP_RID | 1 |
S-1-3 |
La autoridad de identificador predefinido SECURITY_NT_AUTHORITY (S-1-5) genera SID que no son universales, sino que solo son significativos en las instalaciones de Windows. Puede usar los siguientes valores RID con SECURITY_NT_AUTHORITY para crear SID conocidos.
| Constante | Identifica |
|---|---|
| SECURITY_DIALUP_RID Valor de cadena: S-1-5-1 |
Usuarios que inician sesión en terminales mediante un módem de acceso telefónico. Se trata de un identificador de grupo. |
| SECURITY_NETWORK_RID Valor de cadena: S-1-5-2 |
Usuarios que inician sesión en una red. Se trata de un identificador de grupo agregado al token de un proceso cuando se inició sesión a través de una red. El tipo de inicio de sesión correspondiente es LOGON32_LOGON_NETWORK. |
| SECURITY_BATCH_RID Valor de cadena: S-1-5-3 |
Usuarios que inician sesión con una instalación de cola por lotes. Se trata de un identificador de grupo que se agregó al token de un proceso cuando se registró como un trabajo por lotes. El tipo de inicio de sesión correspondiente es LOGON32_LOGON_BATCH. |
| SECURITY_INTERACTIVE_RID Valor de cadena: S-1-5-4 |
Usuarios que inician sesión para la operación interactiva. Se trata de un identificador de grupo agregado al token de un proceso cuando se inició sesión de forma interactiva. El tipo de inicio de sesión correspondiente es LOGON32_LOGON_INTERACTIVE. |
| SECURITY_LOGON_IDS_RID Valor de cadena: S-1-5-5-*X*-*Y* |
Una sesión de inicio de sesión. Se usa para asegurarse de que solo los procesos de una sesión de inicio de sesión determinada puedan obtener acceso a los objetos de la estación de Windows para esa sesión. Los valores X e Y de estos SID son diferentes para cada sesión de inicio de sesión. El valor SECURITY_LOGON_IDS_RID_COUNT es el número de RID en este identificador (5-X-Y). |
| SECURITY_SERVICE_RID Valor de cadena: S-1-5-6 |
Cuentas autorizadas para iniciar sesión como servicio. Se trata de un identificador de grupo agregado al token de un proceso cuando se registró como servicio. El tipo de inicio de sesión correspondiente es LOGON32_LOGON_SERVICE. |
| SECURITY_ANONYMOUS_LOGON_RID Valor de cadena: S-1-5-7 |
Inicio de sesión anónimo o inicio de sesión nulo. |
| SECURITY_PROXY_RID Valor de cadena: S-1-5-8 |
Proxy. |
| SECURITY_ENTERPRISE_CONTROLLERS_RID Valor de cadena: S-1-5-9 |
Controladores de empresa. |
| SECURITY_PRINCIPAL_SELF_RID Valor de cadena: S-1-5-10 |
El identificador de seguridad PRINCIPAL_SELF se puede usar en la ACL de un objeto de usuario u grupo. Durante una comprobación de acceso, el sistema reemplaza el SID por el SID del objeto. El SID PRINCIPAL_SELF es útil para especificar una ACE heredable que se aplica al objeto de usuario o grupo que hereda la ACE. Es la única manera de representar el SID de un objeto creado en el descriptor de seguridad predeterminado del esquema. |
| SECURITY_AUTHENTICATED_USER_RID Valor de cadena: S-1-5-11 |
Los usuarios autenticados. |
| SECURITY_RESTRICTED_CODE_RID Valor de cadena: S-1-5-12 |
Código restringido. |
| SECURITY_TERMINAL_SERVER_RID Valor de cadena: S-1-5-13 |
Terminal Services. Se agrega automáticamente al token de seguridad de un usuario que inicia sesión en un servidor de terminal. |
| SECURITY_LOCAL_SYSTEM_RID Valor de cadena: S-1-5-18 |
Una cuenta especial utilizada por el sistema operativo. |
| SECURITY_NT_NON_UNIQUE Valor de cadena: S-1-5-21 |
Los SID no son únicos. |
| SECURITY_BUILTIN_DOMAIN_RID Valor de cadena: S-1-5-32 |
Dominio del sistema integrado. |
| SECURITY_WRITE_RESTRICTED_CODE_RID Valor de cadena: S-1-5-33 |
Escribir código restringido. |
Los siguientes RID son relativos a cada dominio.
| RID | Identifica |
|---|---|
| DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP Valor: 0x0000023E |
El grupo de usuarios que pueden conectarse a entidades de certificación mediante el modelo de objetos componentes distribuido (DCOM). |
| DOMAIN_USER_RID_ADMIN Valor: 0x000001F4 |
La cuenta de usuario administrativo de un dominio. |
| DOMAIN_USER_RID_GUEST Valor: 0x000001F5 |
La cuenta de usuario invitado de un dominio. Los usuarios que no tienen una cuenta pueden iniciar sesión automáticamente en esta cuenta. |
| DOMAIN_GROUP_RID_ADMINS Valor: 0x00000200 |
El grupo de administradores de dominio. Esta cuenta solo existe en sistemas que ejecutan sistemas operativos de servidor. |
| DOMAIN_GROUP_RID_USERS Valor: 0x00000201 |
Grupo que contiene todas las cuentas de usuario de un dominio. Todos los usuarios se agregan automáticamente a este grupo. |
| DOMAIN_GROUP_RID_GUESTS Valor: 0x00000202 |
La cuenta de grupo de invitados en un dominio. |
| DOMAIN_GROUP_RID_COMPUTERS Valor: 0x00000203 |
El grupo de equipos del dominio. Todos los equipos del dominio son miembros de este grupo. |
| DOMAIN_GROUP_RID_CONTROLLERS Valor: 0x00000204 |
El grupo de controladores de dominio. Todos los controladores de dominio del dominio son miembros de este grupo. |
| DOMAIN_GROUP_RID_CERT_ADMINS Valor: 0x00000205 |
El grupo de publicadores de certificados. Los equipos que ejecutan Servicios de certificados son miembros de este grupo. |
| DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS Valor: 0x000001F2 |
El grupo de controladores de dominio de solo lectura de la empresa. |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS Valor: 0x00000206 |
El grupo de administradores de esquemas. Los miembros de este grupo pueden modificar el esquema de Active Directory. |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS Valor: 0x00000207 |
El grupo de administradores de empresa. Los miembros de este grupo tienen acceso total a todos los dominios en el bosque de Active Directory. Los administradores de empresa son responsables de las operaciones de nivel de bosque, como agregar o quitar nuevos dominios. |
| DOMAIN_GROUP_RID_POLICY_ADMINS Valor: 0x00000208 |
El grupo de administradores de directivas. |
| DOMAIN_GROUP_RID_READONLY_CONTROLLERS Valor: 0x00000209 |
El grupo de controladores de dominio de solo lectura |
| DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS Valor: 0x0000020A |
El grupo de controladores de dominio clonables. |
| DOMAIN_GROUP_RID_CDC_RESERVED Valor: 0x0000020C |
El grupo CDC reservado. |
| DOMAIN_GROUP_RID_PROTECTED_USERS Valor: 0x0000020D |
El grupo de usuarios protegidos. |
| DOMAIN_GROUP_RID_KEY_ADMINS Valor: 0x0000020E |
El grupo de administradores de claves. |
| DOMAIN_GROUP_RID_ENTERPRISE_KEY_ADMINS Valor: 0x0000020F |
El grupo de administradores de claves de la empresa. |
Los siguientes RID se usan para especificar el nivel de integridad obligatorio.
| RID | Valor | Identifica |
|---|---|---|
| SECURITY_MANDATORY_UNTRUSTED_RID | 0x00000000 |
No de confianza. |
| SECURITY_MANDATORY_LOW_RID | 0x00001000 |
Integridad baja. |
| SECURITY_MANDATORY_MEDIUM_RID | 0x00002000 |
Integridad media. |
| SECURITY_MANDATORY_MEDIUM_PLUS_RID | SECURITY_MANDATORY_MEDIUM_RID + 0x100 |
Integridad media alta. |
| SECURITY_MANDATORY_HIGH_RID | 0X00003000 |
Integridad alta. |
| SECURITY_MANDATORY_SYSTEM_RID | 0x00004000 |
Integridad del sistema. |
| SECURITY_MANDATORY_PROTECTED_PROCESS_RID | 0x00005000 |
Proceso protegido. |
En la tabla siguiente se muestran ejemplos de RID relativos al dominio que puede usar para formar SID conocidos para grupos locales (alias). Para obtener más información sobre los grupos locales y globales, vea Funciones de grupo local y Funciones de grupo.
| RID | Identifica |
|---|---|
| DOMAIN_ALIAS_RID_ADMINS Valor: 0x00000220Valor de cadena: S-1-5-32-544 |
Un grupo local que se usa para la administración del dominio. |
| DOMAIN_ALIAS_RID_USERS Valor: 0x00000221Valor de cadena: S-1-5-32-545 |
Un grupo local que representa a todos los usuarios del dominio. |
| DOMAIN_ALIAS_RID_GUESTS Valor: 0x00000222Valor de cadena: S-1-5-32-546 |
Un grupo local que representa a los invitados del dominio. |
| DOMAIN_ALIAS_RID_POWER_USERS Valor: 0x00000223Valor de cadena: S-1-5-32-547 |
Un grupo local que se usa para representar a un usuario o conjunto de usuarios que esperan tratar un sistema como si fuera su equipo personal en lugar de como una estación de trabajo para varios usuarios. |
| DOMAIN_ALIAS_RID_ACCOUNT_OPS Valor: 0x00000224Valor de cadena: S-1-5-32-548 |
Un grupo local que solo existe en sistemas que ejecutan sistemas operativos de servidor. Este grupo local permite controlar las cuentas no administrativas. |
| DOMAIN_ALIAS_RID_SYSTEM_OPS Valor: 0x00000225Valor de cadena: S-1-5-32-549 |
Un grupo local que solo existe en sistemas que ejecutan sistemas operativos de servidor. Este grupo local realiza funciones administrativas del sistema, no incluidas las funciones de seguridad. Establece recursos compartidos de red, controla impresoras, desbloquea estaciones de trabajo y realiza otras operaciones. |
| DOMAIN_ALIAS_RID_PRINT_OPS Valor: 0x00000226Valor de cadena: S-1-5-32-550 |
Un grupo local que solo existe en sistemas que ejecutan sistemas operativos de servidor. Este grupo local controla las impresoras y las colas de impresión. |
| DOMAIN_ALIAS_RID_BACKUP_OPS Valor: 0x00000227Valor de cadena: S-1-5-32-551 |
Un grupo local que se usa para controlar la asignación de privilegios de copia de seguridad y restauración de archivos. |
| DOMAIN_ALIAS_RID_REPLICATOR Valor: 0x00000228Valor de cadena: S-1-5-32-552 |
Un grupo local responsable de copiar las bases de datos de seguridad del controlador de dominio principal a los controladores de dominio de copia de seguridad. Estas cuentas solo las usa el sistema. |
| DOMAIN_ALIAS_RID_RAS_SERVERS Valor: 0x00000229Valor de cadena: S-1-5-32-553 |
Un grupo local que representa los servidores RAS e IAS. Este grupo permite el acceso a varios atributos de objetos de usuario. |
| DOMAIN_ALIAS_RID_PREW2KCOMPACCESS Valor: 0x0000022AValor de cadena: S-1-5-32-554 |
Un grupo local que solo existe en sistemas que ejecutan Windows 2000 Server. Para obtener más información, consulte Permitir el acceso anónimo. |
| DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS Valor: 0x0000022BValor de cadena: S-1-5-32-555 |
Un grupo local que representa a todos los usuarios de escritorio remoto. |
| DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS Valor: 0x0000022CValor de cadena: S-1-5-32-556 |
Un grupo local que representa la configuración de red. |
| DOMAIN_ALIAS_RID_INCOMING_FOREST_TRUST_BUILDERS Valor: 0x0000022DValor de cadena: S-1-5-32-557 |
Un grupo local que representa a los usuarios de confianza de bosque. |
| DOMAIN_ALIAS_RID_MONITORING_USERS Valor: 0x0000022EValor de cadena: S-1-5-32-558 |
Un grupo local que representa a todos los usuarios que se están supervisando. |
| DOMAIN_ALIAS_RID_LOGGING_USERS Valor: 0x0000022FValor de cadena: S-1-5-32-559 |
Un grupo local responsable del registro de usuarios. |
| DOMAIN_ALIAS_RID_AUTHORIZATIONACCESS Valor: 0x00000230Valor de cadena: S-1-5-32-560 |
Un grupo local que representa todo el acceso autorizado. |
| DOMAIN_ALIAS_RID_TS_LICENSE_SERVERS Valor: 0x00000231Valor de cadena: S-1-5-32-561 |
Un grupo local que solo existe en sistemas que ejecutan sistemas operativos de servidor que permiten servicios de terminal y acceso remoto. |
| DOMAIN_ALIAS_RID_DCOM_USERS Valor: 0x00000232Valor de cadena: S-1-5-32-562 |
Un grupo local que representa a los usuarios que pueden usar el modelo de objetos de componente distribuido (DCOM). |
| DOMAIN_ALIAS_RID_IUSERS Valor: 0X00000238Valor de cadena: S-1-5-32-568 |
Un grupo local que representa a los usuarios de Internet. |
| DOMAIN_ALIAS_RID_CRYPTO_OPERATORS Valor: 0x00000239Valor de cadena: S-1-5-32-569 |
Un grupo local que representa el acceso a los operadores de criptografía. |
| DOMAIN_ALIAS_RID_CACHEABLE_PRINCIPALS_GROUP Valor: 0x0000023BValor de cadena: S-1-5-32-571 |
Un grupo local que representa las entidades de seguridad que se pueden almacenar en caché. |
| DOMAIN_ALIAS_RID_NON_CACHEABLE_PRINCIPALS_GROUP Valor: 0x0000023CValor de cadena: S-1-5-32-572 |
Un grupo local que representa las entidades de seguridad que no se pueden almacenar en caché. |
| DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP Valor: 0x0000023DValor de cadena: S-1-5-32-573 |
Un grupo local que representa lectores de registro de eventos. |
| DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP Valor: 0x0000023EValor de cadena: S-1-5-32-574 |
El grupo local de usuarios que pueden conectarse a entidades de certificación mediante el modelo de objetos componentes distribuido (DCOM). |
| DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_SERVERS Valor: 0x0000023FValor de cadena: S-1-5-32-575 |
Un grupo local que representa los servidores de acceso remoto de RDS. |
| DOMAIN_ALIAS_RID_RDS_ENDPOINT_SERVERS Valor: 0x00000240Valor de cadena: S-1-5-32-576 |
Un grupo local que representa los servidores de punto de conexión. |
| DOMAIN_ALIAS_RID_RDS_MANAGEMENT_SERVERS Valor: 0x00000241Valor de cadena: S-1-5-32-577 |
Un grupo local que representa los servidores de administración. |
| DOMAIN_ALIAS_RID_HYPER_V_ADMINS Valor: 0x00000242Valor de cadena: S-1-5-32-578 |
Un grupo local que representa los administradores de Hyper-V. |
| DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS Valor: 0x00000243Valor de cadena: S-1-5-32-579 |
Un grupo local que representa OPS de asistencia de control de acceso. |
| DOMAIN_ALIAS_RID_REMOTE_MANAGEMENT_USERS Valor: 0x00000244Valor de cadena: S-1-5-32-580 |
Un grupo local que representa a los usuarios de administración remota. |
| DOMAIN_ALIAS_RID_DEFAULT_ACCOUNT Valor: 0x00000245Valor de cadena: S-1-5-32-581 |
Un grupo local que representa la cuenta predeterminada. |
| DOMAIN_ALIAS_RID_STORAGE_REPLICA_ADMINS Valor: 0x00000246Valor de cadena: S-1-5-32-582 |
Un grupo local que representa a los administradores de réplica de almacenamiento. |
| DOMAIN_ALIAS_RID_DEVICE_OWNERS Valor: 0x00000247Valor de cadena: S-1-5-32-583 |
Un grupo local que representa que se puede realizar la configuración esperada para los propietarios de dispositivos. |
La enumeración WELL_KNOWN_SID_TYPE define la lista de SID usados habitualmente. Además, el lenguaje de definición de descriptores de seguridad (SDDL) usa cadenas SID para hacer referencia a SID conocidos en un formato de cadena.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de