SID conocidos

Los identificadores de seguridad conocidos (SID) identifican grupos genéricos y usuarios genéricos. Por ejemplo, hay SID conocidos para identificar los siguientes grupos y usuarios:

  • Todos o Mundo, que es un grupo que incluye a todos los usuarios.
  • CREATOR_OWNER, que se usa como marcador de posición en una ACE que se puede heredar. Cuando se hereda la ACE, el sistema reemplaza el CREATOR_OWNER SID por el SID del creador del objeto.
  • El grupo Administradores del dominio integrado en el equipo local.

Hay SID universales conocidos, que son significativos en todos los sistemas seguros que usan este modelo de seguridad, incluidos los sistemas operativos distintos de Windows. Además, hay SID conocidos que solo son significativos en sistemas Windows.

La API de Windows define un conjunto de constantes para los valores conocidos de autoridad de identificador y identificador relativo (RID). Puede usar estas constantes para crear SID conocidos. En el ejemplo siguiente se combinan las constantes SECURITY_WORLD_SID_AUTHORITY y SECURITY_WORLD_RID para mostrar el SID universal conocido para el grupo especial que representa a todos los usuarios (Todos o mundo):

S-1-1-0

En este ejemplo se usa la notación de cadena para los SID en los que S identifica la cadena como SID, el primer 1 es el nivel de revisión del SID y los dos dígitos restantes son las SECURITY_WORLD_SID_AUTHORITY y SECURITY_WORLD_RID constantes.

Puede usar la función AllocateAndInitializeSid para compilar un SID mediante la combinación de un valor de autoridad de identificador con hasta ocho valores de subautenticación. Por ejemplo, para determinar si el usuario que ha iniciado sesión es miembro de un grupo conocido determinado, llame a AllocateAndInitializeSid para compilar un SID para el grupo conocido y use la función EqualSid para comparar ese SID con los SID del grupo en el token de acceso del usuario. Para obtener un ejemplo, vea Buscar un SID en un token de acceso en C++. Debe llamar a la función FreeSid para liberar un SID asignado por AllocateAndInitializeSid.

El resto de esta sección contiene tablas de SID conocidos y tablas de constantes de autoridad de identificador y subautenticación que puede usar para crear SID conocidos.

A continuación se muestran algunos SID conocidos universales.

SID conocido universal Valor de cadena Identifica
SID nulo
S-1-0-0
Un grupo sin miembros. Esto se usa a menudo cuando no se conoce un valor SID.
World
S-1-1-0
Un grupo que incluye a todos los usuarios.
Local
S-1-2-0
Usuarios que inician sesión en terminales conectados localmente (físicamente) al sistema.
Id. de propietario del creador
S-1-3-0
Identificador de seguridad que se va a reemplazar por el identificador de seguridad del usuario que creó un nuevo objeto. Este SID se usa en aces heredables.
Id. de grupo de Creator
S-1-3-1
Identificador de seguridad que se va a reemplazar por el SID de grupo principal del usuario que creó un nuevo objeto. Use este SID en ACE heredables.

En la tabla siguiente se enumeran las constantes de entidad de identificador predefinidas. Los cuatro primeros valores se utilizan con SID conocidos universales; el último valor se usa con Windows SID conocidos.

Entidad de identificador Value Valor de cadena
SECURITY_NULL_SID_AUTHORITY
0
S-1-0
SECURITY_WORLD_SID_AUTHORITY
1
S-1-1
SECURITY_LOCAL_SID_AUTHORITY
2
S-1-2
SECURITY_CREATOR_SID_AUTHORITY
3
S-1-3
SECURITY_NT_AUTHORITY
5
S-1-5

Los siguientes valores rid se usan con SID conocidos universales. La columna Autoridad de identificador muestra el prefijo de la entidad de identificador con la que puede combinar el RID para crear un SID conocido universal.

Entidad de identificador relativa Value Valor de cadena
SECURITY_NULL_RID
0
S-1-0
SECURITY_WORLD_RID
0
S-1-1
SECURITY_LOCAL_RID
0
S-1-2
SECURITY_LOCAL_LOGON_RID
1
S-1-2
SECURITY_CREATOR_OWNER_RID
0
S-1-3
SECURITY_CREATOR_GROUP_RID
1
S-1-3

La entidad de identificador predefinida de SECURITY_NT_AUTHORITY (S-1-5) genera SID que no son universales, sino que solo son significativas en instalaciones de Windows. Puede usar los siguientes valores rid con SECURITY_NT_AUTHORITY para crear SID conocidos.

Constante Valor de cadena Identifica
SECURITY_DIALUP_RID
S-1-5-1
Usuarios que inician sesión en terminales mediante un módem de acceso telefónico. Se trata de un identificador de grupo.
SECURITY_NETWORK_RID
S-1-5-2
Usuarios que inician sesión en una red. Se trata de un identificador de grupo agregado al token de un proceso cuando se inició sesión en una red. El tipo de inicio de sesión correspondiente es LOGON32_LOGON_NETWORK.
SECURITY_BATCH_RID
S-1-5-3
Usuarios que inician sesión con una instalación de cola por lotes. Se trata de un identificador de grupo agregado al token de un proceso cuando se registró como un trabajo por lotes. El tipo de inicio de sesión correspondiente es LOGON32_LOGON_BATCH.
SECURITY_INTERACTIVE_RID
S-1-5-4
Usuarios que inician sesión para la operación interactiva. Se trata de un identificador de grupo agregado al token de un proceso cuando se inició sesión de forma interactiva. El tipo de inicio de sesión correspondiente es LOGON32_LOGON_INTERACTIVE.
SECURITY_LOGON_IDS_RID
S-1-5-5-XY-
Una sesión de inicio de sesión. Esto se usa para garantizar que solo los procesos de una sesión de inicio de sesión determinada puedan obtener acceso a los objetos de la estación de ventanas para esa sesión. Los valores X e Y de estos SID son diferentes para cada sesión de inicio de sesión. El valor SECURITY_LOGON_IDS_RID_COUNT es el número de RID en este identificador (5-XY-).
SECURITY_SERVICE_RID
S-1-5-6
Cuentas autorizadas para iniciar sesión como servicio. Se trata de un identificador de grupo agregado al token de un proceso cuando se registró como servicio. El tipo de inicio de sesión correspondiente es LOGON32_LOGON_SERVICE.
SECURITY_ANONYMOUS_LOGON_RID
S-1-5-7
Inicio de sesión anónimo o inicio de sesión nulo.
SECURITY_PROXY_RID
S-1-5-8
Proxy.
SECURITY_ENTERPRISE_CONTROLLERS_RID
S-1-5-9
controladores de Enterprise.
SECURITY_PRINCIPAL_SELF_RID
S-1-5-10
El identificador de seguridad PRINCIPAL_SELF se puede usar en la ACL de un usuario o objeto de grupo. Durante una comprobación de acceso, el sistema reemplaza el SID por el SID del objeto. El PRINCIPAL_SELF SID es útil para especificar una ACE heredable que se aplica al objeto de usuario o grupo que hereda la ACE. Es la única manera de representar el SID de un objeto creado en el descriptor de seguridad predeterminado del esquema.
SECURITY_AUTHENTICATED_USER_RID
S-1-5-11
Los usuarios autenticados.
SECURITY_RESTRICTED_CODE_RID
S-1-5-12
Código restringido.
SECURITY_TERMINAL_SERVER_RID
S-1-5-13
Terminal Services. Se agrega automáticamente al token de seguridad de un usuario que inicia sesión en un servidor de terminal.
SECURITY_LOCAL_SYSTEM_RID
S-1-5-18
Una cuenta especial utilizada por el sistema operativo.
SECURITY_NT_NON_UNIQUE
S-1-5-21
Los SIDS no son únicos.
SECURITY_BUILTIN_DOMAIN_RID
S-1-5-32
Dominio del sistema integrado.
SECURITY_WRITE_RESTRICTED_CODE_RID
S-1-5-33
Escribir código restringido.

Los siguientes RID son relativos a cada dominio.

RID Value Identifica
DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP
0x0000023E El grupo de usuarios que pueden conectarse a entidades de certificación mediante el modelo de objetos componentes distribuidos (DCOM).
DOMAIN_USER_RID_ADMIN
0x000001F4 La cuenta de usuario administrativo de un dominio.
DOMAIN_USER_RID_GUEST
0x000001F5 La cuenta de usuario invitado de un dominio. Los usuarios que no tienen una cuenta pueden iniciar sesión automáticamente en esta cuenta.
DOMAIN_GROUP_RID_ADMINS
0x00000200 El grupo de administradores de dominio. Esta cuenta solo existe en sistemas que ejecutan sistemas operativos de servidor.
DOMAIN_GROUP_RID_USERS
0x00000201 Grupo que contiene todas las cuentas de usuario de un dominio. Todos los usuarios se agregan automáticamente a este grupo.
DOMAIN_GROUP_RID_GUESTS
0x00000202 La cuenta de grupo de invitados de un dominio.
DOMAIN_GROUP_RID_COMPUTERS
0x00000203 El grupo de equipos del dominio. Todos los equipos del dominio son miembros de este grupo.
DOMAIN_GROUP_RID_CONTROLLERS
0x00000204 El grupo de controladores de dominio. Todos los controladores de dominio del dominio son miembros de este grupo.
DOMAIN_GROUP_RID_CERT_ADMINS
0x00000205 El grupo de publicadores de certificados. Los equipos que ejecutan Servicios de certificados son miembros de este grupo.
DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS
0x000001F2 El grupo de controladores de dominio de solo lectura empresarial.
DOMAIN_GROUP_RID_SCHEMA_ADMINS
0x00000206 Grupo de administradores de esquema. Los miembros de este grupo pueden modificar el esquema de Active Directory.
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS
0x00000207 Grupo de administradores de empresa. Los miembros de este grupo tienen acceso total a todos los dominios del bosque de Active Directory. Enterprise administradores son responsables de las operaciones de nivel de bosque, como agregar o quitar nuevos dominios.
DOMAIN_GROUP_RID_POLICY_ADMINS
0x00000208 Grupo de administradores de directivas.
DOMAIN_GROUP_RID_READONLY_CONTROLLERS
0x00000209 Grupo de controladores de dominio de solo lectura.
DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS
0x0000020A Grupo de controladores de dominio clonables.
DOMAIN_GROUP_RID_CDC_RESERVED
0x0000020C El grupo CDC reservado.
DOMAIN_GROUP_RID_PROTECTED_USERS
0x0000020D Grupo de usuarios protegidos.
DOMAIN_GROUP_RID_KEY_ADMINS
0x0000020E El grupo de administradores de claves.
DOMAIN_GROUP_RID_ENTERPRISE_KEY_ADMINS
0x0000020F El grupo de administradores de claves de empresa

Los siguientes RID se usan para especificar el nivel de integridad obligatorio.

RID Value Identifica
SECURITY_MANDATORY_UNTRUSTED_RID
0x00000000
Untrusted.
SECURITY_MANDATORY_LOW_RID
0x00001000
Integridad baja.
SECURITY_MANDATORY_MEDIUM_RID
0x00002000
Integridad media.
SECURITY_MANDATORY_MEDIUM_PLUS_RID
SECURITY_MANDATORY_MEDIUM_RID + 0x100
Integridad media alta.
SECURITY_MANDATORY_HIGH_RID
0X00003000
Integridad alta.
SECURITY_MANDATORY_SYSTEM_RID
0x00004000
Integridad del sistema.
SECURITY_MANDATORY_PROTECTED_PROCESS_RID
0x00005000
Proceso protegido.

En la tabla siguiente se muestran ejemplos de RID relativos al dominio que puede usar para formar SID conocidos para grupos locales (alias). Para obtener más información sobre los grupos locales y globales, vea Funciones de grupo local y Funciones de grupo.

RID Value Valor de cadena Identifica
DOMAIN_ALIAS_RID_ADMINS
0x00000220
S-1-5-32-544
Un grupo local usado para la administración del dominio.
DOMAIN_ALIAS_RID_USERS
0x00000221
S-1-5-32-545
Un grupo local que representa a todos los usuarios del dominio.
DOMAIN_ALIAS_RID_GUESTS
0x00000222
S-1-5-32-546
Un grupo local que representa a los invitados del dominio.
DOMAIN_ALIAS_RID_POWER_USERS
0x00000223
S-1-5-32-547
Un grupo local que se usa para representar un usuario o un conjunto de usuarios que esperan tratar un sistema como si fuera su equipo personal en lugar de como una estación de trabajo para varios usuarios.
DOMAIN_ALIAS_RID_ACCOUNT_OPS
0x00000224
S-1-5-32-548
Un grupo local que solo existe en sistemas que ejecutan sistemas operativos de servidor. Este grupo local permite controlar las cuentas no administradas.
DOMAIN_ALIAS_RID_SYSTEM_OPS
0x00000225
S-1-5-32-549
Un grupo local que solo existe en sistemas que ejecutan sistemas operativos de servidor. Este grupo local realiza funciones administrativas del sistema, no incluidas las funciones de seguridad. Establece recursos compartidos de red, controla impresoras, desbloquea estaciones de trabajo y realiza otras operaciones.
DOMAIN_ALIAS_RID_PRINT_OPS
0x00000226
S-1-5-32-550
Un grupo local que solo existe en sistemas que ejecutan sistemas operativos de servidor. Este grupo local controla las impresoras y las colas de impresión.
DOMAIN_ALIAS_RID_BACKUP_OPS
0x00000227
S-1-5-32-551
Un grupo local que se usa para controlar la asignación de privilegios de copia de seguridad y restauración de archivos.
DOMAIN_ALIAS_RID_REPLICATOR
0x00000228
S-1-5-32-552
Un grupo local responsable de copiar bases de datos de seguridad desde el controlador de dominio principal a los controladores de dominio de copia de seguridad. El sistema solo usa estas cuentas.
DOMAIN_ALIAS_RID_RAS_SERVERS
0x00000229
S-1-5-32-553
Un grupo local que representa servidores RAS e IAS. Este grupo permite el acceso a varios atributos de objetos de usuario.
DOMAIN_ALIAS_RID_PREW2KCOMPACCESS
0x0000022A
S-1-5-32-554
Un grupo local que solo existe en sistemas que ejecutan Windows servidor 2000. Para obtener más información, consulte Permitir el acceso anónimo.
DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS
0x0000022B
S-1-5-32-555
Un grupo local que representa a todos los usuarios de Escritorio remoto.
DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS
0x0000022C
S-1-5-32-556
Un grupo local que representa la configuración de red.
DOMAIN_ALIAS_RID_INCOMING_FOREST_TRUST_BUILDERS
0x0000022D
S-1-5-32-557
Un grupo local que representa a los usuarios de confianza de bosque.
DOMAIN_ALIAS_RID_MONITORING_USERS
0x0000022E
S-1-5-32-558
Un grupo local que representa a todos los usuarios que se supervisan.
DOMAIN_ALIAS_RID_LOGGING_USERS
0x0000022F
S-1-5-32-559
Un grupo local responsable de registrar usuarios.
DOMAIN_ALIAS_RID_AUTHORIZATIONACCESS
0x00000230
S-1-5-32-560
Un grupo local que representa todo el acceso autorizado.
DOMAIN_ALIAS_RID_TS_LICENSE_SERVERS
0x00000231
S-1-5-32-561
Un grupo local que solo existe en sistemas que ejecutan sistemas operativos de servidor que permiten servicios de terminal y acceso remoto.
DOMAIN_ALIAS_RID_DCOM_USERS
0x00000232
S-1-5-32-562
Un grupo local que representa a los usuarios que pueden usar el modelo de objetos componentes distribuidos (DCOM).
DOMAIN_ALIAS_RID_IUSERS
0X00000238
S-1-5-32-568
Un grupo local que representa a los usuarios de Internet.
DOMAIN_ALIAS_RID_CRYPTO_OPERATORS
0x00000239
S-1-5-32-569
Un grupo local que representa el acceso a los operadores de criptografía.
DOMAIN_ALIAS_RID_CACHEABLE_PRINCIPALS_GROUP
0x0000023B
S-1-5-32-571
Un grupo local que representa las entidades de seguridad que se pueden almacenar en caché.
DOMAIN_ALIAS_RID_NON_CACHEABLE_PRINCIPALS_GROUP
0x0000023C
S-1-5-32-572
Un grupo local que representa las entidades de seguridad que no se pueden almacenar en caché.
DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP
0x0000023D
S-1-5-32-573
Un grupo local que representa lectores del registro de eventos.
DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP
0x0000023E
S-1-5-32-574
El grupo local de usuarios que pueden conectarse a entidades de certificación mediante el modelo de objetos componentes distribuidos (DCOM).
DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_SERVERS
0x0000023F
S-1-5-32-575
Un grupo local que representa los servidores de acceso remoto de RDS.
DOMAIN_ALIAS_RID_RDS_ENDPOINT_SERVERS 0x00000240
S-1-5-32-576
Un grupo local que representa los servidores de punto de conexión.
DOMAIN_ALIAS_RID_RDS_MANAGEMENT_SERVERS 0x00000241
S-1-5-32-577
Un grupo local que representa los servidores de administración.
DOMAIN_ALIAS_RID_HYPER_V_ADMINS 0x00000242
S-1-5-32-578
Un grupo local que representa a los administradores de Hyper-v
DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS 0x00000243
S-1-5-32-579
Un grupo local que representa la asistencia de control de acceso OPS.
DOMAIN_ALIAS_RID_REMOTE_MANAGEMENT_USERS 0x00000244
S-1-5-32-580
Un grupo local que representa a los usuarios de administración remota.
DOMAIN_ALIAS_RID_DEFAULT_ACCOUNT 0x00000245
S-1-5-32-581
Un grupo local que representa la cuenta predeterminada.
DOMAIN_ALIAS_RID_STORAGE_REPLICA_ADMINS 0x00000246
S-1-5-32-582
Un grupo local que representa los administradores de réplicas de almacenamiento.
DOMAIN_ALIAS_RID_DEVICE_OWNERS 0x00000247
S-1-5-32-583
Un grupo local que representa puede hacer que la configuración se espere para los propietarios de dispositivos.

La enumeración WELL_KNOWN_SID_TYPE define la lista de SID usados habitualmente. Además, el lenguaje de definición de descriptores de seguridad (SDDL) usa cadenas SID para hacer referencia a SID conocidos en un formato de cadena.