Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit comment les identificateurs de sécurité (SID) fonctionnent avec les comptes et les groupes dans le système d’exploitation Windows Server.
Qu’est-ce que les SID ?
Un SID est utilisé pour identifier de manière unique un principal de sécurité ou un groupe de sécurité. Les principes de sécurité peuvent représenter toute entité que le système d'exploitation peut authentifier. Par exemple, il s’agit d’un compte d’utilisateur, d’un compte d’ordinateur ou d’un thread ou d’un processus qui s’exécute dans le contexte de sécurité d’un compte d’utilisateur ou d’ordinateur.
Chaque compte ou groupe, ou chaque processus qui s’exécute dans le contexte de sécurité du compte, possède un SID unique émis par une autorité, telle qu’un contrôleur de domaine Windows. Le SID est stocké dans une base de données de sécurité. Le système génère le SID qui identifie un compte ou un groupe particulier au moment de la création du compte ou du groupe. Lorsqu’un SID est utilisé comme identificateur unique pour un utilisateur ou un groupe, il ne peut jamais être utilisé à nouveau pour identifier un autre utilisateur ou groupe.
Chaque fois qu’un utilisateur se connecte, le système crée un jeton d’accès pour cet utilisateur. Le jeton d’accès contient le SID de l’utilisateur, les droits de l’utilisateur et les SID des groupes auxquels l’utilisateur appartient. Ce jeton fournit le contexte de sécurité pour toutes les actions effectuées par l’utilisateur sur cet ordinateur.
Outre les SID propres au domaine et créés de manière unique qui sont attribués à des utilisateurs et groupes spécifiques, il existe des SID bien connus qui identifient les groupes génériques et les utilisateurs génériques. Par exemple, les SID "Everyone" et "World" identifient chacun un groupe qui inclut tous les utilisateurs. Les SID bien connus ont des valeurs qui restent constantes dans tous les systèmes d’exploitation.
Les SID constituent un module fondamental du modèle de sécurité Windows. Ils fonctionnent avec des composants spécifiques des technologies d’autorisation et de contrôle d’accès dans l’infrastructure de sécurité des systèmes d’exploitation Windows Server. Cette conception permet de protéger l’accès aux ressources réseau et fournit un environnement informatique plus sécurisé.
Remarque
Ce contenu concerne uniquement les versions de Windows mentionnées dans la liste « S’applique à » au début de l’article.
Fonctionnement des SID
Les utilisateurs font référence à des comptes par le nom du compte. En interne, le système d’exploitation fait référence aux comptes et processus qui s’exécutent dans le contexte de sécurité du compte à l’aide de leurs SID. Pour les comptes de domaine, le SID d’un principal de sécurité est créé en concaténant le SID du domaine avec un identificateur relatif (RID) pour le compte. Les SID sont uniques dans leur étendue (domaine ou local) et ne sont jamais réutilisés.
Le système d’exploitation génère un SID qui identifie un compte ou un groupe particulier au moment de la création du compte ou du groupe. Pour un compte ou un groupe local, l’autorité de sécurité locale (LSA) sur l’ordinateur génère le SID. Le SID est stocké avec d’autres informations de compte dans une zone sécurisée du Registre. Pour un compte de domaine ou un groupe, l’autorité de sécurité du domaine génère le SID. Ce type de SID est stocké en tant qu’attribut de l’objet Utilisateur ou Groupe dans les services de domaine Active Directory.
Pour chaque compte et groupe local, le SID est unique pour l’ordinateur où il est créé. Deux comptes ou groupes sur l’ordinateur ne partagent jamais le même SID. De même, pour chaque compte et groupe de domaine, le SID est unique au sein d’une entreprise. Par conséquent, le SID d’un compte ou d’un groupe dans un domaine ne correspond jamais au SID d’un compte ou d’un groupe dans un autre domaine de l’entreprise.
Les SID restent toujours uniques. Les autorités de sécurité n’émettent jamais le même SID deux fois et ne réutilisent jamais les SID pour les comptes supprimés. Par exemple, si un utilisateur disposant d’un compte d’utilisateur dans un domaine Windows quitte son travail, un administrateur supprime son compte Active Directory, y compris le SID qui identifie le compte. Si l’utilisateur revient ultérieurement et occupe un autre poste dans la même entreprise, un administrateur crée un nouveau compte et le système d’exploitation Windows Server génère un nouveau SID. Le nouveau SID ne correspond pas à l’ancien. Par conséquent, aucun accès de l’utilisateur n’est transféré de son ancien compte vers son nouveau compte. Leurs deux comptes représentent deux principaux de sécurité différents.
L'architecture de SID
Un SID est une structure de données au format binaire qui contient un nombre variable de valeurs. Les premières valeurs de la structure contiennent des informations sur la structure SID. Les valeurs restantes sont organisées dans une hiérarchie (comme un numéro de téléphone) et identifient l’autorité émettrice du SID (par exemple, l’autorité NT), le domaine émis par le SID et un principal de sécurité ou un groupe particulier. L’image suivante illustre la structure d’un SID.
Les valeurs individuelles d’un SID sont décrites dans le tableau suivant :
| Composant | Descriptif |
|---|---|
| Révision | Indique la version de la structure SID utilisée dans un SID particulier. |
| Autorité d’identificateur | Identifie le niveau d’autorité le plus élevé qui peut émettre des SID pour un type particulier de principal de sécurité. Par exemple, la valeur de l’autorité d’identificateur dans le SID pour le groupe Everyone est 1 (Autorité mondiale). La valeur de l’autorité d’identificateur dans le SID d’un compte ou d’un groupe Windows Server spécifique est 5 (autorité NT). |
| Sous-autorités | Contient les informations les plus importantes dans un SID, qui sont contenues dans une série d’une ou plusieurs valeurs de sous-autorité. Toutes les valeurs jusqu’à la dernière valeur de la série (non incluse) identifient collectivement un domaine dans une entreprise. Cette partie de la série est appelée identificateur de domaine. La dernière valeur de la série, rid, identifie un compte ou un groupe particulier par rapport à un domaine. |
Les composants d’un SID sont plus faciles à visualiser lorsque les SID sont convertis d’un format binaire à un format de chaîne à l’aide de la notation standard :
S-R-X-Y1-Y2-Yn-1-Yn
Dans cette notation, les composants d’un SID sont décrits dans le tableau suivant :
| Composant | Descriptif |
|---|---|
| S | Indique que la chaîne est un SID |
| R | Indique le niveau de révision |
| X | Indique la valeur de l’autorité d’identificateur |
| O | Représente une série de valeurs de sous-autorité, où n est le nombre de valeurs |
Les informations les plus importantes du SID sont contenues dans la série de valeurs de sous-autorité. La première partie de la série (-Y1-Y2-Yn-1) est l’identificateur de domaine. Cet élément du SID devient significatif dans une entreprise avec plusieurs domaines. Plus précisément, l’identificateur de domaine distingue les SID qu’un domaine émet de ceux que tous les autres domaines dans l'entreprise émettent. Deux domaines d’une entreprise ne partagent pas le même identificateur de domaine.
Le dernier élément de la série de valeurs de sous-autorité (-Yn) est le RID. Il distingue un compte ou un groupe de tous les autres comptes et groupes du domaine. Aucun compte ou groupe dans un domaine ne partage le même RID.
Par exemple, le SID du groupe intégré Administrateurs est représenté en notation SID standardisée avec une chaîne sous la forme suivante :
Référence : S-1-5-32-544
Ce SID comporte quatre composants :
- Niveau de révision (1)
- Valeur d’autorité d’identificateur (5, Autorité NT)
- Identificateur de domaine (32, Builtin)
- Un RID (544, Administrateurs)
Les SID pour les comptes et groupes intégrés ont toujours la même valeur d’identificateur de domaine, 32. Cette valeur identifie le domaine, Builtin, qui existe sur chaque ordinateur exécutant une version du système d’exploitation Windows Server. Il n’est jamais nécessaire de distinguer les comptes et groupes intégrés d’un ordinateur des comptes et groupes intégrés d’un autre ordinateur, car ils sont locaux par rapport à l’étendue. Ils sont locaux sur un seul ordinateur ou, avec des contrôleurs de domaine pour un domaine réseau, ils sont locaux à plusieurs ordinateurs qui agissent comme un.
Les comptes et les groupes intégrés doivent être distingués les uns des autres dans l’étendue du domaine Builtin. Par conséquent, le SID pour chaque compte et groupe a un RID unique. Une valeur RID de 544 est unique au groupe Administrateurs intégré. Aucun autre compte ou groupe dans le domaine Builtin ne possède de SID avec une valeur finale de 544.
Dans un autre exemple, considérez le SID pour le groupe global Administrateurs du domaine. Chaque domaine d’une entreprise possède un groupe Admins du domaine, et le SID de chaque groupe est différent. L’exemple suivant représente le SID pour le groupe Admins du domaine dans le domaine Contoso, Ltd. (Contoso\Admins du domaine) :
S-1-5-21-1004336348-1177238915-682003330-512
Le SID pour Contoso\Domain Admins a les composants suivants :
- Niveau de révision (1)
- Valeur d’autorité d’identificateur (5, Autorité NT)
- Identificateur de domaine (21-1004336348-1177238915-682003330, Contoso)
- Un RID (512, administrateurs de domaine)
Le SID pour Contoso\Admins du domaine se distingue des SID des autres groupes Admins du domaine de la même entreprise par son identificateur de domaine : 21-1004336348-1177238915-682003330. Aucun autre domaine de l’entreprise n’utilise cette valeur comme identificateur de domaine. Le SID pour Contoso\Domain Admins se distingue des SID pour d’autres comptes et groupes créés dans le domaine Contoso par son RID 512. Aucun autre compte ou groupe dans le domaine ne possède de SID avec une valeur finale de 512.
Allocation RID
Lorsque des comptes et des groupes sont stockés dans une base de données de compte gérée par un gestionnaire de comptes de sécurité local (SAM), il est assez facile pour le système de générer un RID unique pour chaque compte et groupe qu’il crée sur un ordinateur autonome. Le SAM sur un ordinateur autonome peut suivre les valeurs RID qu’il a utilisées et s’assurer qu’il ne les utilise plus.
Dans un domaine réseau, toutefois, la génération de RID uniques est un processus plus complexe. Les domaines réseau Windows Server peuvent avoir plusieurs contrôleurs de domaine. Chaque contrôleur de domaine stocke les informations de compte Active Directory. Par conséquent, dans un domaine réseau, il existe autant de copies de la base de données de compte qu’il existe des contrôleurs de domaine. Par ailleurs, chaque copie de la base de données de compte est une copie principale.
De nouveaux comptes et groupes peuvent être créés sur n’importe quel contrôleur de domaine. Les modifications apportées à Active Directory sur un contrôleur de domaine sont répliquées sur tous les autres contrôleurs de domaine du domaine. Le processus de réplication des modifications d’une copie maître de la base de données de compte vers toutes les autres copies maîtres est appelé opération à multiples maîtres.
Le processus de génération de RID uniques est une opération monomaître. Un contrôleur de domaine est affecté au rôle de maître RID, et il alloue une séquence de RID à chaque contrôleur de domaine du domaine. Lorsqu’un nouveau compte ou groupe de domaine est créé dans le réplica d’un contrôleur de domaine d’Active Directory, un SID lui est attribué. Le RID pour le nouveau SID est extrait de l'allocation des RID par le contrôleur de domaine. Lorsque sa réserve de RID commence à s'épuiser, le contrôleur de domaine demande un autre bloc au maître RID.
Chaque contrôleur de domaine utilise chaque valeur dans un bloc de RID une seule fois. Le maître RID alloue chaque bloc de valeurs RID une seule fois. Ce processus garantit que chaque compte et groupe créés dans le domaine possède un RID unique.
SID et identificateurs globaux uniques
Lorsqu’un compte d’utilisateur ou de groupe de domaine est créé, Active Directory stocke le SID du compte dans la propriété ObjectSID d’un objet Utilisateur ou Groupe. Il affecte également au nouvel objet un identificateur global unique (GUID), qui est une valeur 128 bits unique non seulement dans l’entreprise, mais également dans le monde entier. Un GUID est affecté à chaque objet créé par Active Directory, et non seulement aux objets Utilisateur et Groupe. Le GUID de chaque objet est stocké dans sa propriété ObjectGUID.
Active Directory utilise des GUID en interne pour identifier des objets. Par exemple, le GUID est l’une des propriétés d’un objet publié dans le catalogue global. La recherche d’un GUID d’objet utilisateur dans le catalogue global produit des résultats si l’utilisateur possède un compte quelque part dans l’entreprise. En fait, la recherche d’un objet par ObjectGUID peut être le moyen le plus fiable de trouver l’objet que vous souhaitez localiser. Les valeurs d’autres propriétés d’objet peuvent changer, mais la propriété ObjectGUID ne change jamais. Lorsqu’un objet reçoit un GUID, il conserve cette valeur à vie.
Si un utilisateur passe d’un domaine à un autre, il obtient un nouveau SID. Le SID d’un objet de groupe ne change pas, car les groupes restent dans le domaine où ils sont créés. Toutefois, si des personnes se déplacent, leurs comptes peuvent être déplacés avec eux. Si un employé travaillant en Amérique du Nord déménage en Europe, mais continue à travailler dans la même entreprise, un administrateur de l’entreprise peut déplacer l’objet Utilisateur de l’employé, par exemple Contoso\AmNo vers Contoso\Europe. Dans ce cas, l’objet Utilisateur du compte a besoin d’un nouveau SID. La partie Identificateur de domaine d’un SID émis dans AmNo est propre à AmNo. Le SID du compte de l’utilisateur en Europe possède donc un identificateur de domaine différent. La partie RID d’un SID est unique par rapport au domaine. Par conséquent, si le domaine change, le RID change également.
Lorsqu’un objet Utilisateur passe d’un domaine à un autre, un nouveau SID doit être généré pour le compte d’utilisateur et stocké dans la propriété ObjectSID. Avant que la nouvelle valeur ne soit écrite dans la propriété, la valeur précédente est copiée dans une autre propriété d’un objet Utilisateur, SIDHistory. Cette propriété peut contenir plusieurs valeurs. Chaque fois qu’un objet Utilisateur passe à un autre domaine, un nouveau SID est généré et stocké dans la ObjectSID propriété, et une autre valeur est ajoutée à la liste des anciens SID dans la SIDHistory valeur. Lorsqu’un utilisateur se connecte et s’authentifie correctement, le service d’authentification de domaine interroge Active Directory pour tous les SID associés à l’utilisateur. La requête inclut le SID actuel de l’utilisateur, l’ancien SID de l’utilisateur et les SID pour les groupes de l’utilisateur. Tous ces SID sont retournés au client d’authentification et sont inclus dans le jeton d’accès de l’utilisateur. Lorsque l’utilisateur tente d’accéder à une ressource, l’un des SID du jeton d’accès (y compris l’un des SID de la SIDHistory propriété) peut autoriser ou refuser l’accès utilisateur.
Vous pouvez autoriser ou refuser l’accès des utilisateurs à une ressource en fonction de leurs travaux. Toutefois, vous devez autoriser ou refuser l’accès à un groupe, et non à un individu. De cette façon, lorsque les utilisateurs changent de travail ou de service, vous pouvez facilement ajuster leur accès en les supprimant de certains groupes et en les ajoutant à d’autres.
Toutefois, si vous autorisez un utilisateur individuel à accéder à des ressources ou lui refusez cet accès, il est probable que vous souhaitiez que l’accès de cet utilisateur reste le même, quel que soit le nombre de fois où le domaine du compte de l’utilisateur change. La SIDHistory propriété permet à l'accès de rester inchangé. Lorsqu’un utilisateur change de domaine, il n’est pas nécessaire de modifier la liste de contrôle d’accès (ACL) à la moindre ressource. Une liste de contrôle d’accès peut avoir l’ancien SID de l’utilisateur, mais pas le nouveau. Mais l’ancien SID se trouve toujours dans le jeton d’accès de l’utilisateur. Il est répertorié parmi les SID des groupes de l’utilisateur, et l’utilisateur se voit accorder ou refuser l’accès en fonction de l’ancien SID.
SID connus
Les valeurs de certains SID sont constantes, quel que soit le système. Ils sont créés lorsque le système d’exploitation ou le domaine est installé. Ils sont appelés SID connus, car ils identifient les utilisateurs génériques ou les groupes génériques.
Il existe des SID universels connus qui sont importants pour tous les systèmes sécurisés qui utilisent ce modèle de sécurité, y compris les systèmes d’exploitation autres que Windows. Par ailleurs, il existe des SID connus qui sont importants uniquement sur les systèmes d’exploitation Windows.
Le tableau suivant répertorie les SID connus universels :
| SID universel connu | Nom | Identifie |
|---|---|---|
| S-1-0-0 | SID Null | Un groupe sans membres. Cette valeur est souvent utilisée lorsqu’une valeur SID n’est pas connue. |
| Réf. S-1-1-0 | Monde | Groupe qui inclut tous les utilisateurs. |
| Réf. S-1-2-0 | Local | Utilisateurs qui se connectent à des terminaux connectés localement (physiquement) au système. |
| S-1-2-1 | Ouverture de session de console | Groupe qui inclut les utilisateurs connectés à la console physique. |
| S-1-3-0 | ID du propriétaire du créateur | SID à remplacer par le SID de l’utilisateur qui crée un objet. Ce SID est utilisé dans les entrées de contrôle d’accès (ACE) qui peuvent être héritées. |
| S-1-3-1 | ID du groupe de créateur | SID à remplacer par le SID du groupe principal de l’utilisateur qui crée un objet. Utilisez ce SID dans les ACE héritées. |
| S-1-3-2 | Serveur propriétaire | Un espace réservé dans un ACE héritable. Lorsque l'ACE est héritée, le système remplace ce SID par le SID du serveur propriétaire de l'objet et stocke les informations relatives au créateur d'un objet ou d'un fichier donné. |
| S-1-3-3 | Serveur de groupe | Un espace réservé dans un ACE héritable. Lorsque l’ACE est hérité, le système remplace ce SID par le SID du serveur de groupe de l’objet. Le système stocke également des informations sur les groupes autorisés à travailler avec l’objet. |
| S-1-3-4 | Droits du propriétaire | Groupe qui représente le propriétaire actuel de l’objet. Lorsqu’un ACE qui porte ce SID est appliqué à un objet, le système ignore les READ_CONTROL implicites et WRITE_DAC droits d’accès standard pour le propriétaire de l’objet. |
| S-1-4 | Autorité non unique | Un SID qui représente une autorité d’identité. |
| S-1-5 | NT Authority (AUTORITE NT) | Un SID qui représente une autorité d’identité. |
| Réf. S-1-5-80-0 | Tous les services | Groupe qui inclut tous les processus de service configurés sur le système. Le système d’exploitation contrôle l’appartenance à ce groupe. |
Le tableau suivant répertorie les constantes de l’autorité d’identificateur prédéfinie. Les quatre premières valeurs sont utilisées avec des SID universels connus, et les autres valeurs sont utilisées avec des SID connus dans les systèmes d’exploitation Windows figurant dans la liste « S’applique à » au début de l’article.
| Autorité d’identificateur | Valeur | Préfixe de la chaîne SID |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 | S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 | S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 | S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 | S-1-3 |
| SECURITY_NT_AUTHORITY | 5 | S-1-5 |
| SECURITY_AUTHENTICATION_AUTHORITY | 18 | S-1-18 |
Les valeurs RID suivantes sont utilisées avec des SID universels connus. La colonne Autorité d’identificateur affiche le préfixe de l’autorité d’identificateur que vous pouvez combiner au RID pour créer un SID universel connu.
| Autorité RID | Valeur | Autorité d’identificateur |
|---|---|---|
| SECURITY_NULL_RID | 0 | S-1-0 |
| SECURITY_WORLD_RID | 0 | S-1-1 |
| SECURITY_LOCAL_RID | 0 | S-1-2 |
| SECURITY_CREATOR_OWNER_RID | 0 | S-1-3 |
| SECURITY_CREATOR_GROUP_RID | 1 | S-1-3 |
L’autorité d’identificateur prédéfinie SECURITY_NT_AUTHORITY (S-1-5) produit des SID qui ne sont pas universels. Ces SID sont significatifs uniquement dans les installations des systèmes d’exploitation Windows de la liste « S’applique à » au début de cet article.
Le tableau suivant répertorie les SID connus :
| SID | Nom complet | Descriptif |
|---|---|---|
| S-1-5-1 | Dialup (LIGNE) | Groupe qui inclut tous les utilisateurs connectés au système via une connexion d’accès à distance. |
| Réf. S-1-5-113 | Compte local | SID que vous pouvez utiliser lorsque vous limitez la connexion réseau aux comptes locaux au lieu d’un administrateur ou d’un compte équivalent. Ce SID peut être efficace pour bloquer la connexion réseau pour les utilisateurs et les groupes locaux par type de compte, quel que soit leur nom. |
| Réf. S-1-5-114 | Compte local et membre du groupe Administrateurs | SID que vous pouvez utiliser lorsque vous limitez la connexion réseau aux comptes locaux au lieu d’un administrateur ou d’un compte équivalent. Ce SID peut être efficace pour bloquer la connexion réseau pour les utilisateurs et les groupes locaux par type de compte, quel que soit leur nom. |
| S-1-5-2 | Réseau | Groupe qui inclut tous les utilisateurs connectés via une connexion réseau. Les jetons d’accès pour les utilisateurs interactifs ne contiennent pas le SID réseau. |
| S-1-5-3 | Lot | Groupe qui inclut tous les utilisateurs qui se sont connectés via la fonctionnalité de file d’attente de lot, comme des tâches du planificateur de tâches. |
| S-1-5-4 | Interactif | Groupe qui inclut tous les utilisateurs qui se connectent de manière interactive. Un utilisateur peut démarrer une session de connexion interactive en ouvrant une connexion aux services Bureau à distance à partir d’un ordinateur distant ou en utilisant un interpréteur de commandes distant tel que Telnet. Dans chaque cas, le jeton d’accès de l’utilisateur contient le SID interactif. Si l’utilisateur se connecte à l’aide d’une connexion des services Bureau à distance, le jeton d’accès de l’utilisateur contient également le SID d’ouverture de session interactive à distance. |
| S-1-5-5- X-Y | Session d’ouverture de session | Une session de connexion particulière. Les valeurs X et Y des SID dans ce format sont uniques pour chaque session de connexion. |
| S-1-5-6 | Service | Groupe qui inclut tous les principaux de sécurité connectés en tant que service. |
| S-1-5-7 | Ouverture de session anonyme | Un utilisateur qui se connecte à l’ordinateur sans fournir de nom d’utilisateur et de mot de passe. L’identité d’ouverture de session anonyme est différente de l’identité utilisée par Internet Information Services (IIS) pour l’accès web anonyme. IIS utilise un compte réel , par défaut, IUSR_computer-name, pour l’accès anonyme aux ressources sur un site web. À proprement parler, cet accès n’est pas anonyme, car le principal de sécurité est connu même si des personnes non identifiées utilisent le compte. IUSR_computer-name (ou tout ce que vous nommez le compte) a un mot de passe et IIS se connecte au compte au démarrage du service. Par conséquent, l’utilisateur IIS « anonyme » est membre des utilisateurs authentifiés, mais pas Ouverture de session anonyme. |
| Réf. S-1-5-8 | Procuration | UN SID qui n’est pas utilisé actuellement. |
| S-1-5-9 | Contrôleurs de domaine d’entreprise | Groupe qui inclut tous les contrôleurs de domaine dans une forêt de domaines. |
| S-1-5-10 | Même | Espace réservé dans un ACE pour un utilisateur, un groupe ou un objet de type ordinateur dans Active Directory. Lorsque vous accordez des autorisations à Self, vous les accordez au principal de sécurité que l’objet représente. Pendant une vérification d’accès, le système d’exploitation remplace le SID pour Self par le SID du principal de sécurité que l’objet représente. |
| Réf. S-1-5-11 | Utilisateurs authentifiés | Groupe qui inclut tous les utilisateurs et ordinateurs avec des identités qui ont été authentifiées. Les utilisateurs authentifiés n’incluent pas le compte invité même si ce compte a un mot de passe. Ce groupe inclut des entités de sécurité authentifiées provenant de n’importe quel domaine approuvé, pas seulement du domaine actuel. |
| Réf. S-1-5-12 | Code restreint | Identité utilisée par un processus en cours d’exécution dans un contexte de sécurité restreint. Dans les systèmes d’exploitation Windows et Windows Server, une stratégie de restriction logicielle peut affecter l’un des trois niveaux de sécurité au code : UnrestrictedRestrictedDisallowed Lorsque le code s’exécute au niveau de sécurité restreint, le SID Restreint est ajouté au jeton d’accès de l’utilisateur. |
| Réf. S-1-5-13 | Utilisateur de Terminal Server | Groupe qui inclut tous les utilisateurs qui se connectent à un serveur sur lequel les services Bureau à distance sont activés. |
| Réf. S-1-5-14 | Ouverture de session interactive à distance | Groupe qui comprend tous les utilisateurs qui se connectent à l’ordinateur à l’aide d’une connexion bureau à distance. Ce groupe est un sous-ensemble du groupe interactif. Les jetons d’accès qui contiennent le SID d’ouverture de session interactive distante contiennent également le SID interactif. |
| S-1-5-15 | Cette organisation | Groupe qui inclut tous les utilisateurs de la même organisation. Ce groupe est inclus uniquement avec les comptes Active Directory et ajoutés uniquement par un contrôleur de domaine. |
| S-1-5-17 | L’IUSR | Un compte utilisé par l’utilisateur IIS par défaut. |
| S-1-5-18 | Système (ou Système local) | Identité utilisée localement par le système d’exploitation et par les services configurés pour se connecter en tant que Système local. Système est un membre masqué du groupe Administrateurs. Autrement dit, tout processus en cours d’exécution en tant que système a le SID pour le groupe Administrateurs intégré dans son jeton d’accès. Lorsqu’un processus qui s’exécute localement en tant que système accède aux ressources réseau, il le fait à l’aide de l’identité de domaine de l’ordinateur. Son jeton d’accès sur l’ordinateur distant inclut le SID du compte de domaine de l’ordinateur local, ainsi que les SID pour les groupes de sécurité dont l’ordinateur est membre, tels que les ordinateurs de domaine et les utilisateurs authentifiés. |
| S-1-5-19 | Autorité NT (Service local) | Identité utilisée par les services locaux de l’ordinateur, qui n’ont pas besoin d’un accès local étendu et qui n’ont pas besoin d’un accès réseau authentifié. Les services qui s’exécutent en tant que LocalService peuvent accéder aux ressources locales en tant qu’utilisateurs ordinaires, et ils accèdent aux ressources réseau en tant qu’utilisateurs anonymes. Par conséquent, un service qui s’exécute en tant que Service local a beaucoup moins d’autorité qu’un service qui s’exécute en tant que Système local localement et sur le réseau. |
| Réf. S-1-5-20 | RéseauService | Identité utilisée par les services qui n’ont pas besoin d’un accès local étendu, mais qui ont besoin d’un accès réseau authentifié. Les services qui s’exécutent en tant que NetworkService peuvent accéder aux ressources locales en tant qu’utilisateurs ordinaires et accéder aux ressources réseau à l’aide de l’identité de l’ordinateur. Par conséquent, un service qui s’exécute en tant que NetworkService a le même accès réseau qu’un service qui s’exécute en tant que LocalSystem, mais son accès local est considérablement réduit. |
| S-1-5-domaine-500 | Administrateur | Compte d’utilisateur pour l’administrateur système. Chaque ordinateur dispose d’un compte d’administrateur local et chaque domaine a un compte d’administrateur de domaine. Le compte Administrateur est le premier compte créé lors de l’installation d’un système d’exploitation. Le compte ne peut pas être supprimé, désactivé ni verrouillé, mais il peut être renommé. Par défaut, le compte Administrateur est membre du groupe Administrateurs et ne peut pas être supprimé de ce groupe. |
| S-1-5-domaine-501 | Invité | Compte d’utilisateur pour les personnes qui ne possèdent pas de compte individuel. Chaque ordinateur possède un compte Invité local, et chaque domaine possède un compte Invité de domaine. Par défaut, Invité est membre des groupes Tout le monde et Invités. Le compte Invité de domaine est également membre des groupes Invités du domaine et Utilisateurs du domaine. Contrairement à Ouverture de session anonyme, Invité est un compte réel qui peut être utilisé pour se connecter de manière interactive. Le compte Invité ne nécessite pas de mot de passe, mais il peut en avoir un. |
| S-1-5-domaine-502 | KRBTGT | Compte d’utilisateur utilisé par le service Centre de distribution de clés (KDC). Ce compte existe uniquement sur les contrôleurs de domaine. |
| S-1-5-domaine-512 | Administrateurs du domaine | Groupe global avec les membres autorisés à administrer le domaine. Par défaut, le groupe Administrateurs du domaine est membre du groupe Administrateurs sur tous les ordinateurs joints au domaine, y compris les contrôleurs de domaine. Admins du domaine est le propriétaire par défaut de tout objet créé dans l’Active Directory du domaine par n’importe quel membre du groupe. Si des membres du groupe créent d’autres objets, tels que des fichiers, le propriétaire par défaut est le groupe Administrateurs. |
| S-1-5-domaine-513 | Utilisateurs du domaine | Groupe global qui inclut tous les utilisateurs d’un domaine. Lorsque vous créez un objet Utilisateur dans Active Directory, l’utilisateur est automatiquement ajouté à ce groupe. |
| S-1-5-domaine-514 | Invités du domaine | Groupe global qui, par défaut, ne possède qu’un seul membre : le compte Invité intégré du domaine. |
| S-1-5-domaine-515 | Ordinateurs du domaine | Groupe global qui inclut tous les ordinateurs joints au domaine, à l’exclusion des contrôleurs de domaine. |
| S-1-5-domaine-516 | Contrôleurs de domaine | Groupe global qui inclut tous les contrôleurs de domaine du domaine. Les nouveaux contrôleurs de domaine sont automatiquement ajoutés à ce groupe. |
| S-1-5-domaine-517 | Éditeurs de certificats | Groupe global qui inclut tous les ordinateurs qui hébergent une autorité de certification d’entreprise. Les Éditeurs de certificats sont autorisés à publier des certificats pour les objets Utilisateur dans Active Directory. |
| S-1-5-domaine racine-518 | Administrateurs du schéma | Groupe qui existe uniquement dans le domaine racine de la forêt. Il s’agit d’un groupe universel si le domaine est en mode natif, et d’un groupe global si le domaine est en mode mixte. Le groupe Administrateurs du schéma est autorisé à apporter des modifications de schéma dans Active Directory. Par défaut, le seul membre du groupe est le compte Administrateur du domaine racine de la forêt. |
| S-1-5-domaine racine-519 | Administrateurs de l’entreprise | Groupe qui existe uniquement dans le domaine racine de la forêt. Il s’agit d’un groupe universel si le domaine est en mode natif, et d’un groupe global si le domaine est en mode mixte. Le groupe Administrateurs d’entreprise est autorisé à apporter des modifications à l’infrastructure de forêt. Par exemple, l’ajout de domaines enfants, la configuration de sites, l’autorisation des serveurs DHCP (Dynamic Host Configuration Protocol) et l’installation des autorités de certification d’entreprise. Par défaut, le seul membre du groupe Administrateurs de l’entreprise est le compte Administrateur du domaine racine de la forêt. Le groupe est membre par défaut de chaque groupe Administrateurs de domaine dans la forêt. |
| S-1-5-domaine-520 | Propriétaires créateurs de la stratégie de groupe | Groupe global autorisé à créer des objets Stratégie de groupe dans Active Directory. Par défaut, le seul membre du groupe est le membre Administrateur. Lorsqu'un membre des Créateurs de stratégies de groupe propriétaires crée un objet, il en devient le propriétaire. De cette façon, le groupe des propriétaires créateurs de stratégie de groupe diffère des autres groupes administratifs (tels que les Administrateurs et les Administrateurs de domaine). Lorsqu’un membre de ces groupes crée un objet, le groupe possède l’objet, et non l’individu. |
| S-1-5-domaine-521 | Contrôleurs de domaine en lecture seule | Groupe global qui inclut tous les contrôleurs de domaine en lecture seule. |
| S-1-5-domaine-522 | Contrôleurs clonables | Groupe global qui inclut tous les contrôleurs de domaine du domaine qui peuvent être cloné. |
| S-1-5-domaine-525 | Utilisateurs protégés | Un groupe global offrant des protections supplémentaires contre les menaces de sécurité d’authentification. |
| S-1-5-domaine racine-526 | Administrateurs clés | Groupe destiné à être utilisé dans les scénarios où les autorités externes approuvées sont responsables de la modification de cet attribut. Seuls les administrateurs approuvés doivent être membres de ce groupe. |
| S-1-5-domaine-527 | Administrateurs de clés d'entreprise | Groupe destiné à être utilisé dans les scénarios où les autorités externes approuvées sont responsables de la modification de cet attribut. Seuls les administrateurs d’entreprise approuvés doivent être membres de ce groupe. |
| Référence : S-1-5-32-544 | Administrateurs | Groupe intégré. Après l’installation initiale du système d’exploitation, le seul membre du groupe est le compte Administrateur. Lorsqu’un ordinateur rejoint un domaine, le groupe Admins du domaine est ajouté au groupe Administrateurs. Lorsqu’un serveur devient contrôleur de domaine, le groupe Administrateurs de l’entreprise est également ajouté au groupe Administrateurs. |
| Réf. S-1-5-32-545 | Utilisateurs | Groupe intégré. Après l’installation initiale du système d’exploitation, le seul membre est le groupe Utilisateurs authentifiés. |
| Référence : S-1-5-32-546 | Invités | Groupe intégré. Par défaut, le seul membre est le compte Invité. Le groupe Invités permet aux utilisateurs occasionnels ou ponctuels de se connecter avec des privilèges limités au compte Invité intégré d’un ordinateur. |
| Réf. S-1-5-32-547 | Utilisateurs avancés | Groupe intégré. Par défaut, le groupe n’a aucun membre. Les utilisateurs de l’alimentation peuvent : |
| Référence : S-1-5-32-548 | Opérateurs de compte | Groupe intégré qui existe uniquement sur les contrôleurs de domaine. Par défaut, le groupe n’a aucun membre. Par défaut, les opérateurs de compte sont autorisés à créer, modifier et supprimer des comptes pour les utilisateurs, les groupes et les ordinateurs de tous les conteneurs et unités d’organisation d’Active Directory, à l’exception du conteneur intégré et de l’unité d’organisation contrôleurs de domaine. Les opérateurs de compte n’ont pas l’autorisation de modifier les groupes Administrateurs et Administrateurs de domaine. Ils n’ont pas non plus l’autorisation de modifier les comptes des membres de ces groupes. |
| Réf. S-1-5-32-549 | Opérateurs de serveur | Groupe intégré qui existe uniquement sur les contrôleurs de domaine. Par défaut, le groupe n’a aucun membre. Les opérateurs de serveur peuvent : |
| Réf. S-1-5-32-550 | Opérateurs d'impression | Groupe intégré qui existe uniquement sur les contrôleurs de domaine. Par défaut, le seul membre est le groupe Utilisateurs du domaine. Les opérateurs d’impression peuvent gérer les imprimantes et les files d’attente de documents. |
| Réf. S-1-5-32-551 | Opérateurs de sauvegarde | Groupe intégré. Par défaut, le groupe n’a aucun membre. Les opérateurs de sauvegarde peuvent sauvegarder et restaurer tous les fichiers sur un ordinateur, quelles que soient les autorisations qui protègent ces fichiers. Les opérateurs de sauvegarde peuvent également se connecter à l’ordinateur et l’arrêter. |
| Réf. S-1-5-32-552 | Duplicateurs | Groupe intégré qui prend en charge la réplication de fichiers dans un domaine. Par défaut, le groupe n’a aucun membre. N’ajoutez pas d’utilisateurs à ce groupe. |
| S-1-5-domaine-553 | Serveurs RAS et IAS | Groupe de domaines local. Par défaut, ce groupe n’a aucun membre. Les ordinateurs qui exécutent le service routage et d’accès à distance sont ajoutés automatiquement au groupe. Les membres de ce groupe ont accès à certaines propriétés des objets Utilisateur, telles que Lire les restrictions de compte, Lire les informations de connexion et Lire les informations d’accès à distance. |
| Réf. S-1-5-32-554 | Builtin\Accès compatible pré-Windows 2000 | Groupe de compatibilité descendante qui autorise l’accès en lecture à tous les utilisateurs et groupes du domaine. |
| Réf. : S-1-5-32-555 | Builtin\Utilisateurs du Bureau à distance | Un alias. Les membres de ce groupe ont le droit de se connecter à distance. |
| Référence : S-1-5-32-556 | Builtin\Opérateurs de configuration réseau | Un alias. Les membres de ce groupe peuvent disposer de certaines autorisations d’administration pour la configuration des fonctionnalités réseau. |
| Référence : S-1-5-32-557 | Builtin\Générateurs d’approbations de forêt entrante | Un alias. Les membres de ce groupe peuvent créer des approbations à sens unique entrantes vers la forêt. |
| Réf. S-1-5-32-558 | Builtin\Utilisateurs de l’Analyseur de performances | Un alias. Les membres de ce groupe ont un accès à distance pour surveiller l’ordinateur. |
| Référence : S-1-5-32-559 | Builtin\Utilisateurs du journal de performances | Un alias. Les membres de ce groupe ont un accès à distance pour planifier la journalisation des compteurs de performances sur l’ordinateur. |
| Réf. S-1-5-32-560 | Builtin\Groupe d’accès d’autorisation Windows | Un alias. Les membres de ce groupe ont accès à l’attribut calculé tokenGroupsGlobalAndUniversal sur les objets Utilisateur. |
| Réf. S-1-5-32-561 | Builtin\Serveurs de licences des services Terminal Server | Un alias. Groupe pour les serveurs de licences Terminal Server. |
| Réf. S-1-5-32-562 | Builtin\Utilisateurs du modèle COM distribué | Un alias. Groupe pour les utilisateurs du COM (Component Object Model) visant à fournir des contrôles d'accès à l'échelle de l'ordinateur, qui régissent l'accès à toutes les demandes d'appel, d'activation ou de lancement sur l'ordinateur. |
| Réf. S-1-5-32-568 | Intégré\IIS_IUSRS | Un alias. Compte de groupe intégré pour les utilisateurs IIS. |
| Référence : S-1-5-32-569 | Builtin\Opérateurs de chiffrement | Groupe local intégré. Les membres sont autorisés à réaliser des opérations de chiffrement. |
| S-1-5-domaine-571 | Groupe autorisé à la réplication des mots de passe RODC | Groupe avec des membres qui peuvent avoir leurs mots de passe répliqués sur tous les contrôleurs de domaine en lecture seule dans le domaine. |
| S-1-5-domaine-572 | Groupe de réplication dont le mot de passe RODC est refusé | Groupe avec des membres qui ne peuvent pas avoir leurs mots de passe répliqués sur tous les contrôleurs de domaine en lecture seule dans le domaine. |
| Réf. S-1-5-32-573 | Builtin\Lecteurs des journaux d’événements | Groupe local intégré. Les membres de ce groupe peuvent lire les journaux d’événements à partir d’un ordinateur local. |
| Réf. S-1-5-32-574 | Builtin\Accès DCOM service de certificats | Groupe local intégré. Les membres de ce groupe sont autorisés à se connecter aux autorités de certification de l’entreprise. |
| Réf. : S-1-5-32-575 | Builtin\Serveurs Accès Distant RDS | Groupe local intégré. Les serveurs de ce groupe donnent aux utilisateurs des programmes RemoteApp et des bureaux virtuels personnels l’accès à ces ressources. Dans les déploiements avec accès via Internet, ces serveurs sont généralement déployés dans un réseau de périmètre. Ce groupe doit être configuré sur les serveurs exécutant le service Broker pour les connexions Bureau à distance (Session Broker TS). Les serveurs de passerelle Bureau à distance (passerelle TS) et les serveurs d’accès web Bureau à distance (Accès Web Bureau à distance) utilisés dans le déploiement doivent se trouver dans ce groupe. |
| Référence : S-1-5-32-576 | Builtin\Serveurs de points de terminaison RDS | Groupe local intégré. Les serveurs de ce groupe exécutent des machines virtuelles et hébergent des sessions où les programmes RemoteApp des utilisateurs et les bureaux virtuels personnels s’exécutent. Ce groupe doit être renseigné sur les serveurs exécutant le service Courtier de connexions RD. Les serveurs Hôte de session Bureau à distance (hôte de session Bureau à distance) et les serveurs d’hôte de virtualisation Bureau à distance (hôte de virtualisation Bureau à distance) utilisés dans le déploiement doivent se trouver dans ce groupe. |
| Réf. S-1-5-32-577 | Builtin\Serveurs Gestion RDS | Groupe local intégré. Les serveurs de ce groupe peuvent effectuer des actions d’administration de routine sur des serveurs exécutant des services Bureau à distance. Ce groupe doit être rempli sur tous les serveurs d’un déploiement Services Bureau à distance. Les serveurs qui exécutent le service de gestion centralisée des services Bureau à distance doivent être inclus dans ce groupe. |
| Réf. S-1-5-32-578 | Builtin\Administrateurs Hyper-V | Groupe local intégré. Les membres de ce groupe disposent d’un accès complet et illimité à toutes les fonctionnalités d’Hyper-V. |
| Réf. : S-1-5-32-579 | Builtin\Opérateurs d’assistance de contrôle d’accès | Groupe local intégré. Les membres de ce groupe peuvent interroger à distance des attributs d’autorisation et des autorisations pour les ressources sur l’ordinateur. |
| Réf. S-1-5-32-580 | Builtin\Utilisateurs de gestion à distance | Groupe local intégré. Les membres de ce groupe peuvent accéder aux ressources WMI (Windows Management Instrumentation) via des protocoles de gestion tels que les services web pour la gestion (WS-Management) via le service de gestion à distance Windows. Cet accès s’applique uniquement aux espaces de noms WMI qui accordent l’accès à l’utilisateur. |
| Réf. S-1-5-64-10 | Authentification NTLM | Un SID utilisé lorsque le package d’authentification NTLM (New Technology LAN Manager) authentifie le client. |
| Réf. S-1-5-64-14 | Authentification SChannel | UN SID utilisé lorsque le package d’authentification Schannel (Secure Channel) authentifie le client. |
| Référence S-1-5-64-21 | Authentification Digest | SID utilisé lorsque le package d’authentification Digest authentifie le client. |
| Réf. S-1-5-80 | Service Windows NT | Un SID utilisé comme préfixe de compte de service de nouvelle technologie (NT Service). |
| Réf. S-1-5-80-0 | Tous les services | Groupe qui inclut tous les processus de service configurés sur le système. Le système d’exploitation contrôle l’appartenance à ce groupe. Le SID S-1-5-80-0 représente NT SERVICES\ALL SERVICES. |
| S-1-5-83-0 | NT VIRTUAL MACHINE\Machines Virtuelles | Groupe intégré. Le groupe est créé lorsque le rôle Hyper-V est installé. Le service de gestion Hyper-V (VMMS) conserve l’appartenance à ce groupe. Ce groupe nécessite le droit Créer des liens symboliques (SeCreateSymbolicLinkPrivilege) et le droit Ouvrir une session en tant que service (SeServiceLogonRight). |
Les RID suivants sont relatifs à chaque domaine :
| DÉBARRASSER | Valeur décimale | Identifie |
|---|---|---|
| DOMAIN_USER_RID_ADMIN | 5:00 | Compte d’utilisateur d’administration dans un domaine. |
| DOMAIN_USER_RID_GUEST | 5:01 | Compte d’utilisateur invité dans un domaine. Les utilisateurs qui n’ont pas de compte peuvent se connecter automatiquement à ce compte. |
| DOMAIN_GROUP_RID_USERS | 513 | Groupe qui contient tous les comptes d’utilisateur d’un domaine. Tous les utilisateurs sont ajoutés automatiquement à ce groupe. |
| DOMAIN_GROUP_RID_GUESTS | 514 | Compte invité de groupe dans un domaine. |
| DOMAIN_GROUP_RID_COMPUTERS | 515 | Groupe des ordinateurs du domaine. Tous les ordinateurs du domaine sont membres de ce groupe. |
| DOMAIN_GROUP_RID_CONTROLLERS | 516 | Groupe des contrôleurs du domaine. Tous les contrôleurs de domaine du domaine sont membres de ce groupe. |
| DOMAIN_GROUP_RID_CERT_ADMINS | 517 | Groupe des éditeurs de certificats. Les ordinateurs qui exécutent les services de certificats Active Directory sont membres de ce groupe. |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS | 518 | Groupe d’administrateurs de schéma. Les membres de ce groupe peuvent modifier le schéma Active Directory. |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS | 519 | Groupe des administrateurs de l’entreprise. Les membres de ce groupe disposent d’un accès total à tous les domaines de la forêt Active Directory. Les administrateurs de l’entreprise sont responsables des opérations au niveau de la forêt, telles que l’ajout ou la suppression de nouveaux domaines. |
| DOMAIN_GROUP_RID_POLICY_ADMINS | 5:20 | Groupe des administrateurs de la stratégie. |
Le tableau suivant répertorie des exemples de RID relatifs au domaine utilisés pour former des SID connus pour les groupes locaux :
| DÉBARRASSER | Valeur décimale | Identifie |
|---|---|---|
| DOMAIN_ALIAS_RID_ADMINS | 544 | Administrateurs du domaine |
| DOMAIN_ALIAS_RID_USERS | 545 | Tous les utilisateurs du domaine |
| DOMAIN_ALIAS_RID_GUESTS | 546 | Invités du domaine |
| DOMAIN_ALIAS_RID_POWER_USERS | 547 | Un utilisateur ou un ensemble d’utilisateurs qui s’attendent à traiter un système comme s’il s’agissait de leur ordinateur personnel plutôt que comme une station de travail pour plusieurs utilisateurs. |
| DOMAIN_ALIAS_RID_BACKUP_OPS | 5:51 | Groupe local utilisé pour contrôler l’attribution des droits utilisateur de sauvegarde et de restauration de fichiers. |
| DOMAIN_ALIAS_RID_REPLICATOR | 5:52 | Groupe local chargé de copier les bases de données de sécurité du contrôleur de domaine principal vers les contrôleurs de domaine de sauvegarde. Ces comptes sont utilisés uniquement par le système. |
| DOMAIN_ALIAS_RID_RAS_SERVERS | 553 | Groupe local qui représente l’accès à distance et les serveurs qui exécutent le service d’authentification Internet (IAS). Ce groupe permet d’accéder à différents attributs d’objets Utilisateur. |
Modifications apportées à la fonctionnalité SID
Le tableau suivant décrit les modifications apportées à l’implémentation de SID dans les systèmes d’exploitation Windows :
| Modifier | Version du système d'exploitation | Description et ressources |
|---|---|---|
| Le SID TrustedInstaller possède la plupart des fichiers du système d’exploitation | Windows Server 2008 et Windows Vista | L’objectif de cette modification est d’empêcher un processus qui s’exécute en tant qu’administrateur ou sous le compte LocalSystem de remplacer automatiquement les fichiers du système d’exploitation. |
| Les vérifications SID restreintes sont implémentées | Windows Server 2008 et Windows Vista | Lorsque des SID de restriction sont présents, Windows effectue deux vérifications d’accès. La première est la vérification d’accès normale, et la deuxième est la même vérification d’accès par rapport aux SID restrictifs dans le jeton. Les deux vérifications d’accès doivent être effectuées pour permettre au processus d’accéder à l’objet. |
SID de fonctionnalité
Les SID de capacité servent d’identificateurs uniques et immuables pour les fonctionnalités. Une fonctionnalité représente un jeton d’autorité infalsifiable qui accorde aux applications Windows universelles l’accès aux ressources (par exemple, des documents, des caméras et des emplacements). Une application disposant d’une fonctionnalité est autorisée à accéder à la ressource à laquelle la fonctionnalité est associée. Une application qui n’a pas de fonctionnalité est refusée à la ressource.
Tous les SID de fonctionnalité dont le système d’exploitation a connaissance sont stockés dans le Registre Windows dans le chemin « HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities ». Tout SID de fonctionnalité ajouté à Windows par les applications Microsoft ou partenaires est ajouté à cet emplacement.
Exemples de clés de registre extraites de Windows 10, version 1909, édition Entreprise 64 bits
Vous pouvez voir les clés de registre suivantes sous AllCachedCapabilities :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
Le préfixe de tous les SID de capacité est S-1-15-3.
Exemples de clés de registre extraites de Windows 11, version 21H2, édition Entreprise 64 bits
Vous pouvez voir les clés de registre suivantes sous AllCachedCapabilities :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
Le préfixe de tous les SID de capacité est S-1-15-3.