SID terkenal
Pengidentifikasi keamanan (SID) terkenal mengidentifikasi grup generik dan pengguna generik. Misalnya, ada SID terkenal untuk mengidentifikasi grup dan pengguna berikut:
- Semua orang atau Dunia, yang merupakan grup yang mencakup semua pengguna.
- CREATOR_OWNER, yang digunakan sebagai tempat penampung dalam ACE yang dapat diwariskan. Ketika ACE diwariskan, sistem mengganti CREATOR_OWNER SID dengan SID pembuat objek.
- Grup Administrator untuk domain bawaan di komputer lokal.
Ada SID universal terkenal, yang bermakna pada semua sistem aman menggunakan model keamanan ini, termasuk sistem operasi selain Windows. Selain itu, ada SID terkenal yang hanya bermakna pada sistem Windows.
WINDOWS API mendefinisikan sekumpulan konstanta untuk otoritas pengidentifikasi terkenal dan nilai pengidentifikasi relatif (RID). Anda dapat menggunakan konstanta ini untuk membuat SID terkenal. Contoh berikut menggabungkan konstanta SECURITY_WORLD_SID_AUTHORITY dan SECURITY_WORLD_RID untuk menunjukkan SID universal terkenal untuk grup khusus yang mewakili semua pengguna (Semua Orang atau Dunia):
S-1-1-0
Contoh ini menggunakan notasi string untuk SID di mana S mengidentifikasi string sebagai SID, 1 pertama adalah tingkat revisi SID, dan dua digit yang tersisa adalah konstanta SECURITY_WORLD_SID_AUTHORITY dan SECURITY_WORLD_RID.
Anda dapat menggunakan fungsi AllocateAndInitializeSid untuk membangun SID dengan menggabungkan nilai otoritas pengidentifikasi dengan hingga delapan nilai subautoritas. Misalnya, untuk menentukan apakah pengguna yang masuk adalah anggota grup terkenal tertentu, panggil AllocateAndInitializeSid untuk membangun SID untuk grup terkenal dan menggunakan fungsi EqualSid untuk membandingkan SID tersebut dengan SID grup dalam token akses pengguna. Misalnya, lihat Mencari SID di Token Akses di C++. Anda harus memanggil fungsi FreeSid untuk membebaskan SID yang dialokasikan oleh AllocateAndInitializeSid.
Sisa bagian ini berisi tabel SID terkenal dan tabel otoritas pengidentifikasi dan konstanta subautoritas yang dapat Anda gunakan untuk membangun SID terkenal.
Berikut ini adalah beberapa SID terkenal universal.
| SID universal yang terkenal | Mengidentifikasi |
|---|---|
| Null SID Nilai string: S-1-0-0 |
Grup tanpa anggota. Ini sering digunakan ketika nilai SID tidak diketahui. |
| World Nilai string: S-1-1-0 |
Grup yang menyertakan semua pengguna. |
| Lokal Nilai string: S-1-2-0 |
Pengguna yang masuk ke terminal secara lokal (secara fisik) terhubung ke sistem. |
| ID Pemilik Pembuat Nilai string: S-1-3-0 |
Pengidentifikasi keamanan yang akan digantikan oleh pengidentifikasi keamanan pengguna yang membuat objek baru. SID ini digunakan dalam ACE yang dapat diwariskan. |
| ID Grup Pembuat Nilai string: S-1-3-1 |
Pengidentifikasi keamanan yang akan digantikan oleh SID grup utama pengguna yang membuat objek baru. Gunakan SID ini dalam ACE yang dapat diwariskan. |
Tabel berikut mencantumkan konstanta otoritas pengidentifikasi yang telah ditentukan sebelumnya. Empat nilai pertama digunakan dengan SID terkenal universal; nilai terakhir digunakan dengan SID terkenal Windows.
| Otoritas pengidentifikasi | Nilai | Nilai untai (karakter) |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 |
S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 |
S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 |
S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 |
S-1-3 |
| SECURITY_NT_AUTHORITY | 5 |
S-1-5 |
Nilai RID berikut digunakan dengan SID terkenal universal. Kolom otoritas Pengidentifikasi menunjukkan awalan otoritas pengidentifikasi tempat Anda dapat menggabungkan RID untuk membuat SID universal yang terkenal.
| Otoritas pengidentifikasi relatif | Nilai | Nilai untai (karakter) |
|---|---|---|
| SECURITY_NULL_RID | 0 |
S-1-0 |
| SECURITY_WORLD_RID | 0 |
S-1-1 |
| SECURITY_LOCAL_RID | 0 |
S-1-2 |
| SECURITY_LOCAL_LOGON_RID | 1 |
S-1-2 |
| SECURITY_CREATOR_OWNER_RID | 0 |
S-1-3 |
| SECURITY_CREATOR_GROUP_RID | 1 |
S-1-3 |
Otoritas pengidentifikasi SECURITY_NT_AUTHORITY (S-1-5) yang telah ditentukan sebelumnya menghasilkan SID yang tidak universal tetapi hanya bermakna pada penginstalan Windows. Anda dapat menggunakan nilai RID berikut dengan SECURITY_NT_AUTHORITY untuk membuat SID terkenal.
| Terus-menerus | Mengidentifikasi |
|---|---|
| SECURITY_DIALUP_RID Nilai string: S-1-5-1 |
Pengguna yang masuk ke terminal menggunakan modem putar-nomor. Ini adalah pengidentifikasi grup. |
| SECURITY_NETWORK_RID Nilai string: S-1-5-2 |
Pengguna yang masuk di seluruh jaringan. Ini adalah pengidentifikasi grup yang ditambahkan ke token proses ketika masuk di seluruh jaringan. Jenis masuk yang sesuai LOGON32_LOGON_NETWORK. |
| SECURITY_BATCH_RID Nilai string: S-1-5-3 |
Pengguna yang masuk menggunakan fasilitas antrean batch. Ini adalah pengidentifikasi grup yang ditambahkan ke token proses ketika dicatat sebagai pekerjaan batch. Jenis masuk yang sesuai LOGON32_LOGON_BATCH. |
| SECURITY_INTERACTIVE_RID Nilai string: S-1-5-4 |
Pengguna yang masuk untuk operasi interaktif. Ini adalah pengidentifikasi grup yang ditambahkan ke token proses ketika dicatat secara interaktif. Jenis masuk yang sesuai LOGON32_LOGON_INTERACTIVE. |
| SECURITY_LOGON_IDS_RID Nilai string: S-1-5-5-*X*-*Y* |
Sesi masuk. Ini digunakan untuk memastikan bahwa hanya proses dalam sesi masuk tertentu yang dapat memperoleh akses ke objek window-station untuk sesi tersebut. Nilai X dan Y untuk SID ini berbeda untuk setiap sesi masuk. Nilai SECURITY_LOGON_IDS_RID_COUNT adalah jumlah RID dalam pengidentifikasi ini (5-X- Y). |
| SECURITY_SERVICE_RID Nilai string: S-1-5-6 |
Akun yang berwenang untuk masuk sebagai layanan. Ini adalah pengidentifikasi grup yang ditambahkan ke token proses ketika dicatat sebagai layanan. Jenis masuk yang sesuai LOGON32_LOGON_SERVICE. |
| SECURITY_ANONYMOUS_LOGON_RID Nilai string: S-1-5-7 |
Masuk secara anonim, atau log masuk sesi null. |
| SECURITY_PROXY_RID Nilai string: S-1-5-8 |
Proxy. |
| SECURITY_ENTERPRISE_CONTROLLERS_RID Nilai string: S-1-5-9 |
Pengontrol perusahaan. |
| SECURITY_PRINCIPAL_SELF_RID Nilai string: S-1-5-10 |
Pengidentifikasi keamanan PRINCIPAL_SELF dapat digunakan dalam ACL objek pengguna atau grup. Selama pemeriksaan akses, sistem mengganti SID dengan SID objek. SID PRINCIPAL_SELF berguna untuk menentukan ACE yang dapat diwariskan yang berlaku untuk objek pengguna atau grup yang mewarisi ACE. Ini satu-satunya cara untuk mewakili SID objek yang dibuat dalam deskriptor keamanan default skema. |
| SECURITY_AUTHENTICATED_USER_RID Nilai string: S-1-5-11 |
Pengguna yang diautentikasi. |
| SECURITY_RESTRICTED_CODE_RID Nilai string: S-1-5-12 |
Kode terbatas. |
| SECURITY_TERMINAL_SERVER_RID Nilai string: S-1-5-13 |
Layanan Terminal. Secara otomatis ditambahkan ke token keamanan pengguna yang masuk ke server terminal. |
| SECURITY_LOCAL_SYSTEM_RID Nilai string: S-1-5-18 |
Akun khusus yang digunakan oleh sistem operasi. |
| SECURITY_NT_NON_UNIQUE Nilai string: S-1-5-21 |
SIDS tidak unik. |
| SECURITY_BUILTIN_DOMAIN_RID Nilai string: S-1-5-32 |
Domain sistem bawaan. |
| SECURITY_WRITE_RESTRICTED_CODE_RID Nilai string: S-1-5-33 |
Tulis kode terbatas. |
RID berikut relatif terhadap setiap domain.
| RID | Mengidentifikasi |
|---|---|
| DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP Nilai: 0x0000023E |
Grup pengguna yang dapat terhubung ke otoritas sertifikasi menggunakan Model Objek Komponen Terdistribusi (DCOM). |
| DOMAIN_USER_RID_ADMIN Nilai: 0x000001F4 |
Akun pengguna administratif di domain. |
| DOMAIN_USER_RID_GUEST Nilai: 0x000001F5 |
Akun pengguna tamu di domain. Pengguna yang tidak memiliki akun dapat secara otomatis masuk ke akun ini. |
| DOMAIN_GROUP_RID_ADMINS Nilai: 0x00000200 |
Grup administrator domain. Akun ini hanya ada pada sistem yang menjalankan sistem operasi server. |
| DOMAIN_GROUP_RID_USERS Nilai: 0x00000201 |
Grup yang berisi semua akun pengguna dalam domain. Semua pengguna secara otomatis ditambahkan ke grup ini. |
| DOMAIN_GROUP_RID_GUESTS Nilai: 0x00000202 |
Akun grup tamu di domain. |
| DOMAIN_GROUP_RID_COMPUTERS Nilai: 0x00000203 |
Grup komputer domain. Semua komputer dalam domain adalah anggota grup ini. |
| DOMAIN_GROUP_RID_CONTROLLERS Nilai: 0x00000204 |
Grup pengendali domain. Semua DC dalam domain adalah anggota grup ini. |
| DOMAIN_GROUP_RID_CERT_ADMINS Nilai: 0x00000205 |
Grup penerbit sertifikat. Komputer yang menjalankan Layanan Sertifikat adalah anggota grup ini. |
| DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS Nilai: 0x000001F2 |
Grup pengontrol domain baca-saja perusahaan. |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS Nilai: 0x00000206 |
Grup administrator skema. Anggota grup ini dapat mengubah skema Direktori Aktif. |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS Nilai: 0x00000207 |
Grup administrator perusahaan. Anggota grup ini memiliki akses penuh ke semua domain di forest Direktori Aktif. Administrator perusahaan bertanggung jawab atas operasi tingkat hutan seperti menambahkan atau menghapus domain baru. |
| DOMAIN_GROUP_RID_POLICY_ADMINS Nilai: 0x00000208 |
Grup administrator kebijakan. |
| DOMAIN_GROUP_RID_READONLY_CONTROLLERS Nilai: 0x00000209 |
Grup pengontrol domain baca-saja |
| DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS Nilai: 0x0000020A |
Grup pengontrol domain yang dapat dikloning. |
| DOMAIN_GROUP_RID_CDC_RESERVED Nilai: 0x0000020C |
Grup CDC yang dipesan. |
| DOMAIN_GROUP_RID_PROTECTED_USERS Nilai: 0x0000020D |
Grup pengguna yang dilindungi. |
| DOMAIN_GROUP_RID_KEY_ADMINS Nilai: 0x0000020E |
Grup admin kunci. |
| DOMAIN_GROUP_RID_ENTERPRISE_KEY_ADMINS Nilai: 0x0000020F |
Grup admin kunci perusahaan. |
RID berikut digunakan untuk menentukan tingkat integritas wajib.
| RID | Nilai | Mengidentifikasi |
|---|---|---|
| SECURITY_MANDATORY_UNTRUSTED_RID | 0x00000000 |
Tidak tepercaya. |
| SECURITY_MANDATORY_LOW_RID | 0x00001000 |
Integritas rendah. |
| SECURITY_MANDATORY_MEDIUM_RID | 0x00002000 |
Integritas sedang. |
| SECURITY_MANDATORY_MEDIUM_PLUS_RID | SECURITY_MANDATORY_MEDIUM_RID + 0x100 |
Integritas tinggi sedang. |
| SECURITY_MANDATORY_HIGH_RID | 0X00003000 |
Integritas tinggi. |
| SECURITY_MANDATORY_SYSTEM_RID | 0x00004000 |
Integritas sistem. |
| SECURITY_MANDATORY_PROTECTED_PROCESS_RID | 0x00005000 |
Proses yang dilindungi. |
Tabel berikut ini memiliki contoh RID relatif domain yang dapat Anda gunakan untuk membentuk SID terkenal untuk grup lokal (alias). Untuk informasi selengkapnya tentang grup lokal dan global, lihat Fungsi Grup Lokal dan Fungsi Grup.
| RID | Mengidentifikasi |
|---|---|
| DOMAIN_ALIAS_RID_ADMINS Nilai: 0x00000220Nilai string: S-1-5-32-544 |
Grup lokal yang digunakan untuk administrasi domain. |
| DOMAIN_ALIAS_RID_USERS Nilai: 0x00000221Nilai string: S-1-5-32-545 |
Grup lokal yang mewakili semua pengguna di domain. |
| DOMAIN_ALIAS_RID_GUESTS Nilai: 0x00000222Nilai string: S-1-5-32-546 |
Grup lokal yang mewakili tamu domain. |
| DOMAIN_ALIAS_RID_POWER_USERS Nilai: 0x00000223Nilai string: S-1-5-32-547 |
Grup lokal digunakan untuk mewakili pengguna atau sekumpulan pengguna yang berharap untuk memperlakukan sistem seolah-olah itu adalah komputer pribadi mereka daripada sebagai stasiun kerja untuk beberapa pengguna. |
| DOMAIN_ALIAS_RID_ACCOUNT_OPS Nilai: 0x00000224Nilai string: S-1-5-32-548 |
Grup lokal yang hanya ada pada sistem yang menjalankan sistem operasi server. Grup lokal ini mengizinkan kontrol atas akun nonadministrator. |
| DOMAIN_ALIAS_RID_SYSTEM_OPS Nilai: 0x00000225Nilai string: S-1-5-32-549 |
Grup lokal yang hanya ada pada sistem yang menjalankan sistem operasi server. Grup lokal ini melakukan fungsi administratif sistem, tidak termasuk fungsi keamanan. Ini menetapkan berbagi jaringan, mengontrol printer, membuka kunci stasiun kerja, dan melakukan operasi lain. |
| DOMAIN_ALIAS_RID_PRINT_OPS Nilai: 0x00000226Nilai string: S-1-5-32-550 |
Grup lokal yang hanya ada pada sistem yang menjalankan sistem operasi server. Grup lokal ini mengontrol pencetak dan antrean cetak. |
| DOMAIN_ALIAS_RID_BACKUP_OPS Nilai: 0x00000227Nilai string: S-1-5-32-551 |
Grup lokal yang digunakan untuk mengontrol penetapan hak istimewa pencadangan dan pemulihan file. |
| DOMAIN_ALIAS_RID_REPLICATOR Nilai: 0x00000228Nilai string: S-1-5-32-552 |
Grup lokal yang bertanggung jawab untuk menyalin database keamanan dari pengendali domain utama ke pengontrol domain cadangan. Akun-akun ini hanya digunakan oleh sistem. |
| DOMAIN_ALIAS_RID_RAS_SERVERS Nilai: 0x00000229Nilai string: S-1-5-32-553 |
Grup lokal yang mewakili server RAS dan IAS. Grup ini mengizinkan akses ke berbagai atribut objek pengguna. |
| DOMAIN_ALIAS_RID_PREW2KCOMPACCESS Nilai: 0x0000022ANilai string: S-1-5-32-554 |
Grup lokal yang hanya ada pada sistem yang menjalankan Windows 2000 Server. Untuk informasi selengkapnya, lihat Mengizinkan Akses Anonim. |
| DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS Nilai: 0x0000022BNilai string: S-1-5-32-555 |
Grup lokal yang mewakili semua pengguna desktop jarak jauh. |
| DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS Nilai: 0x0000022CNilai string: S-1-5-32-556 |
Grup lokal yang mewakili konfigurasi jaringan. |
| DOMAIN_ALIAS_RID_INCOMING_FOREST_TRUST_BUILDERS Nilai: 0x0000022DNilai string: S-1-5-32-557 |
Grup lokal yang mewakili pengguna kepercayaan forest apa pun. |
| DOMAIN_ALIAS_RID_MONITORING_USERS Nilai: 0x0000022ENilai string: S-1-5-32-558 |
Grup lokal yang mewakili semua pengguna yang sedang dipantau. |
| DOMAIN_ALIAS_RID_LOGGING_USERS Nilai: 0x0000022FNilai string: S-1-5-32-559 |
Grup lokal yang bertanggung jawab untuk mencatat pengguna. |
| DOMAIN_ALIAS_RID_AUTHORIZATIONACCESS Nilai: 0x00000230Nilai string: S-1-5-32-560 |
Grup lokal yang mewakili semua akses resmi. |
| DOMAIN_ALIAS_RID_TS_LICENSE_SERVERS Nilai: 0x00000231Nilai string: S-1-5-32-561 |
Grup lokal yang hanya ada pada sistem yang menjalankan sistem operasi server yang memungkinkan layanan terminal dan akses jarak jauh. |
| DOMAIN_ALIAS_RID_DCOM_USERS Nilai: 0x00000232Nilai string: S-1-5-32-562 |
Grup lokal yang mewakili pengguna yang dapat menggunakan Model Objek Komponen Terdistribusi (DCOM). |
| DOMAIN_ALIAS_RID_IUSERS Nilai: 0X00000238Nilai string: S-1-5-32-568 |
Grup lokal yang mewakili pengguna Internet. |
| DOMAIN_ALIAS_RID_CRYPTO_OPERATORS Nilai: 0x00000239Nilai string: S-1-5-32-569 |
Grup lokal yang mewakili akses ke operator kriptografi. |
| DOMAIN_ALIAS_RID_CACHEABLE_PRINCIPALS_GROUP Nilai: 0x0000023BNilai string: S-1-5-32-571 |
Grup lokal yang mewakili prinsipal yang dapat di-cache. |
| DOMAIN_ALIAS_RID_NON_CACHEABLE_PRINCIPALS_GROUP Nilai: 0x0000023CNilai string: S-1-5-32-572 |
Grup lokal yang mewakili prinsipal yang tidak dapat di-cache. |
| DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP Nilai: 0x0000023DNilai string: S-1-5-32-573 |
Grup lokal yang mewakili pembaca log peristiwa. |
| DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP Nilai: 0x0000023ENilai string: S-1-5-32-574 |
Grup pengguna lokal yang dapat terhubung ke otoritas sertifikasi menggunakan Model Objek Komponen Terdistribusi (DCOM). |
| DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_SERVERS Nilai: 0x0000023FNilai string: S-1-5-32-575 |
Grup lokal yang mewakili server akses jarak jauh RDS. |
| DOMAIN_ALIAS_RID_RDS_ENDPOINT_SERVERS Nilai: 0x00000240Nilai string: S-1-5-32-576 |
Grup lokal yang mewakili server titik akhir. |
| DOMAIN_ALIAS_RID_RDS_MANAGEMENT_SERVERS Nilai: 0x00000241Nilai string: S-1-5-32-577 |
Grup lokal yang mewakili server manajemen. |
| DOMAIN_ALIAS_RID_HYPER_V_ADMINS Nilai: 0x00000242Nilai string: S-1-5-32-578 |
Grup lokal yang mewakili admin hyper-v. |
| DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS Nilai: 0x00000243Nilai string: S-1-5-32-579 |
Grup lokal yang mewakili bantuan kontrol akses OPS. |
| DOMAIN_ALIAS_RID_REMOTE_MANAGEMENT_USERS Nilai: 0x00000244Nilai string: S-1-5-32-580 |
Grup lokal yang mewakili pengguna manajemen jarak jauh. |
| DOMAIN_ALIAS_RID_DEFAULT_ACCOUNT Nilai: 0x00000245Nilai string: S-1-5-32-581 |
Grup lokal yang mewakili akun default. |
| DOMAIN_ALIAS_RID_STORAGE_REPLICA_ADMINS Nilai: 0x00000246Nilai string: S-1-5-32-582 |
Grup lokal yang mewakili admin replika penyimpanan. |
| DOMAIN_ALIAS_RID_DEVICE_OWNERS Nilai: 0x00000247Nilai string: S-1-5-32-583 |
Grup lokal yang mewakili dapat membuat pengaturan diharapkan untuk Pemilik Perangkat. |
Enumerasi WELL_KNOWN_SID_TYPE mendefinisikan daftar SID yang umum digunakan. Selain itu, Security Descriptor Definition Language (SDDL) menggunakan string SID untuk mereferensikan SID terkenal dalam format string.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk