Identificatori di sicurezza

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Questo articolo descrive il funzionamento degli identificatori di sicurezza relativi agli account e ai gruppi nel sistema operativo Windows Server.

Quali sono gli identificatori di sicurezza?

Un identificatore di sicurezza (SID) viene usato per identificare in modo univoco un'entità di sicurezza o un gruppo di sicurezza. Le entità di sicurezza possono rappresentare qualsiasi entità che può essere autenticata dal sistema operativo, ad esempio un account utente, un account computer o un thread o un processo in esecuzione nel contesto di sicurezza di un account utente o computer.

Ogni account o gruppo o processo in esecuzione nel contesto di sicurezza dell'account ha un SID univoco rilasciato da un'autorità, ad esempio un controller di dominio Windows. Viene archiviato in un database di sicurezza. Il sistema genera il SID che identifica un determinato account o gruppo al momento della creazione dell'account o del gruppo. Quando un SID è stato usato come identificatore univoco per un utente o un gruppo, non può mai essere usato di nuovo per identificare un altro utente o gruppo.

Ogni volta che un utente accede, il sistema crea un token di accesso per tale utente. Il token di accesso contiene il SID dell'utente, i diritti utente e i SID per tutti i gruppi a cui appartiene l'utente. Questo token fornisce il contesto di sicurezza per qualsiasi azione eseguita dall'utente nel computer.

Oltre ai SID specifici del dominio creati in modo univoco assegnati a utenti e gruppi specifici, sono presenti SID noti che identificano gruppi generici e utenti generici. Ad esempio, i SID Tutti e Mondo identificano un gruppo che include tutti gli utenti. I SID noti hanno valori che rimangono costanti in tutti i sistemi operativi.

I SID sono un blocco predefinito fondamentale del modello di sicurezza di Windows. Collaborano con componenti specifici delle tecnologie di controllo di autorizzazione e accesso nell'infrastruttura di sicurezza dei sistemi operativi Windows Server. Ciò consente di proteggere l'accesso alle risorse di rete e fornisce un ambiente di calcolo più sicuro.

Il contenuto di questo articolo si applica ai computer che eseguono le versioni supportate del sistema operativo Windows a cui si fa riferimento nell'elenco Si applica.

Funzionamento degli identificatori di sicurezza

Gli utenti fanno riferimento agli account usando il nome dell'account, ma il sistema operativo fa riferimento internamente agli account e ai processi eseguiti nel contesto di sicurezza dell'account usando gli identificatori di sicurezza (SID). Per gli account di dominio, il SID di un'entità di sicurezza viene creato concatenando il SID del dominio con un identificatore relativo (RID) per l'account. I SID sono univoci nell'ambito (dominio o locale) e non vengono mai riutilizzati.

Il sistema operativo genera un SID che identifica un account o un gruppo specifico al momento della creazione dell'account o del gruppo. Il SID per un account o un gruppo locale viene generato dall'Autorità di sicurezza locale (LSA) nel computer e viene archiviato con altre informazioni sull'account in un'area sicura del Registro di sistema. Il SID per un account di dominio o un gruppo viene generato dall'autorità di sicurezza del dominio e viene archiviato come attributo dell'oggetto User o Group in Active Directory Domain Services.

Per ogni account locale e gruppo, il SID è univoco per il computer in cui è stato creato. Nessun altro account o gruppi nel computer condivide mai lo stesso SID. Analogamente, per ogni account di dominio e gruppo, il SID è univoco all'interno di un'azienda. Ciò significa che il SID per un account o un gruppo creato in un dominio non corrisponderà mai al SID per un account o un gruppo creato in qualsiasi altro dominio dell'organizzazione.

I SID rimangono sempre univoci. Le autorità di sicurezza non rilasciano mai lo stesso SID due volte e non riutilizzano mai i SID per gli account eliminati. Ad esempio, se un utente con un account utente in un dominio Di Windows lascia il proprio lavoro, un amministratore elimina il proprio account Active Directory, incluso il SID che identifica l'account. Se in seguito tornano a un processo diverso nella stessa azienda, un amministratore crea un nuovo account e il sistema operativo Windows Server genera un nuovo SID. Il nuovo SID non corrisponde al vecchio; quindi nessuno dell'accesso dell'utente dal proprio account precedente viene trasferito al nuovo account. Entrambi gli account rappresentano due entità di sicurezza completamente diverse.

Architettura dell'identificatore di sicurezza

Un identificatore di sicurezza è una struttura di dati in formato binario che contiene un numero variabile di valori. I primi valori della struttura contengono informazioni sulla struttura SID. I valori rimanenti sono disposti in una gerarchia (simile a un numero di telefono) e identificano l'autorità di emissione SID (ad esempio "NT Authority"), il dominio emittente SID e un determinato gruppo o entità di sicurezza. L'immagine seguente illustra la struttura di un SID.

Grafico dell'architettura dell'identificatore di sicurezza che illustra gli identificatori relativi e il dominio

I singoli valori di un SID sono descritti nella tabella seguente.

Commento Descrizione
Revisione Indica la versione della struttura SID usata in un determinato SID.
Autorità identificatore Identifica il livello massimo di autorità che può emettere SID per un tipo specifico di entità di sicurezza. Ad esempio, il valore dell'autorità di identificatore nel SID per il gruppo Everyone è 1 (Autorità mondiale). Il valore dell'autorità identificatore nel SID per un account o un gruppo di Windows Server specifico è 5 (NT Authority).
Sottoautorità Contiene le informazioni più importanti in un SID, che è contenuto in una serie di uno o più valori di sottoauthority. Tutti i valori fino a, ma non inclusi, l'ultimo valore della serie identifica collettivamente un dominio in un'organizzazione. Questa parte della serie viene chiamata identificatore di dominio. L'ultimo valore della serie, denominato identificatore relativo (RID), identifica un determinato account o un gruppo relativo a un dominio.

I componenti di un SID sono più facili da visualizzare quando i SID vengono convertiti da un file binario a un formato stringa usando la notazione standard:

S-R-X-Y1-Y2-Yn-1-Yn

In questa notazione i componenti di un SID sono rappresentati come illustrato nella tabella seguente:

Commento Descrizione
S Indica che la stringa è un SID
R Indica il livello di revisione
X Indica il valore dell'autorità di identificatore
S Rappresenta una serie di valori di sottoauthority, dove n è il numero di valori

Le informazioni più importanti sui SID sono contenute nella serie di valori di subauthority. La prima parte della serie (-Y1-Y2-Y-Y n-1) è l'identificatore di dominio. Questo elemento del SID diventa significativo in un'organizzazione con diversi domini, perché l'identificatore di dominio differenzia i SID rilasciati da un dominio da SID rilasciati da tutti gli altri domini dell'organizzazione. Nessun altro dominio in un'organizzazione condivide lo stesso identificatore di dominio.

L'ultimo elemento della serie di valori di sottoauthority (-Yn) è l'identificatore relativo. Distingue un account o un gruppo da tutti gli altri account e gruppi nel dominio. Nessun altro account o gruppi in qualsiasi dominio condivide lo stesso identificatore relativo.

Ad esempio, il SID per il gruppo Administrators predefinito è rappresentato nella notazione SID standardizzata come stringa seguente:

S-1-5-32-544

Questo SID include quattro componenti:

  • Livello di revisione (1)

  • Valore dell'autorità di identificatore (5, NT Authority)

  • Identificatore di dominio (32, Builtin)

  • Identificatore relativo (544, Amministratori)

I SID per gli account e i gruppi predefiniti hanno sempre lo stesso valore dell'identificatore di dominio, 32. Questo valore identifica il dominio Builtin, che esiste in ogni computer che esegue una versione del sistema operativo Windows Server. Non è mai necessario distinguere gli account e i gruppi predefiniti di un computer da account e gruppi predefiniti di un altro computer perché sono locali nell'ambito. Sono locali in un singolo computer o, nel caso dei controller di dominio per un dominio di rete, sono locali in diversi computer che agiscono come uno.

Gli account e i gruppi predefiniti devono essere distinti tra loro nell'ambito del dominio Builtin . Pertanto, il SID per ogni account e gruppo ha un identificatore relativo univoco. Un valore di identificatore relativo pari a 544 è univoco per il gruppo Administrators predefinito. Nessun altro account o gruppo nel dominio Builtin ha un SID con un valore finale pari a 544.

In un altro esempio, prendere in considerazione il SID per il gruppo globale, Domain Admins. Ogni dominio in un'organizzazione ha un gruppo Domain Admins e il SID per ogni gruppo è diverso. L'esempio seguente rappresenta il SID per il gruppo Domain Admins nel dominio Contoso, Ltd. (Contoso\Domain Admins):

S-1-5-21-1004336348-1177238915-682003330-512

Il SID per Contoso\Domain Admins include:

  • Livello di revisione (1)

  • Autorità identificatore (5, NT Authority)

  • Identificatore di dominio (21-1004336348-1177238915-682003330, Contoso)

  • Identificatore relativo (512, Domain Admins)

Il SID per Contoso\Domain Admins si distingue dai SID per altri gruppi domain admins nella stessa organizzazione in base all'identificatore di dominio: 21-10043336348-1177238915-682003330. Nessun altro dominio nell'organizzazione usa questo valore come identificatore di dominio. Il SID per Contoso\Domain Admins si distingue dai SID per altri account e gruppi creati nel dominio Contoso in base all'identificatore relativo 512. Nessun altro account o gruppo nel dominio ha un SID con un valore finale pari a 512.

Allocazione dell'identificatore relativo

Quando gli account e i gruppi vengono archiviati in un database di account gestito da un gestore di account di sicurezza locale (SAM), è abbastanza semplice per il sistema generare un identificatore relativo univoco per ogni account e in un gruppo creato in un computer autonomo. Sam in un computer autonomo può tenere traccia dei valori di identificatore relativi usati in precedenza e assicurarsi che non li usi mai più.

In un dominio di rete, tuttavia, la generazione di identificatori relativi univoci è un processo più complesso. I domini di rete di Windows Server possono avere diversi controller di dominio. Ogni controller di dominio archivia le informazioni dell'account Active Directory. Ciò significa che, in un dominio di rete, sono presenti tutte le copie del database dell'account in quanto sono presenti controller di dominio. Inoltre, ogni copia del database dell'account è una copia master. È possibile creare nuovi account e gruppi in qualsiasi controller di dominio. Le modifiche apportate ad Active Directory in un controller di dominio vengono replicate in tutti gli altri controller di dominio nel dominio. Il processo di replica delle modifiche in una copia master del database dell'account in tutte le altre copie master è detta operazione multimaster.

Il processo di generazione di identificatori relativi univoci è un'operazione a master singolo. A un controller di dominio viene assegnato il ruolo del master identificatore relativo (RID) e alloca una sequenza di identificatori relativi a ogni controller di dominio nel dominio. Quando viene creato un nuovo account o gruppo di dominio nella replica di Active Directory di un controller di dominio, viene assegnato un SID. L'identificatore relativo per il nuovo SID viene ricavato dall'allocazione del controller di dominio di identificatori relativi. Quando la fornitura di identificatori relativi inizia a essere ridotta, il controller di dominio richiede un altro blocco dal master RID.

Ogni controller di dominio usa ogni valore in un blocco di identificatori relativi una sola volta. Il master RID alloca ogni blocco di valori di identificatore relativo una sola volta. Questo processo garantisce che ogni account e gruppo creato nel dominio disponga di un identificatore relativo univoco.

Identificatori di sicurezza e identificatori univoci globali

Quando viene creato un nuovo account utente o gruppo di dominio, Active Directory archivia il SID dell'account nella proprietà ObjectSID di un oggetto User o Group. Assegna inoltre al nuovo oggetto un identificatore univoco globale (GUID), che è un valore a 128 bit univoco non solo nell'organizzazione, ma anche in tutto il mondo. I GUID vengono assegnati a ogni oggetto creato da Active Directory e non solo negli oggetti User e Group. Il GUID di ogni oggetto viene archiviato nella relativa proprietà ObjectGUID .

Active Directory usa i GUID internamente per identificare gli oggetti. Ad esempio, il GUID è una delle proprietà di un oggetto pubblicate nel catalogo globale. La ricerca nel catalogo globale di un GUID dell'oggetto Utente produce risultati se l'utente ha un account in un punto dell'organizzazione. Infatti, la ricerca di qualsiasi oggetto da ObjectGUID potrebbe essere il modo più affidabile per trovare l'oggetto che si vuole individuare. I valori di altre proprietà dell'oggetto possono cambiare, ma la proprietà ObjectGUID non cambia mai. Quando a un oggetto viene assegnato un GUID, mantiene tale valore per la vita.

Se un utente passa da un dominio a un altro, l'utente ottiene un nuovo SID. Il SID per un oggetto gruppo non cambia perché i gruppi rimangono nel dominio in cui sono stati creati. Tuttavia, se gli utenti si spostano, i loro account possono spostarsi con loro. Se un dipendente passa da America del Nord in Europa, ma rimane nella stessa società, un amministratore dell'azienda può spostare l'oggetto Utente del dipendente da, ad esempio, Contoso\NoAm a Contoso\Europe. Se l'amministratore esegue questa operazione, l'oggetto User per l'account richiede un nuovo SID. La parte dell'identificatore di dominio di un SID emesso in NoAm è univoca per NoAm; quindi il SID per l'account dell'utente in Europa ha un identificatore di dominio diverso. La parte relativa dell'identificatore di un SID è univoca rispetto al dominio; pertanto, se il dominio cambia, anche l'identificatore relativo cambia.

Quando un oggetto User passa da un dominio a un altro, è necessario generare un nuovo SID per l'account utente e archiviare nella proprietà ObjectSID . Prima che il nuovo valore venga scritto nella proprietà , il valore precedente viene copiato in un'altra proprietà di un oggetto User, SIDHistory. Questa proprietà può contenere più valori. Ogni volta che un oggetto User passa a un altro dominio, viene generato e archiviato un nuovo SID nella proprietà ObjectSID e viene aggiunto un altro valore all'elenco dei SID precedenti in SIDHistory. Quando un utente esegue l'accesso e viene autenticato correttamente, il servizio di autenticazione del dominio esegue una query di Active Directory per tutti i SID associati all'utente, inclusi il SID corrente dell'utente, i SID precedenti dell'utente e i SID per i gruppi dell'utente. Tutti questi SID vengono restituiti al client di autenticazione e sono inclusi nel token di accesso dell'utente. Quando l'utente tenta di accedere a una risorsa, uno dei SID nel token di accesso (incluso uno dei SID in SIDHistory) può consentire o negare l'accesso dell'utente.

Se si consente o nega l'accesso degli utenti a una risorsa in base ai processi, è consigliabile consentire o negare l'accesso a un gruppo, non a un singolo utente. In questo modo, quando gli utenti modificano i processi o si spostano in altri reparti, è possibile regolare facilmente l'accesso rimuovendoli da determinati gruppi e aggiungendoli ad altri.

Tuttavia, se si consente o si nega a un singolo utente l'accesso alle risorse, è probabile che l'accesso dell'utente rimanga invariato indipendentemente dal numero di modifiche apportate al dominio dell'account dell'utente. La proprietà SIDHistory rende possibile questa operazione. Quando un utente modifica i domini, non è necessario modificare l'elenco di controllo di accesso (ACL) in qualsiasi risorsa. Se un ACL ha il SID precedente dell'utente, ma non quello nuovo, il SID precedente è ancora nel token di accesso dell'utente. Viene elencato tra i SID per i gruppi dell'utente e all'utente viene concesso o negato l'accesso in base al SID precedente.

SID noti

I valori di determinati SID sono costanti in tutti i sistemi. Vengono creati quando viene installato il sistema operativo o il dominio. Sono denominati SID noti perché identificano utenti generici o gruppi generici.

Esistono SID noti universali significativi per tutti i sistemi sicuri che usano questo modello di sicurezza, inclusi i sistemi operativi diversi da Windows. Inoltre, esistono SID noti che sono significativi solo nei sistemi operativi Windows.

Nella tabella seguente sono elencati i SID noti universali.

Valore SID Well-Known universale Identifica
S-1-0-0 Null SID Un gruppo senza membri. Questo viene spesso usato quando un valore SID non è noto.
S-1-1-0 World Gruppo che include tutti gli utenti.
S-1-2-0 Locale Utenti che accedono ai terminali connessi localmente (fisicamente) al sistema.
S-1-2-1 Accesso alla console Gruppo che include gli utenti connessi alla console fisica.
S-1-3-0 ID proprietario creator Identificatore di sicurezza da sostituire con l'identificatore di sicurezza dell'utente che ha creato un nuovo oggetto. Questo SID viene usato negli ACL ereditabili.
S-1-3-1 ID gruppo creator Identificatore di sicurezza da sostituire con il SID del gruppo primario dell'utente che ha creato un nuovo oggetto. Usare questo SID negli ACL ereditabili.
S-1-3-2 Creator Owner Server (CREATOR OWNER SERVER)
S-1-3-3 Creator Group Server (CREATOR GROUP SERVER)
S-1-3-4 Diritti di proprietario Gruppo che rappresenta il proprietario corrente dell'oggetto. Quando un ACE che contiene questo SID viene applicato a un oggetto, il sistema ignora le autorizzazioni implicite READ_CONTROL e WRITE_DAC per il proprietario dell'oggetto.
S-1-4 Autorità non univoca SID che rappresenta un'autorità di identificatore.
S-1-5 NT Authority (NT AUTHORITY) SID che rappresenta un'autorità di identificatore.
S-1-5-80-0 Tutti i servizi Gruppo che include tutti i processi del servizio configurati nel sistema. L'appartenenza è controllata dal sistema operativo.

Nella tabella seguente sono elencate le costanti predefinite dell'autorità degli identificatori. I primi quattro valori vengono usati con SID noti universali e i restanti valori vengono usati con SID noti nei sistemi operativi Windows designati nell'elenco Si applica a .

Autorità identificatore Valore Prefisso stringa SID
SECURITY_NULL_SID_AUTHORITY 0 S-1-0
SECURITY_WORLD_SID_AUTHORITY 1 S-1-1
SECURITY_LOCAL_SID_AUTHORITY 2 S-1-2
SECURITY_CREATOR_SID_AUTHORITY 3 S-1-3
SECURITY_NT_AUTHORITY 5 S-1-5
SECURITY_AUTHENTICATION_AUTHORITY 18 S-1-18

I valori RID seguenti vengono usati con SID noti universali. La colonna Autorità identificatore mostra il prefisso dell'autorità di identificatore con cui è possibile combinare il RID per creare un SID noto universale.

Autorità identificatore relativo Valore Autorità identificatore
SECURITY_NULL_RID 0 S-1-0
SECURITY_WORLD_RID 0 S-1-1
SECURITY_LOCAL_RID 0 S-1-2
SECURITY_CREATOR_OWNER_RID 0 S-1-3
SECURITY_CREATOR_GROUP_RID 1 S-1-3

L'autorità di identificatore predefinita (S-1-5) SECURITY_NT_AUTHORITY produce SID non universali e significativi solo nelle installazioni dei sistemi operativi Windows designati nell'elenco Si applica a all'inizio di questo articolo. Nella tabella seguente sono elencati i SID noti.

SID Nome visualizzato Descrizione
S-1-5-1 Dialup (REMOTO) Gruppo che include tutti gli utenti connessi al sistema tramite connessione remota.
S-1-5-113 Account locale È possibile usare questo SID quando si limita l'accesso di rete agli account locali anziché a "amministratore" o equivalente. Questo SID può essere efficace nel bloccare l'accesso di rete per utenti e gruppi locali in base al tipo di account indipendentemente dal nome.
S-1-5-114 Account locale e membro del gruppo Administrators È possibile usare questo SID quando si limita l'accesso di rete agli account locali anziché a "amministratore" o equivalente. Questo SID può essere efficace nel bloccare l'accesso di rete per utenti e gruppi locali in base al tipo di account indipendentemente dal nome.
S-1-5-2 Rete Gruppo che include tutti gli utenti connessi tramite una connessione di rete. I token di accesso per gli utenti interattivi non contengono il SID di rete.
S-1-5-3 Batch Gruppo che include tutti gli utenti che hanno eseguito l'accesso tramite la funzionalità della coda batch, ad esempio processi dell'utilità di pianificazione delle attività.
S-1-5-4 Interattività Gruppo che include tutti gli utenti che accedono in modo interattivo. Un utente può avviare una sessione di accesso interattiva aprendo una connessione Di Servizi Desktop remoto da un computer remoto o usando una shell remota, ad esempio Telnet. In ogni caso, il token di accesso dell'utente contiene il SID interattivo. Se l'utente accede usando una connessione Di Servizi Desktop remoto, il token di accesso dell'utente contiene anche il SID accesso interattivo remoto.
S-1-5-5- X-Y Sessione di accesso I valori X e Y per questi SID identificano in modo univoco una determinata sessione di accesso.
S-1-5-6 Servizio Gruppo che include tutte le entità di sicurezza che hanno eseguito l'accesso come servizio.
S-1-5-7 Accesso anonimo Utente connesso al computer senza specificare un nome utente e una password.

L'identità di accesso anonimo è diversa dall'identità usata da Internet Information Services (IIS) per l'accesso Web anonimo. IIS usa un account effettivo: per impostazione predefinita, IUSR_ComputerName, per l'accesso anonimo alle risorse in un sito Web. In modo rigoroso, tale accesso non è anonimo perché l'entità di sicurezza è nota anche se le persone non identificate usano l'account. IUSR_ComputerName (o qualsiasi nome dell'account) abbia una password e IIS accede all'account all'avvio del servizio. Di conseguenza, l'utente "anonimo" di IIS è un membro di Utenti autenticati, ma l'accesso anonimo non è.

S-1-5-8 Proxy Non si applica attualmente: questo SID non viene usato.
S-1-5-9 Controller di dominio organizzazione Gruppo che include tutti i controller di dominio in una foresta di domini.
S-1-5-10 Self Segnaposto in un ace per un utente, un gruppo o un oggetto computer in Active Directory. Quando si concedono le autorizzazioni a Self, le si concede all'entità di sicurezza rappresentata dall'oggetto . Durante un controllo di accesso, il sistema operativo sostituisce il SID per Self con il SID per l'entità di sicurezza rappresentata dall'oggetto .
S-1-5-11 Utenti autenticati Gruppo che include tutti gli utenti e i computer con identità autenticate. Gli utenti autenticati non includono Guest anche se l'account guest ha una password.

Questo gruppo include entità di sicurezza autenticate da qualsiasi dominio attendibile, non solo dal dominio corrente.

S-1-5-12 Codice con restrizioni Identità usata da un processo in esecuzione in un contesto di sicurezza con restrizioni. Nei sistemi operativi Windows e Windows Server, un criterio di restrizione software può assegnare uno dei tre livelli di sicurezza al codice:

Senza restrizioni

non consentito

Quando il codice viene eseguito a livello di sicurezza con restrizioni, il SID con restrizioni viene aggiunto al token di accesso dell'utente.

S-1-5-13 Utente di Terminal Server Gruppo che include tutti gli utenti che accedono a un server con Servizi Desktop remoto abilitato.
S-1-5-14 Accesso interattivo remoto Gruppo che include tutti gli utenti che accedono al computer usando una connessione Desktop remoto. Questo gruppo è un subset del gruppo Interactive. I token di accesso che contengono il SID di accesso interattivo remoto contengono anche il SID interattivo.
S-1-5-15 This Organization (Questa organizzazione) Gruppo che include tutti gli utenti della stessa organizzazione. Incluso solo con gli account Active Directory e aggiunto solo da un controller di dominio.
S-1-5-17 IUSR Un account utilizzato dall'utente Internet Information Services (IIS) predefinito.
S-1-5-18 Sistema (o LocalSystem) Identità usata localmente dal sistema operativo e dai servizi configurati per l'accesso come LocalSystem.

Il sistema è un membro nascosto di Administrators. Ovvero, qualsiasi processo in esecuzione come System ha il SID per il gruppo Administrators predefinito nel token di accesso.

Quando un processo in esecuzione in locale come Sistema accede alle risorse di rete, lo fa usando l'identità di dominio del computer. Il token di accesso nel computer remoto include il SID per l'account di dominio del computer locale e i SID per i gruppi di sicurezza di cui il computer è membro, ad esempio Computer di dominio e Utenti autenticati.

S-1-5-19 NT Authority (LocalService) Un'identità usata dai servizi locali per il computer, non ha bisogno di un accesso locale esteso e non richiede l'accesso alla rete autenticato. I servizi eseguiti come LocalService accedono alle risorse locali come utenti normali e accedono alle risorse di rete come utenti anonimi. Di conseguenza, un servizio eseguito come LocalService ha un'autorità significativamente inferiore rispetto a un servizio eseguito come LocalSystem in locale e in rete.
S-1-5-20 Servizio di rete Identità usata dai servizi che non hanno bisogno di un accesso locale esteso, ma che richiedono l'accesso alla rete autenticato. I servizi in esecuzione come NetworkService accedono alle risorse locali come utenti ordinari e accedono alle risorse di rete usando l'identità del computer. Di conseguenza, un servizio eseguito come NetworkService ha lo stesso accesso di rete di un servizio eseguito come LocalSystem, ma ha ridotto notevolmente l'accesso locale.
S-1-5-domain-500 Amministratore Un account utente per l'amministratore di sistema. Ogni computer ha un account amministratore locale e ogni dominio ha un account amministratore di dominio.

L'account Amministratore è il primo account creato durante l'installazione del sistema operativo. L'account non può essere eliminato, disabilitato o bloccato, ma può essere rinominato.

Per impostazione predefinita, l'account Amministratore è membro del gruppo Administrators e non può essere rimosso da tale gruppo.

S-1-5-domain-501 Guest Un account utente per le persone che non dispongono di account singoli. Ogni computer ha un account Guest locale e ogni dominio ha un account guest di dominio.

Per impostazione predefinita, Guest è un membro dei gruppi Everyone e Guest. L'account guest di dominio è anche membro dei gruppi Domain Guest e Domain Users.

A differenza dell'accesso anonimo, Guest è un account reale e può essere usato per accedere in modo interattivo. L'account guest non richiede una password, ma ne può avere una.

S-1-5-domain-502 KRBTGT Un account utente usato dal servizio Centro distribuzione chiavi (KDC). L'account esiste solo nei controller di dominio.
S-1-5-domain-512 Domain Admins Gruppo globale con membri autorizzati ad amministrare il dominio. Per impostazione predefinita, il gruppo Domain Admins è membro del gruppo Administrators in tutti i computer che hanno aggiunto il dominio, inclusi i controller di dominio.

Domain Admins è il proprietario predefinito di qualsiasi oggetto creato in Active Directory del dominio da qualsiasi membro del gruppo. Se i membri del gruppo creano altri oggetti, ad esempio i file, il proprietario predefinito è il gruppo Administrators.

S-1-5-domain-513 Domain Users Gruppo globale che include tutti gli utenti in un dominio. Quando si crea un nuovo oggetto User in Active Directory, l'utente viene aggiunto automaticamente a questo gruppo.
S-1-5-domain-514 Domain Guests Un gruppo globale, che per impostazione predefinita, ha un solo membro: l'account guest predefinito del dominio.
S-1-5-domain-515 Computer del dominio Gruppo globale che include tutti i computer che hanno aggiunto il dominio, esclusi i controller di dominio.
S-1-5-domain-516 Controller di dominio Gruppo globale che include tutti i controller di dominio nel dominio. I nuovi controller di dominio vengono aggiunti automaticamente a questo gruppo.
S-1-5-domain-517 Cert Publishers Gruppo globale che include tutti i computer che ospitano un'autorità di certificazione aziendale.

I server di pubblicazione certificati sono autorizzati a pubblicare certificati per gli oggetti Utente in Active Directory.

Dominio S-1-5-root-518 Schema Admins Gruppo esistente solo nel dominio radice della foresta. Si tratta di un gruppo universale se il dominio è in modalità nativa ed è un gruppo globale se il dominio è in modalità mista. Il gruppo Schema Admins è autorizzato a apportare modifiche allo schema in Active Directory. Per impostazione predefinita, l'unico membro del gruppo è l'account Amministratore per il dominio radice della foresta.
Dominio S-1-5-root-519 Enterprise Admins Gruppo esistente solo nel dominio radice della foresta. Si tratta di un gruppo universale se il dominio è in modalità nativa ed è un gruppo globale se il dominio è in modalità mista.

Il gruppo Enterprise Admins è autorizzato a apportare modifiche all'infrastruttura della foresta, ad esempio l'aggiunta di domini figlio, la configurazione di siti, l'autorizzazione dei server DHCP e l'installazione delle autorità di certificazione aziendali.

Per impostazione predefinita, l'unico membro di Enterprise Admins è l'account Amministratore per il dominio radice della foresta. Il gruppo è un membro predefinito di ogni gruppo Domain Admins nella foresta.

S-1-5-domain-520 Proprietari autori criteri di gruppo Gruppo globale autorizzato a creare nuovi oggetti Criteri di gruppo in Active Directory. Per impostazione predefinita, l'unico membro del gruppo è Administrator.

Gli oggetti creati dai membri di Criteri di gruppo Creator Owners sono di proprietà del singolo utente che li crea. In questo modo, il gruppo Criteri di gruppo Creator Owners è diverso da altri gruppi amministrativi , ad esempio Amministratori e Amministratori di dominio. Gli oggetti creati dai membri di questi gruppi sono di proprietà del gruppo anziché dell'utente.

S-1-5-domain-553 Server RAS e IAS Un gruppo di dominio locale. Per impostazione predefinita, questo gruppo non ha membri. I computer che eseguono il servizio Routing e Accesso remoto vengono aggiunti automaticamente al gruppo.

I membri di questo gruppo hanno accesso a determinate proprietà degli oggetti Utente, ad esempio Restrizioni account di lettura, Informazioni di accesso in lettura e Lettura informazioni di accesso remoto.

S-1-5-32-544 Administrators Gruppo predefinito. Dopo l'installazione iniziale del sistema operativo, l'unico membro del gruppo è l'account Amministratore. Quando un computer viene aggiunto a un dominio, il gruppo Domain Admins viene aggiunto al gruppo Administrators. Quando un server diventa un controller di dominio, anche il gruppo Enterprise Admins viene aggiunto al gruppo Administrators.
S-1-5-32-545 Utenti Gruppo predefinito. Dopo l'installazione iniziale del sistema operativo, l'unico membro è il gruppo Authenticated Users.
S-1-5-32-546 Guests Gruppo predefinito. Per impostazione predefinita, l'unico membro è l'account Guest. Il gruppo Guest consente a utenti occasionali o occasionali di accedere con privilegi limitati all'account guest predefinito di un computer.
S-1-5-32-547 Power Users Gruppo predefinito. Per impostazione predefinita, il gruppo non ha membri. Gli utenti esperti possono creare utenti e gruppi locali; modificare ed eliminare gli account creati; e rimuovere gli utenti dai gruppi Power Users, Users e Guest. Gli utenti esperti possono anche installare programmi; creare, gestire ed eliminare stampanti locali; e creare ed eliminare condivisioni file.
S-1-5-32-548 Account Operators Gruppo predefinito esistente solo nei controller di dominio. Per impostazione predefinita, il gruppo non ha membri. Per impostazione predefinita, gli operatori account dispongono dell'autorizzazione per creare, modificare ed eliminare account per utenti, gruppi e computer in tutti i contenitori e le unità organizzative di Active Directory, ad eccezione del contenitore Builtin e dell'unità organizzativa Controller di dominio. Gli operatori account non dispongono dell'autorizzazione per modificare i gruppi Administrators e Domain Admins, né hanno l'autorizzazione per modificare gli account per i membri di tali gruppi.
S-1-5-32-549 Server Operators Descrizione: gruppo predefinito esistente solo nei controller di dominio. Per impostazione predefinita, il gruppo non ha membri. Gli operatori server possono accedere a un server in modo interattivo; creare ed eliminare condivisioni di rete; avviare e arrestare i servizi; eseguire il backup e il ripristino dei file; formattare il disco rigido del computer; e arrestare il computer.
S-1-5-32-550 Print Operators Gruppo predefinito esistente solo nei controller di dominio. Per impostazione predefinita, l'unico membro è il gruppo Domain Users. Gli operatori di stampa possono gestire stampanti e code di documenti.
S-1-5-32-551 Backup Operators Gruppo predefinito. Per impostazione predefinita, il gruppo non ha membri. Gli operatori di backup possono eseguire il backup e il ripristino di tutti i file in un computer, indipendentemente dalle autorizzazioni che proteggono tali file. Gli operatori di backup possono anche accedere al computer e arrestarlo.
S-1-5-32-552 Servizi di replica Gruppo predefinito utilizzato dal servizio Replica file nei controller di dominio. Per impostazione predefinita, il gruppo non ha membri. Non aggiungere utenti a questo gruppo.
S-1-5-32-554 Builtin\Pre-Windows 2000 Compatible Access Alias aggiunto da Windows 2000. Gruppo di compatibilità con le versioni precedenti che consente l'accesso in lettura a tutti gli utenti e i gruppi nel dominio.
S-1-5-32-555 Builtin\Remote Desktop Users Alias. Ai membri di questo gruppo viene concesso il diritto di accedere in remoto.
S-1-5-32-556 Builtin\Network Configuration Operators Alias. I membri di questo gruppo possono avere alcuni privilegi amministrativi per gestire la configurazione delle funzionalità di rete.
S-1-5-32-557 Builtin\Incoming Forest Trust Builders Alias. I membri di questo gruppo possono creare trust unidirezionale in ingresso per questa foresta.
S-1-5-32-558 Utenti predefiniti\Monitor prestazioni Alias. I membri di questo gruppo dispongono dell'accesso remoto per monitorare il computer.
S-1-5-32-559 Builtin\Performance Log Users Alias. I membri di questo gruppo hanno accesso remoto per pianificare la registrazione dei contatori delle prestazioni nel computer.
S-1-5-32-560 Builtin\Windows Authorization Access Group Alias. I membri di questo gruppo hanno accesso all'attributo tokenGroupsGlobalAndUniversal calcolato negli oggetti User.
S-1-5-32-561 Server licenze Builtin\Terminal Server Alias. Gruppo per i server licenze Terminal Server. Quando viene installato Windows Server 2003 Service Pack 1, viene creato un nuovo gruppo locale.
S-1-5-32-562 Utenti COM predefiniti\distribuiti Alias. Un gruppo per COM per fornire controlli di accesso a livello di computer che regolano l'accesso a tutte le chiamate, l'attivazione o le richieste di avvio nel computer.
S-1-5-32-568 Builtin\IIS_IUSRS Alias. Un account di gruppo predefinito per gli utenti iis.
S-1-5-32-569 Operatori builtin\cryptographic Gruppo locale predefinito. I membri sono autorizzati a eseguire operazioni di crittografia.
S-1-5-32-573 Builtin\Event Log Reader Gruppo locale predefinito. I membri di questo gruppo possono leggere i registri eventi dal computer locale.
S-1-5-32-574 Builtin\Certificate Service DCOM Access Gruppo locale predefinito. I membri di questo gruppo possono connettersi alle autorità di certificazione nell'organizzazione.
S-1-5-32-575 Server di accesso remoto builtin\RDS Gruppo locale predefinito. I server in questo gruppo consentono agli utenti di programmi RemoteApp e desktop virtuali personali di accedere a queste risorse. Nelle distribuzioni con connessione Internet, questi server vengono in genere distribuiti in una rete perimetrale. Questo gruppo deve essere popolato nei server che eseguono Gestore connessione Desktop remoto. I server Gateway Desktop remoto e i server Accesso Web Desktop remoto usati nella distribuzione devono trovarsi in questo gruppo.
S-1-5-32-576 Server endpoint Builtin\RDS Gruppo locale predefinito. I server in questo gruppo eseguono macchine virtuali e sessioni host in cui vengono eseguiti i programmi RemoteApp e i desktop virtuali personali. Questo gruppo deve essere popolato nei server che eseguono Gestore connessione Desktop remoto. I server Host sessione Desktop remoto e i server Host di virtualizzazione Desktop remoto usati nella distribuzione devono trovarsi in questo gruppo.
S-1-5-32-577 Server di gestione Builtin\RDS Gruppo locale compilato. I server di questo gruppo possono eseguire azioni amministrative di routine sui server che eseguono Servizi Desktop remoto. Questo gruppo deve essere popolato in tutti i server in una distribuzione di Servizi Desktop remoto. I server che eseguono il servizio Gestione centrale Servizi Desktop remoto devono essere inclusi in questo gruppo.
S-1-5-32-578 Builtin\Hyper-V Administrators Gruppo locale predefinito. I membri di questo gruppo hanno accesso completo e senza restrizioni a tutte le funzionalità di Hyper-V.
S-1-5-32-579 Operatori di assistenza builtin\Controllo di accesso Gruppo locale predefinito. I membri di questo gruppo possono eseguire query in remoto su attributi di autorizzazione e autorizzazioni per le risorse nel computer.
S-1-5-32-580 Builtin\Remote Management Users Gruppo locale predefinito. I membri di questo gruppo possono accedere alle risorse WMI tramite protocolli di gestione ,ad esempio WS-Management tramite il servizio Gestione remota Windows. Questo vale solo per gli spazi dei nomi WMI che concedono l'accesso all'utente.
S-1-5-64-10 Autenticazione NTLM SID utilizzato quando il pacchetto di autenticazione NTLM ha autenticato il client.
S-1-5-64-14 Autenticazione SChannel SID utilizzato quando il pacchetto di autenticazione SChannel ha autenticato il client.
S-1-5-64-21 Autenticazione del digest SID utilizzato quando il pacchetto di autenticazione digest ha autenticato il client.
S-1-5-80 Servizio NT SID utilizzato come prefisso dell'account del servizio NT.
S-1-5-80-0 Tutti i servizi Gruppo che include tutti i processi del servizio configurati nel sistema. L'appartenenza è controllata dal sistema operativo. SID S-1-5-80-0 è uguale a NT SERVICES\ALL SERVICES. Questo SID è stato introdotto in Windows Server 2008 R2.
S-1-5-83-0 MACCHINA VIRTUALE NT\Macchine virtuali Gruppo predefinito. Il gruppo viene creato quando viene installato il ruolo Hyper-V. L'appartenenza al gruppo viene gestita dal servizio di gestione Hyper-V (VMMS). Questo gruppo richiede il diritto Crea collegamenti simbolici (SeCreateSymbolicLinkPrivilege) e anche il diritto Accesso come servizio (SeServiceLogonRight).

I RID seguenti sono relativi a ogni dominio:

RID Valore decimale Identifica
DOMAIN_USER_RID_ADMIN 500 Account utente amministratore in un dominio.
DOMAIN_USER_RID_GUEST 501 Account utente guest in un dominio. Gli utenti che non dispongono di un account possono accedere automaticamente a questo account.
DOMAIN_GROUP_RID_USERS 513 Gruppo che contiene tutti gli account utente in un dominio. Tutti gli utenti vengono aggiunti automaticamente a questo gruppo.
DOMAIN_GROUP_RID_GUESTS 514 Account guest del gruppo in un dominio.
DOMAIN_GROUP_RID_COMPUTERS 515 Gruppo Computer di dominio. Tutti i computer nel dominio sono membri di questo gruppo.
DOMAIN_GROUP_RID_CONTROLLERS 516 Gruppo controller di dominio. Tutti i controller di dominio nel dominio sono membri di questo gruppo.
DOMAIN_GROUP_RID_CERT_ADMINS 517 Gruppo di autori di certificati. I computer che eseguono Servizi certificati Active Directory sono membri di questo gruppo.
DOMAIN_GROUP_RID_SCHEMA_ADMINS 518 Gruppo di amministratori dello schema. I membri di questo gruppo possono modificare lo schema di Active Directory.
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS 519 Gruppo di amministratori dell'organizzazione. I membri di questo gruppo hanno accesso completo a tutti i domini nella foresta Active Directory. Gli amministratori dell'organizzazione sono responsabili di operazioni a livello di foresta, ad esempio l'aggiunta o la rimozione di nuovi domini.
DOMAIN_GROUP_RID_POLICY_ADMINS 520 Gruppo di amministratori dei criteri.

Nella tabella seguente vengono forniti esempi di RID relative al dominio usate per formare SID noti per i gruppi locali.

RID Valore decimale Identifica
DOMAIN_ALIAS_RID_ADMINS 544 Amministratori del dominio.
DOMAIN_ALIAS_RID_USERS 545 Tutti gli utenti nel dominio.
DOMAIN_ALIAS_RID_GUESTS 546 Guest del dominio.
DOMAIN_ALIAS_RID_POWER_USERS 547 Un utente o un set di utenti che si aspettano di trattare un sistema come se fosse il proprio computer personale anziché come workstation per più utenti.
DOMAIN_ALIAS_RID_BACKUP_OPS 551 Gruppo locale usato per controllare l'assegnazione dei diritti utente di backup e ripristino dei file.
DOMAIN_ALIAS_RID_REPLICATOR 552 Gruppo locale responsabile della copia dei database di sicurezza dal controller di dominio primario ai controller di dominio di backup. Questi account vengono usati solo dal sistema.
DOMAIN_ALIAS_RID_RAS_SERVERS 553 Gruppo locale che rappresenta l'accesso remoto e i server che eseguono Internet Authentication Service (IAS). Questo gruppo consente l'accesso a vari attributi degli oggetti User.

Modifiche apportate alla funzionalità dell'identificatore di sicurezza

Nella tabella seguente vengono descritte le modifiche apportate all'implementazione del SID nei sistemi operativi Windows designati nell'elenco seguente:

Modifica Versione del sistema operativo Descrizione e risorse
La maggior parte dei file del sistema operativo è di proprietà dell'identificatore di sicurezza TrustedInstaller (SID) Windows Server 2008, Windows Vista Lo scopo di questa modifica è impedire a un processo in esecuzione come amministratore o nell'account LocalSystem di sostituire automaticamente i file del sistema operativo.
I controlli SID con restrizioni vengono implementati Windows Server 2008, Windows Vista Quando si limitano i SID, Windows esegue due controlli di accesso. Il primo è il controllo di accesso normale e il secondo è lo stesso controllo di accesso rispetto ai SID limitati nel token. Entrambi i controlli di accesso devono passare per consentire al processo di accedere all'oggetto.

SID di funzionalità

Gli identificatori di sicurezza delle funzionalità (SID) vengono usati per funzionalità identificatori univocamente e non modificabili che rappresentano un token non verificabile di autorità che concede l'accesso alle risorse (esempi: documenti, fotocamera, posizione e così via) alle applicazioni di Windows universali. Un'app che "dispone" di una funzionalità viene concessa l'accesso alla risorsa a cui è associata la funzionalità e una funzionalità che "non dispone" di una funzionalità viene negato l'accesso alla risorsa.

Tutti i SID di funzionalità a cui il sistema operativo è a conoscenza vengono archiviati nel Registro di sistema di Windows nel percorso "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities". Qualsiasi SID di funzionalità aggiunto a Windows per prime o applicazioni di terze parti verrà aggiunto a questo percorso.

Esempi di chiavi del Registro di sistema prese da Windows 10, versione 1909, edizione Enterprise a 64 bit

È possibile che vengano visualizzate le chiavi del Registro di sistema seguenti in AllCachedCapabilities:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

Tutti i SID di funzionalità sono preceduti da S-1-15-3

Esempi di chiavi del Registro di sistema prese da Windows 11, versione 21H2, edizione Enterprise a 64 bit

È possibile che vengano visualizzate le chiavi del Registro di sistema seguenti in AllCachedCapabilities:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

Tutti i SID di funzionalità sono preceduti da S-1-15-3.

Vedi anche