SID noti
Gli identificatori di sicurezza noti (SID) identificano i gruppi generici e gli utenti generici. Ad esempio, esistono SID noti per identificare i gruppi e gli utenti seguenti:
- Tutti o Mondo, ovvero un gruppo che include tutti gli utenti.
- CREATOR_OWNER, usato come segnaposto in un ace ereditabile. Quando l'ace viene ereditato, il sistema sostituisce il SID CREATOR_OWNER con il SID dell'autore dell'oggetto.
- Gruppo Amministrazione istrators per il dominio predefinito nel computer locale.
Esistono SID universali noti, che sono significativi in tutti i sistemi sicuri che usano questo modello di sicurezza, inclusi i sistemi operativi diversi da Windows. Inoltre, esistono SID noti che sono significativi solo nei sistemi Windows.
L'API Di Windows definisce un set di costanti per valori di autorità di identificatore noti e identificatore relativo (RID). È possibile usare queste costanti per creare SID noti. Nell'esempio seguente vengono combinate le costanti edizione Standard CURITY_WORLD_SID_AUTHORITY e edizione Standard CURITY_WORLD_RID per mostrare il SID noto universale per il gruppo speciale che rappresenta tutti gli utenti (Everyone o World):
S-1-1-0
In questo esempio viene usata la notazione di stringa per i SID in cui S identifica la stringa come SID, il primo è il livello di revisione del SID e le due cifre rimanenti sono le costanti edizione Standard CURITY_WORLD_SID_AUTHORITY e edizione Standard CURITY_WORLD_RID.
È possibile usare la funzione AllocateAndInitializeSid per compilare un SID combinando un valore di autorità identificatore con un massimo di otto valori di sottoautorità. Ad esempio, per determinare se l'utente connesso è membro di un determinato gruppo noto, chiamare AllocateAndInitializeSid per creare un SID per il gruppo noto e usare la funzione EqualSid per confrontare tale SID con i SID del gruppo nel token di accesso dell'utente. Per un esempio, vedere Ricerca di un SID in un token di accesso in C++. È necessario chiamare la funzione FreeSid per liberare un SID allocato da AllocateAndInitializeSid.
Nella parte restante di questa sezione sono contenute tabelle di SID noti e tabelle di costanti di autorità di identificatore e sottoautorità che è possibile usare per creare SID noti.
Di seguito sono riportati alcuni SID noti universali.
| SID noto universale | Identifica |
|---|---|
| Null SID Valore stringa: S-1-0-0 |
Gruppo senza membri. Questo viene spesso usato quando un valore SID non è noto. |
| Mondo Valore stringa: S-1-1-0 |
Gruppo che include tutti gli utenti. |
| Locale Valore stringa: S-1-2-0 |
Utenti che accedono ai terminali in locale (fisicamente) connessi al sistema. |
| ID proprietario Valore stringa: S-1-3-0 |
Identificatore di sicurezza da sostituire con l'identificatore di sicurezza dell'utente che ha creato un nuovo oggetto. Questo SID viene usato negli ACL ereditabili. |
| ID gruppo creatore Valore stringa: S-1-3-1 |
Identificatore di sicurezza da sostituire con il SID del gruppo primario dell'utente che ha creato un nuovo oggetto. Usare questo SID negli ACE ereditabili. |
Nella tabella seguente sono elencate le costanti predefinite dell'autorità di identificatore. I primi quattro valori vengono usati con SID noti universali; l'ultimo valore viene usato con i SID noti di Windows.
| Autorità di identificazione | Valore | Valore stringa |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 |
S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 |
S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 |
S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 |
S-1-3 |
| SECURITY_NT_AUTHORITY | 5 |
S-1-5 |
I valori RID seguenti vengono usati con SID noti universali. La colonna Autorità identificatore mostra il prefisso dell'autorità di identificatore con cui è possibile combinare il RID per creare un SID noto universale.
| Autorità identificatore relativo | Valore | Valore stringa |
|---|---|---|
| SECURITY_NULL_RID | 0 |
S-1-0 |
| SECURITY_WORLD_RID | 0 |
S-1-1 |
| SECURITY_LOCAL_RID | 0 |
S-1-2 |
| edizione Standard CURITY_LOCAL_LOGON_RID | 1 |
S-1-2 |
| SECURITY_CREATOR_OWNER_RID | 0 |
S-1-3 |
| SECURITY_CREATOR_GROUP_RID | 1 |
S-1-3 |
L'autorità di identificatore predefinita (S-1-5) edizione Standard CURITY_NT_AUTHORITY produce SID non universali ma significativi solo nelle installazioni di Windows. È possibile usare i valori RID seguenti con edizione Standard CURITY_NT_AUTHORITY per creare SID noti.
| Costante | Identifica |
|---|---|
| edizione Standard CURITY_DIALUP_RID Valore stringa: S-1-5-1 |
Utenti che accedono ai terminali utilizzando un modem di connessione remota. Si tratta di un identificatore di gruppo. |
| edizione Standard CURITY_NETWORK_RID Valore stringa: S-1-5-2 |
Utenti che accedono a una rete. Si tratta di un identificatore di gruppo aggiunto al token di un processo quando è stato connesso in una rete. Il tipo di accesso corrispondente è LOGON32_LOGON_NETWORK. |
| edizione Standard CURITY_BATCH_RID Valore stringa: S-1-5-3 |
Utenti che accedono usando una struttura di accodamento batch. Si tratta di un identificatore di gruppo aggiunto al token di un processo quando è stato registrato come processo batch. Il tipo di accesso corrispondente è LOGON32_LOGON_BATCH. |
| edizione Standard CURITY_INTERACTIVE_RID Valore stringa: S-1-5-4 |
Utenti che accedono per l'operazione interattiva. Si tratta di un identificatore di gruppo aggiunto al token di un processo quando è stato eseguito l'accesso in modo interattivo. Il tipo di accesso corrispondente è LOGON32_LOGON_INTERACTIVE. |
| edizione Standard CURITY_LOGON_IDS_RID Valore stringa: S-1-5-5-*X*-*Y* |
Sessione di accesso. Viene usato per garantire che solo i processi in una determinata sessione di accesso possano accedere agli oggetti window-station per tale sessione. I valori X e Y per questi SID sono diversi per ogni sessione di accesso. Il valore edizione Standard CURITY_LOGON_IDS_RID_COUNT è il numero di RID in questo identificatore (5-X- Y). |
| edizione Standard CURITY_edizione Standard RVICE_RID Valore stringa: S-1-5-6 |
Account autorizzati ad accedere come servizio. Si tratta di un identificatore di gruppo aggiunto al token di un processo quando è stato registrato come servizio. Il tipo di accesso corrispondente è LOGON32_LOGON_edizione Standard RVICE. |
| edizione Standard CURITY_ANONYMOUS_LOGON_RID Valore stringa: S-1-5-7 |
Accesso anonimo o accesso di sessione Null. |
| edizione Standard CURITY_PROXY_RID Valore stringa: S-1-5-8 |
Proxy. |
| edizione Standard CURITY_ENTERPRI edizione Standard_CONTROLLERS_RID Valore stringa: S-1-5-9 |
Controller aziendali. |
| edizione Standard CURITY_PRINCIPAL_edizione Standard LF_RID Valore stringa: S-1-5-10 |
L'identificatore di sicurezza PRINCIPAL_edizione Standard LF può essere usato nell'elenco di controllo di accesso di un oggetto utente o gruppo. Durante un controllo di accesso, il sistema sostituisce il SID con il SID dell'oggetto. Il SID PRINCIPAL_edizione Standard LF è utile per specificare un ACE ereditabile che si applica all'oggetto utente o gruppo che eredita l'ace. Rappresenta l'unico modo per rappresentare il SID di un oggetto creato nel descrittore di sicurezza predefinito dello schema. |
| edizione Standard CURITY_AUTHENTICATED_U edizione Standard R_RID Valore stringa: S-1-5-11 |
Utenti autenticati. |
| edizione Standard CURITY_RESTRICTED_CODE_RID Valore stringa: S-1-5-12 |
Codice con restrizioni. |
| edizione Standard CURITY_TERMINAL_edizione Standard RVER_RID Valore stringa: S-1-5-13 |
Servizi terminal. Aggiunto automaticamente al token di sicurezza di un utente che accede a un server terminal. |
| edizione Standard CURITY_LOCAL_SYSTEM_RID Valore stringa: S-1-5-18 |
Un account speciale utilizzato dal sistema operativo. |
| edizione Standard CURITY_NT_NON_UNIQUE Valore stringa: S-1-5-21 |
SIDS non sono univoci. |
| edizione Standard CURITY_BUILTIN_DOMAIN_RID Valore stringa: S-1-5-32 |
Dominio di sistema predefinito. |
| edizione Standard CURITY_WRITE_RESTRICTED_CODE_RID Valore stringa: S-1-5-33 |
Scrivere codice con restrizioni. |
I RID seguenti sono relativi a ogni dominio.
| RID | Identifica |
|---|---|
| DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP Valore: 0x0000023E |
Gruppo di utenti che possono connettersi alle autorità di certificazione tramite Distributed Component Object Model (DCOM). |
| DOMAIN_USER_RID_ADMIN Valore: 0x000001F4 |
Account utente amministratore in un dominio. |
| DOMAIN_USER_RID_GUEST Valore: 0x000001F5 |
Account utente guest in un dominio. Gli utenti che non dispongono di un account possono accedere automaticamente a questo account. |
| DOMAIN_GROUP_RID_ADMINS Valore: 0x00000200 |
Gruppo di amministratori di dominio. Questo account esiste solo nei sistemi che eseguono sistemi operativi server. |
| DOMAIN_GROUP_RID_USERS Valore: 0x00000201 |
Gruppo che contiene tutti gli account utente in un dominio. Tutti gli utenti non vengono aggiunti automaticamente a questo gruppo. |
| DOMAIN_GROUP_RID_GUESTS Valore: 0x00000202 |
Account del gruppo guest in un dominio. |
| DOMAIN_GROUP_RID_COMPUTERS Valore: 0x00000203 |
Gruppo di computer di dominio. Tutti i computer nel dominio sono membri di questo gruppo. |
| DOMAIN_GROUP_RID_CONTROLLERS Valore: 0x00000204 |
Gruppo dei controller di dominio. Tutti i controller di dominio nel dominio sono membri di questo gruppo. |
| DOMAIN_GROUP_RID_CERT_ADMINS Valore: 0x00000205 |
Gruppo di autori di certificati. I computer che eseguono Servizi certificati sono membri di questo gruppo. |
| DOMAIN_GROUP_RID_ENTERPRI edizione Standard_READONLY_DOMAIN_CONTROLLERS Valore: 0x000001F2 |
Gruppo di controller di dominio di sola lettura aziendali. |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS Valore: 0x00000206 |
Gruppo di amministratori dello schema. I membri di questo gruppo possono modificare lo schema di Active Directory. |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS Valore: 0x00000207 |
Gruppo di amministratori dell'organizzazione. I membri di questo gruppo hanno accesso completo a tutti i domini nella foresta Active Directory. Gli amministratori dell'organizzazione sono responsabili di operazioni a livello di foresta, ad esempio l'aggiunta o la rimozione di nuovi domini. |
| DOMAIN_GROUP_RID_POLICY_ADMINS Valore: 0x00000208 |
Gruppo di amministratori dei criteri. |
| DOMAIN_GROUP_RID_READONLY_CONTROLLERS Valore: 0x00000209 |
Gruppo di controller di dominio di sola lettura |
| DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS Valore: 0x0000020A |
Gruppo di controller di dominio clonabili. |
| DOMAIN_GROUP_RID_CDC_RE edizione Standard RVED Valore: 0x0000020C |
Gruppo CDC riservato. |
| DOMAIN_GROUP_RID_PROTECTED_U edizione Standard RS Valore: 0x0000020D |
Gruppo di utenti protetti. |
| DOMAIN_GROUP_RID_KEY_ADMINS Valore: 0x0000020E |
Gruppo key admins. |
| DOMAIN_GROUP_RID_ENTERPRI edizione Standard_KEY_ADMINS Valore: 0x0000020F |
Gruppo enterprise key admins. |
I RID seguenti vengono usati per specificare il livello di integrità obbligatorio.
| RID | Valore | Identifica |
|---|---|---|
| edizione Standard CURITY_MANDATORY_UNTRUSTED_RID | 0x00000000 |
Attendibile. |
| edizione Standard CURITY_MANDATORY_LOW_RID | 0x00001000 |
Integrità bassa. |
| edizione Standard CURITY_MANDATORY_MEDIUM_RID | 0x00002000 |
Integrità media. |
| edizione Standard CURITY_MANDATORY_MEDIUM_PLUS_RID | edizione Standard CURITY_MANDATORY_MEDIUM_RID +0x100 |
Integrità media elevata. |
| edizione Standard CURITY_MANDATORY_HIGH_RID | 0X00003000 |
Integrità elevata. |
| edizione Standard CURITY_MANDATORY_SYSTEM_RID | 0x00004000 |
Integrità del sistema. |
| edizione Standard CURITY_MANDATORY_PROTECTED_PROCESS_RID | 0x00005000 |
Processo protetto. |
La tabella seguente contiene esempi di RID relative al dominio che è possibile usare per formare SID noti per i gruppi locali (alias). Per altre informazioni sui gruppi locali e globali, vedere Funzioni di gruppo locali e Funzioni di gruppo.
| RID | Identifica |
|---|---|
| DOMAIN_ALIAS_RID_ADMINS Valore: 0x00000220Valore stringa: S-1-5-32-544 |
Gruppo locale utilizzato per l'amministrazione del dominio. |
| DOMAIN_ALIAS_RID_USERS Valore: 0x00000221Valore stringa: S-1-5-32-545 |
Gruppo locale che rappresenta tutti gli utenti nel dominio. |
| DOMAIN_ALIAS_RID_GUESTS Valore: 0x00000222Valore stringa: S-1-5-32-546 |
Gruppo locale che rappresenta gli utenti guest del dominio. |
| DOMAIN_ALIAS_RID_POWER_USERS Valore: 0x00000223Valore stringa: S-1-5-32-547 |
Un gruppo locale utilizzato per rappresentare un utente o un set di utenti che si aspettano di trattare un sistema come se fosse il computer personale anziché come workstation per più utenti. |
| DOMAIN_ALIAS_RID_ACCOUNT_OPS Valore: 0x00000224Valore stringa: S-1-5-32-548 |
Gruppo locale esistente solo nei sistemi che eseguono sistemi operativi server. Questo gruppo locale consente il controllo sugli account non amministratori. |
| DOMAIN_ALIAS_RID_SYSTEM_OPS Valore: 0x00000225Valore stringa: S-1-5-32-549 |
Gruppo locale esistente solo nei sistemi che eseguono sistemi operativi server. Questo gruppo locale esegue funzioni amministrative di sistema, non incluse le funzioni di sicurezza. Stabilisce condivisioni di rete, controlla stampanti, sblocca workstation ed esegue altre operazioni. |
| DOMAIN_ALIAS_RID_PRINT_OPS Valore: 0x00000226Valore stringa: S-1-5-32-550 |
Gruppo locale esistente solo nei sistemi che eseguono sistemi operativi server. Questo gruppo locale controlla le stampanti e le code di stampa. |
| DOMAIN_ALIAS_RID_BACKUP_OPS Valore: 0x00000227Valore stringa: S-1-5-32-551 |
Gruppo locale usato per controllare l'assegnazione dei privilegi di backup e ripristino dei file. |
| DOMAIN_ALIAS_RID_REPLICATOR Valore: 0x00000228Valore stringa: S-1-5-32-552 |
Gruppo locale responsabile della copia dei database di sicurezza dal controller di dominio primario ai controller di dominio di backup. Questi account vengono usati solo dal sistema. |
| DOMAIN_ALIAS_RID_RAS_SERVERS Valore: 0x00000229Valore stringa: S-1-5-32-553 |
Gruppo locale che rappresenta i server RAS e IAS. Questo gruppo consente l'accesso a vari attributi degli oggetti utente. |
| DOMAIN_ALIAS_RID_PREW2KCOMPACCESS Valore: 0x0000022AValore stringa: S-1-5-32-554 |
Gruppo locale esistente solo nei sistemi che eseguono Windows 2000 Server. Per altre informazioni, vedere Consentire l'accesso anonimo. |
| DOMAIN_ALIAS_RID_REMOTE_DESKTOP_U edizione Standard RS Valore: 0x0000022BValore stringa: S-1-5-32-555 |
Gruppo locale che rappresenta tutti gli utenti desktop remoto. |
| DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS Valore: 0x0000022CValore stringa: S-1-5-32-556 |
Gruppo locale che rappresenta la configurazione di rete. |
| DOMAIN_ALIAS_RID_INCOMING_FOREST_TRUST_BUILDERS Valore: 0x0000022DValore stringa: S-1-5-32-557 |
Gruppo locale che rappresenta qualsiasi utente di trust tra foreste. |
| DOMAIN_ALIAS_RID_MONITORING_U edizione Standard RS Valore: 0x0000022EValore stringa: S-1-5-32-558 |
Gruppo locale che rappresenta tutti gli utenti monitorati. |
| DOMAIN_ALIAS_RID_LOGGING_U edizione Standard RS Valore: 0x0000022FValore stringa: S-1-5-32-559 |
Un gruppo locale responsabile della registrazione degli utenti. |
| DOMAIN_ALIAS_RID_AUTHORIZATIONACCESS Valore: 0x00000230Valore stringa: S-1-5-32-560 |
Gruppo locale che rappresenta tutti gli accessi autorizzati. |
| DOMAIN_ALIAS_RID_TS_LICEN edizione Standard_edizione Standard RVERS Valore: 0x00000231Valore stringa: S-1-5-32-561 |
Gruppo locale esistente solo nei sistemi che eseguono sistemi operativi server che consentono servizi terminal e accesso remoto. |
| DOMAIN_ALIAS_RID_DCOM_U edizione Standard RS Valore: 0x00000232Valore stringa: S-1-5-32-562 |
Gruppo locale che rappresenta gli utenti che possono usare DCOM (Distributed Component Object Model). |
| DOMAIN_ALIAS_RID_IU edizione Standard RS Valore: 0X00000238Valore stringa: S-1-5-32-568 |
Gruppo locale che rappresenta gli utenti Internet. |
| DOMAIN_ALIAS_RID_CRYPTO_OPERATORS Valore: 0x00000239Valore stringa: S-1-5-32-569 |
Gruppo locale che rappresenta l'accesso agli operatori di crittografia. |
| DOMAIN_ALIAS_RID_CACHEABLE_PRINCIPALS_GROUP Valore: 0x0000023BValore stringa: S-1-5-32-571 |
Gruppo locale che rappresenta le entità che possono essere memorizzate nella cache. |
| DOMAIN_ALIAS_RID_NON_CACHEABLE_PRINCIPALS_GROUP Valore: 0x0000023CValore stringa: S-1-5-32-572 |
Gruppo locale che rappresenta le entità che non possono essere memorizzate nella cache. |
| DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP Valore: 0x0000023DValore stringa: S-1-5-32-573 |
Gruppo locale che rappresenta i lettori del registro eventi. |
| DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP Valore: 0x0000023EValore stringa: S-1-5-32-574 |
Gruppo locale di utenti che possono connettersi alle autorità di certificazione usando DCOM (Distributed Component Object Model). |
| DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_edizione Standard RVERS Valore: 0x0000023FValore stringa: S-1-5-32-575 |
Gruppo locale che rappresenta i server di accesso remoto di Servizi Desktop remoto. |
| DOMAIN_ALIAS_RID_RDS_ENDPOINT_edizione Standard RVERS Valore: 0x00000240Valore stringa: S-1-5-32-576 |
Gruppo locale che rappresenta i server endpoint. |
| DOMAIN_ALIAS_RID_RDS_MANAGEMENT_edizione Standard RVERS Valore: 0x00000241Valore stringa: S-1-5-32-577 |
Gruppo locale che rappresenta i server di gestione. |
| DOMAIN_ALIAS_RID_HYPER_V_ADMINS Valore: 0x00000242Valore stringa: S-1-5-32-578 |
Gruppo locale che rappresenta gli amministratori hyper-v. |
| DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS Valore: 0x00000243Valore stringa: S-1-5-32-579 |
Gruppo locale che rappresenta l'assistenza per il controllo di accesso OPS. |
| DOMAIN_ALIAS_RID_REMOTE_MANAGEMENT_U edizione Standard RS Valore: 0x00000244Valore stringa: S-1-5-32-580 |
Gruppo locale che rappresenta gli utenti di gestione remota. |
| DOMAIN_ALIAS_RID_DEFAULT_ACCOUNT Valore: 0x00000245Valore stringa: S-1-5-32-581 |
Gruppo locale che rappresenta l'account predefinito. |
| DOMAIN_ALIAS_RID_STORAGE_REPLICA_ADMINS Valore: 0x00000246Valore stringa: S-1-5-32-582 |
Gruppo locale che rappresenta gli amministratori della replica di archiviazione. |
| DOMAIN_ALIAS_RID_DEVICE_OWNERS Valore: 0x00000247Valore stringa: S-1-5-32-583 |
Un gruppo locale che rappresenta può rendere previste le impostazioni per i proprietari di dispositivi. |
L'enumerazione WELL_KNOWN_SID_TYPE definisce l'elenco dei SID di uso comune. Inoltre, il linguaggio SDDL (Security Descriptor Definition Language ) usa stringhe SID per fare riferimento a SID noti in un formato stringa.