Идентификаторы безопасности

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

В этой статье описывается, как идентификаторы безопасности работают с учетными записями и группами в операционной системе Windows Server.

Что такое идентификаторы безопасности?

Идентификатор безопасности используется для уникальной идентификации субъекта безопасности или группы безопасности. Субъекты безопасности могут представлять любую сущность, которая может пройти проверку подлинности операционной системой, например учетную запись пользователя, учетную запись компьютера или поток или процесс, который выполняется в контексте безопасности учетной записи пользователя или компьютера.

Каждая учетная запись или группа или каждый процесс, выполняемый в контексте безопасности учетной записи, имеет уникальный идентификатор безопасности, выданный центром, например контроллером домена Windows. Идентификатор безопасности хранится в базе данных безопасности. Система создает идентификатор безопасности, определяющий определенную учетную запись или группу во время создания учетной записи или группы. Если идентификатор безопасности используется в качестве уникального идентификатора пользователя или группы, его нельзя использовать повторно для идентификации другого пользователя или группы.

При каждом входе пользователя система создает маркер доступа для этого пользователя. Маркер доступа содержит идентификатор безопасности пользователя, права пользователя и идентификаторы БЕЗОПАСНОСТИ для любой группы, к которой принадлежит пользователь. Этот маркер предоставляет контекст безопасности для любых действий, выполняемых пользователем на этом компьютере.

Помимо уникально созданных идентификаторов безопасности домена, назначенных определенным пользователям и группам, существуют известные идентификаторы БЕЗОПАСНОСТИ, которые определяют универсальные группы и универсальные пользователи. Например, идентификаторы БЕЗОПАСНОСТИ "Все" и "Мир " определяют группу, включающую всех пользователей. Известные идентификаторы безопасности имеют значения, которые остаются постоянными во всех операционных системах.

Идентификаторы безопасности — это фундаментальный стандартный блок модели безопасности Windows. Они работают с определенными компонентами технологий авторизации и управления доступом в инфраструктуре безопасности операционных систем Windows Server. Это помогает защитить доступ к сетевым ресурсам и обеспечить более безопасную вычислительную среду.

Примечание

Это содержимое относится только к версиям Windows в списке "Применимо к" в начале статьи.

Принцип работы идентификаторов безопасности

Пользователи ссылаются на учетные записи по имени учетной записи, но операционная система внутренне ссылается на учетные записи и процессы, которые выполняются в контексте безопасности учетной записи с помощью идентификаторов безопасности. Для учетных записей домена идентификатор безопасности субъекта безопасности создается путем объединения идентификатора безопасности домена с относительным идентификатором (RID) для учетной записи. Идентификаторы БЕЗОПАСНОСТИ уникальны в пределах области (домена или локальной), и они никогда не используются повторно.

Операционная система создает идентификатор безопасности, определяющий определенную учетную запись или группу во время создания учетной записи или группы. Идентификатор безопасности для локальной учетной записи или группы создается локальным центром безопасности (LSA) на компьютере и сохраняется с другими сведениями об учетной записи в безопасной области реестра. Идентификатор безопасности для учетной записи домена или группы создается центром безопасности домена и хранится в качестве атрибута объекта User или Group в доменные службы Active Directory.

Для каждой локальной учетной записи и группы идентификатор безопасности уникален для компьютера, на котором он был создан. Ни две учетные записи, ни группы на компьютере никогда не используют одинаковый идентификатор безопасности. Аналогичным образом, для каждой учетной записи домена и группы идентификатор безопасности является уникальным в пределах предприятия. Это означает, что идентификатор безопасности для учетной записи или группы, созданной в одном домене, никогда не будет соответствовать идентификатору безопасности для учетной записи или группы, созданной в любом другом домене предприятия.

Идентификаторы БЕЗОПАСНОСТИ всегда остаются уникальными. Органы безопасности никогда не выдают один и тот же идентификатор безопасности дважды, и они никогда не используют идентификаторы БЕЗОПАСНОСТИ для удаленных учетных записей. Например, если пользователь с учетной записью пользователя в домене Windows покидает свое задание, администратор удаляет свою учетную запись Active Directory, включая идентификатор безопасности, идентифицирующий учетную запись. Если позже они вернутся к другому заданию в той же компании, администратор создает новую учетную запись, а операционная система Windows Server создает новый идентификатор безопасности. Новый идентификатор безопасности не соответствует старому, поэтому ни один из пользователей из старой учетной записи не передается в новую учетную запись. Обе учетные записи представляют два совершенно разных субъекта безопасности.

Архитектура идентификатора безопасности

Идентификатор безопасности — это структура данных в двоичном формате, содержащая переменное число значений. Первые значения в структуре содержат сведения о структуре SID. Остальные значения упорядочены в иерархии (аналогично номеру телефона), и они определяют центр выдачи sid (например, NT Authority), домен, выдавающий sid, и конкретный субъект безопасности или группу. На следующем рисунке показана структура идентификатора безопасности.

Граф архитектуры идентификаторов безопасности, объясняющий идентификатор домена и относительный идентификатор.

Отдельные значения идентификатора безопасности описаны в следующей таблице:

Комментировать Описание
Редакция Указывает версию структуры SID, которая используется в определенном идентификаторе безопасности.
Центр идентификатора Определяет самый высокий уровень полномочий, который может выдавать идентификаторы БЕЗОПАСНОСТИ для определенного типа субъекта безопасности. Например, значение центра идентификатора в идентификаторе безопасности для группы "Все" равно 1 (World Authority). Значение центра идентификатора в sid для определенной учетной записи или группы Windows Server равно 5 (центр NT).
Вложенные проверки подлинности Содержит наиболее важную информацию в идентификаторе безопасности, которая содержится в ряду из одного или нескольких значений подчиненной проверки подлинности. Все значения до, но не включая, последнее значение в серии коллективно определяет домен в организации. Эта часть серии называется идентификатором домена. Последнее значение ряда, которое называется относительным идентификатором (RID), определяет определенную учетную запись или группу относительно домена.

Компоненты sid легче визуализировать при преобразовании идентификаторов БЕЗОПАСНОСТИ из двоичного файла в строковый формат с помощью стандартной нотации:

S-R-X-Y1-Y2-Yn-1-Yn

В этой нотации компоненты sid описаны в следующей таблице:

Комментировать Описание
S Указывает, что строка является идентификатором безопасности
R Указывает уровень редакции
X Указывает значение центра идентификатора
Да Представляет ряд значений subauthority, где n — число значений.

Наиболее важная информация идентификатора безопасности содержится в ряду значений подавторности. Первая часть серии (-Y1-Y2-Y-Y-n-1) — это идентификатор домена. Этот элемент sid становится значительным в организации с несколькими доменами, так как идентификатор домена отличает идентификаторы БЕЗОПАСНОСТИ, выданные одним доменом от идентификаторов БЕЗОПАСНОСТИ, выданных всеми другими доменами предприятия. Два домена в организации не используют один и тот же идентификатор домена.

Последний элемент в ряду значений subauthority (-Yn) является относительным идентификатором. Она отличает одну учетную запись или группу от всех остальных учетных записей и групп в домене. Ни две учетные записи, ни группы в любом домене не имеют одного и того же относительного идентификатора.

Например, идентификатор безопасности для встроенной группы "Администраторы" представлен в стандартизованной нотации sid в виде следующей строки:

S-1-5-32-544

Этот идентификатор безопасности содержит четыре компонента:

  • Уровень редакции (1)
  • Значение центра идентификатора (5, центр NT)
  • Идентификатор домена (32, встроенный)
  • Относительный идентификатор (544, администраторы)

Идентификаторы БЕЗОПАСНОСТИ для встроенных учетных записей и групп всегда имеют одинаковое значение идентификатора домена( 32). Это значение определяет домен, встроенный, который существует на каждом компьютере под управлением версии операционной системы Windows Server. Никогда не нужно различать встроенные учетные записи и группы одного компьютера от встроенных учетных записей и групп другого компьютера, так как они локальны в области. Они являются локальными для одного компьютера или, в случае контроллеров домена для сетевого домена, они являются локальными для нескольких компьютеров, которые выполняют роль одного.

Встроенные учетные записи и группы должны отличаться друг от друга в области встроенного домена. Таким образом, идентификатор безопасности для каждой учетной записи и группы имеет уникальный относительный идентификатор. Относительное значение идентификатора 544 уникально для встроенной группы администраторов. Ни другая учетная запись или группа в встроенном домене не имеют идентификатор безопасности с окончательным значением 544.

В другом примере рассмотрим идентификатор безопасности для глобальной группы администраторов домена. Каждый домен в организации имеет группу "Администраторы домена", а идентификатор безопасности для каждой группы отличается. В следующем примере представлен идентификатор безопасности для группы "Администраторы домена" в домене Contoso, Ltd. (contoso\Domain Admins):

S-1-5-21-1004336348-1177238915-682003330-512

Sid for Contoso\Domain Admins has:

  • Уровень редакции (1)
  • Центр идентификатора (5, центр NT)
  • Идентификатор домена (21-1004336348-1177238915-682003330, Contoso)
  • Относительный идентификатор (512, администраторы домена)

Идентификатор безопасности для администраторов домена Contoso\Domain отличается от идентификаторов БЕЗОПАСНОСТИ для других групп администраторов домена в том же предприятии по идентификатору домена: 21-1004336348-1177238915-682003330. Ни в другом домене предприятия не используется это значение в качестве идентификатора домена. Идентификатор безопасности для администраторов домена Contoso\Domain отличается от идентификаторов БЕЗОПАСНОСТИ для других учетных записей и групп, созданных в домене Contoso по относительному идентификатору 512. У другой учетной записи или группы в домене нет идентификатора безопасности с окончательным значением 512.

Относительное выделение идентификаторов

Когда учетные записи и группы хранятся в базе данных учетной записи, управляемой локальным диспетчером учетных записей безопасности (SAM), система может создать уникальный относительный идентификатор для каждой учетной записи и в группе, созданной на автономном компьютере. SAM на автономном компьютере может отслеживать относительные значения идентификаторов, которые он использовал ранее, и убедиться, что он никогда не использует их снова.

Однако в сетевом домене создание уникальных относительных идентификаторов является более сложным процессом. Сетевые домены Windows Server могут иметь несколько контроллеров домена. Каждый контроллер домена хранит сведения об учетной записи Active Directory. Это означает, что в сетевом домене существует столько копий базы данных учетной записи, сколько есть контроллеры домена. Кроме того, каждая копия базы данных учетной записи является главной копией.

Новые учетные записи и группы можно создавать на любом контроллере домена. Изменения, внесенные в Active Directory на одном контроллере домена, реплицируются на все остальные контроллеры домена в домене. Процесс репликации изменений в одной главной копии базы данных учетной записи во все остальные главные копии называется многомастерной операцией.

Процесс создания уникальных относительных идентификаторов — это одна главная операция. Одному контроллеру домена назначается роль главного контроллера RID, и она выделяет последовательность относительных идентификаторов каждому контроллеру домена в домене. При создании новой учетной записи домена или группы в одной реплике Active Directory контроллера домена она назначается идентификатор безопасности. Относительный идентификатор нового идентификатора безопасности берется из распределения относительных идентификаторов контроллера домена. Когда его поставка относительных идентификаторов начинает работать низко, контроллер домена запрашивает другой блок от главного сервера RID.

Каждый контроллер домена использует каждое значение в блоке относительных идентификаторов только один раз. Мастер RID выделяет каждый блок относительных значений идентификаторов только один раз. Этот процесс гарантирует, что каждая учетная запись и группа, созданные в домене, имеют уникальный относительный идентификатор.

Идентификаторы безопасности и глобальные уникальные идентификаторы

При создании нового пользователя домена или учетной записи группы Active Directory сохраняет идентификатор безопасности учетной записи в ObjectSID свойстве объекта User или Group. Он также назначает новый объект глобально уникальным идентификатором (GUID), который является 128-разрядным значением, уникальным не только в организации, но и по всему миру. Идентификаторы GUID назначаются каждому объекту, созданному Active Directory, а не только в объектах user и group. GUID каждого объекта хранится в своем ObjectGUID свойстве.

Active Directory внутренне использует идентификаторы GUID для идентификации объектов. Например, GUID является одним из свойств объекта, опубликованных в глобальном каталоге. Поиск в глобальном каталоге идентификатора GUID объекта пользователя дает результаты, если у пользователя есть учетная запись где-то в организации. На самом деле поиск любого объекта может быть наиболее надежным способом ObjectGUID поиска объекта, который требуется найти. Значения других свойств объекта могут изменяться, но ObjectGUID свойство никогда не меняется. Когда объект назначается GUID, он сохраняет это значение в течение жизни.

Если пользователь перемещается из одного домена в другой, пользователь получает новый идентификатор безопасности. Идентификатор безопасности для объекта группы не изменяется, так как группы остаются в домене, в котором они были созданы. Тем не менее, если люди перемещаются, их учетные записи могут перемещаться с ними. Если сотрудник переходит из Северная Америка в Европу, но остается в одной компании, администратор предприятия может переместить объект пользователя сотрудника, например Contoso\NoAm в Contoso\Europe. Если администратор делает это, объект User для учетной записи должен иметь новый идентификатор безопасности. Часть идентификатора домена, выданная в NoAm, уникальна для NoAm, поэтому идентификатор безопасности для учетной записи пользователя в Европе имеет другой идентификатор домена. Относительная часть идентификатора идентификатора является уникальной относительно домена, поэтому, если домен изменяется, относительный идентификатор также изменяется.

Когда объект User перемещается из одного домена в другой, для учетной записи пользователя необходимо создать новый идентификатор безопасности и сохранить его в свойстве ObjectSID . Перед записью нового значения в свойство предыдущее значение копируется в другое свойство объекта SIDHistoryUser. Это свойство может содержать несколько значений. Каждый раз, когда объект User перемещается в другой домен, создается и сохраняется ObjectSID в свойстве новый идентификатор безопасности, а в списке старых идентификаторов SIDHistoryБЕЗОПАСНОСТИ добавляется другое значение. Когда пользователь входит и успешно проходит проверку подлинности, служба проверки подлинности домена запрашивает Active Directory для всех идентификаторов БЕЗОПАСНОСТИ, связанных с пользователем, включая текущий идентификатор безопасности пользователя, старые идентификаторы БЕЗОПАСНОСТИ пользователя и идентификаторы БЕЗОПАСНОСТИ для групп пользователей. Все эти идентификаторы безопасности возвращаются клиенту проверки подлинности и включаются в маркер доступа пользователя. Когда пользователь пытается получить доступ к ресурсу, любой из идентификаторов БЕЗОПАСНОСТИ в маркере доступа (включая один из идентификаторов БЕЗОПАСНОСТИ в SIDHistory), может разрешить или запретить доступ пользователя.

Если вы разрешаете или запрещаете доступ пользователей к ресурсу на основе своих заданий, следует разрешить или запретить доступ к группе, а не отдельным пользователям. Таким образом, когда пользователи изменяют задания или переходят в другие отделы, вы можете легко настроить доступ, удалив их из определенных групп и добавив их в другие отделы.

Однако если вы разрешаете или запрещаете отдельным пользователям доступ к ресурсам, возможно, требуется, чтобы доступ этого пользователя оставался неизменным независимо от того, сколько раз изменяется домен учетной записи пользователя. Свойство SIDHistory делает это возможным. Когда пользователь изменяет домены, нет необходимости изменять список управления доступом (ACL) для любого ресурса. Если ACL имеет старый идентификатор безопасности пользователя, но не новый, старый идентификатор безопасности по-прежнему находится в маркере доступа пользователя. Он указан в списке идентификаторов безопасности для групп пользователей, а пользователь получает или запрещает доступ на основе старого идентификатора безопасности.

Известные идентификаторы БЕЗОПАСНОСТИ

Значения определенных идентификаторов безопасности являются постоянными во всех системах. Они создаются при установке операционной системы или домена. Они называются известными идентификаторами БЕЗОПАСНОСТИ, так как они определяют универсальных пользователей или универсальные группы.

Существуют универсальные хорошо известные идентификаторы БЕЗОПАСНОСТИ, значимые для всех безопасных систем, использующих эту модель безопасности, включая операционные системы, отличные от Windows. Кроме того, существуют известные идентификаторы БЕЗОПАСНОСТИ, которые имеют смысл только в операционных системах Windows.

Универсальные хорошо известные идентификаторы БЕЗОПАСНОСТИ перечислены в следующей таблице:

Значение Универсальный хорошо известный идентификатор безопасности Определяет
S-1-0-0 Null SID Группа без участников. Это часто используется, если не известно значение sid.
S-1-1-0 World Группа, включающая всех пользователей.
S-1-2-0 Local Пользователи, которые входят в терминалы, подключенные к системе локально (физически).
S-1-2-1 Вход в консоль Группа, включающая пользователей, выполнивших вход в физическую консоль.
S-1-3-0 Идентификатор владельца создателя Идентификатор безопасности, который будет заменен идентификатором безопасности пользователя, создавшего новый объект. Этот идентификатор безопасности используется в наследуемых записях управления доступом (ACEs).
S-1-3-1 Идентификатор группы Создателя Идентификатор безопасности, который будет заменен идентификатором безопасности основной группы пользователя, создавшего новый объект. Используйте этот идентификатор безопасности в наследуемых acEs.
S-1-3-2 Creator Owner Server (ВЛАДЕЛЕЦ-СОЗДАТЕЛЬ СЕРВЕР)
S-1-3-3 Creator Group Server (ГРУППА-СОЗДАТЕЛЬ СЕРВЕР)
S-1-3-4 Права владельца Группа, представляющая текущего владельца объекта. Если к объекту применяется ACE, который содержит этот идентификатор безопасности, система игнорирует неявные READ_CONTROL и WRITE_DAC разрешения для владельца объекта.
S-1-4 Неуникальное управление Идентификатор безопасности, представляющий центр идентификатора.
S-1-5 NT Authority (NT AUTHORITY) Идентификатор безопасности, представляющий центр идентификатора.
S-1-5-80-0 Все службы Группа, содержащая все процессы службы, настроенные в системе. Членство контролируется операционной системой.

В следующей таблице перечислены предопределенные константы центра идентификатора. Первые четыре значения используются с универсальными хорошо известными идентификаторами БЕЗОПАСНОСТИ, а остальные значения используются с хорошо известными идентификаторами БЕЗОПАСНОСТИ в операционных системах Windows в списке "Применимо к" в начале статьи.

Центр идентификации Значение Префикс строки SID
SECURITY_NULL_SID_AUTHORITY 0 S-1-0
SECURITY_WORLD_SID_AUTHORITY 1 S-1-1
SECURITY_LOCAL_SID_AUTHORITY 2 S-1-2
SECURITY_CREATOR_SID_AUTHORITY 3 S-1-3
SECURITY_NT_AUTHORITY 5 S-1-5
SECURITY_AUTHENTICATION_AUTHORITY 18 S-1-18

Следующие значения RID используются с универсальными хорошо известными идентификаторами БЕЗОПАСНОСТИ. В столбце центра идентификатора отображается префикс центра идентификатора, с которым можно объединить RID для создания универсального хорошо известного идентификатора безопасности.

Относительный центр идентификатора Значение Центр идентификации
SECURITY_NULL_RID 0 S-1-0
SECURITY_WORLD_RID 0 S-1-1
SECURITY_LOCAL_RID 0 S-1-2
SECURITY_CREATOR_OWNER_RID 0 S-1-3
SECURITY_CREATOR_GROUP_RID 1 S-1-3

Предопределенный центр идентификатора SECURITY_NT_AUTHORITY (S-1-5) создает идентификаторы БЕЗОПАСНОСТИ, которые не являются универсальными и значимы только в установках операционных систем Windows в списке "Применимо к" в начале этой статьи.

Известные идентификаторы безопасности перечислены в следующей таблице:

SID Отображаемое имя Описание
S-1-5-1 Dialup (УДАЛЕННЫЙ ДОСТУП) Группа, включающая всех пользователей, которые вошли в систему через подключение к телефонной связи.
S-1-5-113 Локальная учетная запись Этот идентификатор безопасности можно использовать при ограничении сетевого входа в локальные учетные записи вместо "администратора" или эквивалента. Этот идентификатор безопасности может быть эффективным при блокировке входа в сеть для локальных пользователей и групп по типу учетной записи независимо от их имен.
S-1-5-114 Локальная учетная запись и член группы "Администраторы" Этот идентификатор безопасности можно использовать при ограничении сетевого входа в локальные учетные записи вместо "администратора" или эквивалента. Этот идентификатор безопасности может быть эффективным при блокировке входа в сеть для локальных пользователей и групп по типу учетной записи независимо от их имен.
S-1-5-2 Сеть Группа, включающая всех пользователей, выполнивших вход через сетевое подключение. Маркеры доступа для интерактивных пользователей не содержат идентификатор безопасности сети.
S-1-5-3 Пакетная служба Группа, которая включает всех пользователей, выполнивших вход через пакетную очередь, например задания планировщика задач.
S-1-5-4 Интерактивно Группа, которая включает всех пользователей, которые входят в систему в интерактивном режиме. Пользователь может запустить интерактивный сеанс входа, открыв подключение служб удаленных рабочих столов с удаленного компьютера или с помощью удаленной оболочки, такой как Telnet. В каждом случае маркер доступа пользователя содержит интерактивный идентификатор безопасности. Если пользователь входит с помощью подключения к службам удаленных рабочих столов, маркер доступа пользователя также содержит идентификатор безопасности удаленного интерактивного входа.
S-1-5-5- X-Y Сеанс входа Значения X и Y для этих идентификаторов БЕЗОПАСНОСТИ однозначно определяют определенный сеанс входа.
S-1-5-6 Служба Группа, содержащая все субъекты безопасности, выполнившего вход в качестве службы.
S-1-5-7 Анонимный вход Пользователь, подключенный к компьютеру без указания имени пользователя и пароля.
Удостоверение анонимного входа отличается от удостоверения, используемого службами IIS для анонимного веб-доступа. Службы IIS используют фактическую учетную запись (по умолчанию IUSR_ComputerName) для анонимного доступа к ресурсам на веб-сайте. Строго говоря, такой доступ не является анонимным, так как субъект безопасности известен, даже если неопознанные люди используют учетную запись. IUSR_ComputerName (или имя учетной записи) имеет пароль, а службы IIS войдите в учетную запись при запуске службы. В результате пользователь IIS "анонимный" является членом прошедших проверку подлинности пользователей, но анонимный вход не является.
S-1-5-8 Proxy (Прокси) В настоящее время не применяется: этот идентификатор безопасности не используется.
S-1-5-9 Контроллеры домена предприятия Группа, содержащая все контроллеры домена в лесу доменов.
S-1-5-10 Самостоятельная Заполнитель в ACE для пользователя, группы или объекта компьютера в Active Directory. При предоставлении разрешений для Self вы предоставляете им субъекту безопасности, представленному объектом. Во время проверки доступа операционная система заменяет sid for Self идентификатором безопасности для субъекта безопасности, представленного объектом.
S-1-5-11 Прошедшие проверку пользователи Группа, включающая всех пользователей и компьютеров с удостоверениями, прошедшими проверку подлинности. Прошедшие проверку подлинности пользователи не включают гостевую учетную запись, даже если у гостевой учетной записи есть пароль.
Эта группа включает прошедшие проверку подлинности субъекты безопасности из любого доверенного домена, а не только текущего домена.
S-1-5-12 Ограниченный код Удостоверение, используемое процессом, выполняющимся в контексте ограниченной безопасности. В операционных системах Windows и Windows Server политика ограничения программного обеспечения может назначить коду один из трех уровней безопасности:
Unrestricted
Restricted
Disallowed
При выполнении кода на уровне безопасности с ограниченным доступом идентификатор безопасности добавляется в маркер доступа пользователя.
S-1-5-13 Пользователь сервера терминалов Группа, включающая всех пользователей, которые входят на сервер с включенными службами удаленных рабочих столов.
S-1-5-14 Удаленный интерактивный вход Группа, включающая всех пользователей, которые входят на компьютер с помощью подключения к удаленному рабочему столу. Эта группа представляет собой подмножество интерактивной группы. Маркеры доступа, содержащие идентификатор безопасности удаленного интерактивного входа, также содержат интерактивный идентификатор безопасности.
S-1-5-15 This Organization (Данная организация) Группа, включающая всех пользователей из одной организации. Включается только с учетными записями Active Directory и добавляется только контроллером домена.
S-1-5-17 IUSR Учетная запись, используемая пользователем служб IIS по умолчанию.
S-1-5-18 System (или LocalSystem) Удостоверение, которое используется локально операционной системой и службами, настроенными для входа в качестве LocalSystem.
Система является скрытым членом администраторов. То есть любой процесс, выполняющийся как система, имеет идентификатор безопасности для встроенной группы администраторов в маркере доступа.
Если процесс, выполняющийся локально в качестве системного доступа к сетевым ресурсам, он делает это с помощью удостоверения домена компьютера. Его маркер доступа на удаленном компьютере включает идентификатор безопасности для учетной записи домена локального компьютера и идентификаторы БЕЗОПАСНОСТИ для групп безопасности, членом которой является компьютер, например доменные компьютеры и прошедшие проверку подлинности пользователи.
S-1-5-19 NT Authority (LocalService) Удостоверение, используемое службами, которые являются локальными для компьютера, не нуждаются в обширном локальном доступе и не нуждаются в проверке подлинности сетевого доступа. Службы, работающие от имени LocalService, получают доступ к локальным ресурсам в качестве обычных пользователей, и они обращаются к сетевым ресурсам в качестве анонимных пользователей. В результате служба, которая выполняется как LocalService, имеет значительно меньше полномочий, чем служба, которая работает как LocalSystem локально и в сети.
S-1-5-20 Сетевая служба. Удостоверение, используемое службами, у которых нет необходимости в расширенном локальном доступе, но требуется прошедший проверку подлинности сетевой доступ. Службы, работающие как NetworkService, получают доступ к локальным ресурсам в качестве обычных пользователей и получают доступ к сетевым ресурсам с помощью удостоверения компьютера. В результате служба, которая выполняется как NetworkService, имеет тот же сетевой доступ, что и служба, которая работает как LocalSystem, но значительно сокращает локальный доступ.
S-1-5-domain-500 Администратор Учетная запись пользователя для системного администратора. У каждого компьютера есть локальная учетная запись администратора, а у каждого домена есть учетная запись администратора домена.
Учетная запись администратора — это первая учетная запись, созданная во время установки операционной системы. Учетную запись нельзя удалить, отключить или заблокировать, но ее можно переименовать.
По умолчанию учетная запись администратора является членом группы "Администраторы", и ее нельзя удалить из этой группы.
S-1-5-domain-501 Гость Учетная запись пользователя для пользователей, у которых нет отдельных учетных записей. У каждого компьютера есть локальная гостевая учетная запись, а у каждого домена есть гостевая учетная запись домена.
По умолчанию гость является членом групп "Все" и "Гости". Гостевая учетная запись домена также входит в группы "Гости домена" и "Пользователи домена".
В отличие от анонимного входа, гость является реальной учетной записью, и ее можно использовать для интерактивного входа. Гостевая учетная запись не требует пароля, но ее можно использовать.
S-1-5-domain-502 KRBTGT Учетная запись пользователя, используемая службой Центра распространения ключей (KDC). Учетная запись существует только на контроллерах домена.
S-1-5-domain-512 Администраторы домена Глобальная группа с участниками, которым разрешено администрировать домен. По умолчанию группа "Администраторы домена" входит в группу "Администраторы" на всех компьютерах, присоединенных к домену, включая контроллеры домена.
Администраторы домена — это владелец любого объекта по умолчанию, созданного в Active Directory домена любым членом группы. Если члены группы создают другие объекты, такие как файлы, владелец по умолчанию — это группа "Администраторы".
S-1-5-domain-513 Пользователи домена Глобальная группа, содержащая всех пользователей в домене. При создании объекта User в Active Directory пользователь автоматически добавляется в эту группу.
S-1-5-domain-514 Гости домена Глобальная группа, которая по умолчанию имеет только одного участника: встроенную гостевую учетную запись домена.
S-1-5-domain-515 Компьютеры домена Глобальная группа, содержащая все компьютеры, присоединенные к домену, за исключением контроллеров домена.
S-1-5-domain-516 Контроллеры домена Глобальная группа, содержащая все контроллеры домена в домене. Новые контроллеры домена добавляются в эту группу автоматически.
S-1-5-domain-517 Издатели сертификатов Глобальная группа, включающая все компьютеры, на которых размещен центр сертификации предприятия.
Издатели сертификатов авторизованы для публикации сертификатов для объектов пользователей в Active Directory.
S-1-5-root domain-518 Администраторы схемы Группа, которая существует только в корневом домене леса. Это универсальная группа, если домен находится в собственном режиме, и это глобальная группа, если домен находится в смешанном режиме. Группа администраторов схем имеет право вносить изменения в схему в Active Directory. По умолчанию единственным членом группы является учетная запись администратора корневого домена леса.
S-1-5-root domain-519 Администраторы предприятия Группа, которая существует только в корневом домене леса. Это универсальная группа, если домен находится в собственном режиме, и это глобальная группа, если домен находится в смешанном режиме.
Группа администраторов предприятия имеет право вносить изменения в инфраструктуру леса, например добавлять дочерние домены, настраивать сайты, авторизации DHCP-серверов и устанавливать корпоративные центры сертификации.
По умолчанию единственным членом администратора предприятия является учетная запись администратора корневого домена леса. Группа по умолчанию входит в каждую группу администраторов домена в лесу.
S-1-5-domain-520 Владельцы-создатели групповой политики Глобальная группа, авторизованная для создания новых объектов групповая политика в Active Directory. По умолчанию единственным членом группы является администратор.
Объекты, созданные членами групповая политика Владельцы создателей, принадлежат отдельному пользователю, создающему их. Таким образом, группа владельцев создателей групповая политика отличается от других административных групп (таких как администраторы и администраторы домена). Объекты, созданные членами этих групп, принадлежат группе, а не отдельным.
S-1-5-domain-553 Серверы RAS и IAS Локальная группа домена. По умолчанию у этой группы нет участников. Компьютеры, на которых запущена служба маршрутизации и удаленного доступа, добавляются в группу автоматически.
Члены этой группы имеют доступ к определенным свойствам объектов User, таким как ограничения на чтение учетных записей, сведения о входе в систему и сведения о удаленном доступе для чтения.
S-1-5-32-544 Администраторы Встроенная группа. После первоначальной установки операционной системы единственным членом группы является учетная запись администратора. Когда компьютер присоединяется к домену, группа "Администраторы домена" добавляется в группу "Администраторы". Когда сервер становится контроллером домена, группа "Администраторы предприятия" также добавляется в группу "Администраторы".
S-1-5-32-545 Пользователи Встроенная группа. После первоначальной установки операционной системы единственным участником является группа "Прошедшие проверку подлинности пользователей".
S-1-5-32-546 Гости Встроенная группа. По умолчанию единственным членом является гостевая учетная запись. Группа гостей позволяет случайным или одноразовым пользователям входить с ограниченными привилегиями во встроенную гостевую учетную запись компьютера.
S-1-5-32-547 Опытные пользователи Встроенная группа. По умолчанию группа не имеет участников. Power Users can create local users and groups; изменение и удаление созданных учетных записей; и удалите пользователей из групп "Power Users", "Пользователи" и "Гости". Power Users также может устанавливать программы; создание, управление и удаление локальных принтеров; создание и удаление общих папок.
S-1-5-32-548 Операторы учета Встроенная группа, которая существует только на контроллерах домена. По умолчанию группа не имеет участников. По умолчанию операторы учетных записей имеют разрешение на создание, изменение и удаление учетных записей для пользователей, групп и компьютеров во всех контейнерах и подразделениях Active Directory, кроме встроенного контейнера и подразделения контроллеров домена. Операторы учетных записей не имеют разрешения на изменение групп администраторов и администраторов домена и не имеют разрешения на изменение учетных записей для членов этих групп.
S-1-5-32-549 Операторы сервера Описание: встроенная группа, которая существует только на контроллерах домена. По умолчанию группа не имеет участников. Операторы сервера могут входить на сервер в интерактивном режиме; создание и удаление сетевых общих папок; запуск и остановка служб; резервное копирование и восстановление файлов; форматирование жесткого диска компьютера; и завершите работу компьютера.
S-1-5-32-550 Операторы печати Встроенная группа, которая существует только на контроллерах домена. По умолчанию единственным участником является группа "Пользователи домена". Операторы печати могут управлять принтерами и очередями документов.
S-1-5-32-551 Операторы архива Встроенная группа. По умолчанию группа не имеет участников. Операторы резервного копирования могут выполнять резервное копирование и восстановление всех файлов на компьютере независимо от разрешений, которые защищают эти файлы. Операторы резервного копирования также могут войти на компьютер и завершить работу.
S-1-5-32-552 Репликаторы Встроенная группа, используемая службой репликации файлов на контроллерах домена. По умолчанию группа не имеет участников. Не добавляйте пользователей в эту группу.
S-1-5-32-554 Builtin\Pre-Windows 2000 Compatible Access Псевдоним, добавленный Windows 2000. Группа обратной совместимости, которая разрешает доступ на чтение для всех пользователей и групп в домене.
S-1-5-32-555 Builtin\Remote Desktop Users Псевдоним. Участникам этой группы предоставляется право на удаленный вход.
S-1-5-32-556 Встроенные операторы конфигурации сети Псевдоним. Члены этой группы могут иметь некоторые права администратора для управления конфигурацией сетевых функций.
S-1-5-32-557 Builtin\Incoming Forest Trust Builders Псевдоним. Члены этой группы могут создавать входящие односторонние отношения доверия с этим лесом.
S-1-5-32-558 Builtin\Монитор производительности Users Псевдоним. Члены этой группы имеют удаленный доступ для мониторинга этого компьютера.
S-1-5-32-559 Builtin\Performance Log Users Псевдоним. Члены этой группы имеют удаленный доступ к расписанию ведения журнала счетчиков производительности на этом компьютере.
S-1-5-32-560 Builtin\Windows Authorization Access Group Псевдоним. Члены этой группы имеют доступ к вычисляемому атрибуту tokenGroupsGlobalAndUniversal в объектах User.
S-1-5-32-561 Builtin\Terminal Server License Servers Псевдоним. Группа для серверов лицензирования сервера терминалов. При установке Windows Server 2003 с пакетом обновления 1 (SP1) создается новая локальная группа.
S-1-5-32-562 Builtin\Distributed COM Users Псевдоним. Группа com для предоставления элементов управления доступом на уровне компьютера, которые управляют доступом ко всем запросам на вызов, активацию или запуск на компьютере.
S-1-5-32-568 Builtin\IIS_IUSRS Псевдоним. Встроенная учетная запись группы для пользователей IIS.
S-1-5-32-569 Встроенные операторы\криптографические операторы Встроенная локальная группа. Члены имеют право выполнять криптографические операции.
S-1-5-32-573 Builtin\Event Log Readers Встроенная локальная группа. Члены этой группы могут считывать журналы событий с локального компьютера.
S-1-5-32-574 Builtin\Certificate Service DCOM Access Встроенная локальная группа. Участникам этой группы разрешено подключаться к центрам сертификации на предприятии.
S-1-5-32-575 Встроенные серверы удаленного доступа RDS Встроенная локальная группа. Серверы в этой группе позволяют пользователям программ RemoteApp и личных виртуальных рабочих столов получать доступ к этим ресурсам. В развертываниях с выходом в Интернет эти серверы обычно развертываются в пограничной сети. Эта группа должна быть заполнена на серверах, на которых запущен брокер подключений к удаленным рабочим столам. Серверы шлюза удаленных рабочих столов и серверы веб-доступа к удаленным рабочим столам, используемые в развертывании, должны находиться в этой группе.
S-1-5-32-576 Встроенные серверы конечных точек RDS Встроенная локальная группа. Серверы в этой группе выполняют виртуальные машины и сеансы узлов, где работают программы RemoteApp и личные виртуальные рабочие столы. Эта группа должна быть заполнена на серверах с брокером подключений к удаленному рабочему столу. Серверы узла сеансов удаленных рабочих стола и серверы узла виртуализации удаленных рабочих стола, используемые в развертывании, должны находиться в этой группе.
S-1-5-32-577 Встроенные серверы управления RDS Встроенная локальная группа. Серверы в этой группе могут выполнять обычные административные действия на серверах, на которых работают службы удаленных рабочих столов. Эта группа должна быть заполнена на всех серверах в развертывании служб удаленных рабочих столов. Серверы, на которых запущена служба централизованного управления RDS, должны быть включены в эту группу.
S-1-5-32-578 Встроенные администраторы Hyper-V Встроенная локальная группа. Члены этой группы имеют полный и неограниченный доступ ко всем функциям Hyper-V.
S-1-5-32-579 Операторы помощи Builtin\контроль доступа Встроенная локальная группа. Члены этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на этом компьютере.
S-1-5-32-580 Builtin\Remote Management Users Встроенная локальная группа. Члены этой группы могут получать доступ к ресурсам инструментария управления Windows (WMI) через протоколы управления (например, WS-Management через службу удаленного управления Windows). Это относится только к пространствам имен WMI, предоставляющим доступ пользователю.
S-1-5-64-10 Проверка подлинности NTLM Идентификатор безопасности, используемый при проверке подлинности клиента в пакете проверки подлинности NTLM.
S-1-5-64-14 Проверка подлинности SChannel Идентификатор безопасности, используемый при проверке подлинности клиента в пакете проверки подлинности SChannel.
S-1-5-64-21 Дайджест-проверка подлинности Идентификатор безопасности, используемый при проверке подлинности клиента пакетом дайджест-проверки подлинности.
S-1-5-80 служба NT Идентификатор безопасности, используемый в качестве префикса учетной записи службы NT.
S-1-5-80-0 Все службы Группа, содержащая все процессы службы, настроенные в системе. Членство контролируется операционной системой. SID S-1-5-80-0 равно NT SERVICES\ALL SERVICES. Этот идентификатор безопасности появился в Windows Server 2008 R2.
S-1-5-83-0 ВИРТУАЛЬНАЯ МАШИНА NT\Виртуальные машины Встроенная группа. Группа создается при установке роли Hyper-V. Членство в группе поддерживается службой управления Hyper-V (VMMS). Для этой группы требуется право create Symbolic Links (SeCreateSymbolicLinkPrivilege) и log on as a Service right (SeServiceLogonRight).

Следующие идентификаторы RID относятся к каждому домену:

RID Десятичное значение Определяет
DOMAIN_USER_RID_ADMIN 500 Учетная запись администратора в домене.
DOMAIN_USER_RID_GUEST 501 Учетная запись гостевого пользователя в домене. Пользователи, у которых нет учетной записи, могут автоматически войти в эту учетную запись.
DOMAIN_GROUP_RID_USERS 513 Группа, содержащая все учетные записи пользователей в домене. Все пользователи автоматически добавляются в эту группу.
DOMAIN_GROUP_RID_GUESTS 514 Гостевая учетная запись группы в домене.
DOMAIN_GROUP_RID_COMPUTERS 515 Группа "Компьютер домена". Все компьютеры в домене являются членами этой группы.
DOMAIN_GROUP_RID_CONTROLLERS 516 Группа контроллеров домена. Все контроллеры домена в домене являются членами этой группы.
DOMAIN_GROUP_RID_CERT_ADMINS 517 Группа издателей сертификатов. Компьютеры с службами сертификатов Active Directory являются членами этой группы.
DOMAIN_GROUP_RID_SCHEMA_ADMINS 518 Группа администраторов схемы. Члены этой группы могут изменять схему Active Directory.
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS 519 Группа администраторов предприятия. Члены этой группы имеют полный доступ ко всем доменам в лесу Active Directory. Администраторы предприятия отвечают за операции на уровне леса, такие как добавление или удаление новых доменов.
DOMAIN_GROUP_RID_POLICY_ADMINS 520 Группа администраторов политик.

Примеры идентификаторов ИДЕНТИФИКАТОРов, относящихся к домену, которые используются для формирования хорошо известных идентификаторов БЕЗОПАСНОСТИ для локальных групп, приведены в следующей таблице:

RID Десятичное значение Определяет
DOMAIN_ALIAS_RID_ADMINS 544 Администраторы домена.
DOMAIN_ALIAS_RID_USERS 545 Все пользователи в домене.
DOMAIN_ALIAS_RID_GUESTS 546 Гости домена.
DOMAIN_ALIAS_RID_POWER_USERS 547 Пользователь или набор пользователей, которые ожидают рассматривать систему так, как если бы это был их личный компьютер, а не как рабочая станция для нескольких пользователей.
DOMAIN_ALIAS_RID_BACKUP_OPS 551 Локальная группа, используемая для управления назначением прав пользователя на резервное копирование и восстановление файлов.
DOMAIN_ALIAS_RID_REPLICATOR 552 Локальная группа, которая отвечает за копирование баз данных безопасности с основного контроллера домена на контроллеры резервного домена. Эти учетные записи используются только системой.
DOMAIN_ALIAS_RID_RAS_SERVERS 553 Локальная группа, представляющая удаленный доступ и серверы, на которых запущена служба проверки подлинности Интернета (IAS). Эта группа разрешает доступ к различным атрибутам объектов User.

Изменения в функциональных возможностях идентификаторов безопасности

Изменения реализации sid в операционных системах Windows описаны в следующей таблице:

Изменение Версия операционной системы Описание и ресурсы
Большинство файлов операционной системы принадлежат идентификатору безопасности TrustedInstaller (SID) Windows Server 2008, Windows Vista Цель этого изменения заключается в том, чтобы предотвратить автоматическую замену файлов операционной системы в качестве администратора или учетной записи LocalSystem.
Реализованы ограниченные проверки безопасности безопасности Windows Server 2008, Windows Vista При ограничении идентификаторов безопасности Windows выполняет две проверки доступа. Первый — обычная проверка доступа, а вторая — это та же проверка доступа к ограничивающим идентификаторам безопасности в маркере. Обе проверки доступа должны пройти, чтобы разрешить процессу доступ к объекту.

Идентификаторы безопасности возможностей

Идентификаторы безопасности возможностей используются для уникальной и неизменной идентификации возможностей, представляющих неизменяемый маркер полномочий, который предоставляет доступ к ресурсам (например, документам, камере и расположению) универсальным приложениям Windows. Приложению с возможностью предоставляется доступ к ресурсу, с которым связана эта возможность, и тот, с которым не имеет возможности, запрещен доступ к ресурсу.

Все идентификаторы безопасности возможностей, о которых известно операционной системе, хранятся в реестре Windows в пути "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities". В это расположение будут добавлены все идентификаторы безопасности возможностей, добавленные в Windows сторонними или сторонними приложениями.

Примеры разделов реестра, взятых из Windows 10 версии 1909, 64-разрядного выпуска Enterprise

В разделе AllCachedCapabilities могут появиться следующие разделы реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

Все идентификаторы безопасности возможностей имеют префикс S-1-15-3.

Примеры разделов реестра, взятых из Windows 11 версии 21H2, 64-разрядного выпуска Enterprise

В разделе AllCachedCapabilities могут появиться следующие разделы реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

Все идентификаторы безопасности возможностей имеют префикс S-1-15-3.

См. также раздел