Поделиться через


Идентификаторы безопасности

В этой статье описывается, как идентификаторы безопасности работают с учетными записями и группами в операционной системе Windows Server.

Что такое SID?

SID используется для уникальной идентификации участника безопасности или группы безопасности. Участники безопасности могут представлять любой объект, подлинность которого может быть выполнена операционной системой. Примерами могут служить учетная запись пользователя, учетная запись компьютера, поток или процесс, выполняемый в контексте безопасности пользователя или учетной записи компьютера.

Каждая учетная запись или группа или каждый процесс, выполняемый в контексте безопасности учетной записи, имеет уникальный идентификатор безопасности, выданный центром, например контроллером домена Windows. Идентификатор безопасности хранится в базе данных безопасности. Система создает идентификатор безопасности, определяющий определенную учетную запись или группу во время создания учетной записи или группы. Если идентификатор безопасности используется в качестве уникального идентификатора пользователя или группы, он никогда больше не может быть использован для идентификации другого пользователя или группы.

При каждом входе пользователя система создает маркер доступа для этого пользователя. Маркер доступа содержит идентификатор безопасности пользователя, права пользователя и идентификаторы SID для всех групп, к которому принадлежит пользователь. Этот маркер предоставляет контекст безопасности для любых действий, выполняемых пользователем на этом компьютере.

Помимо уникально созданных идентификаторов безопасности домена, назначенных определенным пользователям и группам, существуют известные идентификаторы SID, определяющие универсальные группы и универсальные пользователи. Например, идентификаторы безопасности «Все» и «Мир» определяют группу, включающую всех пользователей. Известные идентификаторы SID имеют значения, которые остаются постоянными во всех операционных системах.

SiD — это базовый стандартный блок модели безопасности Windows. Они работают с определенными компонентами технологий авторизации и контроля доступа в инфраструктуре безопасности операционных систем Windows Server. Такая конструкция помогает защитить доступ к сетевым ресурсам и обеспечивает более безопасную вычислительную среду.

Примечание.

Это содержимое относится только к версиям Windows в списке "Применимо к" в начале статьи.

Как работают SID

Пользователи обращаются к аккаунтам по имени аккаунта. На внутреннем уровне операционная система относится к учетным записям и процессам, которые выполняются в контексте безопасности учетной записи с использованием их идентификаторов безопасности. Для учетных записей домена идентификатор безопасности субъекта безопасности создается путем объединения идентификатора безопасности домена с относительным идентификатором (RID) для учетной записи. Идентификаторы SID уникальны в пределах области (домен или локальный), и они никогда не используются повторно.

Операционная система создает идентификатор безопасности, определяющий определенную учетную запись или группу во время создания учетной записи или группы. Для локальной учетной записи или группы идентификатор безопасности (LSA) на компьютере генерирует идентификатор безопасности. SID хранится вместе с другими сведениями учетной записи в защищенной области реестра. Для учетной записи или группы домена центр безопасности домена создает идентификатор безопасности. Этот тип идентификатора безопасности хранится в качестве атрибута объекта «Пользователь» или «Группа» в доменных службах Active Directory.

Для каждой локальной учетной записи и группы идентификатор безопасности уникален для компьютера, на котором он создан. Две учетные записи или группы на компьютере никогда не используют одинаковый идентификатор безопасности. Аналогичным образом для каждой учетной записи домена и группы идентификатор безопасности является уникальным в пределах предприятия. В результате идентификатор безопасности учетной записи или группы в одном домене никогда не совпадает с идентификатором безопасности учетной записи или группы в любом другом домене предприятия.

Идентификаторы SID всегда остаются уникальными. Власти безопасности никогда не выдают один и тот же идентификатор безопасности дважды, и они никогда не используют идентификаторы SID для удаленных учетных записей. Например, если пользователь с учетной записью пользователя в домене Windows покидает свою работу, администратор удаляет свою учетную запись Active Directory, включая идентификатор безопасности, определяющий учетную запись. Если позже они возвращаются к другому заданию в той же компании, администратор создает новую учетную запись, а операционная система Windows Server создает новый идентификатор безопасности. Новый идентификатор безопасности не соответствует старому, поэтому ни один из пользователей из старой учетной записи не передается в новую учетную запись. Обе учетные записи представляют два разных субъекта безопасности.

Архитектура SID

SID — это структура данных в двоичном формате, содержащая переменное количество значений. Первые значения в структуре содержат сведения о структуре SID. Остальные значения упорядочены в иерархию (подобно номеру телефона) и идентифицируют центр выдачи SID (например, NT Authority), домен, выдающий SID, и конкретного участника или группу безопасности. На следующем рисунке показана структура идентификатора безопасности.

Схема, показывающая архитектуру идентификатора безопасности и иллюстрирующая компоненты идентификатора домена и относительного идентификатора.

Отдельные значения идентификатора безопасности описаны в следующей таблице:

Компонент Описание
Исправление Указывает версию структуры SID, которая используется в определенном идентификаторе безопасности.
Центр идентификатора Определяет самый высокий уровень власти, который может выдавать идентификаторы безопасности для определенного типа субъекта безопасности. Например, значение центра идентификатора в идентификаторе безопасности для группы "Все" равно 1 (World Authority). Значение центра идентификатора в идентификаторе безопасности для определенной учетной записи Или группы Windows Server — 5 (NT Authority).
Вложенные проверки подлинности Содержит самые важные сведения в идентификаторе безопасности, который содержится в ряде значений подавторности или нескольких. Все значения до, но не включая, последнее значение в серии коллективно определяет домен в организации. Эта часть серии называется идентификатором домена. Последнее значение в ряду, RID, идентифицирует конкретную учетную запись или группу относительно домена.

Компоненты идентификатора безопасности проще визуализировать при преобразовании идентификаторов SID из двоичного файла в строковый формат с помощью стандартной нотации:

S-R-X-Y1-Y2-Yn-1-Yn

В этой нотации компоненты идентификатора безопасности описаны в следующей таблице:

Компонент Описание
С Указывает, что строка является идентификатором безопасности
Р Указывает уровень редакции
X Указывает значение центра идентификатора
У Представляет ряд значений subauthority, где n — число значений

Наиболее важные сведения идентификатора безопасности содержатся в ряде значений подавторности. Первая часть серии (-Y1-Y2-Y2-Y-n-1) — это идентификатор домена. Этот элемент SID становится значимым на предприятии с несколькими доменами. В частности, идентификатор домена отличает идентификаторы безопасности, выданные одним доменом, от идентификаторов безопасности, которые выдают все остальные домены в корпоративном домене. Два домена в организации не используют один и тот же идентификатор домена.

Последним элементом в ряду значений подполномочий (-Yn) является RID. Он отличает одну учетную запись или группу от всех других учетных записей и групп в домене. Нет двух учетных записей или групп в каком-либо домене, использующих один и тот же RID.

Например, идентификатор безопасности для встроенной группы администраторов представлен в стандартизованной нотации SID следующим образом:

С-1-5-32-544

Этот идентификатор безопасности содержит четыре компонента:

  • Уровень редакции (1)
  • Значение центра идентификатора (5, центр NT)
  • Идентификатор домена (32, Встроенный)
  • МПОГ (544, Администраторы)

Идентификаторы SID для встроенных учетных записей и групп всегда имеют одно и то же значение идентификатора домена, 32. Это значение определяет домен Builtin, который существует на каждом компьютере под управлением версии операционной системы Windows Server. Никогда не нужно различать встроенные учетные записи и группы одного компьютера от встроенных учетных записей и групп другого компьютера, так как они локальны в области. Они являются локальными для одного компьютера или, в случае контроллеров домена для сетевого домена, они локальны для нескольких компьютеров, которые действуют как один.

Встроенные учетные записи и группы должны отличаться друг от друга в пределах области встроенного домена. Таким образом, идентификатор безопасности для каждой учетной записи и группы имеет уникальный идентификатор безопасности. Значение RID 544 является уникальным для встроенной группы «Администраторы». В встроенном домене нет другой учетной записи или группы с конечным значением 544.

В другом примере рассмотрим идентификатор безопасности для глобальной группы администраторов домена. Каждый домен в организации имеет группу администраторов домена, а идентификатор безопасности для каждой группы отличается. В следующем примере представлен идентификатор безопасности для группы "Администраторы домена" в домене Contoso, Ltd. (Contoso\Domain Admins):

С-1-5-21-1004336348-1177238915-682003330-512

SID для Contoso\Domain Admins содержит следующие компоненты:

  • Уровень редакции (1)
  • Центр идентификатора (5, центр NT)
  • Идентификатор домена (21-1004336348-1177238915-682003330, Contoso)
  • RID (512, Администраторы домена)

Идентификатор безопасности для администраторов домена Contoso\Domain отличается от идентификаторов SID для других групп администраторов домена в том же предприятии по идентификатору домена: 21-1004336348-1177238915-68200330. Ни один другой домен в организации не использует это значение в качестве идентификатора домена. SID для Contoso\Domain Admins отличается от SID для других учетных записей и групп, созданных в домене Contoso, с помощью идентификатора RID 512. В домене нет другой учетной записи или группы с конечным значением 512.

Распределение RID

Когда учетные записи и группы хранятся в базе данных учетных записей, управляемой локальным менеджером учетных записей безопасности (SAM), системе довольно легко создать уникальный идентификатор RID для каждой учетной записи и группы, создаваемой на автономном компьютере. SAM на автономном компьютере может отслеживать значения RID, которые он использовал, и гарантировать, что он никогда больше не будет их использовать.

Однако в сетевой области генерация уникальных RID является более сложным процессом. Сетевые домены Windows Server могут иметь несколько контроллеров домена. Каждый контроллер домена хранит сведения об учетной записи Active Directory. В результате, в сетевом домене существует столько же копий базы данных учетной записи, сколько контроллеров домена. Кроме того, каждая копия базы данных учетной записи является главной копией.

Новые учетные записи и группы можно создать на любом контроллере домена. Изменения, внесенные в Active Directory на одном контроллере домена, реплицируются ко всем другим контроллерам домена в домене. Процесс репликации изменений в одной главной копии базы данных учетной записи во все остальные главные копии называется многомастерной операцией.

Процесс создания уникальных РИД является операцией с одним ведущим. Одному контроллеру домена назначается роль главного устройства RID, и он выделяет последовательность идентификаторов RID каждому контроллеру домена в домене. При создании новой учетной записи домена или группы в одной реплике контроллера домена Active Directory он назначается идентификатор безопасности. RID для нового идентификатора безопасности берется из выделенных контроллером домена идентификаторов RID. Когда запас RID начинает заканчиваться, контроллер домена запрашивает еще один блок у мастера RID.

Каждый контроллер домена использует каждое значение в блоке RID только один раз. Мастер RID выделяет каждый блок значений RID только один раз. Этот процесс гарантирует, что каждая учетная запись и группа, созданные в домене, имеют уникальный идентификатор RID.

Идентификаторы безопасности и глобальные уникальные идентификаторы

При создании новой учетной записи домена или учетной записи группы Active Directory сохраняет идентификатор безопасности учетной записи в ObjectSID свойстве объекта User или Group. Он также назначает новый объект глобально уникальным идентификатором (GUID), который является 128-разрядным значением, уникальным не только в организации, но и во всем мире. GUID назначается каждому объекту, создаваемому Active Directory, а не только объектам пользователей и групп. GUID каждого объекта хранится в своем ObjectGUID свойстве.

Active Directory внутренне использует идентификаторы GUID для идентификации объектов. Например, GUID является одним из свойств объекта, опубликованных в глобальном каталоге. Поиск глобального каталога для GUID объекта пользователя приводит к результатам, если у пользователя есть учетная запись в организации. На самом деле поиск любого объекта ObjectGUID может быть самым надежным способом поиска объекта, который требуется найти. Значения других свойств объекта могут изменяться, но ObjectGUID свойство никогда не изменяется. Когда объект назначается GUID, он сохраняет это значение для жизни.

Если пользователь перемещается из одного домена в другой, пользователь получает новый идентификатор безопасности. SID для объекта группы не изменяется, так как группы остаются в домене, в котором они были созданы. Однако, если люди перемещаются, их учетные записи могут перемещаться с ними. Если сотрудник переходит из Северная Америка в Европу, но остается в той же компании, администратор предприятия может переместить объект пользователя сотрудника, например Contoso\NoAm в Contoso\Europe. В этом случае объекту User для учетной записи требуется новый идентификатор безопасности. Часть идентификатора домена, выданная в NoAm, уникальна для NoAm, поэтому идентификатор безопасности учетной записи пользователя в Европе имеет другой идентификатор домена. Часть идентификатора безопасности RID уникальна относительно домена, поэтому при изменении домена изменяется и идентификатор RID.

Когда объект User перемещается из одного домена в другой, новый идентификатор безопасности должен быть создан для учетной записи пользователя и сохранен в свойстве ObjectSID . Перед записью нового значения в свойство предыдущее значение копируется в другое свойство объекта SIDHistoryUser. Это свойство может содержать несколько значений. Каждый раз, когда объект User перемещается в другой домен, создается новый SID, который сохраняется в свойстве ObjectSID , а в список старых SID в SIDHistory значении добавляется еще одно значение. Когда пользователь входит в систему и успешно проходит проверку подлинности, служба проверки подлинности домена запрашивает в Active Directory все идентификаторы безопасности, связанные с пользователем. Запрос включает текущий идентификатор безопасности пользователя, старые идентификаторы безопасности пользователя и идентификаторы безопасности для групп пользователя. Все эти идентификаторы безопасности возвращаются клиенту проверки подлинности, и они включены в маркер доступа пользователя. Когда пользователь пытается получить доступ к ресурсу, любой из идентификаторов безопасности в маркере доступа (включая один из идентификаторов безопасности в свойстве SIDHistory ) может разрешить или запретить пользователю доступ.

Вы можете разрешить или запретить пользователям доступ к ресурсу в зависимости от их заданий. Но вы должны разрешить или запретить доступ группе, а не отдельному человеку. Таким образом, когда пользователи изменяют задания или переходят в другие отделы, вы можете легко настроить доступ, удалив их из определенных групп и добавив их в другие.

Тем не менее, если вы разрешаете или отклоняете отдельный доступ пользователей к ресурсам, возможно, вы хотите, чтобы доступ этого пользователя оставался неизменным независимо от того, сколько раз изменяется домен учетной записи пользователя. Собственность SIDHistory позволяет сохранить доступ таким же. Если пользователь изменяет домены, на любом ресурсе нет необходимости изменять список управления доступом (ACL). ACL может иметь старый SID пользователя, но не новый. Но старый SID все еще находится в токене доступа пользователя. Он указан среди идентификаторов БЕЗОПАСНОСТИ для групп пользователей, и пользователь получает или запрещает доступ на основе старого идентификатора безопасности.

Известные идентификаторы SID

Значения определенных идентификаторов SID являются постоянными во всех системах. Они создаются при установке операционной системы или домена. Они называются известными идентификаторами БЕЗОПАСНОСТИ, так как они определяют универсальных пользователей или универсальные группы.

Существуют универсальные известные идентификаторы SID, значимые для всех безопасных систем, использующих эту модель безопасности, включая операционные системы, отличные от Windows. Кроме того, существуют известные идентификаторы SID, которые имеют смысл только в операционных системах Windows.

В следующей таблице перечислены универсальные известные идентификаторы безопасности:

Универсальный известный идентификатор БЕЗОПАСНОСТИ Имя Определяет
С-1-0-0 Нулевой SID Группа без участников. Это значение часто используется, когда значение SID неизвестно.
С-1-1-0 Мир Группа, которая включает всех пользователей.
С-1-2-0 Локальный Пользователи, которые входят в терминалы, которые локально (физически) подключены к системе.
С-1-2-1 Вход в консоль Группа, включающая пользователей, вошедших в физическую консоль.
С-1-3-0 Идентификатор владельца создателя Идентификатор безопасности, который должен быть заменен идентификатором безопасности пользователя, создающего новый объект. Этот идентификатор безопасности используется в наследуемых записях управления доступом (ACEs).
С-1-3-1 Идентификатор группы создателей Идентификатор безопасности, который должен быть заменен идентификатором безопасности первичной группы пользователя, создающего новый объект. Используйте этот идентификатор безопасности в наследуемых acEs.
С-1-3-2 Сервер владельца Заполнитель в наследуемом объекте ACE. Когда ACE наследуется, система заменяет этот идентификатор безопасности идентификатором безопасности для сервера владельца объекта и сохраняет сведения о том, кто создал заданный объект или файл.
С-1-3-3 Сервер группы Заполнитель в наследуемом объекте ACE. При наследовании ACE система заменяет этот SID на SID для сервера группы объекта. В системе также хранится информация о группах, которым разрешено работать с объектом.
С-1-3-4 Права владельца Группа, представляющая текущего владельца объекта. Когда к объекту применяется элемент ACE, несущий этот идентификатор безопасности, система игнорирует неявные READ_CONTROL и WRITE_DAC стандартные права доступа для владельца объекта.
С-1-4 Неуникальное управление Идентификатор безопасности, представляющий центр идентификатора.
С-1-5 NT Authority (NT AUTHORITY) Идентификатор безопасности, представляющий центр идентификатора.
С-1-5-80-0 Все службы Группа, которая включает все процессы службы, настроенные в системе. Операционная система контролирует членство в этой группе.

В следующей таблице перечислены предопределенные константы центра идентификатора. Первые четыре значения используются с универсальными известными идентификаторами SID, а остальные значения используются с известными идентификаторами SID в операционных системах Windows в списке "Применимо к" в начале статьи.

Центр идентификатора Значение Префикс строки SID
АВТОРИТЕТ БЕЗОПАСНОСТИ_NULL_SID 0 С-1-0
SECURITY_WORLD_SID_AUTHORITY 1 С-1-1
УДАЛЕННЫЙ_ИСТОЧНИК_БЕЗОПАСНОСТИ_AUTHORITY 2 С-1-2
АВТОРИТЕТ SID СОЗДАТЕЛЯ БЕЗОПАСНОСТИ 3 С-1-3
SECURITY_NT_AUTHORITY 5 С-1-5
SECURITY_AUTHENTICATION_AUTHORITY 18 С-1-18

Следующие значения RID используются с универсальными известными идентификаторами SID. В столбце центра идентификатора показан префикс центра идентификатора, с которым можно объединить RID для создания универсального хорошо известного идентификатора БЕЗОПАСНОСТИ.

Орган МПОГ Значение Центр идентификатора
Without additional context on whether this term has a standardized translation or if it should remain in English in this specific case, no further translation is proposed. A qualified translator or domain expert could recommend the best approach based on the specific use case and industry conventions. 0 С-1-0
БЕЗОПАСНОСТЬ_МИРА_RID 0 С-1-1
ИДЕНТИФИКАТОР_БЕЗОПАСНОСТИ_ЛОКАЛЬНЫЙ 0 С-1-2
SECURITY_CREATOR_OWNER_RID 0 С-1-3
SECURITY_CREATOR_GROUP_RID 1 С-1-3

Предопределенный центр управления идентификаторами SECURITY_NT_AUTHORITY (S-1-5) создает идентификаторы безопасности, которые не являются универсальными. Эти идентификаторы SID имеют смысл только в установках операционных систем Windows из списка «Применимо к» в начале этой статьи.

В следующей таблице перечислены известные идентификаторы безопасности:

идентификатор безопасности (SID) отображаемое имя; Описание
С-1-5-1 Dialup (УДАЛЕННЫЙ ДОСТУП) Группа, которая включает всех пользователей, которые вошли в систему через подключение к телефону.
С-1-5-113 Локальная учетная запись Идентификатор безопасности, который можно использовать при ограничении входа по сети локальными учетными записями, а не учетными записями администратора или эквивалентными учетными записями. Этот идентификатор безопасности может быть эффективным для блокировки входа в сеть для локальных пользователей и групп по типу учетной записи независимо от их имени.
С-1-5-114 Локальная учетная запись и член группы администраторов Идентификатор безопасности, который можно использовать при ограничении входа по сети локальными учетными записями, а не учетными записями администратора или эквивалентными учетными записями. Этот идентификатор безопасности может быть эффективным для блокировки входа в сеть для локальных пользователей и групп по типу учетной записи независимо от их имени.
С-1-5-2 Сеть Группа, которая включает всех пользователей, вошедших через сетевое подключение. Маркеры доступа для интерактивных пользователей не содержат идентификатор безопасности сети.
С-1-5-3 Пакетная служба Группа, включающая всех пользователей, вошедших в систему с помощью функции пакетной очереди, например заданий планировщика задач.
С-1-5-4 Интерактивный Группа, которая включает всех пользователей, которые вошли в интерактивный режим. Пользователь может запустить интерактивный сеанс входа, открыв подключение служб удаленных рабочих столов с удаленного компьютера или с помощью удаленной оболочки, например Telnet. В каждом случае маркер доступа пользователя содержит интерактивный идентификатор БЕЗОПАСНОСТИ. Если пользователь входит с помощью подключения к службам удаленных рабочих столов, маркер доступа пользователя также содержит идентификатор безопасности удаленного интерактивного входа.
С-1-5-5-5- Х-У Сеанс входа Определенный сеанс входа. Значения X и Y для идентификаторов безопасности в этом формате уникальны для каждого сеанса входа.
С-1-5-6 Услуга Группа, включающая всех участников безопасности, вошедших в систему как служба.
С-1-5-7 Анонимный вход Пользователь, который подключается к компьютеру без указания имени пользователя и пароля.
Удостоверение анонимного входа отличается от удостоверения, используемого службы IIS (IIS) для анонимного веб-доступа. IIS использует реальную учетную запись — по умолчанию IUSR_имя-компьютера — для анонимного доступа к ресурсам на веб-сайте. Строго говоря, такой доступ не является анонимным, так как субъект безопасности известен, хотя неопознанные люди используют учетную запись. IUSR_computer-name (или как вы называете учетную запись) имеет пароль, и IIS входит в учетную запись при запуске службы. В результате анонимный пользователь IIS является членом аутентифицированных пользователей, а анонимный вход — нет.
С-1-5-8 Proxy (Прокси) Идентификатор безопасности, который в настоящее время не используется.
С-1-5-9 Контроллеры домена предприятия Группа, содержащая все контроллеры домена в лесу доменов.
С-1-5-10 Себя Заполнитель в ACE для пользователя, группы или объекта компьютера в Active Directory. Когда вы предоставляете разрешения Self, вы предоставляете их участнику безопасности, которого представляет объект. Во время проверки доступа операционная система заменяет идентификатор безопасности для себя на идентификатор безопасности для участника безопасности, который представляет объект.
С-1-5-11 Пользователи, прошедшие проверку подлинности Группа, содержащая всех пользователей и компьютеров с удостоверениями, прошедшими проверку подлинности. Аутентифицированные пользователи не включают гостевую учетную запись, даже если у этой учетной записи есть пароль.
Эта группа включает прошедшие проверку подлинности субъекты безопасности из любого доверенного домена, а не только текущего домена.
С-1-5-12 Ограниченный код Удостоверение, используемое процессом, выполняющимся в контексте ограниченной безопасности. В операционных системах Windows и Windows Server политика ограничения программного обеспечения может назначить одному из трех уровней безопасности коду:
Unrestricted
Restricted
Disallowed
При выполнении кода на уровне безопасности с ограниченным доступом идентификатор безопасности добавляется в маркер доступа пользователя.
С-1-5-13 Пользователь сервера терминала Группа, которая включает всех пользователей, которые входят на сервер с включенными службами удаленных рабочих столов.
С-1-5-14 Удаленный интерактивный вход Группа, которая включает всех пользователей, которые вошли на компьютер с помощью подключения к удаленному рабочему столу. Эта группа представляет собой подмножество интерактивной группы. Маркеры доступа, содержащие идентификатор безопасности удаленного интерактивного входа, также содержат интерактивный идентификатор БЕЗОПАСНОСТИ.
С-1-5-15 This Organization (Данная организация) Группа, которая включает всех пользователей из одной организации. Эта группа включается только в учетные записи Active Directory и добавляется только контроллером домена.
С-1-5-17 IUSR Учетная запись, используемая пользователем IIS по умолчанию.
С-1-5-18 System (или LocalSystem) Удостоверение, которое используется локально операционной системой и службами, настроенными для входа в качестве LocalSystem.
Система является скрытым членом администраторов. Это означает, что любой процесс, выполняемый от имени System, имеет идентификатор безопасности для встроенной группы «Администраторы» в маркере доступа.
Когда процесс, выполняющийся локально в качестве системного доступа к сетевым ресурсам, он делает это с помощью удостоверения домена компьютера. Его маркер доступа на удаленном компьютере включает идентификатор безопасности для учетной записи домена локального компьютера, а также идентификаторы SID для групп безопасности, в которые входит компьютер, например доменные компьютеры и прошедшие проверку подлинности пользователи.
С-1-5-19 Центр NT (LocalService) Удостоверение, используемое службами, которые являются локальными для компьютера, не нуждаются в обширном локальном доступе и не нуждаются в доступе к сети с проверкой подлинности. Службы, работающие как LocalService, могут обращаться к локальным ресурсам как обычные пользователи, а сетевые ресурсы — как анонимные пользователи. В результате служба, которая выполняется как LocalService, имеет значительно меньше полномочий, чем служба, которая выполняется как LocalSystem локально и в сети.
С-1-5-20 Сетевая служба Удостоверение, используемое службами, которые не нуждаются в обширном локальном доступе, но требуются прошедшие проверку подлинности сетевого доступа. Службы, работающие как NetworkService, могут получать доступ к локальным ресурсам как обычные пользователи и получать доступ к сетевым ресурсам с помощью удостоверения компьютера. В результате служба, работающая как NetworkService, имеет такой же доступ к сети, как и служба, работающая как LocalSystem, но ее локальный доступ значительно ограничен.
S-1-5-domain-500 Администратор Учетная запись пользователя для системного администратора. У каждого компьютера есть учетная запись локального администратора, а у каждого домена есть учетная запись администратора домена.
Учетная запись администратора — это первая учетная запись, созданная во время установки операционной системы. Учетная запись не может быть удалена, отключена или заблокирована, но ее можно переименовать.
По умолчанию учетная запись администратора входит в группу "Администраторы", и ее нельзя удалить из этой группы.
S-1-5-domain-501 Гость Учетная запись пользователя для пользователей, у которых нет отдельных учетных записей. У каждого компьютера есть локальная гостевая учетная запись, а у каждого домена есть учетная запись гостевого домена.
По умолчанию гость является членом групп "Все" и "Гости". Гостевая учетная запись домена также входит в группы "Гости домена" и "Пользователи домена".
В отличие от анонимного входа, гостевой является реальной учетной записью, и ее можно использовать для интерактивного входа. Для гостевой учетной записи не требуется пароль, но он может иметь один.
S-1-5-domain-502 КРБТГТ Учетная запись пользователя, используемая службой Центра распространения ключей (KDC). Учетная запись существует только на контроллерах домена.
S-1-5-domain-512 Администраторы домена Глобальная группа с участниками, которым разрешено администрировать домен. По умолчанию группа «Администраторы домена» является членом группы «Администраторы» на всех компьютерах, присоединенных к домену, включая контроллеры домена.
Администраторы домена по умолчанию являются владельцем любого объекта, созданного в Active Directory домена любым членом группы. Если члены группы создают другие объекты, например файлы, владелец по умолчанию — это группа "Администраторы".
S-1-5-domain-513 Пользователи домена Глобальная группа, содержащая всех пользователей в домене. При создании нового объекта User в Active Directory пользователь автоматически добавляется в эту группу.
S-1-5-domain-514 Гости домена Глобальная группа, которая по умолчанию имеет только одного члена: встроенную гостевую учетную запись домена.
S-1-5-domain-515 Компьютеры домена Глобальная группа, включающая все компьютеры, присоединенные к домену, за исключением контроллеров домена.
S-1-5-domain-516 Контроллеры доменов Глобальная группа, содержащая все контроллеры домена в домене. Новые контроллеры домена добавляются в эту группу автоматически.
S-1-5-domain-517 Издатели сертификатов Глобальная группа, которая включает все компьютеры, на которых размещен корпоративный центр сертификации.
Издатели сертификатов авторизованы на публикацию сертификатов для объектов пользователей в Active Directory.
S-1-5-root domain-518 Администраторы схемы Группа, которая существует только в корневом домене леса. Это универсальная группа, если домен находится в собственном режиме, и это глобальная группа, если домен находится в смешанном режиме. Группа администраторов схемы авторизована на внесение изменений в схему в Active Directory. По умолчанию единственным членом группы является учетная запись администратора корневого домена леса.
S-1-5-root domain-519 Администраторы предприятия Группа, которая существует только в корневом домене леса. Это универсальная группа, если домен находится в собственном режиме, и это глобальная группа, если домен находится в смешанном режиме.
Группа Enterprise Admins уполномочена вносить изменения в инфраструктуру леса. Примеры включают добавление дочерних доменов, настройку сайтов, авторизацию серверов протокола DHCP (Dynamic Host Configuration Protocol) и установку корпоративных центров сертификации.
По умолчанию единственным участником корпоративных администраторов является учетная запись администратора корневого домена леса. Группа является членом каждой группы администраторов домена по умолчанию в лесу.
S-1-5-domain-520 Владельцы-создатели групповой политики Глобальная группа, авторизованная для создания объектов групповой политики в Active Directory. По умолчанию единственным членом группы является администратор.
Когда член группы «Создатели и владельцы» создает объект, этот участник становится его владельцем. Таким образом, группа владельцев групповой политики отличается от других административных групп (таких как администраторы и администраторы домена). Когда член этих групп создает объект, группа становится владельцем объекта, а не отдельного человека.
S-1-5-domain-521 Контроллеры домена только для чтения Глобальная группа, содержащая все контроллеры домена только для чтения.
S-1-5-domain-522 Клонируемые контроллеры Глобальная группа, содержащая все контроллеры домена в домене, которые можно клонировать.
S-1-5-domain-525 Защищенные пользователи Глобальная группа, которой предоставлена дополнительная защита от угроз безопасности аутентификации.
S-1-5-root domain-526 Администраторы ключей Группа, предназначенная для использования в сценариях, в которых за изменение этого атрибута отвечают доверенные внешние центры. Только доверенные администраторы должны быть сделаны членом этой группы.
S-1-5-domain-527 Администраторы корпоративных ключей Группа, предназначенная для использования в сценариях, в которых за изменение этого атрибута отвечают доверенные внешние центры. Только доверенные администраторы предприятия должны быть членами этой группы.
С-1-5-32-544 Администраторы Встроенная группа. После первоначальной установки операционной системы единственным членом группы является учетная запись администратора. Когда компьютер присоединяется к домену, группа администраторов домена добавляется в группу администраторов. Когда сервер становится контроллером домена, группа "Администраторы предприятия" также добавляется в группу "Администраторы".
С-1-5-32-545 Пользователи Встроенная группа. После первоначальной установки операционной системы единственным членом является группа прошедших проверку подлинности пользователей.
С-1-5-32-546 Гости Встроенная группа. По умолчанию единственным членом является гостевая учетная запись. Группа гостей позволяет случайным или однократным пользователям входить с ограниченными привилегиями в встроенную гостевую учетную запись компьютера.
С-1-5-32-547 Опытные пользователи Встроенная группа. По умолчанию группа не имеет членов. Опытные пользователи могут:
  • Создавайте локальных пользователей и группы.
  • Изменяйте и удаляйте созданные ими учетные записи.
  • Удалите пользователей из групп «Опытные пользователи», «Пользователи» и «Гости».
  • Установите программы.
  • Создание, управление и удаление локальных принтеров.
  • Создание и удаление общих папок.
  • С-1-5-32-548 Операторы учета Встроенная группа, которая существует только на контроллерах домена. По умолчанию группа не имеет членов. По умолчанию операторы учетных записей имеют разрешение на создание, изменение и удаление учетных записей для пользователей, групп и компьютеров во всех контейнерах и подразделениях Active Directory, за исключением встроенного контейнера и подразделения контроллеров домена. У операторов учетных записей нет прав на изменение групп «Администраторы» и «Администраторы домена». У них также нет разрешения изменять учетные записи участников этих групп.
    С-1-5-32-549 Операторы сервера Встроенная группа, которая существует только на контроллерах домена. По умолчанию группа не имеет членов. Операторы серверов могут:
  • Войдите на сервер в интерактивном режиме.
  • Создание и удаление сетевых ресурсов.
  • Запуск и остановка услуг.
  • Резервное копирование и восстановление файлов.
  • Отформатируйте жесткий диск компьютера.
  • Выключите компьютер.
  • С-1-5-32-550 Операторы печати Встроенная группа, которая существует только на контроллерах домена. По умолчанию единственным членом является группа "Пользователи домена". Операторы печати могут управлять принтерами и очередями документов.
    С-1-5-32-551 Операторы архива Встроенная группа. По умолчанию группа не имеет членов. Операторы резервного копирования могут создавать резервные копии и восстанавливать все файлы на компьютере независимо от разрешений, которые защищают эти файлы. Операторы резервного копирования также могут войти на компьютер и завершить работу.
    С-1-5-32-552 Репликаторы Встроенная группа, поддерживающая репликацию файлов в домене. По умолчанию группа не имеет членов. Не добавляйте пользователей в эту группу.
    S-1-5-domain-553 Серверы RAS и IAS Локальная группа домена. По умолчанию эта группа не имеет членов. Компьютеры, на которых запущена служба маршрутизации и удаленного доступа, добавляются в группу автоматически.
    Члены этой группы имеют доступ к определенным свойствам объектов Пользователей, таким как ограничения для чтения учетных записей, сведения о входе в систему и сведения о удаленном доступе для чтения.
    С-1-5-32-554 Встроенный\совместимый доступ с Windows 2000 Группа обратной совместимости, которая разрешает доступ на чтение для всех пользователей и групп в домене.
    С-1-5-32-555 Встроенные\пользователи удаленного рабочего стола Псевдоним. Члены этой группы получают право удаленного входа.
    С-1-5-32-556 Встроенные операторы конфигурации сети Псевдоним. Члены этой группы могут иметь некоторые административные привилегии для управления конфигурацией сетевых функций.
    С-1-5-32-557 Встроенные\Входящие построитель доверия леса Псевдоним. Члены этой группы могут создавать входящие односторонние доверительные отношения с лесом.
    С-1-5-32-558 Встроенные\Монитор производительности пользователи Псевдоним. Члены этой группы имеют удаленный доступ для мониторинга компьютера.
    С-1-5-32-559 Встроенные\пользователи журнала производительности Псевдоним. Члены этой группы имеют удаленный доступ к запланированию ведения журнала счетчиков производительности на компьютере.
    С-1-5-32-560 Встроенная\группа доступа к авторизации Windows Псевдоним. Члены этой группы имеют доступ к атрибуту computed tokenGroupsGlobalAndUniversal в объектах User.
    С-1-5-32-561 Встроенные\серверы лицензирования сервера терминалов Псевдоним. Группа для серверов лицензий сервера терминалов.
    С-1-5-32-562 Встроенные\распределенные com-пользователи Псевдоним. Группа для пользователей модели COM (Component Object Model) для обеспечения контроля доступа на уровне компьютера, который управляет доступом ко всем запросам на вызов, активацию или запуск на компьютере.
    С-1-5-32-568 Buildin\IIS_IUSRS Псевдоним. Встроенная учетная запись группы для пользователей IIS.
    С-1-5-32-569 Встроенные\криптографические операторы Встроенная локальная группа. Членам разрешено выполнение операций криптографии
    S-1-5-domain-571 Разрешенная группа репликации паролей RODC Группа с участниками, чьи пароли могут реплицироваться на все контроллеры домена, доступные только для чтения в домене.
    S-1-5-domain-572 Группа репликации паролей RODC отказано Группа, участники которой не могут реплицировать свои пароли на все контроллеры домена, доступные только для чтения в домене.
    С-1-5-32-573 Средства чтения журналов событий Buildin\Event Встроенная локальная группа. Члены этой группы могут считывать журналы событий с локального компьютера.
    С-1-5-32-574 Buildin\Certificate Service DCOM Access Встроенная локальная группа. Членам этой группы разрешено подключаться к центрам сертификации на предприятии.
    С-1-5-32-575 Встроенные серверы удаленного доступа RDS Встроенная локальная группа. Серверы этой группы предоставляют доступ к этим ресурсам пользователям программ RemoteApp и персональным виртуальным рабочим столам. В развертываниях, подключенных к Интернету, эти серверы обычно развертываются в пограничной сети. Эта группа должна быть заполнена на серверах, на которых работает брокер подключений к удаленному рабочему столу (RD Connection Broker). Серверы шлюза удаленных рабочих столов (RD Gateway) и серверы веб-доступа к удаленным рабочим столам (RD Web Access), используемые в развертывании, должны быть в этой группе.
    С-1-5-32-576 Встроенные\серверы конечных точек RDS Встроенная локальная группа. На серверах в этой группе работают виртуальные машины и размещаются сеансы, в которых работают пользовательские программы RemoteApp и личные виртуальные рабочие столы. Эта группа должна быть заполнена на серверах, на которых запущен брокер подключений к удаленным рабочим столам. В эту группу должны входить серверы узла сеансов удаленного рабочего стола (узел сеансов удаленного рабочего стола) и серверы узла виртуализации удаленных рабочих столов (узел виртуализации удаленных рабочих столов) (узел виртуализации удаленных рабочих столов), используемые в развертывании.
    С-1-5-32-577 Встроенные\серверы управления RDS Встроенная локальная группа. Серверы в этой группе могут выполнять рутинные административные действия на серверах, на которых работают службы удаленных рабочих столов. Эта группа должна быть заполнена на всех серверах в развертывании служб удаленных рабочих столов. Серверы, на которых работает служба централизованного управления службами удаленных рабочих столов, должны быть включены в эту группу.
    С-1-5-32-578 Встроенные\Администраторы Hyper-V Встроенная локальная группа. Члены этой группы имеют полный и неограниченный доступ ко всем функциям Hyper-V.
    С-1-5-32-579 Операторы помощи buildin\контроль доступа Встроенная локальная группа. Члены этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на компьютере.
    С-1-5-32-580 Встроенные\пользователи удаленного управления Встроенная локальная группа. Члены этой группы могут получать доступ к ресурсам инструментария управления Windows (WMI) через протоколы управления, такие как веб-службы для управления (WS-Management) через службу удаленного управления Windows. Этот доступ применяется только к пространствам имен WMI, предоставляющим доступ пользователю.
    С-1-5-64-10 Проверка подлинности NTLM SID, который используется, когда пакет проверки подлинности New Technology LAN Manager (NTLM) проверяет подлинность клиента.
    С-1-5-64-14 Проверка подлинности SChannel Идентификатор безопасности, который используется, когда пакет проверки подлинности Secure Channel (Schannel) проверяет подлинность клиента.
    С-1-5-64-21 Дайджест-проверка подлинности Идентификатор безопасности, используемый при проверке подлинности пакета дайджест-проверки подлинности клиента.
    С-1-5-80 Служба NT Идентификатор безопасности, используемый в качестве префикса учетной записи службы новых технологий (NT Service).
    С-1-5-80-0 Все службы Группа, содержащая все процессы службы, настроенные в системе. Операционная система контролирует членство в этой группе. Идентификатор S-1-5-80-0 представляет NT SERVICES\ALL SERVICES.
    С-1-5-83-0 ВИРТУАЛЬНАЯ МАШИНА NT\Виртуальные машины Встроенная группа. Группа создается при установке роли Hyper-V. Служба управления Hyper-V (VMMS) поддерживает членство в этой группе. Для этой группы требуется право "Создать символьные ссылки " (SeCreateSymbolicLinkPrivilege) и войдите в систему в качестве службы справа (SeServiceLogonRight).

    Следующие идентификаторы идентификаторов относятся к каждому домену:

    ИЗБАВЛЯТЬ Десятичная величина Определяет
    DOMAIN(ДОМЕН)_USER(ПОЛЬЗОВАТЕЛЬ)_RID_ADMIN(АДМИНИСТРАТОР) 500 Учетная запись администратора в домене.
    DOMAIN_USER_RID_GUEST 501 Учетная запись гостевого пользователя в домене. Пользователи, у которых нет учетной записи, могут автоматически войти в эту учетную запись.
    DOMAIN_GROUP_RID_USERS 513 Группа, содержащая все учетные записи пользователей в домене. Все пользователи автоматически добавляются в эту группу.
    ИД_ГРУППЫ_ДОМЕНА_ГОСТИ 514 Гостевая учетная запись группы в домене.
    DOMAIN_GROUP_RID_КОМПЬЮТЕРЫ 515 Группа "Компьютер домена". Все компьютеры в домене являются членами этой группы.
    DOMAIN_GROUP_RID_CONTROLLERS 516 Группа контроллеров домена. Все контроллеры домена в домене являются членами этой группы.
    ГРУППА_ДОМЕНА_RID_АДМИНИСТРАТОРЫ_СЕРТИФИКАТОВ 517 Группа издателей сертификатов. В эту группу входят компьютеры, на которых работают службы сертификации Active Directory.
    администраторы схемы в группе домена 518 Группа администраторов схемы. Члены этой группы могут изменять схему Active Directory.
    ГРУППА_ДОМЕНА_RID_АДМИНИСТРАТОРЫ_ПРЕДПРИЯТИЯ 519 Группа администраторов предприятия. Члены этой группы имеют полный доступ ко всем доменам в лесу Active Directory. Администраторы предприятия отвечают за операции на уровне леса, такие как добавление или удаление новых доменов.
    DOMAIN_GROUP_RID_POLICY_ADMINS 520 Группа администраторов политик.

    В следующей таблице перечислены примеры идентификаторов RID, относящихся к домену, которые используются для формирования известных идентификаторов безопасности для локальных групп.

    ИЗБАВЛЯТЬ Десятичная величина Определяет
    ДОМЕН_АЛИАС_ИДЕНТИФИКАТОР_АДМИНИСТРАТОРЫ 4 млн долл. США Администраторы домена.
    DOMAIN_ALIAS_RID_USERS 545 Все пользователи в домене.
    DOMAIN_ALIAS_RID_ГОСТИ 546 Гости домена.
    УЧЕТНАЯ ЗАПИСЬ_АЛИАС_RID_ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ 547 Пользователь или набор пользователей, которые ожидают рассматривать систему, как если бы это был личный компьютер, а не как рабочая станция для нескольких пользователей.
    DOMAIN_ALIAS_RID_BACKUP_OPS 551 Локальная группа, используемая для управления назначением прав пользователя резервного копирования и восстановления файлов.
    DOMAIN_ALIAS_RID_REPLICATOR 552 Локальная группа, которая отвечает за копирование баз данных безопасности с основного контроллера домена на контроллеры домена резервного копирования. Эти учетные записи используются только системой.
    DOMAIN_ALIAS_RID_RAS_SERVERS 553 Локальная группа, представляющая удаленный доступ и серверы, на которых запущена служба проверки подлинности Интернета (IAS). Эта группа предоставляет доступ к различным атрибутам объектов User.

    Изменения в функциональности SID

    В следующей таблице описаны изменения в реализации SID в операционных системах Windows.

    Изменение Версия операционной системы Описание и ресурсы
    SID TrustedInstaller владеет большинством файлов операционной системы Windows Server 2008, Windows Vista Целью этого изменения является предотвращение автоматической замены файлов операционной системы в качестве администратора или учетной записи LocalSystem.
    Реализованы ограниченные проверки безопасности безопасности Windows Server 2008, Windows Vista При ограничении идентификаторов SID windows выполняет две проверки доступа. Первый — это обычная проверка доступа, а второй — это та же проверка доступа к ограничивающим идентификаторам в маркере. Обе проверки доступа должны передаваться, чтобы разрешить процессу доступ к объекту.

    Идентификаторы безопасности возможностей

    SID возможностей служат уникальными и неизменяемыми идентификаторами возможностей. Возможность представляет собой не поддающийся подделке знак полномочий, который предоставляет универсальным приложениям Windows доступ к ресурсам (например, к документам, камерам и расположениям). Приложению, у которого есть возможность, предоставляется доступ к ресурсу, с которым эта возможность связана. Приложению, у которого нет возможности, отказывают в доступе к ресурсу.

    Все идентификаторы безопасности возможностей, о которых известно операционной системе, хранятся в реестре Windows по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities. В это расположение добавляется все идентификаторы безопасности возможностей, добавленные в Windows корпорацией Майкрософт или партнерскими приложениями.

    Примеры разделов реестра, взятых из Выпуска Windows 10 версии 1909, 64-разрядной версии Enterprise

    В разделе AllCachedCapabilities могут появиться следующие разделы реестра:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

    Префиксом всех SID с возможностями является S-1-15-3.

    Примеры разделов реестра, взятых из Выпуска Windows 11 версии 21H2, 64-разрядной версии Enterprise

    В разделе AllCachedCapabilities могут появиться следующие разделы реестра:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

    Префиксом всех SID с возможностями является S-1-15-3.

    См. также