Идентификаторы безопасности
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
В этой статье описывается, как идентификаторы безопасности работают с учетными записями и группами в операционной системе Windows Server.
Что такое идентификаторы безопасности?
Идентификатор безопасности используется для уникальной идентификации субъекта безопасности или группы безопасности. Субъекты безопасности могут представлять любую сущность, которая может быть проверена операционной системой, например учетной записью пользователя, учетной записью компьютера или потоком или процессом, выполняющимся в контексте безопасности учетной записи пользователя или компьютера.
Каждая учетная запись или группа или каждый процесс, выполняемый в контексте безопасности учетной записи, имеет уникальный идентификатор безопасности, выданный центром, например контроллером домена Windows. Идентификатор безопасности хранится в базе данных безопасности. Система создает идентификатор безопасности, определяющий определенную учетную запись или группу во время создания учетной записи или группы. Если идентификатор безопасности используется в качестве уникального идентификатора для пользователя или группы, он никогда не может использоваться повторно для идентификации другого пользователя или группы.
При каждом входе пользователя система создает маркер доступа для этого пользователя. Маркер доступа содержит идентификатор безопасности пользователя, права пользователя и идентификаторы SID для всех групп, к которому принадлежит пользователь. Этот маркер предоставляет контекст безопасности для любых действий, выполняемых пользователем на этом компьютере.
Помимо уникально созданных идентификаторов безопасности домена, назначенных определенным пользователям и группам, существуют известные идентификаторы SID, определяющие универсальные группы и универсальные пользователи. Например, идентификаторы "Все" и "Мир " определяют группу, включающую всех пользователей. Известные идентификаторы SID имеют значения, которые остаются постоянными во всех операционных системах.
SiD — это базовый стандартный блок модели безопасности Windows. Они работают с определенными компонентами технологий авторизации и контроля доступа в инфраструктуре безопасности операционных систем Windows Server. Это помогает защитить доступ к сетевым ресурсам и обеспечить более безопасную вычислительную среду.
Заметка
Это содержимое относится только к версиям Windows в списке "Применимо к" в начале статьи.
Как работают идентификаторы безопасности
Пользователи ссылаются на учетные записи по имени учетной записи, но операционная система внутренне относится к учетным записям и процессам, которые выполняются в контексте безопасности учетной записи с помощью их идентификаторов безопасности. Для учетных записей домена идентификатор безопасности субъекта безопасности создается путем объединения идентификатора безопасности домена с относительным идентификатором (RID) для учетной записи. Идентификаторы SID уникальны в пределах области (домен или локальный), и они никогда не используются повторно.
Операционная система создает идентификатор безопасности, определяющий определенную учетную запись или группу во время создания учетной записи или группы. Идентификатор безопасности для локальной учетной записи или группы создается локальным центром безопасности (LSA) на компьютере, и он хранится с другими сведениями об учетной записи в безопасной области реестра. Идентификатор безопасности учетной записи домена или группы создается центром безопасности домена, и он хранится в качестве атрибута объекта User или Group в доменных службах Active Directory.
Для каждой локальной учетной записи и группы идентификатор безопасности является уникальным для компьютера, на котором он был создан. Две учетные записи или группы на компьютере никогда не используют одинаковый идентификатор безопасности. Аналогичным образом для каждой учетной записи домена и группы идентификатор безопасности является уникальным в пределах предприятия. Это означает, что идентификатор безопасности для учетной записи или группы, созданной в одном домене, никогда не будет соответствовать идентификатору безопасности для учетной записи или группы, созданной в любом другом домене предприятия.
Идентификаторы SID всегда остаются уникальными. Власти безопасности никогда не выдают один и тот же идентификатор безопасности дважды, и они никогда не используют идентификаторы SID для удаленных учетных записей. Например, если пользователь с учетной записью пользователя в домене Windows покидает свою работу, администратор удаляет свою учетную запись Active Directory, включая идентификатор безопасности, определяющий учетную запись. Если позже они возвращаются к другому заданию в той же компании, администратор создает новую учетную запись, а операционная система Windows Server создает новый идентификатор безопасности. Новый идентификатор безопасности не соответствует старому, поэтому ни один из пользователей из старой учетной записи не передается в новую учетную запись. Обе учетные записи представляют два разных субъекта безопасности.
Архитектура идентификатора безопасности
Идентификатор безопасности — это структура данных в двоичном формате, содержащая переменное число значений. Первые значения в структуре содержат сведения о структуре SID. Остальные значения упорядочивается в иерархии (аналогично номеру телефона), и они определяют центр выдачи sid (например, NT Authority), домен, выдавающий идентификатор безопасности, и конкретный субъект безопасности или группу. На следующем рисунке показана структура идентификатора безопасности.
Отдельные значения идентификатора безопасности описаны в следующей таблице:
| Комментарии | Description |
|---|---|
| Исправление | Указывает версию структуры SID, которая используется в определенном идентификаторе безопасности. |
| Центр идентификатора | Определяет самый высокий уровень власти, который может выдавать идентификаторы безопасности для определенного типа субъекта безопасности. Например, значение центра идентификатора в идентификаторе безопасности для группы "Все" равно 1 (World Authority). Значение центра идентификатора в идентификаторе безопасности для определенной учетной записи Или группы Windows Server — 5 (NT Authority). |
| Вложенные проверки подлинности | Содержит самые важные сведения в идентификаторе безопасности, который содержится в ряде значений подавторности или нескольких. Все значения до, но не включая, последнее значение в серии коллективно определяет домен в организации. Эта часть серии называется идентификатором домена. Последнее значение в серии, которое называется относительным идентификатором (RID), определяет определенную учетную запись или группу относительно домена. |
Компоненты идентификатора безопасности проще визуализировать при преобразовании идентификаторов SID из двоичного файла в строковый формат с помощью стандартной нотации:
S-R-X-Y1-Y2-Yn-1-Yn
В этой нотации компоненты идентификатора безопасности описаны в следующей таблице:
| Комментарии | Description |
|---|---|
| С | Указывает, что строка является идентификатором безопасности |
| R | Указывает уровень редакции |
| Х | Указывает значение центра идентификатора |
| Y | Представляет ряд значений subauthority, где n — число значений |
Наиболее важные сведения идентификатора безопасности содержатся в ряде значений подавторности. Первая часть серии (-Y1-Y2-Y2-Y-n-1) — это идентификатор домена. Этот элемент безопасности становится значительным в организации с несколькими доменами, так как идентификатор домена отличает идентификаторы SID, выданные одним доменом от идентификаторов SID, выданных всеми другими доменами предприятия. Два домена в организации не используют один и тот же идентификатор домена.
Последний элемент в серии значений subauthority (-Yn) является относительным идентификатором. Он отличает одну учетную запись или группу от всех других учетных записей и групп в домене. Ни одна учетная запись или группы в любом домене не используют одинаковый относительный идентификатор.
Например, идентификатор безопасности для встроенной группы администраторов представлен в стандартизованной нотации SID следующим образом:
S-1-5-32-544
Этот идентификатор безопасности содержит четыре компонента:
- Уровень редакции (1)
- Значение центра идентификатора (5, центр NT)
- Идентификатор домена (32, Встроенный)
- Относительный идентификатор (544, администраторы)
Идентификаторы SID для встроенных учетных записей и групп всегда имеют одно и то же значение идентификатора домена, 32. Это значение определяет домен, встроенный, который существует на каждом компьютере под управлением версии операционной системы Windows Server. Никогда не нужно различать встроенные учетные записи и группы одного компьютера от встроенных учетных записей и групп другого компьютера, так как они локальны в области. Они являются локальными для одного компьютера или, в случае контроллеров домена для сетевого домена, они являются локальными для нескольких компьютеров, которые работают в качестве одного.
Встроенные учетные записи и группы должны отличаться друг от друга в пределах области встроенного домена. Таким образом, идентификатор безопасности для каждой учетной записи и группы имеет уникальный относительный идентификатор. Относительное значение идентификатора 544 уникально для встроенной группы администраторов. В встроенном домене нет другой учетной записи или группы с конечным значением 544.
В другом примере рассмотрим идентификатор безопасности для глобальной группы администраторов домена. Каждый домен в организации имеет группу администраторов домена, а идентификатор безопасности для каждой группы отличается. В следующем примере представлен идентификатор безопасности для группы "Администраторы домена" в домене Contoso, Ltd. (Contoso\Domain Admins):
S-1-5-21-1004336348-1177238915-682003330-512
Идентификатор безопасности для администраторов домена Contoso\Domain:
- Уровень редакции (1)
- Центр идентификатора (5, центр NT)
- Идентификатор домена (21-1004336348-1177238915-682003330, Contoso)
- Относительный идентификатор (512, администраторы домена)
Идентификатор безопасности для администраторов домена Contoso\Domain отличается от идентификаторов SID для других групп администраторов домена в том же предприятии по идентификатору домена: 21-1004336348-1177238915-68200330. Ни один другой домен в организации не использует это значение в качестве идентификатора домена. Идентификатор безопасности для администраторов домена Contoso\Domain отличается от идентификаторов SID для других учетных записей и групп, созданных в домене Contoso по его относительному идентификатору 512. В домене нет другой учетной записи или группы с конечным значением 512.
Относительное выделение идентификаторов
Если учетные записи и группы хранятся в базе данных учетных записей, управляемой локальным диспетчером учетных записей безопасности (SAM), система может создать уникальный относительный идентификатор для каждой учетной записи и в группе, созданной на автономном компьютере. SAM на автономном компьютере может отслеживать относительные значения идентификаторов, которые он использовал раньше, и убедиться, что он никогда не использует их снова.
Однако в сетевом домене создание уникальных относительных идентификаторов является более сложным процессом. Сетевые домены Windows Server могут иметь несколько контроллеров домена. Каждый контроллер домена хранит сведения об учетной записи Active Directory. Это означает, что в сетевом домене существует столько копий базы данных учетной записи, сколько есть контроллеры домена. Кроме того, каждая копия базы данных учетной записи является главной копией.
Новые учетные записи и группы можно создать на любом контроллере домена. Изменения, внесенные в Active Directory на одном контроллере домена, реплицируются ко всем другим контроллерам домена в домене. Процесс репликации изменений в одной главной копии базы данных учетной записи во все остальные главные копии называется многомастерной операцией.
Процесс создания уникальных относительных идентификаторов — это однозначная операция. Одному контроллеру домена назначена роль главного контроллера RID, и она выделяет последовательность относительных идентификаторов каждому контроллеру домена в домене. При создании новой учетной записи домена или группы в одной реплике контроллера домена Active Directory он назначается идентификатор безопасности. Относительный идентификатор нового идентификатора безопасности берется из выделения контроллера домена относительных идентификаторов. При низком уровне предоставления относительных идентификаторов контроллер домена запрашивает другой блок от главного контроллера домена.
Каждый контроллер домена использует каждое значение в блоке относительных идентификаторов только один раз. Мастер RID выделяет каждый блок относительных значений идентификаторов только один раз. Этот процесс гарантирует, что каждая учетная запись и группа, созданная в домене, имеет уникальный относительный идентификатор.
Идентификаторы безопасности и глобальные уникальные идентификаторы
При создании новой учетной записи домена или учетной записи группы Active Directory сохраняет идентификатор безопасности учетной записи в ObjectSID свойстве объекта User или Group. Он также назначает новый объект глобально уникальным идентификатором (GUID), который является 128-разрядным значением, уникальным не только в организации, но и во всем мире. Идентификаторы GUID назначаются каждому объекту, созданному Active Directory, а не только в объектах user и group. GUID каждого объекта хранится в своем ObjectGUID свойстве.
Active Directory внутренне использует идентификаторы GUID для идентификации объектов. Например, GUID является одним из свойств объекта, опубликованных в глобальном каталоге. Поиск глобального каталога для GUID объекта пользователя приводит к результатам, если у пользователя есть учетная запись в организации. На самом деле поиск любого объекта ObjectGUID может быть самым надежным способом поиска объекта, который требуется найти. Значения других свойств объекта могут изменяться, но ObjectGUID свойство никогда не изменяется. Когда объект назначается GUID, он сохраняет это значение для жизни.
Если пользователь перемещается из одного домена в другой, пользователь получает новый идентификатор безопасности. Идентификатор безопасности для объекта группы не изменяется, так как группы остаются в домене, где они были созданы. Однако, если люди перемещаются, их учетные записи могут перемещаться с ними. Если сотрудник переходит из Северной Америки в Европу, но остается в той же компании, администратор предприятия может переместить объект пользователя сотрудника, например Contoso\NoAm в Contoso\Europe. Если администратор делает это, объект User для учетной записи должен иметь новый идентификатор безопасности. Часть идентификатора домена, выданная в NoAm, уникальна для NoAm, поэтому идентификатор безопасности учетной записи пользователя в Европе имеет другой идентификатор домена. Относительная часть идентификатора идентификатора является уникальной относительно домена, поэтому если домен изменяется, относительный идентификатор также изменяется.
Когда объект User перемещается из одного домена в другой, новый идентификатор безопасности должен быть создан для учетной записи пользователя и сохранен в свойстве ObjectSID . Перед записью нового значения в свойство предыдущее значение копируется в другое свойство объекта SIDHistoryUser. Это свойство может содержать несколько значений. Каждый раз, когда объект User перемещается в другой домен, создается и хранится новый идентификатор безопасности в свойствеObjectSID, а другое значение добавляется в список старых идентификаторов SID.SIDHistory Когда пользователь входит и успешно проходит проверку подлинности, служба проверки подлинности домена запрашивает Active Directory для всех идентификаторов SID, связанных с пользователем, включая текущий идентификатор безопасности пользователя, старые идентификаторы безопасности пользователя и идентификаторы SID для групп пользователей. Все эти идентификаторы безопасности возвращаются клиенту проверки подлинности, и они включены в маркер доступа пользователя. Когда пользователь пытается получить доступ к ресурсу, любой из идентификаторов SID в маркере доступа (включая один из идентификаторов SID в SIDHistory), может разрешить или запретить пользователю доступ.
Если вы разрешаете или отклоняете доступ пользователей к ресурсу на основе своих заданий, необходимо разрешить или запретить доступ к группе, а не отдельным лицам. Таким образом, когда пользователи изменяют задания или переходят в другие отделы, вы можете легко настроить доступ, удалив их из определенных групп и добавив их в другие.
Тем не менее, если вы разрешаете или отклоняете отдельный доступ пользователей к ресурсам, возможно, вы хотите, чтобы доступ этого пользователя оставался неизменным независимо от того, сколько раз изменяется домен учетной записи пользователя. Это SIDHistory свойство позволяет сделать это возможным. Если пользователь изменяет домены, на любом ресурсе нет необходимости изменять список управления доступом (ACL). Если ACL имеет старый идентификатор безопасности пользователя, но не новый, старый идентификатор безопасности по-прежнему находится в маркере доступа пользователя. Он указан среди идентификаторов БЕЗОПАСНОСТИ для групп пользователей, и пользователь получает или запрещает доступ на основе старого идентификатора безопасности.
Известные идентификаторы SID
Значения определенных идентификаторов SID являются постоянными во всех системах. Они создаются при установке операционной системы или домена. Они называются известными идентификаторами БЕЗОПАСНОСТИ, так как они определяют универсальных пользователей или универсальные группы.
Существуют универсальные известные идентификаторы SID, значимые для всех безопасных систем, использующих эту модель безопасности, включая операционные системы, отличные от Windows. Кроме того, существуют известные идентификаторы SID, которые имеют смысл только в операционных системах Windows.
Универсальные известные идентификаторы SID перечислены в следующей таблице:
| значение | Универсальный известный идентификатор БЕЗОПАСНОСТИ | Определяет |
|---|---|---|
| S-1-0-0 | Null SID | Группа без участников. Это часто используется, если значение SID не известно. |
| S-1-1-0 | World | Группа, которая включает всех пользователей. |
| S-1-2-0 | Local | Пользователи, которые входят в терминалы, которые локально (физически) подключены к системе. |
| S-1-2-1 | Вход в консоль | Группа, включающая пользователей, вошедших в физическую консоль. |
| S-1-3-0 | Идентификатор владельца создателя | Идентификатор безопасности, который необходимо заменить идентификатором безопасности пользователя, создавшего новый объект. Этот идентификатор безопасности используется в наследуемых записях управления доступом (ACEs). |
| S-1-3-1 | Идентификатор группы создателей | Идентификатор безопасности, который необходимо заменить идентификатором безопасности основной группы пользователя, создавшего новый объект. Используйте этот идентификатор безопасности в наследуемых acEs. |
| S-1-3-2 | Сервер владельца | Заполнитель в наследуемом объекте ACE. Когда ACE наследуется, система заменяет этот идентификатор безопасности идентификатором безопасности для сервера владельца объекта и сохраняет сведения о том, кто создал заданный объект или файл. |
| S-1-3-3 | Сервер группы | Заполнитель в наследуемом объекте ACE. Когда ACE наследуется, система заменяет этот идентификатор безопасности идентификатором безопасности для сервера группы объекта и сохраняет сведения о группах, которые разрешены для работы с объектом. |
| S-1-3-4 | Права владельца | Группа, представляющая текущего владельца объекта. Если ACE, который несет этот идентификатор безопасности, применяется к объекту, система игнорирует неявные READ_CONTROL и WRITE_DAC разрешения для владельца объекта. |
| S-1-4 | Неуникальное управление | Идентификатор безопасности, представляющий центр идентификатора. |
| S-1-5 | NT Authority (NT AUTHORITY) | Идентификатор безопасности, представляющий центр идентификатора. |
| S-1-5-80-0 | Все службы | Группа, которая включает все процессы службы, настроенные в системе. Членство контролируется операционной системой. |
В следующей таблице перечислены предопределенные константы центра идентификатора. Первые четыре значения используются с универсальными известными идентификаторами SID, а остальные значения используются с известными идентификаторами SID в операционных системах Windows в списке "Применимо к" в начале статьи.
| Центр идентификатора | значение | Префикс строки SID |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 | S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 | S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 | S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 | S-1-3 |
| SECURITY_NT_AUTHORITY | 5 | S-1-5 |
| SECURITY_AUTHENTICATION_AUTHORITY | 18 | S-1-18 |
Следующие значения RID используются с универсальными известными идентификаторами SID. В столбце центра идентификатора показан префикс центра идентификатора, с которым можно объединить RID для создания универсального хорошо известного идентификатора БЕЗОПАСНОСТИ.
| Относительный центр идентификатора | значение | Центр идентификатора |
|---|---|---|
| SECURITY_NULL_RID | 0 | S-1-0 |
| SECURITY_WORLD_RID | 0 | S-1-1 |
| SECURITY_LOCAL_RID | 0 | S-1-2 |
| SECURITY_CREATOR_OWNER_RID | 0 | S-1-3 |
| SECURITY_CREATOR_GROUP_RID | 1 | S-1-3 |
SECURITY_NT_AUTHORITY (S-1-5) предопределенный центр идентификаторов создает идентификаторы SID, которые не являются универсальными и имеют смысл только в установках операционных систем Windows в списке "Применимо к" в начале этой статьи.
Известные идентификаторы SID перечислены в следующей таблице:
| SID | отображаемое имя; | Description |
|---|---|---|
| S-1-5-1 | Dialup (УДАЛЕННЫЙ ДОСТУП) | Группа, которая включает всех пользователей, которые вошли в систему через подключение к телефону. |
| S-1-5-113 | Локальная учетная запись | Этот идентификатор безопасности можно использовать при ограничении сетевого входа на локальные учетные записи вместо "администратора" или эквивалента. Этот идентификатор безопасности может быть эффективным при блокировке входа в сеть для локальных пользователей и групп по типу учетной записи независимо от того, что они называют. |
| S-1-5-114 | Локальная учетная запись и член группы администраторов | Этот идентификатор безопасности можно использовать при ограничении сетевого входа на локальные учетные записи вместо "администратора" или эквивалента. Этот идентификатор безопасности может быть эффективным при блокировке входа в сеть для локальных пользователей и групп по типу учетной записи независимо от того, что они называют. |
| S-1-5-2 | Сеть | Группа, которая включает всех пользователей, вошедших через сетевое подключение. Маркеры доступа для интерактивных пользователей не содержат идентификатор безопасности сети. |
| S-1-5-3 | Пакетная служба | Группа, которая включает всех пользователей, выполнивших вход через пакетную очередь, например задания планировщика задач. |
| S-1-5-4 | Интерактивный | Группа, которая включает всех пользователей, которые вошли в интерактивный режим. Пользователь может запустить интерактивный сеанс входа, открыв подключение служб удаленных рабочих столов с удаленного компьютера или с помощью удаленной оболочки, например Telnet. В каждом случае маркер доступа пользователя содержит интерактивный идентификатор БЕЗОПАСНОСТИ. Если пользователь входит с помощью подключения к службам удаленных рабочих столов, маркер доступа пользователя также содержит идентификатор безопасности удаленного интерактивного входа. |
| S-1-5-5- X-Y | Сеанс входа | Значения X и Y для этих ИДЕНТИФИКАТОРов однозначно определяют определенный сеанс входа. |
| S-1-5-6 | Service | Группа, содержащая все субъекты безопасности, вошедшего в систему как услуга. |
| S-1-5-7 | Анонимный вход | Пользователь, подключенный к компьютеру без указания имени пользователя и пароля. Удостоверение анонимного входа отличается от удостоверения, используемого службами IIS для анонимного веб-доступа. СЛУЖБА IIS использует фактическую учетную запись ( по умолчанию IUSR_ComputerName) для анонимного доступа к ресурсам на веб-сайте. Строго говоря, такой доступ не является анонимным, так как субъект безопасности известен, хотя неопознанные люди используют учетную запись. IUSR_ComputerName (или любое имя учетной записи) имеет пароль, а службы IIS войдите в учетную запись при запуске службы. В результате пользователь IIS "анонимный" является членом аутентифицированных пользователей, но анонимный вход не является. |
| S-1-5-8 | Proxy (Прокси) | В настоящее время не применяется: этот идентификатор безопасности не используется. |
| S-1-5-9 | Контроллеры домена предприятия | Группа, содержащая все контроллеры домена в лесу доменов. |
| S-1-5-10 | Self | Заполнитель в ACE для пользователя, группы или объекта компьютера в Active Directory. Когда вы предоставляете разрешения для self, вы предоставляете им субъекту безопасности, представленному объектом. Во время проверки доступа операционная система заменяет идентификатор БЕЗОПАСНОСТИ для self идентификатором безопасности для субъекта безопасности, представленного объектом. |
| S-1-5-11 | Пользователи, прошедшие проверку подлинности | Группа, содержащая всех пользователей и компьютеров с удостоверениями, прошедшими проверку подлинности. Прошедшие проверку подлинности пользователи не включают гостевую учетную запись, даже если у гостевой учетной записи есть пароль. Эта группа включает прошедшие проверку подлинности субъекты безопасности из любого доверенного домена, а не только текущего домена. |
| S-1-5-12 | Ограниченный код | Удостоверение, используемое процессом, выполняющимся в контексте ограниченной безопасности. В операционных системах Windows и Windows Server политика ограничения программного обеспечения может назначить одному из трех уровней безопасности коду: UnrestrictedRestrictedDisallowed При выполнении кода на уровне безопасности с ограниченным доступом идентификатор безопасности добавляется в маркер доступа пользователя. |
| S-1-5-13 | Пользователь сервера терминала | Группа, которая включает всех пользователей, которые входят на сервер с включенными службами удаленных рабочих столов. |
| S-1-5-14 | Удаленный интерактивный вход | Группа, которая включает всех пользователей, которые вошли на компьютер с помощью подключения к удаленному рабочему столу. Эта группа представляет собой подмножество интерактивной группы. Маркеры доступа, содержащие идентификатор безопасности удаленного интерактивного входа, также содержат интерактивный идентификатор БЕЗОПАСНОСТИ. |
| S-1-5-15 | This Organization (Данная организация) | Группа, которая включает всех пользователей из одной организации. Включен только с учетными записями Active Directory и добавлен только контроллером домена. |
| S-1-5-17 | IUSR | Учетная запись, используемая пользователем служб IIS по умолчанию. |
| S-1-5-18 | System (или LocalSystem) | Удостоверение, которое используется локально операционной системой и службами, настроенными для входа в качестве LocalSystem. Система является скрытым членом администраторов. То есть любой процесс, выполняющийся как система, имеет идентификатор БЕЗОПАСНОСТИ для встроенной группы администраторов в маркере доступа. Когда процесс, выполняющийся локально в качестве системного доступа к сетевым ресурсам, он делает это с помощью удостоверения домена компьютера. Его маркер доступа на удаленном компьютере включает идентификатор безопасности для учетной записи домена локального компьютера, а также идентификаторы SID для групп безопасности, в которые входит компьютер, например доменные компьютеры и прошедшие проверку подлинности пользователи. |
| S-1-5-19 | Центр NT (LocalService) | Удостоверение, используемое службами, которые являются локальными для компьютера, не нуждаются в обширном локальном доступе и не нуждаются в доступе к сети с проверкой подлинности. Службы, которые выполняются как LocalService, обращаются к локальным ресурсам как обычные пользователи, и они получают доступ к сетевым ресурсам в качестве анонимных пользователей. В результате служба, которая выполняется как LocalService, имеет значительно меньше полномочий, чем служба, которая выполняется как LocalSystem локально и в сети. |
| S-1-5-20 | Сетевая служба | Удостоверение, используемое службами, которые не нуждаются в обширном локальном доступе, но требуются прошедшие проверку подлинности сетевого доступа. Службы, работающие как NetworkService, получают доступ к локальным ресурсам в качестве обычных пользователей и получают доступ к сетевым ресурсам с помощью удостоверения компьютера. В результате служба, которая выполняется как NetworkService, имеет тот же сетевой доступ, что и служба, которая выполняется как LocalSystem, но значительно сократила локальный доступ. |
| S-1-5-domain-500 | Администратор | Учетная запись пользователя для системного администратора. У каждого компьютера есть локальная учетная запись администратора, а у каждого домена есть учетная запись администратора домена. Учетная запись администратора — это первая учетная запись, созданная во время установки операционной системы. Учетная запись не может быть удалена, отключена или заблокирована, но ее можно переименовать. По умолчанию учетная запись администратора входит в группу "Администраторы", и ее нельзя удалить из этой группы. |
| S-1-5-domain-501 | Гость | Учетная запись пользователя для пользователей, у которых нет отдельных учетных записей. У каждого компьютера есть локальная гостевая учетная запись, а у каждого домена есть учетная запись гостевого домена. По умолчанию гость является членом групп "Все" и "Гости". Гостевая учетная запись домена также входит в группы "Гости домена" и "Пользователи домена". В отличие от анонимного входа, гостевой является реальной учетной записью, и ее можно использовать для интерактивного входа. Для гостевой учетной записи не требуется пароль, но он может иметь один. |
| S-1-5-domain-502 | KRBTGT | Учетная запись пользователя, используемая службой Центра распространения ключей (KDC). Учетная запись существует только на контроллерах домена. |
| S-1-5-domain-512 | Администраторы домена | Глобальная группа с участниками, которым разрешено администрировать домен. По умолчанию группа "Администраторы домена" входит в группу "Администраторы" на всех компьютерах, присоединенных к домену, включая контроллеры домена. Администраторы домена по умолчанию являются владельцем любого объекта, созданного в Active Directory домена любым членом группы. Если члены группы создают другие объекты, например файлы, владелец по умолчанию — это группа "Администраторы". |
| S-1-5-domain-513 | Пользователи домена | Глобальная группа, содержащая всех пользователей в домене. При создании нового объекта User в Active Directory пользователь автоматически добавляется в эту группу. |
| S-1-5-domain-514 | Гости домена | Глобальная группа, которая по умолчанию имеет только одного члена: встроенную гостевую учетную запись домена. |
| S-1-5-domain-515 | Компьютеры домена | Глобальная группа, содержащая все компьютеры, присоединенные к домену, за исключением контроллеров домена. |
| S-1-5-domain-516 | Контроллеры доменов | Глобальная группа, содержащая все контроллеры домена в домене. Новые контроллеры домена добавляются в эту группу автоматически. |
| S-1-5-domain-517 | Издатели сертификатов | Глобальная группа, которая включает все компьютеры, на которых размещен корпоративный центр сертификации. Издатели сертификатов авторизованы на публикацию сертификатов для объектов пользователей в Active Directory. |
| S-1-5-root domain-518 | Администраторы схемы | Группа, которая существует только в корневом домене леса. Это универсальная группа, если домен находится в собственном режиме, и это глобальная группа, если домен находится в смешанном режиме. Группа администраторов схемы авторизована на внесение изменений в схему в Active Directory. По умолчанию единственным членом группы является учетная запись администратора корневого домена леса. |
| S-1-5-root domain-519 | Администраторы предприятия | Группа, которая существует только в корневом домене леса. Это универсальная группа, если домен находится в собственном режиме, и это глобальная группа, если домен находится в смешанном режиме. Группа администраторов предприятия может вносить изменения в инфраструктуру леса, например добавлять дочерние домены, настраивать сайты, авторизации DHCP-серверов и устанавливать корпоративные центры сертификации. По умолчанию единственным участником корпоративных администраторов является учетная запись администратора корневого домена леса. Группа является членом каждой группы администраторов домена по умолчанию в лесу. |
| S-1-5-domain-520 | Владельцы-создатели групповой политики | Глобальная группа, авторизованная для создания объектов групповой политики в Active Directory. По умолчанию единственным членом группы является администратор. Объекты, созданные членами владельцев создателей групповой политики, принадлежат отдельному пользователю, создающему их. Таким образом, группа владельцев групповой политики отличается от других административных групп (таких как администраторы и администраторы домена). Объекты, созданные членами этих групп, принадлежат группе, а не отдельным. |
| S-1-5-domain-521 | Контроллеры домена только для чтения | Глобальная группа, содержащая все контроллеры домена только для чтения. |
| S-1-5-domain-522 | Клонируемые контроллеры | Глобальная группа, содержащая все контроллеры домена в домене, которые можно клонировать. |
| S-1-5-domain-525 | Защищенные пользователи | Глобальная группа, которая обеспечивает дополнительную защиту от угроз безопасности проверки подлинности. |
| S-1-5-root domain-526 | Ключевые администраторы | Эта группа предназначена для использования в сценариях, когда доверенные внешние власти отвечают за изменение этого атрибута. Только доверенные администраторы должны быть сделаны членом этой группы. |
| S-1-5-domain-527 | Ключевые администраторы предприятия | Эта группа предназначена для использования в сценариях, когда доверенные внешние власти отвечают за изменение этого атрибута. Только доверенные администраторы предприятия должны быть членами этой группы. |
| S-1-5-32-544 | Администраторы | Встроенная группа. После первоначальной установки операционной системы единственным членом группы является учетная запись администратора. Когда компьютер присоединяется к домену, группа администраторов домена добавляется в группу администраторов. Когда сервер становится контроллером домена, группа "Администраторы предприятия" также добавляется в группу "Администраторы". |
| S-1-5-32-545 | Пользователи | Встроенная группа. После первоначальной установки операционной системы единственным членом является группа прошедших проверку подлинности пользователей. |
| S-1-5-32-546 | Гости | Встроенная группа. По умолчанию единственным членом является гостевая учетная запись. Группа гостей позволяет случайным или однократным пользователям входить с ограниченными привилегиями в встроенную гостевую учетную запись компьютера. |
| S-1-5-32-547 | Опытные пользователи | Встроенная группа. По умолчанию группа не имеет членов. Пользователи могут создавать локальных пользователей и группы; изменение и удаление созданных учетных записей; и удалите пользователей из групп Power Users, Users и Guest. Кроме того, пользователи могут устанавливать программы; создание, управление и удаление локальных принтеров; создание и удаление общих папок. |
| S-1-5-32-548 | Операторы учета | Встроенная группа, которая существует только на контроллерах домена. По умолчанию группа не имеет членов. По умолчанию операторы учетных записей имеют разрешение на создание, изменение и удаление учетных записей для пользователей, групп и компьютеров во всех контейнерах и подразделениях Active Directory, кроме встроенного контейнера и подразделения контроллеров домена. Операторы учетных записей не имеют разрешения на изменение групп администраторов и администраторов домена, а также не имеют разрешения на изменение учетных записей для участников этих групп. |
| S-1-5-32-549 | Операторы сервера | Описание. Встроенная группа, которая существует только на контроллерах домена. По умолчанию группа не имеет членов. Операторы сервера могут выполнять вход на сервер в интерактивном режиме; создание и удаление сетевых общих папок; запуск и остановка служб; резервное копирование и восстановление файлов; форматирование жесткого диска компьютера; и завершите работу компьютера. |
| S-1-5-32-550 | Операторы печати | Встроенная группа, которая существует только на контроллерах домена. По умолчанию единственным членом является группа "Пользователи домена". Операторы печати могут управлять принтерами и очередями документов. |
| S-1-5-32-551 | Операторы архива | Встроенная группа. По умолчанию группа не имеет членов. Операторы резервного копирования могут создавать резервные копии и восстанавливать все файлы на компьютере независимо от разрешений, которые защищают эти файлы. Операторы резервного копирования также могут войти на компьютер и завершить работу. |
| S-1-5-32-552 | Replicators | Встроенная группа, используемая службой репликации файлов на контроллерах домена. По умолчанию группа не имеет членов. Не добавляйте пользователей в эту группу. |
| S-1-5-domain-553 | Серверы RAS и IAS | Локальная группа домена. По умолчанию эта группа не имеет членов. Компьютеры, работающие под управлением службы маршрутизации и удаленного доступа, добавляются в группу автоматически. Члены этой группы имеют доступ к определенным свойствам объектов Пользователей, таким как ограничения для чтения учетных записей, сведения о входе в систему и сведения о удаленном доступе для чтения. |
| S-1-5-32-554 | Встроенный\совместимый доступ с Windows 2000 | Псевдоним, добавленный Windows 2000. Группа обратной совместимости, которая разрешает доступ на чтение для всех пользователей и групп в домене. |
| S-1-5-32-555 | Встроенные\пользователи удаленного рабочего стола | Псевдоним. Члены этой группы получают право удаленного входа. |
| S-1-5-32-556 | Встроенные операторы конфигурации сети | Псевдоним. Члены этой группы могут иметь некоторые административные привилегии для управления конфигурацией сетевых функций. |
| S-1-5-32-557 | Встроенные\Входящие построитель доверия леса | Псевдоним. Члены этой группы могут создавать входящие, односторонние отношения доверия к этому лесу. |
| S-1-5-32-558 | Встроенные\пользователи монитора производительности | Псевдоним. Члены этой группы имеют удаленный доступ для мониторинга этого компьютера. |
| S-1-5-32-559 | Встроенные\пользователи журнала производительности | Псевдоним. Члены этой группы имеют удаленный доступ к расписанию ведения журнала счетчиков производительности на этом компьютере. |
| S-1-5-32-560 | Встроенная\группа доступа к авторизации Windows | Псевдоним. Члены этой группы имеют доступ к вычисляемому атрибуту tokenGroupsGlobalAndUniversal в объектах User. |
| S-1-5-32-561 | Встроенные\серверы лицензирования сервера терминалов | Псевдоним. Группа серверов лицензий сервера терминалов. При установке Windows Server 2003 с пакетом обновления 1 создается новая локальная группа. |
| S-1-5-32-562 | Встроенные\распределенные com-пользователи | Псевдоним. Группа com предоставляет средства управления доступом на уровне компьютера, которые управляют доступом ко всем вызовам, активации или запуску запросов на компьютере. |
| S-1-5-32-568 | Buildin\IIS_IUSRS | Псевдоним. Встроенная учетная запись группы для пользователей IIS. |
| S-1-5-32-569 | Встроенные\криптографические операторы | Встроенная локальная группа. Членам разрешено выполнение операций криптографии |
| S-1-5-domain-571 | Разрешенная группа репликации паролей RODC | Члены этой группы могут реплицировать пароли ко всем контроллерам домена только для чтения в домене. |
| S-1-5-domain-572 | Группа репликации паролей RODC отказано | Члены этой группы не могут реплицировать пароли ко всем контроллерам домена только для чтения в домене. |
| S-1-5-32-573 | Средства чтения журналов событий Buildin\Event | Встроенная локальная группа. Члены этой группы могут считывать журналы событий с локального компьютера. |
| S-1-5-32-574 | Buildin\Certificate Service DCOM Access | Встроенная локальная группа. Члены этой группы могут подключаться к центрам сертификации в организации. |
| S-1-5-32-575 | Встроенные серверы удаленного доступа RDS | Встроенная локальная группа. Серверы в этой группе позволяют пользователям программ RemoteApp и личным виртуальным рабочим столам получать доступ к этим ресурсам. В развертываниях, подключенных к Интернету, эти серверы обычно развертываются в пограничной сети. Эта группа должна быть заполнена на серверах, на которых запущен брокер подключений к удаленным рабочим столам. Серверы шлюза удаленных рабочих столов и серверы веб-доступа удаленных рабочих столов, используемые в развертывании, должны находиться в этой группе. |
| S-1-5-32-576 | Встроенные\серверы конечных точек RDS | Встроенная локальная группа. Серверы в этой группе выполняют виртуальные машины и сеансы узлов, где пользователи программы RemoteApp и личные виртуальные рабочие столы выполняются. Эта группа должна быть заполнена на серверах с брокером подключений к удаленным рабочим столам. Серверы узла сеансов удаленных рабочих стола и серверы узла виртуализации удаленных рабочих машин, используемые в развертывании, должны находиться в этой группе. |
| S-1-5-32-577 | Встроенные\серверы управления RDS | Встроенная локальная группа. Серверы в этой группе могут выполнять обычные административные действия на серверах с службами удаленных рабочих столов. Эта группа должна быть заполнена на всех серверах в развертывании служб удаленных рабочих столов. Серверы, на которых работает служба центра управления RDS, должны быть включены в эту группу. |
| S-1-5-32-578 | Встроенные\Администраторы Hyper-V | Встроенная локальная группа. Члены этой группы имеют полный и неограниченный доступ ко всем функциям Hyper-V. |
| S-1-5-32-579 | Встроенные операторы помощи по управлению доступом | Встроенная локальная группа. Члены этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на этом компьютере. |
| S-1-5-32-580 | Встроенные\пользователи удаленного управления | Встроенная локальная группа. Члены этой группы могут получить доступ к ресурсам инструментария управления Windows (WMI) через протоколы управления (например, WS-Management через службу удаленного управления Windows). Это относится только к пространствам имен WMI, которые предоставляют доступ пользователю. |
| S-1-5-64-10 | Проверка подлинности NTLM | Идентификатор безопасности, используемый при проверке подлинности пакета проверки подлинности NTLM, выполняет проверку подлинности клиента. |
| S-1-5-64-14 | Проверка подлинности SChannel | Идентификатор безопасности, используемый при проверке подлинности пакета проверки подлинности SChannel клиента. |
| S-1-5-64-21 | Дайджест-проверка подлинности | Идентификатор безопасности, используемый при проверке подлинности пакета дайджест-проверки подлинности клиента. |
| S-1-5-80 | Служба NT | Идентификатор безопасности, используемый в качестве префикса учетной записи службы NT. |
| S-1-5-80-0 | Все службы | Группа, содержащая все процессы службы, настроенные в системе. Членство контролируется операционной системой. SID S-1-5-80-0 равно NT SERVICES\ALL SERVICES. Этот идентификатор безопасности появился в Windows Server 2008 R2. |
| S-1-5-83-0 | ВИРТУАЛЬНАЯ МАШИНА NT\Виртуальные машины | Встроенная группа. Группа создается при установке роли Hyper-V. Членство в группе поддерживается службой управления Hyper-V (VMMS). Для этой группы требуется право "Создать символьные ссылки " (SeCreateSymbolicLinkPrivilege) и войдите в систему в качестве службы справа (SeServiceLogonRight). |
Следующие идентификаторы идентификаторов относятся к каждому домену:
| RID | Десятичная величина | Определяет |
|---|---|---|
| DOMAIN_USER_RID_ADMIN | 500 | Учетная запись администратора в домене. |
| DOMAIN_USER_RID_GUEST | 501 | Учетная запись гостевого пользователя в домене. Пользователи, у которых нет учетной записи, могут автоматически войти в эту учетную запись. |
| DOMAIN_GROUP_RID_USERS | 513 | Группа, содержащая все учетные записи пользователей в домене. Все пользователи автоматически добавляются в эту группу. |
| DOMAIN_GROUP_RID_GUESTS | 514 | Гостевая учетная запись группы в домене. |
| DOMAIN_GROUP_RID_COMPUTERS | 515 | Группа "Компьютер домена". Все компьютеры в домене являются членами этой группы. |
| DOMAIN_GROUP_RID_CONTROLLERS | 516 | Группа контроллеров домена. Все контроллеры домена в домене являются членами этой группы. |
| DOMAIN_GROUP_RID_CERT_ADMINS | 517 | Группа издателей сертификатов. Компьютеры под управлением служб сертификатов Active Directory являются членами этой группы. |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS | 518 | Группа администраторов схемы. Члены этой группы могут изменять схему Active Directory. |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS | 519 | Группа администраторов предприятия. Члены этой группы имеют полный доступ ко всем доменам в лесу Active Directory. Администраторы предприятия отвечают за операции на уровне леса, такие как добавление или удаление новых доменов. |
| DOMAIN_GROUP_RID_POLICY_ADMINS | 520 | Группа администраторов политик. |
Примеры доменных идентификаторов, которые используются для формирования известных идентификаторов SID для локальных групп, перечислены в следующей таблице:
| RID | Десятичная величина | Определяет |
|---|---|---|
| DOMAIN_ALIAS_RID_ADMINS | 4 млн долл. США | Администраторы домена. |
| DOMAIN_ALIAS_RID_USERS | 545 | Все пользователи в домене. |
| DOMAIN_ALIAS_RID_GUESTS | 546 | Гости домена. |
| DOMAIN_ALIAS_RID_POWER_USERS | 547 | Пользователь или набор пользователей, которые ожидают рассматривать систему, как если бы это был личный компьютер, а не как рабочая станция для нескольких пользователей. |
| DOMAIN_ALIAS_RID_BACKUP_OPS | 551 | Локальная группа, используемая для управления назначением прав пользователя резервного копирования и восстановления файлов. |
| DOMAIN_ALIAS_RID_REPLICATOR | 552 | Локальная группа, которая отвечает за копирование баз данных безопасности с основного контроллера домена на контроллеры домена резервного копирования. Эти учетные записи используются только системой. |
| DOMAIN_ALIAS_RID_RAS_SERVERS | 553 | Локальная группа, представляющая удаленный доступ и серверы, на которых запущена служба проверки подлинности Интернета (IAS). Эта группа предоставляет доступ к различным атрибутам объектов User. |
Изменения функций идентификатора безопасности
Изменения в реализации sid в операционных системах Windows описаны в следующей таблице:
| Изменение | Версия операционной системы | Описание и ресурсы |
|---|---|---|
| Большинство файлов операционной системы принадлежат идентификатору безопасности TrustedInstaller (SID) | Windows Server 2008, Windows Vista | Целью этого изменения является предотвращение автоматической замены файлов операционной системы в качестве администратора или учетной записи LocalSystem. |
| Реализованы ограниченные проверки безопасности безопасности | Windows Server 2008, Windows Vista | При ограничении идентификаторов SID windows выполняет две проверки доступа. Первый — это обычная проверка доступа, а второй — это та же проверка доступа к ограничивающим идентификаторам в маркере. Обе проверки доступа должны передаваться, чтобы разрешить процессу доступ к объекту. |
Идентификаторы безопасности возможностей
Идентификаторы безопасности возможностей используются для уникальной и неизменяемой идентификации возможностей, представляющих незабываемый маркер полномочий, который предоставляет доступ к ресурсам (например, документам, камере и расположению) универсальным приложениям Windows. Приложению с возможностью предоставляется доступ к ресурсу, с которым связана возможность, и у него нет возможности, доступ к ресурсу запрещен.
Все идентификаторы безопасности возможностей, о которых известно операционной системе, хранятся в реестре Windows в пути "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities". В это расположение добавляются все идентификаторы безопасности возможностей, добавленные в Windows сторонними или сторонними приложениями.
Примеры разделов реестра, взятых из Выпуска Windows 10 версии 1909, 64-разрядной версии Enterprise
В разделе AllCachedCapabilities могут появиться следующие разделы реестра:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
Все идентификаторы возможностей префиксируются S-1-15-3.
Примеры разделов реестра, взятых из Выпуска Windows 11 версии 21H2, 64-разрядной версии Enterprise
В разделе AllCachedCapabilities могут появиться следующие разделы реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
Все идентификаторы возможностей префиксируются S-1-15-3.