Compartir a través de


SID conocidos

Los identificadores de seguridad (SID) conocidos identifican grupos genéricos y usuarios genéricos. Por ejemplo, hay SID conocidos para identificar los siguientes grupos y usuarios:

  • Todos o Mundo, que es un grupo que incluye a todos los usuarios.
  • CREATOR_OWNER, que se usa como marcador de posición en una ACE que se puede heredar. Cuando se hereda la ACE, el sistema reemplaza el SID CREATOR_OWNER por el SID del creador del objeto.
  • Grupo Administradores para el dominio integrado en el equipo local.

Existen SID universales conocidos, que son significativos en todos los sistemas seguros que utilizan este modelo de seguridad, incluidos los sistemas operativos distintos de Windows. Además, hay SID conocidos que solo son significativos en sistemas Windows.

La API de Windows define un conjunto de constantes para los valores conocidos de entidad de identificador e identificador relativo (RID). Puede usar estas constantes para crear SID conocidos. En el ejemplo siguiente se combinan las constantes SECURITY_WORLD_SID_AUTHORITY y SECURITY_WORLD_RID para mostrar el SID conocido universal para el grupo especial que representa a todos los usuarios (Todos o Mundo):

S-1-1-0

En este ejemplo se usa la notación de cadena para los SID en los que S identifica la cadena como SID, el primer 1 es el nivel de revisión del SID y los dos dígitos restantes son las constantes SECURITY_WORLD_SID_AUTHORITY y SECURITY_WORLD_RID.

Puede usar la función AllocateAndInitializeSid para compilar un SID mediante la combinación de un valor de entidad de identificador con hasta ocho valores de subautoridad. Por ejemplo, para determinar si el usuario que ha iniciado sesión es miembro de un grupo conocido determinado, llame a AllocateAndInitializeSid para compilar un SID para el grupo conocido y use la función EqualSid para comparar ese SID con los SID del grupo en el token de acceso del usuario. Para obtener un ejemplo, vea Buscar un SID en un token de acceso en C++. Debe llamar a la función FreeSid para liberar un SID asignado por AllocateAndInitializeSid.

El resto de esta sección contiene tablas de SID conocidos y tablas de constantes de autoridad y subautoridad de identificador que puede usar para crear SID conocidos.

A continuación se muestran algunos SID conocidos universales.

SID conocido universal Identifica
SID nulo
Valor de cadena: S-1-0-0
Grupo sin miembros. Se usa a menudo cuando no se conoce un valor de SID.
World
Valor de cadena: S-1-1-0
Grupo que incluye todos los usuarios.
Local
Valor de cadena: S-1-2-0
Usuarios que inician sesión en terminales conectados localmente (físicamente) al sistema.
Id. de Creador Propietario
Valor de cadena: S-1-3-0
Identificador de seguridad que se va a reemplazar por el identificador de seguridad del usuario que creó un nuevo objeto. Este SID se utiliza en ACE que se pueden heredar.
Id. de grupo de Creador
Valor de cadena: S-1-3-1
Identificador de seguridad que se va a reemplazar por el SID de grupo principal del usuario que creó un nuevo objeto. Use este SID en ACE herederas.

En la tabla siguiente se enumeran las constantes de entidad de identificador predefinidas. Los cuatro primeros valores se usan con SID conocidos universales; el último valor se usa con SID conocidos de Windows.

Entidad de identificador Valor Valor de cadena
SECURITY_NULL_SID_AUTHORITY 0 S-1-0
SECURITY_WORLD_SID_AUTHORITY 1 S-1-1
SECURITY_LOCAL_SID_AUTHORITY 2 S-1-2
SECURITY_CREATOR_SID_AUTHORITY 3 S-1-3
SECURITY_NT_AUTHORITY 5 S-1-5

Los siguientes valores RID se usan con SID conocidos universales. La columna Entidad de identificador muestra el prefijo de la entidad de identificador con la que puede combinar el RID para crear un SID conocido universal.

Entidad de identificador relativa Valor Valor de cadena
SECURITY_NULL_RID 0 S-1-0-0
SECURITY_WORLD_RID 0 S-1-1-0
SECURITY_LOCAL_RID 0 S-1-2-0
SECURITY_LOCAL_LOGON_RID 1 S-1-2-1
SECURITY_CREATOR_OWNER_RID 0 S-1-3-0
SECURITY_CREATOR_GROUP_RID 1 S-1-3-1

La autoridad de identificador predefinido SECURITY_NT_AUTHORITY (S-1-5) genera SID que no son universales, sino que solo son significativos en las instalaciones de Windows. Puede usar los siguientes valores RID con SECURITY_NT_AUTHORITY para crear SID conocidos.

Constante Identifica
SECURITY_DIALUP_RID
Valor de cadena: S-1-5-1
Usuarios que inician sesión en terminales mediante un módem de acceso telefónico. Se trata de un identificador de grupo.
SECURITY_NETWORK_RID
Valor de cadena: S-1-5-2
Usuarios que inician sesión en una red. Se trata de un identificador de grupo agregado al token de un proceso cuando se inició sesión a través de una red. El tipo de inicio de sesión correspondiente es LOGON32_LOGON_NETWORK.
SECURITY_BATCH_RID
Valor de cadena: S-1-5-3
Usuarios que inician sesión con una instalación de cola por lotes. Se trata de un identificador de grupo que se agregó al token de un proceso cuando se registró como un trabajo por lotes. El tipo de inicio de sesión correspondiente es LOGON32_LOGON_BATCH.
SECURITY_INTERACTIVE_RID
Valor de cadena: S-1-5-4
Usuarios que inician sesión para la operación interactiva. Se trata de un identificador de grupo agregado al token de un proceso cuando se inició sesión de forma interactiva. El tipo de inicio de sesión correspondiente es LOGON32_LOGON_INTERACTIVE.
SECURITY_LOGON_IDS_RID
Valor de cadena: S-1-5-5-*X*-*Y*
Una sesión de inicio de sesión. Se usa para asegurarse de que solo los procesos de una sesión de inicio de sesión determinada puedan obtener acceso a los objetos de la estación de Windows para esa sesión. Los valores X e Y de estos SID son diferentes para cada sesión de inicio de sesión. El valor SECURITY_LOGON_IDS_RID_COUNT es el número de RID en este identificador (5-X-Y).
SECURITY_SERVICE_RID
Valor de cadena: S-1-5-6
Cuentas autorizadas para iniciar sesión como servicio. Se trata de un identificador de grupo agregado al token de un proceso cuando se registró como servicio. El tipo de inicio de sesión correspondiente es LOGON32_LOGON_SERVICE.
SECURITY_ANONYMOUS_LOGON_RID
Valor de cadena: S-1-5-7
Inicio de sesión anónimo o inicio de sesión nulo.
SECURITY_PROXY_RID
Valor de cadena: S-1-5-8
Proxy.
SECURITY_ENTERPRISE_CONTROLLERS_RID
Valor de cadena: S-1-5-9
Controladores de empresa.
SECURITY_PRINCIPAL_SELF_RID
Valor de cadena: S-1-5-10
El identificador de seguridad PRINCIPAL_SELF se puede usar en la ACL de un objeto de usuario u grupo. Durante una comprobación de acceso, el sistema reemplaza el SID por el SID del objeto. El SID PRINCIPAL_SELF es útil para especificar una ACE heredable que se aplica al objeto de usuario o grupo que hereda la ACE. Es la única manera de representar el SID de un objeto creado en el descriptor de seguridad predeterminado del esquema.
SECURITY_AUTHENTICATED_USER_RID
Valor de cadena: S-1-5-11
Los usuarios autenticados.
SECURITY_RESTRICTED_CODE_RID
Valor de cadena: S-1-5-12
Código restringido.
SECURITY_TERMINAL_SERVER_RID
Valor de cadena: S-1-5-13
Terminal Services. Se agrega automáticamente al token de seguridad de un usuario que inicia sesión en un servidor de terminal.
SECURITY_LOCAL_SYSTEM_RID
Valor de cadena: S-1-5-18
Una cuenta especial utilizada por el sistema operativo.
SECURITY_NT_NON_UNIQUE
Valor de cadena: S-1-5-21
Los SID no son únicos.
SECURITY_BUILTIN_DOMAIN_RID
Valor de cadena: S-1-5-32
Dominio del sistema integrado.
SECURITY_WRITE_RESTRICTED_CODE_RID
Valor de cadena: S-1-5-33
Escribir código restringido.
SECURITY_RESTRICTED_SERVICES_BASE_RID
Valor de cadena:S-1-5-99
Servicios restringidos.

Los siguientes RID son relativos a cada dominio.

RID Identifica
DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP
Valor: 0x0000023E
El grupo de usuarios que pueden conectarse a entidades de certificación mediante el modelo de objetos componentes distribuido (DCOM).
DOMAIN_USER_RID_ADMIN
Valor: 0x000001F4
La cuenta de usuario administrativo de un dominio.
DOMAIN_USER_RID_GUEST
Valor: 0x000001F5
La cuenta de usuario invitado de un dominio. Los usuarios que no tienen una cuenta pueden iniciar sesión automáticamente en esta cuenta.
DOMAIN_GROUP_RID_ADMINS
Valor: 0x00000200
El grupo de administradores de dominio. Esta cuenta solo existe en sistemas que ejecutan sistemas operativos de servidor.
DOMAIN_GROUP_RID_USERS
Valor: 0x00000201
Grupo que contiene todas las cuentas de usuario de un dominio. Todos los usuarios se agregan automáticamente a este grupo.
DOMAIN_GROUP_RID_GUESTS
Valor: 0x00000202
La cuenta de grupo de invitados en un dominio.
DOMAIN_GROUP_RID_COMPUTERS
Valor: 0x00000203
El grupo de equipos del dominio. Todos los equipos del dominio son miembros de este grupo.
DOMAIN_GROUP_RID_CONTROLLERS
Valor: 0x00000204
El grupo de controladores de dominio. Todos los controladores de dominio del dominio son miembros de este grupo.
DOMAIN_GROUP_RID_CERT_ADMINS
Valor: 0x00000205
El grupo de publicadores de certificados. Los equipos que ejecutan Servicios de certificados son miembros de este grupo.
DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS
Valor: 0x000001F2
El grupo de controladores de dominio de solo lectura de la empresa.
DOMAIN_GROUP_RID_SCHEMA_ADMINS
Valor: 0x00000206
El grupo de administradores de esquemas. Los miembros de este grupo pueden modificar el esquema de Active Directory.
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS
Valor: 0x00000207
El grupo de administradores de empresa. Los miembros de este grupo tienen acceso total a todos los dominios en el bosque de Active Directory. Los administradores de empresa son responsables de las operaciones de nivel de bosque, como agregar o quitar nuevos dominios.
DOMAIN_GROUP_RID_POLICY_ADMINS
Valor: 0x00000208
El grupo de administradores de directivas.
DOMAIN_GROUP_RID_READONLY_CONTROLLERS
Valor: 0x00000209
El grupo de controladores de dominio de solo lectura
DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS
Valor: 0x0000020A
El grupo de controladores de dominio clonables.
DOMAIN_GROUP_RID_CDC_RESERVED
Valor: 0x0000020C
El grupo CDC reservado.
DOMAIN_GROUP_RID_PROTECTED_USERS
Valor: 0x0000020D
El grupo de usuarios protegidos.
DOMAIN_GROUP_RID_KEY_ADMINS
Valor: 0x0000020E
El grupo de administradores de claves.
DOMAIN_GROUP_RID_ENTERPRISE_KEY_ADMINS
Valor: 0x0000020F
El grupo de administradores de claves de la empresa.

Los siguientes RID se usan para especificar el nivel de integridad obligatorio.

RID Valor Identifica
SECURITY_MANDATORY_UNTRUSTED_RID 0x00000000 No de confianza.
SECURITY_MANDATORY_LOW_RID 0x00001000 Integridad baja.
SECURITY_MANDATORY_MEDIUM_RID 0x00002000 Integridad media.
SECURITY_MANDATORY_MEDIUM_PLUS_RID SECURITY_MANDATORY_MEDIUM_RID + 0x100 Integridad media alta.
SECURITY_MANDATORY_HIGH_RID 0X00003000 Integridad alta.
SECURITY_MANDATORY_SYSTEM_RID 0x00004000 Integridad del sistema.
SECURITY_MANDATORY_PROTECTED_PROCESS_RID 0x00005000 Proceso protegido.

En la tabla siguiente se muestran ejemplos de RID relativos al dominio que puede usar para formar SID conocidos para grupos locales (alias). Para obtener más información sobre los grupos locales y globales, vea Funciones de grupo local y Funciones de grupo.

RID Identifica
DOMAIN_ALIAS_RID_ADMINS
Valor: 0x00000220
Valor de cadena: S-1-5-32-544
Un grupo local que se usa para la administración del dominio.
DOMAIN_ALIAS_RID_USERS
Valor: 0x00000221
Valor de cadena: S-1-5-32-545
Un grupo local que representa a todos los usuarios del dominio.
DOMAIN_ALIAS_RID_GUESTS
Valor: 0x00000222
Valor de cadena: S-1-5-32-546
Un grupo local que representa a los invitados del dominio.
DOMAIN_ALIAS_RID_POWER_USERS
Valor: 0x00000223
Valor de cadena: S-1-5-32-547
Un grupo local que se usa para representar a un usuario o conjunto de usuarios que esperan tratar un sistema como si fuera su equipo personal en lugar de como una estación de trabajo para varios usuarios.
DOMAIN_ALIAS_RID_ACCOUNT_OPS
Valor: 0x00000224
Valor de cadena: S-1-5-32-548
Un grupo local que solo existe en sistemas que ejecutan sistemas operativos de servidor. Este grupo local permite controlar las cuentas no administrativas.
DOMAIN_ALIAS_RID_SYSTEM_OPS
Valor: 0x00000225
Valor de cadena: S-1-5-32-549
Un grupo local que solo existe en sistemas que ejecutan sistemas operativos de servidor. Este grupo local realiza funciones administrativas del sistema, no incluidas las funciones de seguridad. Establece recursos compartidos de red, controla impresoras, desbloquea estaciones de trabajo y realiza otras operaciones.
DOMAIN_ALIAS_RID_PRINT_OPS
Valor: 0x00000226
Valor de cadena: S-1-5-32-550
Un grupo local que solo existe en sistemas que ejecutan sistemas operativos de servidor. Este grupo local controla las impresoras y las colas de impresión.
DOMAIN_ALIAS_RID_BACKUP_OPS
Valor: 0x00000227
Valor de cadena: S-1-5-32-551
Un grupo local que se usa para controlar la asignación de privilegios de copia de seguridad y restauración de archivos.
DOMAIN_ALIAS_RID_REPLICATOR
Valor: 0x00000228
Valor de cadena: S-1-5-32-552
Un grupo local responsable de copiar las bases de datos de seguridad del controlador de dominio principal a los controladores de dominio de copia de seguridad. Estas cuentas solo las usa el sistema.
DOMAIN_ALIAS_RID_RAS_SERVERS
Valor: 0x00000229
Valor de cadena: S-1-5-32-553
Un grupo local que representa los servidores RAS e IAS. Este grupo permite el acceso a varios atributos de objetos de usuario.
DOMAIN_ALIAS_RID_PREW2KCOMPACCESS
Valor: 0x0000022A
Valor de cadena: S-1-5-32-554
Un grupo local que solo existe en sistemas que ejecutan Windows 2000 Server. Para obtener más información, consulte Permitir el acceso anónimo.
DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS
Valor: 0x0000022B
Valor de cadena: S-1-5-32-555
Un grupo local que representa a todos los usuarios de escritorio remoto.
DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS
Valor: 0x0000022C
Valor de cadena: S-1-5-32-556
Un grupo local que representa la configuración de red.
DOMAIN_ALIAS_RID_INCOMING_FOREST_TRUST_BUILDERS
Valor: 0x0000022D
Valor de cadena: S-1-5-32-557
Un grupo local que representa a los usuarios de confianza de bosque.
DOMAIN_ALIAS_RID_MONITORING_USERS
Valor: 0x0000022E
Valor de cadena: S-1-5-32-558
Un grupo local que representa a todos los usuarios que se están supervisando.
DOMAIN_ALIAS_RID_LOGGING_USERS
Valor: 0x0000022F
Valor de cadena: S-1-5-32-559
Un grupo local responsable del registro de usuarios.
DOMAIN_ALIAS_RID_AUTHORIZATIONACCESS
Valor: 0x00000230
Valor de cadena: S-1-5-32-560
Un grupo local que representa todo el acceso autorizado.
DOMAIN_ALIAS_RID_TS_LICENSE_SERVERS
Valor: 0x00000231
Valor de cadena: S-1-5-32-561
Un grupo local que solo existe en sistemas que ejecutan sistemas operativos de servidor que permiten servicios de terminal y acceso remoto.
DOMAIN_ALIAS_RID_DCOM_USERS
Valor: 0x00000232
Valor de cadena: S-1-5-32-562
Un grupo local que representa a los usuarios que pueden usar el modelo de objetos de componente distribuido (DCOM).
DOMAIN_ALIAS_RID_IUSERS
Valor: 0X00000238
Valor de cadena: S-1-5-32-568
Un grupo local que representa a los usuarios de Internet.
DOMAIN_ALIAS_RID_CRYPTO_OPERATORS
Valor: 0x00000239
Valor de cadena: S-1-5-32-569
Un grupo local que representa el acceso a los operadores de criptografía.
DOMAIN_ALIAS_RID_CACHEABLE_PRINCIPALS_GROUP
Valor: 0x0000023B
Valor de cadena: S-1-5-32-571
Un grupo local que representa las entidades de seguridad que se pueden almacenar en caché.
DOMAIN_ALIAS_RID_NON_CACHEABLE_PRINCIPALS_GROUP
Valor: 0x0000023C
Valor de cadena: S-1-5-32-572
Un grupo local que representa las entidades de seguridad que no se pueden almacenar en caché.
DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP
Valor: 0x0000023D
Valor de cadena: S-1-5-32-573
Un grupo local que representa lectores de registro de eventos.
DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP
Valor: 0x0000023E
Valor de cadena: S-1-5-32-574
El grupo local de usuarios que pueden conectarse a entidades de certificación mediante el modelo de objetos componentes distribuido (DCOM).
DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_SERVERS
Valor: 0x0000023F
Valor de cadena: S-1-5-32-575
Un grupo local que representa los servidores de acceso remoto de RDS.
DOMAIN_ALIAS_RID_RDS_ENDPOINT_SERVERS
Valor: 0x00000240
Valor de cadena: S-1-5-32-576
Un grupo local que representa los servidores de punto de conexión.
DOMAIN_ALIAS_RID_RDS_MANAGEMENT_SERVERS
Valor: 0x00000241
Valor de cadena: S-1-5-32-577
Un grupo local que representa los servidores de administración.
DOMAIN_ALIAS_RID_HYPER_V_ADMINS
Valor: 0x00000242
Valor de cadena: S-1-5-32-578
Un grupo local que representa los administradores de Hyper-V.
DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS
Valor: 0x00000243
Valor de cadena: S-1-5-32-579
Un grupo local que representa OPS de asistencia de control de acceso.
DOMAIN_ALIAS_RID_REMOTE_MANAGEMENT_USERS
Valor: 0x00000244
Valor de cadena: S-1-5-32-580
Un grupo local que representa a los usuarios de administración remota.
DOMAIN_ALIAS_RID_DEFAULT_ACCOUNT
Valor: 0x00000245
Valor de cadena: S-1-5-32-581
Un grupo local que representa la cuenta predeterminada.
DOMAIN_ALIAS_RID_STORAGE_REPLICA_ADMINS
Valor: 0x00000246
Valor de cadena: S-1-5-32-582
Un grupo local que representa a los administradores de réplica de almacenamiento.
DOMAIN_ALIAS_RID_DEVICE_OWNERS
Valor: 0x00000247
Valor de cadena: S-1-5-32-583
Un grupo local que representa que se puede realizar la configuración esperada para los propietarios de dispositivos.
DOMAIN_ALIAS_RID_USER_MODE_HARDWARE_OPERATORS
Valor: 0x00000248
Valor de cadena: S-1-5-32-584
Los miembros de este grupo pueden acceder a los controladores del asignador en modo de usuario.

La enumeración WELL_KNOWN_SID_TYPE define la lista de SID usados habitualmente. Además, el lenguaje de definición de descriptores de seguridad (SDDL) usa cadenas SID para hacer referencia a SID conocidos en un formato de cadena.