SID connus
Les identificateurs de sécurité (SID) connus identifient les groupes génériques et les utilisateurs génériques. Par exemple, il existe des SID connus pour identifier les groupes et utilisateurs suivants :
- Everyone ou World, qui est un groupe qui inclut tous les utilisateurs.
- CREATOR_OWNER, qui est utilisé comme espace réservé dans un ACE héritable. Lorsque l’ACE est hérité, le système remplace le SID CREATOR_OWNER par le SID du créateur de l’objet.
- Groupe Administrators pour le domaine intégré sur l’ordinateur local.
Il existe des SID connus universels, qui sont explicites sur tous les systèmes sécurisés utilisant ce modèle de sécurité, y compris les systèmes d’exploitation autres que Windows. En outre, il existe des SID connus qui ne sont explicites que sur les systèmes Windows.
L’API Windows définit un ensemble de constantes pour l’autorité des identificateurs connus et de valeurs d’identificateurs relatifs (RID). Vous pouvez utiliser ces constantes pour créer des SID connus. L’exemple suivant combine les constantes SECURITY_WORLD_SID_AUTHORITY et SECURITY_WORLD_RID pour afficher le SID connu universel pour le groupe spécial représentant tous les utilisateurs (Everyone ou World) :
S-1-1-0
Cet exemple utilise la notation de chaîne pour les SID dans lesquels S identifie la chaîne en tant que SID, le premier 1 est le niveau de révision du SID, et les deux chiffres restants sont les constantes SECURITY_WORLD_SID_AUTHORITY et SECURITY_WORLD_RID.
Vous pouvez utiliser la fonction AllocateAndInitializeSid pour générer un SID en combinant une valeur d’autorité d’identificateur avec jusqu’à huit valeurs de sous-autorité. Par exemple, pour déterminer si l’utilisateur connecté est membre d’un groupe connu particulier, appelez AllocateAndInitializeSid pour générer un SID pour le groupe connu et utilisez la fonction EqualSid pour comparer ce SID aux SID de groupe dans le jeton d’accès de l’utilisateur. Pour obtenir un exemple, consultez Recherche d’un SID dans un jeton d’accès en C++. Vous devez appeler la fonction FreeSid pour libérer un SID alloué par AllocateAndInitializeSid.
Le reste de cette section contient des tables de SID connus et de tables de constantes d’autorité et sous-autorité d’identificateur que vous pouvez utiliser pour générer des SID connus.
Voici quelques SID connus universels.
| SID universel connu | Identifie |
|---|---|
| SID Null Valeur de chaîne : S-1-0-0 |
Un groupe sans membres. Ceci est souvent utilisé lorsqu’une valeur de SID n’est pas connue. |
| Monde Valeur de chaîne : S-1-1-0 |
Groupe qui inclut tous les utilisateurs. |
| Local Valeur de chaîne : S-1-2-0 |
Utilisateurs qui se connectent à des terminaux connectés localement (physiquement) au système. |
| ID du propriétaire du créateur Valeur de chaîne : S-1-3-0 |
Identificateur de sécurité à remplacer par l’identificateur de sécurité de l’utilisateur qui a créé un nouvel objet. Ce SID est utilisé dans les ACE héritables. |
| ID du groupe de créateur Valeur de chaîne : S-1-3-1 |
Identificateur de sécurité à remplacer par le SID du groupe principal de l’utilisateur qui a créé un nouvel objet. Utilisez ce SID dans les ACE héritées. |
Le tableau suivant répertorie les constantes de l’autorité d’identificateur prédéfinie. Les quatre premières valeurs sont utilisées avec des SID connus universels ; la dernière valeur est utilisée avec des SID connus de Windows.
| Autorité d’identificateur | Valeur | Valeur de chaîne |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 |
S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 |
S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 |
S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 |
S-1-3 |
| SECURITY_NT_AUTHORITY | 5 |
S-1-5 |
Les valeurs de RID suivantes sont utilisées avec des SID connus universels. La colonne Autorité d’identificateur affiche le préfixe de l’autorité d’identificateur que vous pouvez combiner au RID pour créer un SID universel connu.
| Autorité d’identificateur relative | Valeur | Valeur de chaîne |
|---|---|---|
| SECURITY_NULL_RID | 0 |
S-1-0-0 |
| SECURITY_WORLD_RID | 0 |
S-1-1-0 |
| SECURITY_LOCAL_RID | 0 |
S-1-2-0 |
| SECURITY_LOCAL_LOGON_RID | 1 |
S-1-2-1 |
| SECURITY_CREATOR_OWNER_RID | 0 |
S-1-3-0 |
| SECURITY_CREATOR_GROUP_RID | 1 |
S-1-3-1 |
L’autorité d’identificateur prédéfinie SECURITY_NT_AUTHORITY (S-1-5) produit des SID non universels, mais qui sont explicites uniquement sur les installations Windows. Vous pouvez utiliser les valeurs de RID suivantes avec SECURITY_NT_AUTHORITY pour créer des SID connus.
| Constant | Identifie |
|---|---|
| SECURITY_DIALUP_RID Valeur de chaîne : S-1-5-1 |
Utilisateurs qui se connectent à des terminaux à l’aide d’un modem d'accès à distance. Il s’agit d’un identificateur de groupe. |
| SECURITY_NETWORK_RID Valeur de chaîne : S-1-5-2 |
Utilisateurs qui se connectent sur un réseau. Il s’agit d’un identificateur de groupe ajouté au jeton d’un processus lorsqu’il était connecté sur un réseau. Le type de connexion correspondant est LOGON32_LOGON_NETWORK. |
| SECURITY_BATCH_RID Valeur de chaîne : S-1-5-3 |
Utilisateurs qui se connectent à l’aide d’une fonction de file d’attente de traitement par lots. Il s’agit d’un identificateur de groupe ajouté au jeton d’un processus lorsqu’il a été enregistré en tant que traitement par lots. Le type d’ouverture de session correspondant est LOGON32_LOGON_BATCH. |
| SECURITY_INTERACTIVE_RID Valeur de chaîne : S-1-5-4 |
Utilisateurs qui se connectent pour une opération interactive. Il s’agit d’un identificateur de groupe ajouté au jeton d’un processus lorsqu’il était connecté de manière interactive. Le type de connexion correspondant est LOGON32_LOGON_INTERACTIVE. |
| SECURITY_LOGON_IDS_RID Valeur de chaîne : S-1-5-5-*X*-*Y* |
Ouverture de session. Cela permet de s’assurer que seuls les processus d’une ouverture de session donnée peuvent accéder aux objets de la station Windows pour cette session. Les valeurs X et Y de ces SID sont différentes pour chaque ouverture de session. La valeur SECURITY_LOGON_IDS_RID_COUNT correspond au nombre de RID dans cet identificateur (5-X-Y). |
| SECURITY_SERVICE_RID Valeur de chaîne : S-1-5-6 |
Comptes autorisés à se connecter en tant que service. Il s’agit d’un identificateur de groupe ajouté au jeton d’un processus lorsqu’il était connecté en tant que service. Le type de connexion correspondant est LOGON32_LOGON_SERVICE. |
| SECURITY_ANONYMOUS_LOGON_RID Valeur de chaîne : S-1-5-7 |
Ouverture de session anonyme ou ouverture de session Null. |
| SECURITY_PROXY_RID Valeur de chaîne : S-1-5-8 |
Proxy. |
| SECURITY_ENTERPRISE_CONTROLLERS_RID Valeur de chaîne : S-1-5-9 |
Contrôleurs d’entreprise. |
| SECURITY_PRINCIPAL_SELF_RID Valeur de chaîne : S-1-5-10 |
L’identificateur de sécurité PRINCIPAL_SELF peut être utilisé dans la liste de contrôle d’accès d’un objet utilisateur ou de groupe. Pendant un contrôle d’accès, le système remplace le SID par le SID de l’objet. Le SID PRINCIPAL_SELF est utile pour spécifier un ACE héritant qui s’applique à l’objet utilisateur ou de groupe qui hérite de l’ACE. Il s'agit de la seule façon de représenter le SID d’un objet créé dans le descripteur de sécurité par défaut du schéma. |
| SECURITY_AUTHENTICATED_USER_RID Valeur de chaîne : S-1-5-11 |
Utilisateurs authentifiés. |
| SECURITY_RESTRICTED_CODE_RID Valeur de chaîne : S-1-5-12 |
Code restreint. |
| SECURITY_TERMINAL_SERVER_RID Valeur de chaîne : S-1-5-13 |
Terminal Services. Ajouté automatiquement au jeton de sécurité d’un utilisateur qui se connecte à un serveur de terminal. |
| SECURITY_LOCAL_SYSTEM_RID Valeur de chaîne : S-1-5-18 |
Compte spécial utilisé par le système d’exploitation. |
| SECURITY_NT_NON_UNIQUE Valeur de chaîne : S-1-5-21 |
Les SIDS ne sont pas uniques. |
| SECURITY_BUILTIN_DOMAIN_RID Valeur de chaîne : S-1-5-32 |
Domaine système intégré. |
| SECURITY_WRITE_RESTRICTED_CODE_RID Valeur de chaîne : S-1-5-33 |
Code à accès restreint en écriture. |
| SECURITY_RESTRICTED_SERVICES_BASE_RID Valeur de chaîne : S-1-5-99 |
Services restreints. |
Les RID suivants sont relatifs à chaque domaine.
| RID | Identifie |
|---|---|
| DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP Valeur: 0x0000023E |
Groupe d’utilisateurs qui peuvent se connecter aux autorités de certification à l’aide du modèle DCOM (Distributed Component Object Model). |
| DOMAIN_USER_RID_ADMIN Valeur: 0x000001F4 |
Compte d’utilisateur d’administration dans un domaine. |
| DOMAIN_USER_RID_GUEST Valeur: 0x000001F5 |
Compte d’utilisateur invité dans un domaine. Les utilisateurs qui n’ont pas de compte peuvent se connecter automatiquement à ce compte. |
| DOMAIN_GROUP_RID_ADMINS Valeur: 0x00000200 |
Groupe des administrateurs de domaine. Ce compte existe uniquement sur les systèmes exécutant des systèmes d’exploitation serveur. |
| DOMAIN_GROUP_RID_USERS Valeur: 0x00000201 |
Groupe qui contient tous les comptes d’utilisateur d’un domaine. Tous les utilisateurs sont ajoutés automatiquement à ce groupe. |
| DOMAIN_GROUP_RID_GUESTS Valeur: 0x00000202 |
Compte de groupe invité dans un domaine. |
| DOMAIN_GROUP_RID_COMPUTERS Valeur: 0x00000203 |
Groupe d’ordinateurs du domaine. Tous les ordinateurs du domaine sont membres de ce groupe. |
| DOMAIN_GROUP_RID_CONTROLLERS Valeur: 0x00000204 |
Groupe de contrôleurs de domaine. Tous les contrôleurs de domaine sont membres de ce groupe. |
| DOMAIN_GROUP_RID_CERT_ADMINS Valeur: 0x00000205 |
Groupe des éditeurs de certificats. Les ordinateurs exécutant les services de certificats sont membres de ce groupe. |
| DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS Valeur: 0x000001F2 |
Groupe de contrôleurs de domaine d’entreprise en lecture seule. |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS Valeur: 0x00000206 |
Groupe d’administrateurs de schéma. Les membres de ce groupe peuvent modifier le schéma Active Directory. |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS Valeur: 0x00000207 |
Groupe des administrateurs de l’entreprise. Les membres de ce groupe disposent d’un accès total à tous les domaines de la forêt Active Directory. Les administrateurs de l’entreprise sont responsables des opérations au niveau de la forêt, telles que l’ajout ou la suppression de nouveaux domaines. |
| DOMAIN_GROUP_RID_POLICY_ADMINS Valeur: 0x00000208 |
Groupe des administrateurs de la stratégie. |
| DOMAIN_GROUP_RID_READONLY_CONTROLLERS Valeur: 0x00000209 |
Groupe de contrôleurs de domaine en lecture seule |
| DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS Valeur: 0x0000020A |
Groupe de contrôleurs de domaine clonables. |
| DOMAIN_GROUP_RID_CDC_RESERVED Valeur: 0x0000020C |
Groupe CDC réservé. |
| DOMAIN_GROUP_RID_PROTECTED_USERS Valeur: 0x0000020D |
Groupe d'utilisateurs protégés. |
| DOMAIN_GROUP_RID_KEY_ADMINS Valeur: 0x0000020E |
Groupe d’administrateurs de clés. |
| DOMAIN_GROUP_RID_ENTERPRISE_KEY_ADMINS Valeur: 0x0000020F |
Groupe d'administrateurs de clés de l’entreprise. |
Les RID suivants sont utilisés pour spécifier le niveau d’intégrité obligatoire.
| RID | Valeur | Identifie |
|---|---|---|
| SECURITY_MANDATORY_UNTRUSTED_RID | 0x00000000 |
Non approuvé. |
| SECURITY_MANDATORY_LOW_RID | 0x00001000 |
Faible intégrité. |
| SECURITY_MANDATORY_MEDIUM_RID | 0x00002000 |
Intégrité moyenne. |
| SECURITY_MANDATORY_MEDIUM_PLUS_RID | SECURITY_MANDATORY_MEDIUM_RID + 0x100 |
Intégrité moyenne élevée. |
| SECURITY_MANDATORY_HIGH_RID | 0X00003000 |
Intégrité élevée. |
| SECURITY_MANDATORY_SYSTEM_RID | 0x00004000 |
Intégrité du système. |
| SECURITY_MANDATORY_PROTECTED_PROCESS_RID | 0x00005000 |
Processus protégé. |
Le tableau suivant contient des exemples de RID relatifs au domaine que vous pouvez utiliser pour former des SID connus pour les groupes locaux (alias). Pour plus d’informations sur les groupes locaux et globaux, consultez Fonctions de groupes locaux et Fonctions de groupes.
| RID | Identifie |
|---|---|
| DOMAIN_ALIAS_RID_ADMINS Valeur: 0x00000220Valeur de chaîne : S-1-5-32-544 |
Groupe local utilisé pour l’administration du domaine. |
| DOMAIN_ALIAS_RID_USERS Valeur: 0x00000221Valeur de chaîne : S-1-5-32-545 |
Groupe local qui représente tous les utilisateurs du domaine. |
| DOMAIN_ALIAS_RID_GUESTS Valeur: 0x00000222Valeur de chaîne : S-1-5-32-546 |
Groupe local qui représente les invités du domaine. |
| DOMAIN_ALIAS_RID_POWER_USERS Valeur: 0x00000223Valeur de chaîne : S-1-5-32-547 |
Un groupe local représente un utilisateur ou un ensemble d’utilisateurs qui s’attendent à traiter un système comme s’il s’agissait de leur ordinateur personnel plutôt que comme un poste de travail partagé par plusieurs utilisateurs. |
| DOMAIN_ALIAS_RID_ACCOUNT_OPS Valeur: 0x00000224Valeur de chaîne : S-1-5-32-548 |
Groupe local qui existe uniquement sur les systèmes exécutant des systèmes d’exploitation serveur. Ce groupe local autorise le contrôle sur les comptes non administrateurs. |
| DOMAIN_ALIAS_RID_SYSTEM_OPS Valeur: 0x00000225Valeur de chaîne : S-1-5-32-549 |
Groupe local qui existe uniquement sur les systèmes exécutant des systèmes d’exploitation serveur. Ce groupe local effectue des fonctions d’administration système, et n’inclut pas les fonctions de sécurité. Il établit des partages réseau, contrôle les imprimantes, déverrouille les postes de travail et effectue d’autres opérations. |
| DOMAIN_ALIAS_RID_PRINT_OPS Valeur: 0x00000226Valeur de chaîne : S-1-5-32-550 |
Groupe local qui existe uniquement sur les systèmes exécutant des systèmes d’exploitation serveur. Ce groupe local contrôle les imprimantes et les files d’attente d’impression. |
| DOMAIN_ALIAS_RID_BACKUP_OPS Valeur: 0x00000227Valeur de chaîne : S-1-5-32-551 |
Groupe local utilisé pour contrôler l’affectation des privilèges de sauvegarde et de restauration de fichiers. |
| DOMAIN_ALIAS_RID_REPLICATOR Valeur: 0x00000228Valeur de chaîne : S-1-5-32-552 |
Groupe local responsable de la copie des bases de données de sécurité du contrôleur de domaine principal vers les contrôleurs de domaine de sauvegarde. Ces comptes sont utilisés uniquement par le système. |
| DOMAIN_ALIAS_RID_RAS_SERVERS Valeur: 0x00000229Valeur de chaîne : S-1-5-32-553 |
Groupe local qui représente les serveurs RAS et IAS. Ce groupe permet d’accéder à différents attributs d’objets utilisateur. |
| DOMAIN_ALIAS_RID_PREW2KCOMPACCESS Valeur: 0x0000022AValeur de chaîne : S-1-5-32-554 |
Groupe local qui existe uniquement sur les systèmes exécutant Windows 2000 Server. Pour plus d’informations, reportez-vous à la section Autorisation de l’accès anonyme. |
| DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS Valeur: 0x0000022BValeur de chaîne : S-1-5-32-555 |
Groupe local qui représente tous les utilisateurs Bureau à distance. |
| DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS Valeur: 0x0000022CValeur de chaîne : S-1-5-32-556 |
Groupe local qui représente la configuration réseau. |
| DOMAIN_ALIAS_RID_INCOMING_FOREST_TRUST_BUILDERS Valeur: 0x0000022DValeur de chaîne : S-1-5-32-557 |
Groupe local qui représente tous les utilisateurs d’approbation de forêt. |
| DOMAIN_ALIAS_RID_MONITORING_USERS Valeur: 0x0000022EValeur de chaîne : S-1-5-32-558 |
Groupe local qui représente tous les utilisateurs surveillés. |
| DOMAIN_ALIAS_RID_LOGGING_USERS Valeur: 0x0000022FValeur de chaîne : S-1-5-32-559 |
Groupe local responsable de la journalisation des utilisateurs. |
| DOMAIN_ALIAS_RID_AUTHORIZATIONACCESS Valeur: 0x00000230Valeur de chaîne : S-1-5-32-560 |
Groupe local qui représente tous les accès autorisés. |
| DOMAIN_ALIAS_RID_TS_LICENSE_SERVERS Valeur: 0x00000231Valeur de chaîne : S-1-5-32-561 |
Groupe local qui existe uniquement sur les systèmes exécutant des systèmes d’exploitation serveur autorisant les services terminal et l’accès à distance. |
| DOMAIN_ALIAS_RID_DCOM_USERS Valeur: 0x00000232Valeur de chaîne : S-1-5-32-562 |
Groupe local qui représente les utilisateurs pouvant utiliser le modèle DCOM (Distributed Component Object Model). |
| DOMAIN_ALIAS_RID_IUSERS Valeur: 0X00000238Valeur de chaîne : S-1-5-32-568 |
Groupe local qui représente les utilisateurs Internet. |
| DOMAIN_ALIAS_RID_CRYPTO_OPERATORS Valeur: 0x00000239Valeur de chaîne : S-1-5-32-569 |
Groupe local qui représente l’accès aux opérateurs de chiffrement. |
| DOMAIN_ALIAS_RID_CACHEABLE_PRINCIPALS_GROUP Valeur: 0x0000023BValeur de chaîne : S-1-5-32-571 |
Groupe local qui représente les principaux pouvant être mis en cache. |
| DOMAIN_ALIAS_RID_NON_CACHEABLE_PRINCIPALS_GROUP Valeur: 0x0000023CValeur de chaîne : S-1-5-32-572 |
Groupe local qui représente les principaux ne pouvant pas être mis en cache. |
| DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP Valeur: 0x0000023DValeur de chaîne : S-1-5-32-573 |
Groupe local qui représente les lecteurs du journal des événements. |
| DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP Valeur: 0x0000023EValeur de chaîne : S-1-5-32-574 |
Groupe local d’utilisateurs qui peuvent se connecter aux autorités de certification à l’aide du modèle DCOM (Distributed Component Object Model). |
| DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_SERVERS Valeur: 0x0000023FValeur de chaîne : S-1-5-32-575 |
Groupe local qui représente les serveurs d’accès à distance RDS. |
| DOMAIN_ALIAS_RID_RDS_ENDPOINT_SERVERS Valeur: 0x00000240Valeur de chaîne : S-1-5-32-576 |
Groupe local qui représente les serveurs de point de terminaison. |
| DOMAIN_ALIAS_RID_RDS_MANAGEMENT_SERVERS Valeur: 0x00000241Valeur de chaîne : S-1-5-32-577 |
Groupe local qui représente les serveurs d'administration. |
| DOMAIN_ALIAS_RID_HYPER_V_ADMINS Valeur: 0x00000242Valeur de chaîne : S-1-5-32-578 |
Groupe local qui représente les administrateurs Hyper-V. |
| DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS Valeur: 0x00000243Valeur de chaîne : S-1-5-32-579 |
Groupe local qui représente les opérateurs d’assistance de contrôle d’accès. |
| DOMAIN_ALIAS_RID_REMOTE_MANAGEMENT_USERS Valeur: 0x00000244Valeur de chaîne : S-1-5-32-580 |
Groupe local qui représente les utilisateurs de gestion à distance. |
| DOMAIN_ALIAS_RID_DEFAULT_ACCOUNT Valeur: 0x00000245Valeur de chaîne : S-1-5-32-581 |
Groupe local qui représente le compte par défaut. |
| DOMAIN_ALIAS_RID_STORAGE_REPLICA_ADMINS Valeur: 0x00000246Valeur de chaîne : S-1-5-32-582 |
Groupe local qui représente les administrateurs de réplica de stockage. |
| DOMAIN_ALIAS_RID_DEVICE_OWNERS Valeur: 0x00000247Valeur de chaîne : S-1-5-32-583 |
Groupe local pouvant faire les réglages attendus pour les propriétaires d’appareils. |
| DOMAIN_ALIAS_RID_USER_MODE_HARDWARE_OPERATORS Valeur: 0x00000248Valeur de chaîne : S-1-5-32-584 |
Les membres de ce groupe peuvent accéder aux pilotes du mappeur en mode utilisateur. |
L’énumération WELL_KNOWN_SID_TYPE définit la liste des SID couramment utilisés. En outre, le langage SDDL (Security Descriptor Definition Language) utilise des chaînes SID pour référencer des SID connus au format chaîne.