SID noti
Gli identificatori di sicurezza noti (SID) identificano i gruppi generici e gli utenti generici. Ad esempio, esistono SID noti per identificare i gruppi e gli utenti seguenti:
- Tutti o Mondo, ovvero un gruppo che include tutti gli utenti.
- CREATOR_OWNER, usato come segnaposto in un ace ereditabile. Quando l'ace viene ereditato, il sistema sostituisce il SID CREATOR_OWNER con il SID dell'autore dell'oggetto.
- Gruppo Administrators per il dominio predefinito nel computer locale.
Esistono SID universali noti, che sono significativi in tutti i sistemi sicuri che usano questo modello di sicurezza, inclusi i sistemi operativi diversi da Windows. Inoltre, esistono SID noti che sono significativi solo nei sistemi Windows.
L'API Di Windows definisce un set di costanti per valori di autorità di identificatore noti e identificatore relativo (RID). È possibile usare queste costanti per creare SID noti. Nell'esempio seguente vengono combinate le costanti SECURITY_WORLD_SID_AUTHORITY e SECURITY_WORLD_RID per mostrare il SID noto universale per il gruppo speciale che rappresenta tutti gli utenti (Everyone o World):
S-1-1-0
In questo esempio viene usata la notazione di stringa per i SID in cui S identifica la stringa come SID, il primo è il livello di revisione del SID e le due cifre rimanenti sono le costanti SECURITY_WORLD_SID_AUTHORITY e SECURITY_WORLD_RID.
È possibile usare la funzione AllocateAndInitializeSid per compilare un SID combinando un valore di autorità identificatore con un massimo di otto valori di sottoautorità. Ad esempio, per determinare se l'utente connesso è membro di un determinato gruppo noto, chiamare AllocateAndInitializeSid per creare un SID per il gruppo noto e usare la funzione EqualSid per confrontare tale SID con i SID del gruppo nel token di accesso dell'utente. Per un esempio, vedere Ricerca di un SID in un token di accesso in C++. È necessario chiamare la funzione FreeSid per liberare un SID allocato da AllocateAndInitializeSid.
Nella parte restante di questa sezione sono contenute tabelle di SID noti e tabelle di costanti di autorità di identificatore e sottoautorità che è possibile usare per creare SID noti.
Di seguito sono riportati alcuni SID noti universali.
SID noto universale | Identifica |
---|---|
Null SID Valore stringa: S-1-0-0 |
Gruppo senza membri. Questo viene spesso usato quando un valore SID non è noto. |
Mondo Valore stringa: S-1-1-0 |
Gruppo che include tutti gli utenti. |
Locale Valore stringa: S-1-2-0 |
Utenti che accedono ai terminali in locale (fisicamente) connessi al sistema. |
ID proprietario Valore stringa: S-1-3-0 |
Identificatore di sicurezza da sostituire con l'identificatore di sicurezza dell'utente che ha creato un nuovo oggetto. Questo SID viene usato negli ACL ereditabili. |
ID gruppo creatore Valore stringa: S-1-3-1 |
Identificatore di sicurezza da sostituire con il SID del gruppo primario dell'utente che ha creato un nuovo oggetto. Usare questo SID negli ACE ereditabili. |
Nella tabella seguente sono elencate le costanti predefinite dell'autorità di identificatore. I primi quattro valori vengono usati con SID noti universali; l'ultimo valore viene usato con i SID noti di Windows.
Autorità di identificazione | Valore | Valore stringa |
---|---|---|
SECURITY_NULL_SID_AUTHORITY | 0 |
S-1-0 |
SECURITY_WORLD_SID_AUTHORITY | 1 |
S-1-1 |
SECURITY_LOCAL_SID_AUTHORITY | 2 |
S-1-2 |
SECURITY_CREATOR_SID_AUTHORITY | 3 |
S-1-3 |
SECURITY_NT_AUTHORITY | 5 |
S-1-5 |
I valori RID seguenti vengono usati con SID noti universali. La colonna Autorità identificatore mostra il prefisso dell'autorità di identificatore con cui è possibile combinare il RID per creare un SID noto universale.
Autorità identificatore relativo | Valore | Valore stringa |
---|---|---|
SECURITY_NULL_RID | 0 |
S-1-0-0 |
SECURITY_WORLD_RID | 0 |
S-1-1-0 |
SECURITY_LOCAL_RID | 0 |
S-1-2-0 |
SECURITY_LOCAL_LOGON_RID | 1 |
S-1-2-1 |
SECURITY_CREATOR_OWNER_RID | 0 |
S-1-3-0 |
SECURITY_CREATOR_GROUP_RID | 1 |
S-1-3-1 |
L'autorità di identificatore predefinita (S-1-5) SECURITY_NT_AUTHORITY produce SID non universali ma significativi solo nelle installazioni di Windows. È possibile usare i valori RID seguenti con SECURITY_NT_AUTHORITY per creare SID noti.
Costante | Identifica |
---|---|
SECURITY_DIALUP_RID Valore stringa: S-1-5-1 |
Utenti che accedono ai terminali utilizzando un modem di connessione remota. Si tratta di un identificatore di gruppo. |
SECURITY_NETWORK_RID Valore stringa: S-1-5-2 |
Utenti che accedono a una rete. Si tratta di un identificatore di gruppo aggiunto al token di un processo quando è stato connesso in una rete. Il tipo di accesso corrispondente è LOGON32_LOGON_NETWORK. |
SECURITY_BATCH_RID Valore stringa: S-1-5-3 |
Utenti che accedono usando una struttura di accodamento batch. Si tratta di un identificatore di gruppo aggiunto al token di un processo quando è stato registrato come processo batch. Il tipo di accesso corrispondente è LOGON32_LOGON_BATCH. |
SECURITY_INTERACTIVE_RID Valore stringa: S-1-5-4 |
Utenti che accedono per l'operazione interattiva. Si tratta di un identificatore di gruppo aggiunto al token di un processo quando è stato eseguito l'accesso in modo interattivo. Il tipo di accesso corrispondente è LOGON32_LOGON_INTERACTIVE. |
SECURITY_LOGON_IDS_RID Valore stringa: S-1-5-5-*X*-*Y* |
Sessione di accesso. Viene usato per garantire che solo i processi in una determinata sessione di accesso possano accedere agli oggetti window-station per tale sessione. I valori X e Y per questi SID sono diversi per ogni sessione di accesso. Il valore SECURITY_LOGON_IDS_RID_COUNT è il numero di RID in questo identificatore (5-X- Y). |
SECURITY_SERVICE_RID Valore stringa: S-1-5-6 |
Account autorizzati ad accedere come servizio. Si tratta di un identificatore di gruppo aggiunto al token di un processo quando è stato registrato come servizio. Il tipo di accesso corrispondente è LOGON32_LOGON_SERVICE. |
SECURITY_ANONYMOUS_LOGON_RID Valore stringa: S-1-5-7 |
Accesso anonimo o accesso di sessione Null. |
SECURITY_PROXY_RID Valore stringa: S-1-5-8 |
Procura. |
SECURITY_ENTERPRISE_CONTROLLERS_RID Valore stringa: S-1-5-9 |
Controller aziendali. |
SECURITY_PRINCIPAL_SELF_RID Valore stringa: S-1-5-10 |
L'identificatore di sicurezza PRINCIPAL_SELF può essere usato nell'elenco di controllo di accesso di un oggetto utente o gruppo. Durante un controllo di accesso, il sistema sostituisce il SID con il SID dell'oggetto. Il SID PRINCIPAL_SELF è utile per specificare un ACE ereditabile che si applica all'oggetto utente o gruppo che eredita l'ace. Rappresenta l'unico modo per rappresentare il SID di un oggetto creato nel descrittore di sicurezza predefinito dello schema. |
SECURITY_AUTHENTICATED_USER_RID Valore stringa: S-1-5-11 |
Utenti autenticati. |
SECURITY_RESTRICTED_CODE_RID Valore stringa: S-1-5-12 |
Codice con restrizioni. |
SECURITY_TERMINAL_SERVER_RID Valore stringa: S-1-5-13 |
Servizi terminal. Aggiunto automaticamente al token di sicurezza di un utente che accede a un server terminal. |
SECURITY_LOCAL_SYSTEM_RID Valore stringa: S-1-5-18 |
Un account speciale utilizzato dal sistema operativo. |
SECURITY_NT_NON_UNIQUE Valore stringa: S-1-5-21 |
SIDS non sono univoci. |
SECURITY_BUILTIN_DOMAIN_RID Valore stringa: S-1-5-32 |
Dominio di sistema predefinito. |
SECURITY_WRITE_RESTRICTED_CODE_RID Valore stringa: S-1-5-33 |
Scrivere codice con restrizioni. |
SECURITY_RESTRICTED_SERVICES_BASE_RID Valore stringa: S-1-5-99 |
Servizi con restrizioni. |
I RID seguenti sono relativi a ogni dominio.
RID | Identifica |
---|---|
DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP Valore: 0x0000023E |
Gruppo di utenti che possono connettersi alle autorità di certificazione tramite Distributed Component Object Model (DCOM). |
DOMAIN_USER_RID_ADMIN Valore: 0x000001F4 |
Account utente amministratore in un dominio. |
DOMAIN_USER_RID_GUEST Valore: 0x000001F5 |
Account utente guest in un dominio. Gli utenti che non dispongono di un account possono accedere automaticamente a questo account. |
DOMAIN_GROUP_RID_ADMINS Valore: 0x00000200 |
Gruppo di amministratori di dominio. Questo account esiste solo nei sistemi che eseguono sistemi operativi server. |
DOMAIN_GROUP_RID_USERS Valore: 0x00000201 |
Gruppo che contiene tutti gli account utente in un dominio. Tutti gli utenti non vengono aggiunti automaticamente a questo gruppo. |
DOMAIN_GROUP_RID_GUESTS Valore: 0x00000202 |
Account del gruppo guest in un dominio. |
DOMAIN_GROUP_RID_COMPUTERS Valore: 0x00000203 |
Gruppo di computer di dominio. Tutti i computer nel dominio sono membri di questo gruppo. |
DOMAIN_GROUP_RID_CONTROLLERS Valore: 0x00000204 |
Gruppo dei controller di dominio. Tutti i controller di dominio nel dominio sono membri di questo gruppo. |
DOMAIN_GROUP_RID_CERT_ADMINS Valore: 0x00000205 |
Gruppo di autori di certificati. I computer che eseguono Servizi certificati sono membri di questo gruppo. |
DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS Valore: 0x000001F2 |
Gruppo di controller di dominio di sola lettura aziendali. |
DOMAIN_GROUP_RID_SCHEMA_ADMINS Valore: 0x00000206 |
Gruppo di amministratori dello schema. I membri di questo gruppo possono modificare lo schema di Active Directory. |
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS Valore: 0x00000207 |
Gruppo di amministratori dell'organizzazione. I membri di questo gruppo hanno accesso completo a tutti i domini nella foresta Active Directory. Gli amministratori dell'organizzazione sono responsabili di operazioni a livello di foresta, ad esempio l'aggiunta o la rimozione di nuovi domini. |
DOMAIN_GROUP_RID_POLICY_ADMINS Valore: 0x00000208 |
Gruppo di amministratori dei criteri. |
DOMAIN_GROUP_RID_READONLY_CONTROLLERS Valore: 0x00000209 |
Gruppo di controller di dominio di sola lettura |
DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS Valore: 0x0000020A |
Gruppo di controller di dominio clonabili. |
DOMAIN_GROUP_RID_CDC_RESERVED Valore: 0x0000020C |
Gruppo CDC riservato. |
DOMAIN_GROUP_RID_PROTECTED_USERS Valore: 0x0000020D |
Gruppo di utenti protetti. |
DOMAIN_GROUP_RID_KEY_ADMINS Valore: 0x0000020E |
Gruppo key admins. |
DOMAIN_GROUP_RID_ENTERPRISE_KEY_ADMINS Valore: 0x0000020F |
Gruppo enterprise key admins. |
I RID seguenti vengono usati per specificare il livello di integrità obbligatorio.
RID | Valore | Identifica |
---|---|---|
SECURITY_MANDATORY_UNTRUSTED_RID | 0x00000000 |
Attendibile. |
SECURITY_MANDATORY_LOW_RID | 0x00001000 |
Integrità bassa. |
SECURITY_MANDATORY_MEDIUM_RID | 0x00002000 |
Integrità media. |
SECURITY_MANDATORY_MEDIUM_PLUS_RID | SECURITY_MANDATORY_MEDIUM_RID + 0x100 |
Integrità media elevata. |
SECURITY_MANDATORY_HIGH_RID | 0X00003000 |
Integrità elevata. |
SECURITY_MANDATORY_SYSTEM_RID | 0x00004000 |
Integrità del sistema. |
SECURITY_MANDATORY_PROTECTED_PROCESS_RID | 0x00005000 |
Processo protetto. |
La tabella seguente contiene esempi di RID relative al dominio che è possibile usare per formare SID noti per i gruppi locali (alias). Per altre informazioni sui gruppi locali e globali, vedere Funzioni di gruppo locali e Funzioni di gruppo.
RID | Identifica |
---|---|
DOMAIN_ALIAS_RID_ADMINS Valore: 0x00000220 Valore stringa: S-1-5-32-544 |
Gruppo locale utilizzato per l'amministrazione del dominio. |
DOMAIN_ALIAS_RID_USERS Valore: 0x00000221 Valore stringa: S-1-5-32-545 |
Gruppo locale che rappresenta tutti gli utenti nel dominio. |
DOMAIN_ALIAS_RID_GUESTS Valore: 0x00000222 Valore stringa: S-1-5-32-546 |
Gruppo locale che rappresenta gli utenti guest del dominio. |
DOMAIN_ALIAS_RID_POWER_USERS Valore: 0x00000223 Valore stringa: S-1-5-32-547 |
Un gruppo locale utilizzato per rappresentare un utente o un set di utenti che si aspettano di trattare un sistema come se fosse il computer personale anziché come workstation per più utenti. |
DOMAIN_ALIAS_RID_ACCOUNT_OPS Valore: 0x00000224 Valore stringa: S-1-5-32-548 |
Gruppo locale esistente solo nei sistemi che eseguono sistemi operativi server. Questo gruppo locale consente il controllo sugli account non amministratori. |
DOMAIN_ALIAS_RID_SYSTEM_OPS Valore: 0x00000225 Valore stringa: S-1-5-32-549 |
Gruppo locale esistente solo nei sistemi che eseguono sistemi operativi server. Questo gruppo locale esegue funzioni amministrative di sistema, non incluse le funzioni di sicurezza. Stabilisce condivisioni di rete, controlla stampanti, sblocca workstation ed esegue altre operazioni. |
DOMAIN_ALIAS_RID_PRINT_OPS Valore: 0x00000226 Valore stringa: S-1-5-32-550 |
Gruppo locale esistente solo nei sistemi che eseguono sistemi operativi server. Questo gruppo locale controlla le stampanti e le code di stampa. |
DOMAIN_ALIAS_RID_BACKUP_OPS Valore: 0x00000227 Valore stringa: S-1-5-32-551 |
Gruppo locale usato per controllare l'assegnazione dei privilegi di backup e ripristino dei file. |
DOMAIN_ALIAS_RID_REPLICATOR Valore: 0x00000228 Valore stringa: S-1-5-32-552 |
Gruppo locale responsabile della copia dei database di sicurezza dal controller di dominio primario ai controller di dominio di backup. Questi account vengono usati solo dal sistema. |
DOMAIN_ALIAS_RID_RAS_SERVERS Valore: 0x00000229 Valore stringa: S-1-5-32-553 |
Gruppo locale che rappresenta i server RAS e IAS. Questo gruppo consente l'accesso a vari attributi degli oggetti utente. |
DOMAIN_ALIAS_RID_PREW2KCOMPACCESS Valore: 0x0000022A Valore stringa: S-1-5-32-554 |
Gruppo locale esistente solo nei sistemi che eseguono Windows 2000 Server. Per altre informazioni, vedere Consentire l'accesso anonimo. |
DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS Valore: 0x0000022B Valore stringa: S-1-5-32-555 |
Gruppo locale che rappresenta tutti gli utenti desktop remoto. |
DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS Valore: 0x0000022C Valore stringa: S-1-5-32-556 |
Gruppo locale che rappresenta la configurazione di rete. |
DOMAIN_ALIAS_RID_INCOMING_FOREST_TRUST_BUILDERS Valore: 0x0000022D Valore stringa: S-1-5-32-557 |
Gruppo locale che rappresenta qualsiasi utente di trust tra foreste. |
DOMAIN_ALIAS_RID_MONITORING_USERS Valore: 0x0000022E Valore stringa: S-1-5-32-558 |
Gruppo locale che rappresenta tutti gli utenti monitorati. |
DOMAIN_ALIAS_RID_LOGGING_USERS Valore: 0x0000022F Valore stringa: S-1-5-32-559 |
Un gruppo locale responsabile della registrazione degli utenti. |
DOMAIN_ALIAS_RID_AUTHORIZATIONACCESS Valore: 0x00000230 Valore stringa: S-1-5-32-560 |
Gruppo locale che rappresenta tutti gli accessi autorizzati. |
DOMAIN_ALIAS_RID_TS_LICENSE_SERVERS Valore: 0x00000231 Valore stringa: S-1-5-32-561 |
Gruppo locale esistente solo nei sistemi che eseguono sistemi operativi server che consentono servizi terminal e accesso remoto. |
DOMAIN_ALIAS_RID_DCOM_USERS Valore: 0x00000232 Valore stringa: S-1-5-32-562 |
Gruppo locale che rappresenta gli utenti che possono usare DCOM (Distributed Component Object Model). |
DOMAIN_ALIAS_RID_IUSERS Valore: 0X00000238 Valore stringa: S-1-5-32-568 |
Gruppo locale che rappresenta gli utenti Internet. |
DOMAIN_ALIAS_RID_CRYPTO_OPERATORS Valore: 0x00000239 Valore stringa: S-1-5-32-569 |
Gruppo locale che rappresenta l'accesso agli operatori di crittografia. |
DOMAIN_ALIAS_RID_CACHEABLE_PRINCIPALS_GROUP Valore: 0x0000023B Valore stringa: S-1-5-32-571 |
Gruppo locale che rappresenta le entità che possono essere memorizzate nella cache. |
DOMAIN_ALIAS_RID_NON_CACHEABLE_PRINCIPALS_GROUP Valore: 0x0000023C Valore stringa: S-1-5-32-572 |
Gruppo locale che rappresenta le entità che non possono essere memorizzate nella cache. |
DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP Valore: 0x0000023D Valore stringa: S-1-5-32-573 |
Gruppo locale che rappresenta i lettori del registro eventi. |
DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP Valore: 0x0000023E Valore stringa: S-1-5-32-574 |
Gruppo locale di utenti che possono connettersi alle autorità di certificazione usando DCOM (Distributed Component Object Model). |
DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_SERVERS Valore: 0x0000023F Valore stringa: S-1-5-32-575 |
Gruppo locale che rappresenta i server di accesso remoto di Servizi Desktop remoto. |
DOMAIN_ALIAS_RID_RDS_ENDPOINT_SERVERS Valore: 0x00000240 Valore stringa: S-1-5-32-576 |
Gruppo locale che rappresenta i server endpoint. |
DOMAIN_ALIAS_RID_RDS_MANAGEMENT_SERVERS Valore: 0x00000241 Valore stringa: S-1-5-32-577 |
Gruppo locale che rappresenta i server di gestione. |
DOMAIN_ALIAS_RID_HYPER_V_ADMINS Valore: 0x00000242 Valore stringa: S-1-5-32-578 |
Gruppo locale che rappresenta gli amministratori hyper-v. |
DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS Valore: 0x00000243 Valore stringa: S-1-5-32-579 |
Gruppo locale che rappresenta l'assistenza per il controllo di accesso OPS. |
DOMAIN_ALIAS_RID_REMOTE_MANAGEMENT_USERS Valore: 0x00000244 Valore stringa: S-1-5-32-580 |
Gruppo locale che rappresenta gli utenti di gestione remota. |
DOMAIN_ALIAS_RID_DEFAULT_ACCOUNT Valore: 0x00000245 Valore stringa: S-1-5-32-581 |
Gruppo locale che rappresenta l'account predefinito. |
DOMAIN_ALIAS_RID_STORAGE_REPLICA_ADMINS Valore: 0x00000246 Valore stringa: S-1-5-32-582 |
Gruppo locale che rappresenta gli amministratori della replica di archiviazione. |
DOMAIN_ALIAS_RID_DEVICE_OWNERS Valore: 0x00000247 Valore stringa: S-1-5-32-583 |
Un gruppo locale che rappresenta può rendere previste le impostazioni per i proprietari di dispositivi. |
DOMAIN_ALIAS_RID_USER_MODE_HARDWARE_OPERATORS Valore: 0x00000248 Valore stringa: S-1-5-32-584 |
I membri di questo gruppo possono accedere ai driver del mapper in modalità utente. |
L'enumerazione WELL_KNOWN_SID_TYPE definisce l'elenco dei SID di uso comune. Inoltre, il linguaggio SDDL (Security Descriptor Definition Language ) usa stringhe SID per fare riferimento a SID noti in un formato stringa.