Condividi tramite


SID noti

Gli identificatori di sicurezza noti (SID) identificano i gruppi generici e gli utenti generici. Ad esempio, esistono SID noti per identificare i gruppi e gli utenti seguenti:

  • Tutti o Mondo, ovvero un gruppo che include tutti gli utenti.
  • CREATOR_OWNER, usato come segnaposto in un ace ereditabile. Quando l'ace viene ereditato, il sistema sostituisce il SID CREATOR_OWNER con il SID dell'autore dell'oggetto.
  • Gruppo Administrators per il dominio predefinito nel computer locale.

Esistono SID universali noti, che sono significativi in tutti i sistemi sicuri che usano questo modello di sicurezza, inclusi i sistemi operativi diversi da Windows. Inoltre, esistono SID noti che sono significativi solo nei sistemi Windows.

L'API Di Windows definisce un set di costanti per valori di autorità di identificatore noti e identificatore relativo (RID). È possibile usare queste costanti per creare SID noti. Nell'esempio seguente vengono combinate le costanti SECURITY_WORLD_SID_AUTHORITY e SECURITY_WORLD_RID per mostrare il SID noto universale per il gruppo speciale che rappresenta tutti gli utenti (Everyone o World):

S-1-1-0

In questo esempio viene usata la notazione di stringa per i SID in cui S identifica la stringa come SID, il primo è il livello di revisione del SID e le due cifre rimanenti sono le costanti SECURITY_WORLD_SID_AUTHORITY e SECURITY_WORLD_RID.

È possibile usare la funzione AllocateAndInitializeSid per compilare un SID combinando un valore di autorità identificatore con un massimo di otto valori di sottoautorità. Ad esempio, per determinare se l'utente connesso è membro di un determinato gruppo noto, chiamare AllocateAndInitializeSid per creare un SID per il gruppo noto e usare la funzione EqualSid per confrontare tale SID con i SID del gruppo nel token di accesso dell'utente. Per un esempio, vedere Ricerca di un SID in un token di accesso in C++. È necessario chiamare la funzione FreeSid per liberare un SID allocato da AllocateAndInitializeSid.

Nella parte restante di questa sezione sono contenute tabelle di SID noti e tabelle di costanti di autorità di identificatore e sottoautorità che è possibile usare per creare SID noti.

Di seguito sono riportati alcuni SID noti universali.

SID noto universale Identifica
Null SID
Valore stringa: S-1-0-0
Gruppo senza membri. Questo viene spesso usato quando un valore SID non è noto.
Mondo
Valore stringa: S-1-1-0
Gruppo che include tutti gli utenti.
Locale
Valore stringa: S-1-2-0
Utenti che accedono ai terminali in locale (fisicamente) connessi al sistema.
ID proprietario
Valore stringa: S-1-3-0
Identificatore di sicurezza da sostituire con l'identificatore di sicurezza dell'utente che ha creato un nuovo oggetto. Questo SID viene usato negli ACL ereditabili.
ID gruppo creatore
Valore stringa: S-1-3-1
Identificatore di sicurezza da sostituire con il SID del gruppo primario dell'utente che ha creato un nuovo oggetto. Usare questo SID negli ACE ereditabili.

Nella tabella seguente sono elencate le costanti predefinite dell'autorità di identificatore. I primi quattro valori vengono usati con SID noti universali; l'ultimo valore viene usato con i SID noti di Windows.

Autorità di identificazione Valore Valore stringa
SECURITY_NULL_SID_AUTHORITY 0 S-1-0
SECURITY_WORLD_SID_AUTHORITY 1 S-1-1
SECURITY_LOCAL_SID_AUTHORITY 2 S-1-2
SECURITY_CREATOR_SID_AUTHORITY 3 S-1-3
SECURITY_NT_AUTHORITY 5 S-1-5

I valori RID seguenti vengono usati con SID noti universali. La colonna Autorità identificatore mostra il prefisso dell'autorità di identificatore con cui è possibile combinare il RID per creare un SID noto universale.

Autorità identificatore relativo Valore Valore stringa
SECURITY_NULL_RID 0 S-1-0-0
SECURITY_WORLD_RID 0 S-1-1-0
SECURITY_LOCAL_RID 0 S-1-2-0
SECURITY_LOCAL_LOGON_RID 1 S-1-2-1
SECURITY_CREATOR_OWNER_RID 0 S-1-3-0
SECURITY_CREATOR_GROUP_RID 1 S-1-3-1

L'autorità di identificatore predefinita (S-1-5) SECURITY_NT_AUTHORITY produce SID non universali ma significativi solo nelle installazioni di Windows. È possibile usare i valori RID seguenti con SECURITY_NT_AUTHORITY per creare SID noti.

Costante Identifica
SECURITY_DIALUP_RID
Valore stringa: S-1-5-1
Utenti che accedono ai terminali utilizzando un modem di connessione remota. Si tratta di un identificatore di gruppo.
SECURITY_NETWORK_RID
Valore stringa: S-1-5-2
Utenti che accedono a una rete. Si tratta di un identificatore di gruppo aggiunto al token di un processo quando è stato connesso in una rete. Il tipo di accesso corrispondente è LOGON32_LOGON_NETWORK.
SECURITY_BATCH_RID
Valore stringa: S-1-5-3
Utenti che accedono usando una struttura di accodamento batch. Si tratta di un identificatore di gruppo aggiunto al token di un processo quando è stato registrato come processo batch. Il tipo di accesso corrispondente è LOGON32_LOGON_BATCH.
SECURITY_INTERACTIVE_RID
Valore stringa: S-1-5-4
Utenti che accedono per l'operazione interattiva. Si tratta di un identificatore di gruppo aggiunto al token di un processo quando è stato eseguito l'accesso in modo interattivo. Il tipo di accesso corrispondente è LOGON32_LOGON_INTERACTIVE.
SECURITY_LOGON_IDS_RID
Valore stringa: S-1-5-5-*X*-*Y*
Sessione di accesso. Viene usato per garantire che solo i processi in una determinata sessione di accesso possano accedere agli oggetti window-station per tale sessione. I valori X e Y per questi SID sono diversi per ogni sessione di accesso. Il valore SECURITY_LOGON_IDS_RID_COUNT è il numero di RID in questo identificatore (5-X- Y).
SECURITY_SERVICE_RID
Valore stringa: S-1-5-6
Account autorizzati ad accedere come servizio. Si tratta di un identificatore di gruppo aggiunto al token di un processo quando è stato registrato come servizio. Il tipo di accesso corrispondente è LOGON32_LOGON_SERVICE.
SECURITY_ANONYMOUS_LOGON_RID
Valore stringa: S-1-5-7
Accesso anonimo o accesso di sessione Null.
SECURITY_PROXY_RID
Valore stringa: S-1-5-8
Procura.
SECURITY_ENTERPRISE_CONTROLLERS_RID
Valore stringa: S-1-5-9
Controller aziendali.
SECURITY_PRINCIPAL_SELF_RID
Valore stringa: S-1-5-10
L'identificatore di sicurezza PRINCIPAL_SELF può essere usato nell'elenco di controllo di accesso di un oggetto utente o gruppo. Durante un controllo di accesso, il sistema sostituisce il SID con il SID dell'oggetto. Il SID PRINCIPAL_SELF è utile per specificare un ACE ereditabile che si applica all'oggetto utente o gruppo che eredita l'ace. Rappresenta l'unico modo per rappresentare il SID di un oggetto creato nel descrittore di sicurezza predefinito dello schema.
SECURITY_AUTHENTICATED_USER_RID
Valore stringa: S-1-5-11
Utenti autenticati.
SECURITY_RESTRICTED_CODE_RID
Valore stringa: S-1-5-12
Codice con restrizioni.
SECURITY_TERMINAL_SERVER_RID
Valore stringa: S-1-5-13
Servizi terminal. Aggiunto automaticamente al token di sicurezza di un utente che accede a un server terminal.
SECURITY_LOCAL_SYSTEM_RID
Valore stringa: S-1-5-18
Un account speciale utilizzato dal sistema operativo.
SECURITY_NT_NON_UNIQUE
Valore stringa: S-1-5-21
SIDS non sono univoci.
SECURITY_BUILTIN_DOMAIN_RID
Valore stringa: S-1-5-32
Dominio di sistema predefinito.
SECURITY_WRITE_RESTRICTED_CODE_RID
Valore stringa: S-1-5-33
Scrivere codice con restrizioni.
SECURITY_RESTRICTED_SERVICES_BASE_RID
Valore stringa:S-1-5-99
Servizi con restrizioni.

I RID seguenti sono relativi a ogni dominio.

RID Identifica
DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP
Valore: 0x0000023E
Gruppo di utenti che possono connettersi alle autorità di certificazione tramite Distributed Component Object Model (DCOM).
DOMAIN_USER_RID_ADMIN
Valore: 0x000001F4
Account utente amministratore in un dominio.
DOMAIN_USER_RID_GUEST
Valore: 0x000001F5
Account utente guest in un dominio. Gli utenti che non dispongono di un account possono accedere automaticamente a questo account.
DOMAIN_GROUP_RID_ADMINS
Valore: 0x00000200
Gruppo di amministratori di dominio. Questo account esiste solo nei sistemi che eseguono sistemi operativi server.
DOMAIN_GROUP_RID_USERS
Valore: 0x00000201
Gruppo che contiene tutti gli account utente in un dominio. Tutti gli utenti non vengono aggiunti automaticamente a questo gruppo.
DOMAIN_GROUP_RID_GUESTS
Valore: 0x00000202
Account del gruppo guest in un dominio.
DOMAIN_GROUP_RID_COMPUTERS
Valore: 0x00000203
Gruppo di computer di dominio. Tutti i computer nel dominio sono membri di questo gruppo.
DOMAIN_GROUP_RID_CONTROLLERS
Valore: 0x00000204
Gruppo dei controller di dominio. Tutti i controller di dominio nel dominio sono membri di questo gruppo.
DOMAIN_GROUP_RID_CERT_ADMINS
Valore: 0x00000205
Gruppo di autori di certificati. I computer che eseguono Servizi certificati sono membri di questo gruppo.
DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS
Valore: 0x000001F2
Gruppo di controller di dominio di sola lettura aziendali.
DOMAIN_GROUP_RID_SCHEMA_ADMINS
Valore: 0x00000206
Gruppo di amministratori dello schema. I membri di questo gruppo possono modificare lo schema di Active Directory.
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS
Valore: 0x00000207
Gruppo di amministratori dell'organizzazione. I membri di questo gruppo hanno accesso completo a tutti i domini nella foresta Active Directory. Gli amministratori dell'organizzazione sono responsabili di operazioni a livello di foresta, ad esempio l'aggiunta o la rimozione di nuovi domini.
DOMAIN_GROUP_RID_POLICY_ADMINS
Valore: 0x00000208
Gruppo di amministratori dei criteri.
DOMAIN_GROUP_RID_READONLY_CONTROLLERS
Valore: 0x00000209
Gruppo di controller di dominio di sola lettura
DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS
Valore: 0x0000020A
Gruppo di controller di dominio clonabili.
DOMAIN_GROUP_RID_CDC_RESERVED
Valore: 0x0000020C
Gruppo CDC riservato.
DOMAIN_GROUP_RID_PROTECTED_USERS
Valore: 0x0000020D
Gruppo di utenti protetti.
DOMAIN_GROUP_RID_KEY_ADMINS
Valore: 0x0000020E
Gruppo key admins.
DOMAIN_GROUP_RID_ENTERPRISE_KEY_ADMINS
Valore: 0x0000020F
Gruppo enterprise key admins.

I RID seguenti vengono usati per specificare il livello di integrità obbligatorio.

RID Valore Identifica
SECURITY_MANDATORY_UNTRUSTED_RID 0x00000000 Attendibile.
SECURITY_MANDATORY_LOW_RID 0x00001000 Integrità bassa.
SECURITY_MANDATORY_MEDIUM_RID 0x00002000 Integrità media.
SECURITY_MANDATORY_MEDIUM_PLUS_RID SECURITY_MANDATORY_MEDIUM_RID + 0x100 Integrità media elevata.
SECURITY_MANDATORY_HIGH_RID 0X00003000 Integrità elevata.
SECURITY_MANDATORY_SYSTEM_RID 0x00004000 Integrità del sistema.
SECURITY_MANDATORY_PROTECTED_PROCESS_RID 0x00005000 Processo protetto.

La tabella seguente contiene esempi di RID relative al dominio che è possibile usare per formare SID noti per i gruppi locali (alias). Per altre informazioni sui gruppi locali e globali, vedere Funzioni di gruppo locali e Funzioni di gruppo.

RID Identifica
DOMAIN_ALIAS_RID_ADMINS
Valore: 0x00000220
Valore stringa: S-1-5-32-544
Gruppo locale utilizzato per l'amministrazione del dominio.
DOMAIN_ALIAS_RID_USERS
Valore: 0x00000221
Valore stringa: S-1-5-32-545
Gruppo locale che rappresenta tutti gli utenti nel dominio.
DOMAIN_ALIAS_RID_GUESTS
Valore: 0x00000222
Valore stringa: S-1-5-32-546
Gruppo locale che rappresenta gli utenti guest del dominio.
DOMAIN_ALIAS_RID_POWER_USERS
Valore: 0x00000223
Valore stringa: S-1-5-32-547
Un gruppo locale utilizzato per rappresentare un utente o un set di utenti che si aspettano di trattare un sistema come se fosse il computer personale anziché come workstation per più utenti.
DOMAIN_ALIAS_RID_ACCOUNT_OPS
Valore: 0x00000224
Valore stringa: S-1-5-32-548
Gruppo locale esistente solo nei sistemi che eseguono sistemi operativi server. Questo gruppo locale consente il controllo sugli account non amministratori.
DOMAIN_ALIAS_RID_SYSTEM_OPS
Valore: 0x00000225
Valore stringa: S-1-5-32-549
Gruppo locale esistente solo nei sistemi che eseguono sistemi operativi server. Questo gruppo locale esegue funzioni amministrative di sistema, non incluse le funzioni di sicurezza. Stabilisce condivisioni di rete, controlla stampanti, sblocca workstation ed esegue altre operazioni.
DOMAIN_ALIAS_RID_PRINT_OPS
Valore: 0x00000226
Valore stringa: S-1-5-32-550
Gruppo locale esistente solo nei sistemi che eseguono sistemi operativi server. Questo gruppo locale controlla le stampanti e le code di stampa.
DOMAIN_ALIAS_RID_BACKUP_OPS
Valore: 0x00000227
Valore stringa: S-1-5-32-551
Gruppo locale usato per controllare l'assegnazione dei privilegi di backup e ripristino dei file.
DOMAIN_ALIAS_RID_REPLICATOR
Valore: 0x00000228
Valore stringa: S-1-5-32-552
Gruppo locale responsabile della copia dei database di sicurezza dal controller di dominio primario ai controller di dominio di backup. Questi account vengono usati solo dal sistema.
DOMAIN_ALIAS_RID_RAS_SERVERS
Valore: 0x00000229
Valore stringa: S-1-5-32-553
Gruppo locale che rappresenta i server RAS e IAS. Questo gruppo consente l'accesso a vari attributi degli oggetti utente.
DOMAIN_ALIAS_RID_PREW2KCOMPACCESS
Valore: 0x0000022A
Valore stringa: S-1-5-32-554
Gruppo locale esistente solo nei sistemi che eseguono Windows 2000 Server. Per altre informazioni, vedere Consentire l'accesso anonimo.
DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS
Valore: 0x0000022B
Valore stringa: S-1-5-32-555
Gruppo locale che rappresenta tutti gli utenti desktop remoto.
DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS
Valore: 0x0000022C
Valore stringa: S-1-5-32-556
Gruppo locale che rappresenta la configurazione di rete.
DOMAIN_ALIAS_RID_INCOMING_FOREST_TRUST_BUILDERS
Valore: 0x0000022D
Valore stringa: S-1-5-32-557
Gruppo locale che rappresenta qualsiasi utente di trust tra foreste.
DOMAIN_ALIAS_RID_MONITORING_USERS
Valore: 0x0000022E
Valore stringa: S-1-5-32-558
Gruppo locale che rappresenta tutti gli utenti monitorati.
DOMAIN_ALIAS_RID_LOGGING_USERS
Valore: 0x0000022F
Valore stringa: S-1-5-32-559
Un gruppo locale responsabile della registrazione degli utenti.
DOMAIN_ALIAS_RID_AUTHORIZATIONACCESS
Valore: 0x00000230
Valore stringa: S-1-5-32-560
Gruppo locale che rappresenta tutti gli accessi autorizzati.
DOMAIN_ALIAS_RID_TS_LICENSE_SERVERS
Valore: 0x00000231
Valore stringa: S-1-5-32-561
Gruppo locale esistente solo nei sistemi che eseguono sistemi operativi server che consentono servizi terminal e accesso remoto.
DOMAIN_ALIAS_RID_DCOM_USERS
Valore: 0x00000232
Valore stringa: S-1-5-32-562
Gruppo locale che rappresenta gli utenti che possono usare DCOM (Distributed Component Object Model).
DOMAIN_ALIAS_RID_IUSERS
Valore: 0X00000238
Valore stringa: S-1-5-32-568
Gruppo locale che rappresenta gli utenti Internet.
DOMAIN_ALIAS_RID_CRYPTO_OPERATORS
Valore: 0x00000239
Valore stringa: S-1-5-32-569
Gruppo locale che rappresenta l'accesso agli operatori di crittografia.
DOMAIN_ALIAS_RID_CACHEABLE_PRINCIPALS_GROUP
Valore: 0x0000023B
Valore stringa: S-1-5-32-571
Gruppo locale che rappresenta le entità che possono essere memorizzate nella cache.
DOMAIN_ALIAS_RID_NON_CACHEABLE_PRINCIPALS_GROUP
Valore: 0x0000023C
Valore stringa: S-1-5-32-572
Gruppo locale che rappresenta le entità che non possono essere memorizzate nella cache.
DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP
Valore: 0x0000023D
Valore stringa: S-1-5-32-573
Gruppo locale che rappresenta i lettori del registro eventi.
DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP
Valore: 0x0000023E
Valore stringa: S-1-5-32-574
Gruppo locale di utenti che possono connettersi alle autorità di certificazione usando DCOM (Distributed Component Object Model).
DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_SERVERS
Valore: 0x0000023F
Valore stringa: S-1-5-32-575
Gruppo locale che rappresenta i server di accesso remoto di Servizi Desktop remoto.
DOMAIN_ALIAS_RID_RDS_ENDPOINT_SERVERS
Valore: 0x00000240
Valore stringa: S-1-5-32-576
Gruppo locale che rappresenta i server endpoint.
DOMAIN_ALIAS_RID_RDS_MANAGEMENT_SERVERS
Valore: 0x00000241
Valore stringa: S-1-5-32-577
Gruppo locale che rappresenta i server di gestione.
DOMAIN_ALIAS_RID_HYPER_V_ADMINS
Valore: 0x00000242
Valore stringa: S-1-5-32-578
Gruppo locale che rappresenta gli amministratori hyper-v.
DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS
Valore: 0x00000243
Valore stringa: S-1-5-32-579
Gruppo locale che rappresenta l'assistenza per il controllo di accesso OPS.
DOMAIN_ALIAS_RID_REMOTE_MANAGEMENT_USERS
Valore: 0x00000244
Valore stringa: S-1-5-32-580
Gruppo locale che rappresenta gli utenti di gestione remota.
DOMAIN_ALIAS_RID_DEFAULT_ACCOUNT
Valore: 0x00000245
Valore stringa: S-1-5-32-581
Gruppo locale che rappresenta l'account predefinito.
DOMAIN_ALIAS_RID_STORAGE_REPLICA_ADMINS
Valore: 0x00000246
Valore stringa: S-1-5-32-582
Gruppo locale che rappresenta gli amministratori della replica di archiviazione.
DOMAIN_ALIAS_RID_DEVICE_OWNERS
Valore: 0x00000247
Valore stringa: S-1-5-32-583
Un gruppo locale che rappresenta può rendere previste le impostazioni per i proprietari di dispositivi.
DOMAIN_ALIAS_RID_USER_MODE_HARDWARE_OPERATORS
Valore: 0x00000248
Valore stringa: S-1-5-32-584
I membri di questo gruppo possono accedere ai driver del mapper in modalità utente.

L'enumerazione WELL_KNOWN_SID_TYPE definisce l'elenco dei SID di uso comune. Inoltre, il linguaggio SDDL (Security Descriptor Definition Language ) usa stringhe SID per fare riferimento a SID noti in un formato stringa.