잘 알려진 SID
잘 알려진 보안 식별자 (SIDs)는 제네릭 그룹 및 일반 사용자를 식별합니다. 예를 들어 다음 그룹 및 사용자를 식별하는 잘 알려진 SID가 있습니다.
- 모든 사용자 또는 World는 모든 사용자를 포함하는 그룹입니다.
- CREATOR OWNER는 상속 가능한 ACE에서 자리 표시자로 사용됩니다. ACE가 상속되면 시스템은 CREATOR_OWNER SID를 개체 작성자의 SID로 바꿉니다.
- 로컬 컴퓨터의 빌트인 도메인에 대한 관리자 그룹입니다.
Windws 이외의 운영 체제를 포함해 이 보안 모델을 사용하는 모든 보안 시스템에서 의미 있는 잘 알려진 범용 SIDs가 있습니다. 또한 잘 알려진 SDI 중 Windows 시스템에서만 의미 있는 것도 있습니다.
Windows API는 잘 알려진 식별자 기관 및 상대 식별자 (RID) 값에 대한 상수 집합을 정의합니다. 이러한 상수는 잘 알려진 SID를 만드는 데 사용될 수 있습니다. 다음 예제에서는 SECURITY_WORLD_SID_AUTHORITY 및 SECURITY_WORLD_RID 상수와 결합하여 모든 사용자(모두 또는 세계)를 나타내는 특수 그룹에 대해 잘 알려진 범용 SID를 표시합니다.
S-1-1-0
이 예제에서는 S가 문자열을 SID로 식별하는 SID에 문자열 표기법을 사용하고, 첫 번째 1은 SID의 수정 수준이며, 남아 있는 두 자리 숫자는 SECURITY_WORLD_SID_AUTHORITY 및 SECURITY_WORLD_RID 상수입니다.
식별자 기관 값을 최대 8개의 하위 인증 값과 결합하여 SID를 빌드하려면 AllocateAndInitializeSid 함수를 사용합니다. 예를 들어, 로그온한 사용자가 특정한 잘 알려진 그룹의 멤버인지 확인하려면, AllocateAndInitializeSid 호출하여 잘 알려진 그룹에 대한 SID를 빌드하고 EqualSid 함수를 사용하여 해당 SID를 해당 사용자의 액세스 토큰에 있는 그룹 SID와 비교합니다. 예를 들어, C++의 액세스 토큰에서 SID 검색을 참조하세요. 반드시 FreeSid 함수를 호출하여 AllocateAndInitializeSid에 의해 할당된 SID를 해제하십시오.
이 섹션의 나머지에는 잘 알려진 SID 테이블과 잘 알려진 SID를 빌드하는 데 사용할 수 있는 식별자 기관 및 하위 인증 상수 테이블이 포함되어 있습니다.
다음은 몇 가지 보편적으로 잘 알려진 SID입니다.
| 범용 잘 알려진 SID | 식별하기 |
|---|---|
| Null SID 문자열 값: S-1-0-0 |
구성원이 없는 그룹입니다. SID 값을 알 수 없는 경우에 자주 사용됩니다. |
| 전 세계 문자열 값: S-1-1-0 |
모든 사용자를 포함하는 그룹입니다. |
| Local 문자열 값: S-1-2-0 |
시스템에 로컬로(물리적으로) 연결된 터미널 에 로그온하는 사용자입니다. |
| 작성자 소유자 ID 문자열 값: S-1-3-0 |
새 객체를 만든 사용자의 보안 식별자로 대체될 보안 식별자입니다. 이 SID는 상속 가능한 ACE에서 사용됩니다. |
| 작성자 그룹 ID 문자열 값: S-1-3-1 |
새 객체를 만든 사용자의 주요 그룹 SID로 대체될 보안 식별자입니다. 상속 가능한 ACE에서 이 SID를 사용합니다. |
다음 표에는 미리 정의된 식별자 기관 상수가 나와 있습니다. 처음 네 개의 값은 범용 잘 알려진 SID와 함께 사용됩니다. 마지막 값은 Windows 잘 알려진 SID와 함께 사용됩니다.
| 식별자 기관 | 값 | 문자열 값 |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 |
S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 |
S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 |
S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 |
S-1-3 |
| SECURITY_NT_AUTHORITY | 5 |
S-1-5 |
다음 RID 값은 범용 잘 알려진 SID와 함께 사용됩니다. 식별자 권한 열에는 RID를 결합하여 범용적으로 잘 알려진 SID를 만들 수 있는 식별자 권한의 접두사가 표시됩니다.
| 상대 식별자 기관 | 값 | 문자열 값 |
|---|---|---|
| SECURITY_NULL_RID | 0 |
S-1-0-0 |
| SECURITY_WORLD_RID | 0 |
S-1-1-0 |
| SECURITY_LOCAL_RID | 0 |
S-1-2-0 |
| SECURITY_LOCAL_LOGON_RID | 1 |
S-1-2-1 |
| SECURITY_CREATOR_OWNER_RID | 0 |
S-1-3-0 |
| SECURITY_CREATOR_GROUP_RID | 1 |
S-1-3-1 |
SECURITY_NT_AUTHORITY(S-1-5) 미리 정의된 식별자 기관은 범용이 아니지만 Windows 설치에서만 의미 있는 SID를 생성합니다. 다음 RID 값을 SECURITY_NT_AUTHORITY와 사용하여 잘 알려진 SID를 만들 수 있습니다.
| 상수 | 식별하기 |
|---|---|
| SECURITY_DIALUP_RID 문자열 값: S-1-5-1 |
전화 접속 모뎀을 사용하여 터미널 에 로그온하는 사용자입니다. 그룹 식별자입니다. |
| SECURITY_NETWORK_RID 문자열 값: S-1-5-2 |
네트워크를 통해 로그온하는 사용자입니다. 네트워크를 통해 로그온되었을 때 프로세스의 토큰에 추가된 그룹 식별자입니다. 해당 로그온 유형은 LOGON32_LOGON_NETWORK입니다. |
| SECURITY_BATCH_RID 문자열 값: S-1-5-3 |
일괄처리 큐 기능을 사용하여 로그온하는 사용자입니다. 일괄처리 작업을 통해 로그온되었을 때 프로세스의 토큰에 추가된 그룹 식별자입니다. 해당 로그온 유형은 LOGON32_LOGON_BATCH입니다. |
| SECURITY_INTERACTIVE_RID 문자열 값: S-1-5-4 |
대화형 오퍼레이션을 위해 로그온하는 사용자입니다. 상호 작용을 통해 로그온되었을 때 프로세스의 토큰에 추가된 그룹 식별자입니다. 해당 로그온 유형은 LOGON32_LOGON_INTERACTIVE입니다. |
| SECURITY_LOGON_IDS_RID 문자열 값: S-1-5-5-*X*-*Y* |
로그온 세션입니다. 이는 지정된 로그온 세션의 프로세스 만이 해당 세션의 창 스테이션 객체에 액세스할 수 있도록 하는 데 사용됩니다. 이러한 SID의 X 및 Y 값은 로그온 세션마다 다릅니다. SECURITY_LOGON_IDS_RID_COUNT의 값은 식별자 (5-X-Y)의 RID 개수입니다. |
| SECURITY_SERVICE_RID 문자열 값: S-1-5-6 |
서비스로 로그온할 권한이 있는 계정입니다. 서비스로 로그온되었을 때 프로세스의 토큰에 추가된 그룹 식별자입니다. 해당 로그온 유형은 LOGON32_LOGON_SERVICE입니다. |
| SECURITY_ANONYMOUS_LOGON_RID 문자열 값: S-1-5-7 |
익명 로그온 또는 null 세션 로그온입니다. |
| SECURITY_PROXY_RID 문자열 값: S-1-5-8 |
프록시입니다. |
| SECURITY_ENTERPRISE_CONTROLLERS_RID 문자열 값: S-1-5-9 |
엔터프라이즈 컨트롤러입니다. |
| SECURITY_PRINCIPAL_SELF_RID 문자열 값: S-1-5-10 |
PRINCIPAL_SELF 보안 식별자는 사용자 또는 그룹 객체의 ACL에서 사용할 수 있습니다. 액세스 검사 동안 시스템은 SID를 객체의 SID로 바꿉니다. PRINCIPAL_SELF SID는 ACE를 상속하는 사용자 또는 그룹 객체에 적용되는 상속 가능한 ACE를 지정하는 데 유용합니다. 스키마의 기본 보안 설명자 에서 만든 개체의 SID를 나타내는 유일한 방법입니다. |
| SECURITY_AUTHENTICATED_USER_RID 문자열 값: S-1-5-11 |
인증된 사용자입니다. |
| SECURITY_RESTRICTED_CODE_RID 문자열 값: S-1-5-12 |
제한된 코드입니다. |
| SECURITY_TERMINAL_SERVER_RID 문자열 값: S-1-5-13 |
터미널 서비스입니다. 터미널 서버에 로그온하는 사용자의 보안 토큰에 자동으로 추가됩니다. |
| SECURITY_LOCAL_SYSTEM_RID 문자열 값: S-1-5-18 |
운영 체제에서 사용하는 특수 계정입니다. |
| SECURITY_NT_NON_UNIQUE 문자열 값: S-1-5-21 |
SIDS는 고유하지 않습니다. |
| SECURITY_BUILTIN_DOMAIN_RID 문자열 값: S-1-5-32 |
빌트인 시스템은 도메인입니다. |
| SECURITY_WRITE_RESTRICTED_CODE_RID 문자열 값: S-1-5-33 |
제한된 코드를 작성합니다. |
| SECURITY_RESTRICTED_SERVICES_BASE_RID 문자열 값: S-1-5-99 |
제한된 서비스. |
다음 RID는 각 도메인에 상대적입니다.
| RID | 식별하기 |
|---|---|
| DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP 값: 0x0000023E |
DCOM(분산 컴포넌트 객체 모델)을 사용하여 인증 기관에 연결할 수 있는 사용자 그룹입니다. |
| DOMAIN_USER_RID_ADMIN 값: 0x000001F4 |
도메인에서의 관리 사용자 계정입니다. |
| DOMAIN_USER_RID_GUEST 값: 0x000001F5 |
도메인에서의 게스트 사용자 계정입니다. 계정이 없는 사용자는 이 계정에 자동으로 로그온할 수 있습니다. |
| DOMAIN_GROUP_RID_ADMINS 값: 0x00000200 |
도메인 관리자 그룹입니다. 이 계정은 서버 운영 체제를 실행하는 시스템에만 존재합니다. |
| DOMAIN_GROUP_RID_USERS 값: 0x00000201 |
도메인에서의 모든 사용자 계정을 포함하는 그룹입니다. 모든 사용자가 자동으로 이 그룹에 추가됩니다. |
| DOMAIN_GROUP_RID_GUESTS 값: 0x00000202 |
도메인에서의 게스트 그룹 계정입니다. |
| DOMAIN_GROUP_RID_COMPUTERS 값: 0x00000203 |
도메인 컴퓨터의 그룹입니다. 도메인에서의 모든 컴퓨터는 이 그룹의 구성원입니다. |
| DOMAIN_GROUP_RID_CONTROLLERS 값: 0x00000204 |
도메인 컨트롤러 그룹입니다. 도메인에서의 모든 DC는 이 그룹의 구성원입니다. |
| DOMAIN_GROUP_RID_CERT_ADMINS 값: 0x00000205 |
인증서 게시자 그룹입니다. 인증서 서비스를 실행하는 컴퓨터는 이 그룹의 구성원입니다. |
| DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS 값: 0x000001F2 |
엔터프라이즈 RODC(읽기 전용 도메인 컨트롤러) 그룹입니다. |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS 값: 0x00000206 |
스키마 관리자 그룹입니다. 이 그룹의 멤버는 Active Directory 스키마를 수정할 수 있습니다. |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS 값: 0x00000207 |
엔터프라이즈 관리자 그룹입니다. 이 그룹의 구성원은 Active Directory 포리스트의 모든 도메인에 대한 최대 액세스 권한을 갖습니다. 엔터프라이즈 관리자는 새 도메인 추가 또는 제거와 같은 포리스트 수준의 오퍼레이션을 담당합니다. |
| DOMAIN_GROUP_RID_POLICY_ADMINS 값: 0x00000208 |
그룹 정책 관리자입니다. |
| DOMAIN_GROUP_RID_READONLY_CONTROLLERS 값: 0x00000209 |
RODC(읽기 전용 도메인 컨트롤러) 그룹입니다. |
| DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS 값: 0x0000020A |
복제 가능한 도메인 컨트롤러 그룹입니다. |
| DOMAIN_GROUP_RID_CDC_RESERVED 값: 0x0000020C |
예약된 CDC 그룹입니다. |
| DOMAIN_GROUP_RID_PROTECTED_USERS 값: 0x0000020D |
보호된 사용자 그룹입니다. |
| DOMAIN_GROUP_RID_KEY_ADMINS 값: 0x0000020E |
키 관리자 그룹입니다. |
| DOMAIN_GROUP_RID_ENTERPRISE_KEY_ADMINS 값: 0x0000020F |
엔터프라이즈 키 관리자 그룹입니다. |
다음 RID는 필수 무결성 수준을 지정하는 데 사용됩니다.
| RID | 값 | 식별하기 |
|---|---|---|
| SECURITY_MANDATORY_UNTRUSTED_RID | 0x00000000 |
신뢰할 수 없음. |
| SECURITY_MANDATORY_LOW_RID | 0x00001000 |
Low 무결성. |
| SECURITY_MANDATORY_MEDIUM_RID | 0x00002000 |
Medium 무결성. |
| SECURITY_MANDATORY_MEDIUM_PLUS_RID | SECURITY_MANDATORY_MEDIUM_RID + 0x100 |
Medium high 무결성. |
| SECURITY_MANDATORY_HIGH_RID | 0X00003000 |
High 무결성 |
| SECURITY_MANDATORY_SYSTEM_RID | 0x00004000 |
시스템 무결성입니다. |
| SECURITY_MANDATORY_PROTECTED_PROCESS_RID | 0x00005000 |
보호된 프로세스입니다. |
다음 표에는 로컬 그룹(별칭)에 대해 잘 알려진 SID를 형성하는 데 사용할 수 있는 도메인 상대 RID의 예가 있습니다. 로컬 및 전역 그룹에 대한 자세한 내용은 로컬 그룹 함수 및 그룹 함수를 참조하세요.
| RID | 식별하기 |
|---|---|
| DOMAIN_ALIAS_RID_ADMINS 값: 0x00000220문자열 값: S-1-5-32-544 |
도메인 관리에 사용되는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_USERS 값: 0x00000221문자열 값: S-1-5-32-545 |
도메인에서의 모든 사용자를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_GUESTS 값: 0x00000222문자열 값: S-1-5-32-546 |
도메인에서의 게스트를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_POWER_USERS 값: 0x00000223문자열 값: S-1-5-32-547 |
시스템을 여러 사용자에 대한 워크스테이션이 아니라 개인용 컴퓨터인 것처럼 취급해야 하는 사용자 또는 사용자 집합을 나타내는 데 사용되는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_ACCOUNT_OPS 값: 0x00000224문자열 값: S-1-5-32-548 |
서버 운영 체제를 실행하는 시스템에만 존재하는 로컬 그룹입니다. 이 로컬 그룹은 비관리자 계정에 대한 제어를 허용합니다. |
| DOMAIN_ALIAS_RID_SYSTEM_OPS 값: 0x00000225문자열 값: S-1-5-32-549 |
서버 운영 체제를 실행하는 시스템에만 존재하는 로컬 그룹입니다. 이 로컬 그룹은 보안 함수를 포함하지 않고 시스템 관리 기능을 수행합니다. 네트워크 공유를 설정하고, 프린터를 제어하며, 워크스테이션의 잠금을 해제하고, 다른 오퍼레이션도 수행합니다. |
| DOMAIN_ALIAS_RID_PRINT_OPS 값: 0x00000226문자열 값: S-1-5-32-550 |
서버 운영 체제를 실행하는 시스템에만 존재하는 로컬 그룹입니다. 이 로컬 그룹은 프린터 및 인쇄 큐를 제어합니다. |
| DOMAIN_ALIAS_RID_BACKUP_OPS 값: 0x00000227문자열 값: S-1-5-32-551 |
파일 백업 및 복원 권한 할당을 제어하는 데 사용되는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_REPLICATOR 값: 0x00000228문자열 값: S-1-5-32-552 |
보안 데이터베이스를 주요 도메인 컨트롤러에서 백업 도메인 컨트롤러로 복사하는 역할을 담당하는 로컬 그룹입니다. 이 계정은 시스템에서만 사용됩니다. |
| DOMAIN_ALIAS_RID_RAS_SERVERS 값: 0x00000229문자열 값: S-1-5-32-553 |
RAS 및 IAS 서버를 나타내는 로컬 그룹입니다. 이 그룹은 사용자 객체의 다양한 속성에 대한 액세스를 허용합니다. |
| DOMAIN_ALIAS_RID_PREW2KCOMPACCESS 값: 0x0000022A문자열 값: S-1-5-32-554 |
Windows 2000 Server를 실행하는 시스템에만 존재하는 로컬 그룹입니다. 자세한 내용은, 익명 액세스 허용을 참조하세요. |
| DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS 값: 0x0000022B문자열 값: S-1-5-32-555 |
모든 원격 데스크톱 사용자를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS 값: 0x0000022C문자열 값: S-1-5-32-556 |
네트워크 구성을 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_INCOMING_FOREST_TRUST_BUILDERS 값: 0x0000022D문자열 값: S-1-5-32-557 |
포리스트 트러스트 사용자를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_MONITORING_USERS 값: 0x0000022E문자열 값: S-1-5-32-558 |
모니터링되는 모든 사용자를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_LOGGING_USERS 값: 0x0000022F문자열 값: S-1-5-32-559 |
사용자 로깅을 담당하는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_AUTHORIZATIONACCESS 값: 0x00000230문자열 값: S-1-5-32-560 |
모든 권한을 받은 액세스를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_TS_LICENSE_SERVERS 값: 0x00000231문자열 값: S-1-5-32-561 |
터미널 서비스 및 원격 액세스를 허용하는 서버 운영 체제를 실행하는 시스템에만 존재하는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_DCOM_USERS 값: 0x00000232문자열 값: S-1-5-32-562 |
DCOM(분산 컴포넌트 객체 모델)을 사용할 수 있는 사용자를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_IUSERS 값: 0X00000238문자열 값: S-1-5-32-568 |
인터넷 사용자를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_CRYPTO_OPERATORS 값: 0x00000239문자열 값: S-1-5-32-569 |
암호화 연산자에 대한 액세스를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_CACHEABLE_PRINCIPALS_GROUP 값: 0x0000023B문자열 값: S-1-5-32-571 |
캐시할 수 있는 보안 주체를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_NON_CACHEABLE_PRINCIPALS_GROUP 값: 0x0000023C문자열 값: S-1-5-32-572 |
캐시할 수 없는 보안 주체를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP 값: 0x0000023D문자열 값: S-1-5-32-573 |
이벤트 로그 판독기를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP 값: 0x0000023E문자열 값: S-1-5-32-574 |
DCOM(분산 컴포넌트 객체 모델)을 사용하여 인증 기관에 연결할 수 있는 사용자 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_SERVERS 값: 0x0000023F문자열 값: S-1-5-32-575 |
RDS 원격 액세스 서버를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_RDS_ENDPOINT_SERVERS 값: 0x00000240문자열 값: S-1-5-32-576 |
엔드포인트 서버를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_RDS_MANAGEMENT_SERVERS 값: 0x00000241문자열 값: S-1-5-32-577 |
관리 서버를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_HYPER_V_ADMINS 값: 0x00000242문자열 값: S-1-5-32-578 |
hyper-v 관리자를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS 값: 0x00000243문자열 값: S-1-5-32-579 |
액세스 제어 지원 OPS를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_REMOTE_MANAGEMENT_USERS 값: 0x00000244문자열 값: S-1-5-32-580 |
원격 관리 사용자를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_DEFAULT_ACCOUNT 값: 0x00000245문자열 값: S-1-5-32-581 |
기본 계정을 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_STORAGE_REPLICA_ADMINS 값: 0x00000246문자열 값: S-1-5-32-582 |
스토리지 복제본(replica) 관리자를 나타내는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_DEVICE_OWNERS 값: 0x00000247문자열 값: S-1-5-32-583 |
나타내는 로컬 그룹을 통해 디바이스 소유자에 대해 설정을 예상할 수 있습니다. |
| DOMAIN_ALIAS_RID_USER_MODE_HARDWARE_OPERATORS 값: 0x00000248문자열 값: S-1-5-32-584 |
이 그룹의 구성원은 사용자 모드 매퍼 드라이버에 액세스할 수 있습니다. |
일반적으로 사용되는 SID 목록을 정의하는 열거형은 WELL_KNOWN_SID_TYPE 입니다. 또한, 보안 설명자 정의 언어 (SDDL)는 SID 문자열을 사용해 문자열 형식으로 잘 알려진 SID를 참조합니다.