Compartilhar via


SIDs conhecidos

Identificadores de segurança conhecidos (SIDs) identificam grupos genéricos e usuários genéricos. Por exemplo, existem SIDs conhecidos para identificar os seguintes grupos e usuários:

  • Todos ou Mundo, que é um grupo que inclui todos os usuários.
  • CREATOR_OWNER, que é usado como um espaço reservado em uma ACE herdável. Quando a ACE é herdada, o sistema substitui o SID CREATOR_OWNER pelo SID do criador do objeto.
  • O grupo Administradores do domínio interno no computador local.

Existem SIDs universais conhecidos, que são significativos em todos os sistemas seguros que usam esse modelo de segurança, incluindo sistemas operacionais diferentes do Windows. Além disso, existem SIDs conhecidos que são significativos apenas em sistemas Windows.

A API do Windows define um conjunto de constantes para valores de autoridade de identificador conhecido e RID (identificador relativo). Você pode usar essas constantes para criar SIDs conhecidos. O exemplo a seguir combina as constantes SECURITY_WORLD_SID_AUTHORITY e SECURITY_WORLD_RID para mostrar o SID universal conhecido para o grupo especial que representa todos os usuários (Todos ou Mundo):

S-1-1-0

Este exemplo usa a notação de cadeia de caracteres para SIDs em que S identifica a cadeia de caracteres como um SID, o primeiro 1 é o nível de revisão do SID e os dois dígitos restantes são as constantes SECURITY_WORLD_SID_AUTHORITY e SECURITY_WORLD_RID.

Você pode usar a função AllocateAndInitializeSid para criar um SID combinando um valor de autoridade de identificador com até oito valores de subautoridade. Por exemplo, para determinar se o usuário conectado é membro de um grupo conhecido específico, chame AllocateAndInitializeSid para criar um SID para o grupo conhecido e use a função EqualSid para comparar esse SID com os SIDs de grupo no token de acesso do usuário. Para obter um exemplo, consulte Pesquisando um SID em um token de acesso em C++. Você deve chamar a função FreeSid para liberar um SID alocado por AllocateAndInitializeSid.

O restante desta seção contém tabelas de SIDs conhecidos e tabelas de constantes de autoridade e subautoridade de identificador que você pode usar para criar SIDs conhecidos.

A seguir estão alguns SIDs universais bem conhecidos.

SID universal conhecido Identifica
SID nulo
Valor da cadeia de caracteres: S-1-0-0
Um grupo sem membros. Isso geralmente é usado quando um valor SID não é conhecido.
World (Mundo)
Valor da cadeia de caracteres: S-1-1-0
Um grupo que inclui todos os usuários.
Local
Valor da cadeia de caracteres: S-1-2-0
Usuários que fazem logon em terminais conectados localmente (fisicamente) ao sistema.
ID do Proprietário Criador
Valor da cadeia de caracteres: S-1-3-0
Um identificador de segurança a ser substituído pelo identificador de segurança do usuário que criou um objeto. Esse SID é usado em ACEs herdáveis.
ID do Grupo de Criadores
Valor da cadeia de caracteres: S-1-3-1
Um identificador de segurança a ser substituído pelo SID do grupo primário do usuário que criou um objeto. Use esse SID em ACEs herdáveis.

A tabela a seguir lista as constantes de autoridade de identificador predefinidas. Os primeiros quatro valores são usados com SIDs universais conhecidos; o último valor é usado com SIDs conhecidos do Windows.

Autoridade de identificador Valor Valor da cadeia de caracteres
SECURITY_NULL_SID_AUTHORITY 0 S-1-0
SECURITY_WORLD_SID_AUTHORITY 1 S-1-1
SECURITY_LOCAL_SID_AUTHORITY 2 S-1-2
SECURITY_CREATOR_SID_AUTHORITY 3 S-1-3
SECURITY_NT_AUTHORITY 5 S-1-5

Os valores de RID a seguir são usados com SIDs universais conhecidos. A coluna Autoridade de identificador mostra o prefixo da autoridade de identificador com a qual você pode combinar o RID para criar um SID universal conhecido.

Autoridade de identificador relativo Valor Valor da cadeia de caracteres
SECURITY_NULL_RID 0 S-1-0-0
SECURITY_WORLD_RID 0 S-1-1-0
SECURITY_LOCAL_RID 0 S-1-2-0
SECURITY_LOCAL_LOGON_RID 1 S-1-2-1
SECURITY_CREATOR_OWNER_RID 0 S-1-3-0
SECURITY_CREATOR_GROUP_RID 1 S-1-3-1

A autoridade de identificador predefinida SECURITY_NT_AUTHORITY (S-1-5) produz SIDs que não são universais, mas são significativos apenas em instalações do Windows. Você pode usar os seguintes valores de RID com SECURITY_NT_AUTHORITY para criar SIDs conhecidos.

Constante Identifica
SECURITY_DIALUP_RID
Valor da cadeia de caracteres: S-1-5-1
Usuários que fazem logon em terminais usando um modem dial-up. Este é um identificador de grupo.
SECURITY_NETWORK_RID
Valor da cadeia de caracteres: S-1-5-2
Usuários que fazem logon em uma rede. Esse é um identificador de grupo adicionado ao token de um processo quando foi conectado ao longo de uma rede. O tipo de logon correspondente é LOGON32_LOGON_NETWORK.
SECURITY_BATCH_RID
Valor da cadeia de caracteres: S-1-5-3
Usuários que efetuam logon usando um recurso de fila em lote. Este é um identificador de grupo adicionado ao token de um processo quando ele foi registrado como um trabalho em lotes. O tipo de logon correspondente é LOGON32_LOGON_BATCH.
SECURITY_INTERACTIVE_RID
Valor da cadeia de caracteres: S-1-5-4
Usuários que fazem logon para operação interativa. Esse é um identificador de grupo adicionado ao token de um processo quando foi conectado interativamente. O tipo de logon correspondente é LOGON32_LOGON_INTERACTIVE.
SECURITY_LOGON_IDS_RID
Valor da cadeia de caracteres: S-1-5-5-*X*-*Y*
Uma sessão de logon. Isso é usado para garantir que apenas os processos em uma determinada sessão de logon possam obter acesso aos objetos de estação de janela para essa sessão. Os valores X e Y para esses SIDs são diferentes para cada sessão de logon. O valor SECURITY_LOGON_IDS_RID_COUNT é o número de RIDs nesse identificador (5-X- Y).
SECURITY_SERVICE_RID
Valor da cadeia de caracteres: S-1-5-6
Contas autorizadas a fazer logon como um serviço. Esse é um identificador de grupo adicionado ao token de um processo quando foi registrado como um serviço. O tipo de logon correspondente é LOGON32_LOGON_SERVICE.
SECURITY_ANONYMOUS_LOGON_RID
Valor da cadeia de caracteres: S-1-5-7
Logon anônimo ou logon de sessão nulo.
SECURITY_PROXY_RID
Valor da cadeia de caracteres: S-1-5-8
Procuração.
SECURITY_ENTERPRISE_CONTROLLERS_RID
Valor da cadeia de caracteres: S-1-5-9
Controladores corporativos.
SECURITY_PRINCIPAL_SELF_RID
Valor da cadeia de caracteres: S-1-5-10
O identificador de segurança PRINCIPAL_SELF pode ser usado na ACL de um objeto de usuário ou grupo. Durante uma verificação de acesso, o sistema substitui o SID pelo SID do objeto. O SID PRINCIPAL_SELF é útil para especificar uma ACE hereditária que se aplica ao objeto de usuário ou grupo que herda a ACE. É a única maneira de representar o SID de um objeto criado no descritor de segurança padrão do esquema.
SECURITY_AUTHENTICATED_USER_RID
Valor da cadeia de caracteres: S-1-5-11
Os usuários autenticados.
SECURITY_RESTRICTED_CODE_RID
Valor da cadeia de caracteres: S-1-5-12
Código restrito
SECURITY_TERMINAL_SERVER_RID
Valor da cadeia de caracteres: S-1-5-13
Serviços de terminal. Adicionado automaticamente ao token de segurança de um usuário que faz logon em um servidor de terminal.
SECURITY_LOCAL_SYSTEM_RID
Valor da cadeia de caracteres: S-1-5-18
Uma conta especial usada pelo sistema operacional.
SECURITY_NT_NON_UNIQUE
Valor da cadeia de caracteres: S-1-5-21
Os SMSI não são únicos.
SECURITY_BUILTIN_DOMAIN_RID
Valor da cadeia de caracteres: S-1-5-32
O domínio do sistema integrado.
SECURITY_WRITE_RESTRICTED_CODE_RID
Valor da cadeia de caracteres: S-1-5-33
Escreva código restrito.
SECURITY_RESTRICTED_SERVICES_BASE_RID
Valor da cadeia de caracteres:S-1-5-99
Serviços Restritos.

Os RIDs a seguir são relativos a cada domínio.

RID Identifica
DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP
Valor: 0x0000023E
O grupo de usuários que podem se conectar a autoridades de certificação usando o DCOM (Distributed Component Object Model).
DOMAIN_USER_RID_ADMIN
Valor: 0x000001F4
A conta de usuário administrativa em um domínio.
DOMAIN_USER_RID_GUEST
Valor: 0x000001F5
A conta de usuário convidado em um domínio. Os usuários que não têm uma conta podem fazer logon automaticamente nessa conta.
DOMAIN_GROUP_RID_ADMINS
Valor: 0x00000200
O grupo de administradores de domínio. Essa conta existe apenas em sistemas que executam sistemas operacionais de servidor.
DOMAIN_GROUP_RID_USERS
Valor: 0x00000201
Um grupo que contém todas as contas de usuário de um domínio. Todos os usuários são automaticamente adicionados a esse grupo.
DOMAIN_GROUP_RID_GUESTS
Valor: 0x00000202
A conta do grupo de convidados em um domínio.
DOMAIN_GROUP_RID_COMPUTERS
Valor: 0x00000203
O grupo de computadores do domínio. Todos os computadores do domínio são membros desse grupo.
DOMAIN_GROUP_RID_CONTROLLERS
Valor: 0x00000204
O grupo de controladores de domínio. Todos os DCs no domínio são membros desse grupo.
DOMAIN_GROUP_RID_CERT_ADMINS
Valor: 0x00000205
O grupo de editores de certificados. Os computadores que executam os Serviços de Certificados são membros desse grupo.
DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS
Valor: 0x000001F2
O grupo de controladores de domínio somente leitura corporativos.
DOMAIN_GROUP_RID_SCHEMA_ADMINS
Valor: 0x00000206
O grupo de administradores de esquema. Os membros desse grupo podem modificar o esquema do Active Directory.
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS
Valor: 0x00000207
O grupo de administradores corporativos. Os membros desse grupo têm acesso completo a todos os domínios da floresta do Active Directory. Os administradores corporativos são responsáveis por operações de nível de floresta, como adicionar ou remover novos domínios.
DOMAIN_GROUP_RID_POLICY_ADMINS
Valor: 0x00000208
O grupo de administradores de políticas.
DOMAIN_GROUP_RID_READONLY_CONTROLLERS
Valor: 0x00000209
O grupo de controladores de domínio somente leitura
DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS
Valor: 0x0000020A
O grupo de controladores de domínio clonáveis.
DOMAIN_GROUP_RID_CDC_RESERVED
Valor: 0x0000020C
O grupo CDC reservado.
DOMAIN_GROUP_RID_PROTECTED_USERS
Valor: 0x0000020D
O grupo de usuários protegidos.
DOMAIN_GROUP_RID_KEY_ADMINS
Valor: 0x0000020E
O grupo de administradores principais.
DOMAIN_GROUP_RID_ENTERPRISE_KEY_ADMINS
Valor: 0x0000020F
O grupo de administradores de chaves corporativas.

Os RIDs a seguir são usados para especificar o nível de integridade obrigatório.

RID Valor Identifica
SECURITY_MANDATORY_UNTRUSTED_RID 0x00000000 Untrusted.
SECURITY_MANDATORY_LOW_RID 0x00001000 Baixa integridade.
SECURITY_MANDATORY_MEDIUM_RID 0x00002000 Integridade média.
SECURITY_MANDATORY_MEDIUM_PLUS_RID SECURITY_MANDATORY_MEDIUM_RID + 0x100 Integridade média alta.
SECURITY_MANDATORY_HIGH_RID 0X00003000 Alta integridade.
SECURITY_MANDATORY_SYSTEM_RID 0x00004000 Integridade do sistema.
SECURITY_MANDATORY_PROTECTED_PROCESS_RID 0x00005000 Processo protegido.

A tabela a seguir tem exemplos de RIDs relativos ao domínio que você pode usar para formar SIDs conhecidos para grupos locais (aliases). Para obter mais informações sobre grupos locais e globais, consulte Funções de grupo local e Funções de grupo.

RID Identifica
DOMAIN_ALIAS_RID_ADMINS
Valor: 0x00000220
Valor da cadeia de caracteres: S-1-5-32-544
Um grupo local usado para administração do domínio.
DOMAIN_ALIAS_RID_USERS
Valor: 0x00000221
Valor da cadeia de caracteres: S-1-5-32-545
Um grupo local que representa todos os usuários no domínio.
DOMAIN_ALIAS_RID_GUESTS
Valor: 0x00000222
Valor da cadeia de caracteres: S-1-5-32-546
Um grupo local que representa os hóspedes do domínio.
DOMAIN_ALIAS_RID_POWER_USERS
Valor: 0x00000223
Valor da cadeia de caracteres: S-1-5-32-547
Um grupo local usado para representar um usuário ou conjunto de usuários que esperam tratar um sistema como se fosse seu computador pessoal, em vez de como uma estação de trabalho para vários usuários.
DOMAIN_ALIAS_RID_ACCOUNT_OPS
Valor: 0x00000224
Valor da cadeia de caracteres: S-1-5-32-548
Um grupo local que existe apenas em sistemas que executam sistemas operacionais de servidor. Esse grupo local permite o controle sobre contas não administradoras.
DOMAIN_ALIAS_RID_SYSTEM_OPS
Valor: 0x00000225
Valor da cadeia de caracteres: S-1-5-32-549
Um grupo local que existe apenas em sistemas que executam sistemas operacionais de servidor. Esse grupo local executa funções administrativas do sistema, não incluindo funções de segurança. Ele estabelece compartilhamentos de rede, controla impressoras, desbloqueia estações de trabalho e executa outras operações.
DOMAIN_ALIAS_RID_PRINT_OPS
Valor: 0x00000226
Valor da cadeia de caracteres: S-1-5-32-550
Um grupo local que existe apenas em sistemas que executam sistemas operacionais de servidor. Esse grupo local controla impressoras e filas de impressão.
DOMAIN_ALIAS_RID_BACKUP_OPS
Valor: 0x00000227
Valor da cadeia de caracteres: S-1-5-32-551
Um grupo local usado para controlar a atribuição de privilégios de backup e restauração de arquivos.
DOMAIN_ALIAS_RID_REPLICATOR
Valor: 0x00000228
Valor da cadeia de caracteres: S-1-5-32-552
Um grupo local responsável por copiar bancos de dados de segurança do controlador de domínio primário para os controladores de domínio de backup. Essas contas são usadas apenas pelo sistema.
DOMAIN_ALIAS_RID_RAS_SERVERS
Valor: 0x00000229
Valor da cadeia de caracteres: S-1-5-32-553
Um grupo local que representa servidores RAS e IAS. Esse grupo permite o acesso a vários atributos de objetos de usuário.
DOMAIN_ALIAS_RID_PREW2KCOMPACCESS
Valor: 0x0000022A
Valor da cadeia de caracteres: S-1-5-32-554
Um grupo local que existe apenas em sistemas que executam o Windows 2000 Server. Para obter mais informações, consulte Permitindo acesso anônimo.
DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS
Valor: 0x0000022B
Valor da cadeia de caracteres: S-1-5-32-555
Um grupo local que representa todos os usuários da área de trabalho remota.
DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS
Valor: 0x0000022C
Valor da cadeia de caracteres: S-1-5-32-556
Um grupo local que representa a configuração de rede.
DOMAIN_ALIAS_RID_INCOMING_FOREST_TRUST_BUILDERS
Valor: 0x0000022D
Valor da cadeia de caracteres: S-1-5-32-557
Um grupo local que representa qualquer usuário de confiança de floresta.
DOMAIN_ALIAS_RID_MONITORING_USERS
Valor: 0x0000022E
Valor da cadeia de caracteres: S-1-5-32-558
Um grupo local que representa todos os usuários que estão sendo monitorados.
DOMAIN_ALIAS_RID_LOGGING_USERS
Valor: 0x0000022F
Valor da cadeia de caracteres: S-1-5-32-559
Um grupo local responsável por registrar usuários.
DOMAIN_ALIAS_RID_AUTHORIZATIONACCESS
Valor: 0x00000230
Valor da cadeia de caracteres: S-1-5-32-560
Um grupo local que representa todos os acessos autorizados.
DOMAIN_ALIAS_RID_TS_LICENSE_SERVERS
Valor: 0x00000231
Valor da cadeia de caracteres: S-1-5-32-561
Um grupo local que existe apenas em sistemas que executam sistemas operacionais de servidor que permitem serviços de terminal e acesso remoto.
DOMAIN_ALIAS_RID_DCOM_USERS
Valor: 0x00000232
Valor da cadeia de caracteres: S-1-5-32-562
Um grupo local que representa usuários que podem usar o DCOM (Distributed Component Object Model).
DOMAIN_ALIAS_RID_IUSERS
Valor: 0X00000238
Valor da cadeia de caracteres: S-1-5-32-568
Um grupo local que representa os usuários da Internet.
DOMAIN_ALIAS_RID_CRYPTO_OPERATORS
Valor: 0x00000239
Valor da cadeia de caracteres: S-1-5-32-569
Um grupo local que representa o acesso a operadores de criptografia.
DOMAIN_ALIAS_RID_CACHEABLE_PRINCIPALS_GROUP
Valor: 0x0000023B
Valor da cadeia de caracteres: S-1-5-32-571
Um grupo local que representa entidades principais que podem ser armazenadas em cache.
DOMAIN_ALIAS_RID_NON_CACHEABLE_PRINCIPALS_GROUP
Valor: 0x0000023C
Valor da cadeia de caracteres: S-1-5-32-572
Um grupo local que representa entidades que não podem ser armazenadas em cache.
DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP
Valor: 0x0000023D
Valor da cadeia de caracteres: S-1-5-32-573
Um grupo local que representa leitores de log de eventos.
DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP
Valor: 0x0000023E
Valor da cadeia de caracteres: S-1-5-32-574
O grupo local de usuários que podem se conectar a autoridades de certificação usando o DCOM (Distributed Component Object Model).
DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_SERVERS
Valor: 0x0000023F
Valor da cadeia de caracteres: S-1-5-32-575
Um grupo local que representa servidores de acesso remoto RDS.
DOMAIN_ALIAS_RID_RDS_ENDPOINT_SERVERS
Valor: 0x00000240
Valor da cadeia de caracteres: S-1-5-32-576
Um grupo local que representa servidores de ponto de extremidade.
DOMAIN_ALIAS_RID_RDS_MANAGEMENT_SERVERS
Valor: 0x00000241
Valor da cadeia de caracteres: S-1-5-32-577
Um grupo local que representa servidores de gerenciamento.
DOMAIN_ALIAS_RID_HYPER_V_ADMINS
Valor: 0x00000242
Valor da cadeia de caracteres: S-1-5-32-578
Um grupo local que representa administradores do hyper-v.
DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS
Valor: 0x00000243
Valor da cadeia de caracteres: S-1-5-32-579
Um grupo local que representa OPS de assistência de controle de acesso.
DOMAIN_ALIAS_RID_REMOTE_MANAGEMENT_USERS
Valor: 0x00000244
Valor da cadeia de caracteres: S-1-5-32-580
Um grupo local que representa usuários de gerenciamento remoto.
DOMAIN_ALIAS_RID_DEFAULT_ACCOUNT
Valor: 0x00000245
Valor da cadeia de caracteres: S-1-5-32-581
Um grupo local que representa a conta padrão.
DOMAIN_ALIAS_RID_STORAGE_REPLICA_ADMINS
Valor: 0x00000246
Valor da cadeia de caracteres: S-1-5-32-582
Um grupo local que representa administradores de réplica de armazenamento.
DOMAIN_ALIAS_RID_DEVICE_OWNERS
Valor: 0x00000247
Valor da cadeia de caracteres: S-1-5-32-583
Um grupo local que representa pode fazer as configurações esperadas para os proprietários do dispositivo.
DOMAIN_ALIAS_RID_USER_MODE_HARDWARE_OPERATORS
Valor: 0x00000248
Valor da cadeia de caracteres: S-1-5-32-584
Os membros desse grupo podem acessar drivers de mapeador de modo de usuário.

A enumeração WELL_KNOWN_SID_TYPE define a lista de SIDs comumente usados. Além disso, a SDDL (Linguagem de Definição de Descritor de Segurança) usa cadeias de caracteres SID para fazer referência a SIDs conhecidos em um formato de cadeia de caracteres.