Известные идентификаторы SID
Известные идентификаторы безопасности (SID) определяют универсальные группы и универсальных пользователей. Например, существуют известные идентификаторы SID для идентификации следующих групп и пользователей:
- Все или мир, которая является группой, которая включает всех пользователей.
- CREATOR_OWNER, который используется в качестве заполнителя в наследуемом ACE. Когда ACE наследуется, система заменяет идентификатор безопасности CREATOR_OWNER идентификатором безопасности создателя объекта.
- Группа администраторов для встроенного домена на локальном компьютере.
Существуют универсальные известные идентификаторы SID, которые имеют смысл во всех безопасных системах, использующих эту модель безопасности, включая операционные системы, отличные от Windows. Кроме того, существуют известные идентификаторы SID, которые имеют смысл только в системах Windows.
API Windows определяет набор констант для хорошо известных центров идентификаторов и относительных значений идентификатора (RID). Эти константы можно использовать для создания известных идентификаторов SID. В следующем примере объединяются константы SECURITY_WORLD_SID_AUTHORITY и SECURITY_WORLD_RID для отображения универсального хорошо известного идентификатора безопасности для специальной группы, представляющей всех пользователей (все пользователи или мир):
S-1-1-0
В этом примере используется нотация строк для идентификаторов БЕЗОПАСНОСТИ, в которой S определяет строку как идентификатор безопасности, первый 1 — это уровень редакции идентификатора безопасности, а остальные две цифры — это SECURITY_WORLD_SID_AUTHORITY и SECURITY_WORLD_RID константы.
Функцию AllocateAndInitializeSid можно использовать для создания идентификатора безопасности, сочетая значение центра идентификатора с до восьми значений подзавершений. Например, чтобы определить, является ли пользователь вошедшего в систему членом определенной хорошо известной группы, вызовите AllocateAndInitializeSid, чтобы создать идентификатор безопасности для известной группы и использовать функцию EqualSid для сравнения идентификаторов безопасности группы с идентификаторами безопасности группы в маркере доступа пользователя. Пример см. в статье "Поиск идентификатора безопасности" в маркере доступа на C++. Необходимо вызвать функцию FreeSid , чтобы освободить идентификатор безопасности, выделенный в AllocateAndInitializeSid.
Оставшаяся часть этого раздела содержит таблицы известных идентификаторов ИД и таблиц центра идентификатора и констант подавторности, которые можно использовать для создания известных идентификаторов SID.
Ниже приведены некоторые универсальные известные идентификаторы SID.
Универсальный известный идентификатор БЕЗОПАСНОСТИ | Определяет |
---|---|
Null SID Строковое значение: S-1-0-0 |
Группа без участников. Это часто используется, если значение sid не известно. |
World Строковое значение: S-1-1-0 |
Группа, которая включает всех пользователей. |
Local Строковое значение: S-1-2-0 |
Пользователи, которые войдите в терминалы локально (физически), подключенные к системе. |
Идентификатор владельца создателя Строковое значение: S-1-3-0 |
Идентификатор безопасности, который необходимо заменить идентификатором безопасности пользователя, создавшего новый объект. Этот идентификатор безопасности используется в наследуемых acEs. |
Идентификатор группы создателей Строковое значение: S-1-3-1 |
Идентификатор безопасности, который необходимо заменить идентификатором безопасности основной группы пользователя, создавшего новый объект. Используйте этот идентификатор безопасности в наследуемых acEs. |
В следующей таблице перечислены предопределенные константы центра идентификатора. Первые четыре значения используются с универсальными известными идентификаторами SID; последнее значение используется с известными идентификаторами SID Windows.
Центр идентификатора | Значение | «Строковое значение» |
---|---|---|
SECURITY_NULL_SID_AUTHORITY | 0 |
S-1-0 |
SECURITY_WORLD_SID_AUTHORITY | 1 |
S-1-1 |
SECURITY_LOCAL_SID_AUTHORITY | 2 |
S-1-2 |
SECURITY_CREATOR_SID_AUTHORITY | 3 |
S-1-3 |
SECURITY_NT_AUTHORITY | 5 |
S-1-5 |
Следующие значения RID используются с универсальными известными идентификаторами SID. В столбце центра идентификатора показан префикс центра идентификатора, с которым можно объединить RID для создания универсального хорошо известного идентификатора БЕЗОПАСНОСТИ.
Относительный центр идентификатора | Значение | «Строковое значение» |
---|---|---|
SECURITY_NULL_RID | 0 |
S-1-0-0 |
SECURITY_WORLD_RID | 0 |
S-1-1-0 |
SECURITY_LOCAL_RID | 0 |
S-1-2-0 |
SECURITY_LOCAL_LOGON_RID | 1 |
S-1-2-1 |
SECURITY_CREATOR_OWNER_RID | 0 |
S-1-3-0 |
SECURITY_CREATOR_GROUP_RID | 1 |
S-1-3-1 |
Предопределенный центр идентификатора SECURITY_NT_AUTHORITY (S-1-5) создает идентификаторы SID, которые не являются универсальными, но имеют смысл только в установках Windows. Для создания известных идентификаторов SID можно использовать следующие значения RID с SECURITY_NT_AUTHORITY.
Константа | Определяет |
---|---|
SECURITY_DIALUP_RID Строковое значение: S-1-5-1 |
Пользователи, которые войдите в терминалы с помощью модема с телефонным подключением. Это идентификатор группы. |
SECURITY_NETWORK_RID Строковое значение: S-1-5-2 |
Пользователи, которые входят в систему в сети. Это идентификатор группы, добавленный в маркер процесса при входе в сеть. Соответствующий тип входа LOGON32_LOGON_NETWORK. |
SECURITY_BATCH_RID Строковое значение: S-1-5-3 |
Пользователи, которые входят в систему с помощью объекта пакетной очереди. Это идентификатор группы, добавленный к маркеру процесса, когда он был зарегистрирован в качестве пакетного задания. Соответствующий тип входа LOGON32_LOGON_BATCH. |
SECURITY_INTERACTIVE_RID Строковое значение: S-1-5-4 |
Пользователи, которые входят в систему для интерактивной операции. Это идентификатор группы, добавленный в маркер процесса при интерактивном входе. Соответствующий тип входа LOGON32_LOGON_INTERACTIVE. |
SECURITY_LOGON_IDS_RID Строковое значение: S-1-5-5-*X*-*Y* |
Сеанс входа. Это позволяет гарантировать, что только процессы в заданном сеансе входа могут получить доступ к объектам windows-станции для этого сеанса. Значения X и Y для этих ИДЕНТИФИКАТОРов отличаются для каждого сеанса входа. Значение SECURITY_LOGON_IDS_RID_COUNT — это число идентификаторов в этом идентификаторе (5-X- Y). |
SECURITY_SERVICE_RID Строковое значение: S-1-5-6 |
Учетные записи, авторизованные для входа в качестве службы. Это идентификатор группы, добавленный к маркеру процесса, когда он был зарегистрирован в качестве службы. Соответствующий тип входа LOGON32_LOGON_SERVICE. |
SECURITY_ANONYMOUS_LOGON_RID Строковое значение: S-1-5-7 |
Анонимный вход в систему или вход в сеанс null. |
SECURITY_PROXY_RID Строковое значение: S-1-5-8 |
Доверенность. |
SECURITY_ENTERPRISE_CONTROLLERS_RID Строковое значение: S-1-5-9 |
Корпоративные контроллеры. |
SECURITY_PRINCIPAL_SELF_RID Строковое значение: S-1-5-10 |
Идентификатор безопасности PRINCIPAL_SELF можно использовать в ACL объекта пользователя или группы. Во время проверки доступа система заменяет идентификатор безопасности идентификатором безопасности объекта. Идентификатор безопасности PRINCIPAL_SELF полезен для указания наследуемого ACE, применяемого к объекту пользователя или группы, наследуемому ACE. Это единственный способ представления идентификатора безопасности созданного объекта в дескрипторе безопасности по умолчанию схемы. |
SECURITY_AUTHENTICATED_USER_RID Строковое значение: S-1-5-11 |
Прошедшие проверку подлинности пользователи. |
SECURITY_RESTRICTED_CODE_RID Строковое значение: S-1-5-12 |
Ограниченный код. |
SECURITY_TERMINAL_SERVER_RID Строковое значение: S-1-5-13 |
Службы терминалов. Автоматически добавляется в маркер безопасности пользователя, который входит на сервер терминала. |
SECURITY_LOCAL_SYSTEM_RID Строковое значение: S-1-5-18 |
Специальная учетная запись, используемая операционной системой. |
SECURITY_NT_NON_UNIQUE Строковое значение: S-1-5-21 |
SIDS не являются уникальными. |
SECURITY_BUILTIN_DOMAIN_RID Строковое значение: S-1-5-32 |
Встроенный системный домен. |
SECURITY_WRITE_RESTRICTED_CODE_RID Строковое значение: S-1-5-33 |
Написание ограниченного кода. |
SECURITY_RESTRICTED_SERVICES_BASE_RID Строковое значение: S-1-5-99 |
Ограниченные службы. |
Следующие идентификаторы идентификаторов относятся к каждому домену.
RID | Определяет |
---|---|
DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP Значение: 0x0000023E |
Группа пользователей, которые могут подключаться к центрам сертификации с помощью модели объектов распределенного компонента (DCOM). |
DOMAIN_USER_RID_ADMIN Значение: 0x000001F4 |
Учетная запись администратора в домене. |
DOMAIN_USER_RID_GUEST Значение: 0x000001F5 |
Учетная запись гостевого пользователя в домене. Пользователи, у которых нет учетной записи, могут автоматически войти в эту учетную запись. |
DOMAIN_GROUP_RID_ADMINS Значение: 0x00000200 |
Группа администраторов домена. Эта учетная запись существует только в системах под управлением операционных систем сервера. |
DOMAIN_GROUP_RID_USERS Значение: 0x00000201 |
Группа, содержащая все учетные записи пользователей в домене. Все пользователи автоматически добавляются в эту группу. |
DOMAIN_GROUP_RID_GUESTS Значение: 0x00000202 |
Учетная запись гостевой группы в домене. |
DOMAIN_GROUP_RID_COMPUTERS Значение: 0x00000203 |
Группа компьютеров домена. Все компьютеры в домене являются членами этой группы. |
DOMAIN_GROUP_RID_CONTROLLERS Значение: 0x00000204 |
Группа контроллеров домена. Все контроллеры домена являются членами этой группы. |
DOMAIN_GROUP_RID_CERT_ADMINS Значение: 0x00000205 |
Группа издателей сертификатов. Компьютеры под управлением служб сертификатов являются членами этой группы. |
DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS Значение: 0x000001F2 |
Группа контроллеров домена только для чтения предприятия. |
DOMAIN_GROUP_RID_SCHEMA_ADMINS Значение: 0x00000206 |
Группа администраторов схемы. Члены этой группы могут изменять схему Active Directory. |
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS Значение: 0x00000207 |
Группа администраторов предприятия. Члены этой группы имеют полный доступ ко всем доменам в лесу Active Directory. Администраторы предприятия отвечают за операции на уровне леса, такие как добавление или удаление новых доменов. |
DOMAIN_GROUP_RID_POLICY_ADMINS Значение: 0x00000208 |
Группа администраторов политик. |
DOMAIN_GROUP_RID_READONLY_CONTROLLERS Значение: 0x00000209 |
Группа контроллеров домена только для чтения |
DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS Значение: 0x0000020A |
Группа клонируемых контроллеров домена. |
DOMAIN_GROUP_RID_CDC_RESERVED Значение: 0x0000020C |
Зарезервированная группа CDC. |
DOMAIN_GROUP_RID_PROTECTED_USERS Значение: 0x0000020D |
Группа защищенных пользователей. |
DOMAIN_GROUP_RID_KEY_ADMINS Значение: 0x0000020E |
Группа ключевых администраторов. |
DOMAIN_GROUP_RID_ENTERPRISE_KEY_ADMINS Значение: 0x0000020F |
Группа администраторов ключей предприятия. |
Следующие идентификаторы идентификаторов используются для указания обязательного уровня целостности.
RID | Значение | Определяет |
---|---|---|
SECURITY_MANDATORY_UNTRUSTED_RID | 0x00000000 |
Ненадежных. |
SECURITY_MANDATORY_LOW_RID | 0x00001000 |
Низкая целостность. |
SECURITY_MANDATORY_MEDIUM_RID | 0x00002000 |
Средняя целостность. |
SECURITY_MANDATORY_MEDIUM_PLUS_RID | SECURITY_MANDATORY_MEDIUM_RID + 0x100 |
Средняя высокая целостность. |
SECURITY_MANDATORY_HIGH_RID | 0X00003000 |
Высокая целостность. |
SECURITY_MANDATORY_SYSTEM_RID | 0x00004000 |
Целостность системы. |
SECURITY_MANDATORY_PROTECTED_PROCESS_RID | 0x00005000 |
Защищенный процесс. |
В следующей таблице приведены примеры идентификаторов идентификаторов, относящихся к домену, которые можно использовать для формирования известных идентификаторов SID для локальных групп (псевдонимов). Дополнительные сведения о локальных и глобальных группах см. в разделе "Функции локальных групп " и "Функции группы".
RID | Определяет |
---|---|
DOMAIN_ALIAS_RID_ADMINS Значение: 0x00000220 Строковое значение: S-1-5-32-544 |
Локальная группа, используемая для администрирования домена. |
DOMAIN_ALIAS_RID_USERS Значение: 0x00000221 Строковое значение: S-1-5-32-545 |
Локальная группа, представляющая всех пользователей в домене. |
DOMAIN_ALIAS_RID_GUESTS Значение: 0x00000222 Строковое значение: S-1-5-32-546 |
Локальная группа, представляющая гостей домена. |
DOMAIN_ALIAS_RID_POWER_USERS Значение: 0x00000223 Строковое значение: S-1-5-32-547 |
Локальная группа, используемая для представления пользователя или набора пользователей, которые ожидают рассматривать систему, как если бы это был личный компьютер, а не как рабочая станция для нескольких пользователей. |
DOMAIN_ALIAS_RID_ACCOUNT_OPS Значение: 0x00000224 Строковое значение: S-1-5-32-548 |
Локальная группа, которая существует только в системах под управлением операционных систем сервера. Эта локальная группа позволяет контролировать учетные записи, не являющиеся администраторами. |
DOMAIN_ALIAS_RID_SYSTEM_OPS Значение: 0x00000225 Строковое значение: S-1-5-32-549 |
Локальная группа, которая существует только в системах под управлением операционных систем сервера. Эта локальная группа выполняет системные административные функции, не включая функции безопасности. Он устанавливает сетевые ресурсы, управляет принтерами, разблокирует рабочие станции и выполняет другие операции. |
DOMAIN_ALIAS_RID_PRINT_OPS Значение: 0x00000226 Строковое значение: S-1-5-32-550 |
Локальная группа, которая существует только в системах под управлением операционных систем сервера. Эта локальная группа управляет принтерами и очередями печати. |
DOMAIN_ALIAS_RID_BACKUP_OPS Значение: 0x00000227 Строковое значение: S-1-5-32-551 |
Локальная группа, используемая для управления назначением прав резервного копирования и восстановления файлов. |
DOMAIN_ALIAS_RID_REPLICATOR Значение: 0x00000228 Строковое значение: S-1-5-32-552 |
Локальная группа, отвечающая за копирование баз данных безопасности с основного контроллера домена на контроллеры домена резервного копирования. Эти учетные записи используются только системой. |
DOMAIN_ALIAS_RID_RAS_SERVERS Значение: 0x00000229 Строковое значение: S-1-5-32-553 |
Локальная группа, представляющая серверы RAS и IAS. Эта группа разрешает доступ к различным атрибутам пользовательских объектов. |
DOMAIN_ALIAS_RID_PREW2KCOMPACCESS Значение: 0x0000022A Строковое значение: S-1-5-32-554 |
Локальная группа, которая существует только в системах под управлением Windows 2000 Server. Дополнительные сведения см. в разделе "Разрешить анонимный доступ". |
DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS Значение: 0x0000022B Строковое значение: S-1-5-32-555 |
Локальная группа, представляющая всех пользователей удаленного рабочего стола. |
DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS Значение: 0x0000022C Строковое значение: S-1-5-32-556 |
Локальная группа, представляющая конфигурацию сети. |
DOMAIN_ALIAS_RID_INCOMING_FOREST_TRUST_BUILDERS Значение: 0x0000022D Строковое значение: S-1-5-32-557 |
Локальная группа, представляющая всех пользователей доверия к лесу. |
DOMAIN_ALIAS_RID_MONITORING_USERS Значение: 0x0000022E Строковое значение: S-1-5-32-558 |
Локальная группа, представляющая всех пользователей, отслеживаемых. |
DOMAIN_ALIAS_RID_LOGGING_USERS Значение: 0x0000022F Строковое значение: S-1-5-32-559 |
Локальная группа, отвечаем за ведение журнала пользователей. |
DOMAIN_ALIAS_RID_AUTHORIZATIONACCESS Значение: 0x00000230 Строковое значение: S-1-5-32-560 |
Локальная группа, представляющая весь авторизованный доступ. |
DOMAIN_ALIAS_RID_TS_LICENSE_SERVERS Значение: 0x00000231 Строковое значение: S-1-5-32-561 |
Локальная группа, которая существует только в системах под управлением операционных систем сервера, которые позволяют службам терминалов и удаленному доступу. |
DOMAIN_ALIAS_RID_DCOM_USERS Значение: 0x00000232 Строковое значение: S-1-5-32-562 |
Локальная группа, представляющая пользователей, которые могут использовать объектную модель распределенного компонента (DCOM). |
DOMAIN_ALIAS_RID_IUSERS Значение: 0X00000238 Строковое значение: S-1-5-32-568 |
Локальная группа, представляющая пользователей Интернета. |
DOMAIN_ALIAS_RID_CRYPTO_OPERATORS Значение: 0x00000239 Строковое значение: S-1-5-32-569 |
Локальная группа, представляющая доступ к операторам шифрования. |
DOMAIN_ALIAS_RID_CACHEABLE_PRINCIPALS_GROUP Значение: 0x0000023B Строковое значение: S-1-5-32-571 |
Локальная группа, представляющая субъекты, которые можно кэшировать. |
DOMAIN_ALIAS_RID_NON_CACHEABLE_PRINCIPALS_GROUP Значение: 0x0000023C Строковое значение: S-1-5-32-572 |
Локальная группа, представляющая субъекты, которые нельзя кэшировать. |
DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP Значение: 0x0000023D Строковое значение: S-1-5-32-573 |
Локальная группа, представляющая средства чтения журналов событий. |
DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP Значение: 0x0000023E Строковое значение: S-1-5-32-574 |
Локальная группа пользователей, которые могут подключаться к центрам сертификации с помощью распределенной объектной модели компонента (DCOM). |
DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_SERVERS Значение: 0x0000023F Строковое значение: S-1-5-32-575 |
Локальная группа, представляющая серверы удаленного доступа RDS. |
DOMAIN_ALIAS_RID_RDS_ENDPOINT_SERVERS Значение: 0x00000240 Строковое значение: S-1-5-32-576 |
Локальная группа, представляющая серверы конечных точек. |
DOMAIN_ALIAS_RID_RDS_MANAGEMENT_SERVERS Значение: 0x00000241 Строковое значение: S-1-5-32-577 |
Локальная группа, представляющая серверы управления. |
DOMAIN_ALIAS_RID_HYPER_V_ADMINS Значение: 0x00000242 Строковое значение: S-1-5-32-578 |
Локальная группа, представляющая администраторов Hyper-v. |
DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS Значение: 0x00000243 Строковое значение: S-1-5-32-579 |
Локальная группа, представляющая помощь по управлению доступом OPS. |
DOMAIN_ALIAS_RID_REMOTE_MANAGEMENT_USERS Значение: 0x00000244 Строковое значение: S-1-5-32-580 |
Локальная группа, представляющая пользователей удаленного управления. |
DOMAIN_ALIAS_RID_DEFAULT_ACCOUNT Значение: 0x00000245 Строковое значение: S-1-5-32-581 |
Локальная группа, представляющая учетную запись по умолчанию. |
DOMAIN_ALIAS_RID_STORAGE_REPLICA_ADMINS Значение: 0x00000246 Строковое значение: S-1-5-32-582 |
Локальная группа, представляющая администраторов реплик хранилища. |
DOMAIN_ALIAS_RID_DEVICE_OWNERS Значение: 0x00000247 Строковое значение: S-1-5-32-583 |
Локальная группа, представляющая, может сделать параметры ожидаемыми для владельцев устройств. |
DOMAIN_ALIAS_RID_USER_MODE_HARDWARE_OPERATORS Значение: 0x00000248 Строковое значение: S-1-5-32-584 |
Члены этой группы могут получить доступ к драйверам карт в режиме пользователя. |
Перечисление WELL_KNOWN_SID_TYPE определяет список часто используемых идентификаторов SID. Кроме того, язык определения дескриптора безопасности (SDDL) использует строки SID для ссылки на известные идентификаторы БЕЗОПАСНОСТИ в строковом формате.