Поделиться через


Известные идентификаторы SID

Известные идентификаторы безопасности (SID) определяют универсальные группы и универсальных пользователей. Например, существуют известные идентификаторы SID для идентификации следующих групп и пользователей:

  • Все или мир, которая является группой, которая включает всех пользователей.
  • CREATOR_OWNER, который используется в качестве заполнителя в наследуемом ACE. Когда ACE наследуется, система заменяет идентификатор безопасности CREATOR_OWNER идентификатором безопасности создателя объекта.
  • Группа администраторов для встроенного домена на локальном компьютере.

Существуют универсальные известные идентификаторы SID, которые имеют смысл во всех безопасных системах, использующих эту модель безопасности, включая операционные системы, отличные от Windows. Кроме того, существуют известные идентификаторы SID, которые имеют смысл только в системах Windows.

API Windows определяет набор констант для хорошо известных центров идентификаторов и относительных значений идентификатора (RID). Эти константы можно использовать для создания известных идентификаторов SID. В следующем примере объединяются константы SECURITY_WORLD_SID_AUTHORITY и SECURITY_WORLD_RID для отображения универсального хорошо известного идентификатора безопасности для специальной группы, представляющей всех пользователей (все пользователи или мир):

S-1-1-0

В этом примере используется нотация строк для идентификаторов БЕЗОПАСНОСТИ, в которой S определяет строку как идентификатор безопасности, первый 1 — это уровень редакции идентификатора безопасности, а остальные две цифры — это SECURITY_WORLD_SID_AUTHORITY и SECURITY_WORLD_RID константы.

Функцию AllocateAndInitializeSid можно использовать для создания идентификатора безопасности, сочетая значение центра идентификатора с до восьми значений подзавершений. Например, чтобы определить, является ли пользователь вошедшего в систему членом определенной хорошо известной группы, вызовите AllocateAndInitializeSid, чтобы создать идентификатор безопасности для известной группы и использовать функцию EqualSid для сравнения идентификаторов безопасности группы с идентификаторами безопасности группы в маркере доступа пользователя. Пример см. в статье "Поиск идентификатора безопасности" в маркере доступа на C++. Необходимо вызвать функцию FreeSid , чтобы освободить идентификатор безопасности, выделенный в AllocateAndInitializeSid.

Оставшаяся часть этого раздела содержит таблицы известных идентификаторов ИД и таблиц центра идентификатора и констант подавторности, которые можно использовать для создания известных идентификаторов SID.

Ниже приведены некоторые универсальные известные идентификаторы SID.

Универсальный известный идентификатор БЕЗОПАСНОСТИ Определяет
Null SID
Строковое значение: S-1-0-0
Группа без участников. Это часто используется, если значение sid не известно.
World
Строковое значение: S-1-1-0
Группа, которая включает всех пользователей.
Local
Строковое значение: S-1-2-0
Пользователи, которые войдите в терминалы локально (физически), подключенные к системе.
Идентификатор владельца создателя
Строковое значение: S-1-3-0
Идентификатор безопасности, который необходимо заменить идентификатором безопасности пользователя, создавшего новый объект. Этот идентификатор безопасности используется в наследуемых acEs.
Идентификатор группы создателей
Строковое значение: S-1-3-1
Идентификатор безопасности, который необходимо заменить идентификатором безопасности основной группы пользователя, создавшего новый объект. Используйте этот идентификатор безопасности в наследуемых acEs.

В следующей таблице перечислены предопределенные константы центра идентификатора. Первые четыре значения используются с универсальными известными идентификаторами SID; последнее значение используется с известными идентификаторами SID Windows.

Центр идентификатора Значение «Строковое значение»
SECURITY_NULL_SID_AUTHORITY 0 S-1-0
SECURITY_WORLD_SID_AUTHORITY 1 S-1-1
SECURITY_LOCAL_SID_AUTHORITY 2 S-1-2
SECURITY_CREATOR_SID_AUTHORITY 3 S-1-3
SECURITY_NT_AUTHORITY 5 S-1-5

Следующие значения RID используются с универсальными известными идентификаторами SID. В столбце центра идентификатора показан префикс центра идентификатора, с которым можно объединить RID для создания универсального хорошо известного идентификатора БЕЗОПАСНОСТИ.

Относительный центр идентификатора Значение «Строковое значение»
SECURITY_NULL_RID 0 S-1-0-0
SECURITY_WORLD_RID 0 S-1-1-0
SECURITY_LOCAL_RID 0 S-1-2-0
SECURITY_LOCAL_LOGON_RID 1 S-1-2-1
SECURITY_CREATOR_OWNER_RID 0 S-1-3-0
SECURITY_CREATOR_GROUP_RID 1 S-1-3-1

Предопределенный центр идентификатора SECURITY_NT_AUTHORITY (S-1-5) создает идентификаторы SID, которые не являются универсальными, но имеют смысл только в установках Windows. Для создания известных идентификаторов SID можно использовать следующие значения RID с SECURITY_NT_AUTHORITY.

Константа Определяет
SECURITY_DIALUP_RID
Строковое значение: S-1-5-1
Пользователи, которые войдите в терминалы с помощью модема с телефонным подключением. Это идентификатор группы.
SECURITY_NETWORK_RID
Строковое значение: S-1-5-2
Пользователи, которые входят в систему в сети. Это идентификатор группы, добавленный в маркер процесса при входе в сеть. Соответствующий тип входа LOGON32_LOGON_NETWORK.
SECURITY_BATCH_RID
Строковое значение: S-1-5-3
Пользователи, которые входят в систему с помощью объекта пакетной очереди. Это идентификатор группы, добавленный к маркеру процесса, когда он был зарегистрирован в качестве пакетного задания. Соответствующий тип входа LOGON32_LOGON_BATCH.
SECURITY_INTERACTIVE_RID
Строковое значение: S-1-5-4
Пользователи, которые входят в систему для интерактивной операции. Это идентификатор группы, добавленный в маркер процесса при интерактивном входе. Соответствующий тип входа LOGON32_LOGON_INTERACTIVE.
SECURITY_LOGON_IDS_RID
Строковое значение: S-1-5-5-*X*-*Y*
Сеанс входа. Это позволяет гарантировать, что только процессы в заданном сеансе входа могут получить доступ к объектам windows-станции для этого сеанса. Значения X и Y для этих ИДЕНТИФИКАТОРов отличаются для каждого сеанса входа. Значение SECURITY_LOGON_IDS_RID_COUNT — это число идентификаторов в этом идентификаторе (5-X- Y).
SECURITY_SERVICE_RID
Строковое значение: S-1-5-6
Учетные записи, авторизованные для входа в качестве службы. Это идентификатор группы, добавленный к маркеру процесса, когда он был зарегистрирован в качестве службы. Соответствующий тип входа LOGON32_LOGON_SERVICE.
SECURITY_ANONYMOUS_LOGON_RID
Строковое значение: S-1-5-7
Анонимный вход в систему или вход в сеанс null.
SECURITY_PROXY_RID
Строковое значение: S-1-5-8
Доверенность.
SECURITY_ENTERPRISE_CONTROLLERS_RID
Строковое значение: S-1-5-9
Корпоративные контроллеры.
SECURITY_PRINCIPAL_SELF_RID
Строковое значение: S-1-5-10
Идентификатор безопасности PRINCIPAL_SELF можно использовать в ACL объекта пользователя или группы. Во время проверки доступа система заменяет идентификатор безопасности идентификатором безопасности объекта. Идентификатор безопасности PRINCIPAL_SELF полезен для указания наследуемого ACE, применяемого к объекту пользователя или группы, наследуемому ACE. Это единственный способ представления идентификатора безопасности созданного объекта в дескрипторе безопасности по умолчанию схемы.
SECURITY_AUTHENTICATED_USER_RID
Строковое значение: S-1-5-11
Прошедшие проверку подлинности пользователи.
SECURITY_RESTRICTED_CODE_RID
Строковое значение: S-1-5-12
Ограниченный код.
SECURITY_TERMINAL_SERVER_RID
Строковое значение: S-1-5-13
Службы терминалов. Автоматически добавляется в маркер безопасности пользователя, который входит на сервер терминала.
SECURITY_LOCAL_SYSTEM_RID
Строковое значение: S-1-5-18
Специальная учетная запись, используемая операционной системой.
SECURITY_NT_NON_UNIQUE
Строковое значение: S-1-5-21
SIDS не являются уникальными.
SECURITY_BUILTIN_DOMAIN_RID
Строковое значение: S-1-5-32
Встроенный системный домен.
SECURITY_WRITE_RESTRICTED_CODE_RID
Строковое значение: S-1-5-33
Написание ограниченного кода.
SECURITY_RESTRICTED_SERVICES_BASE_RID
Строковое значение:S-1-5-99
Ограниченные службы.

Следующие идентификаторы идентификаторов относятся к каждому домену.

RID Определяет
DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP
Значение: 0x0000023E
Группа пользователей, которые могут подключаться к центрам сертификации с помощью модели объектов распределенного компонента (DCOM).
DOMAIN_USER_RID_ADMIN
Значение: 0x000001F4
Учетная запись администратора в домене.
DOMAIN_USER_RID_GUEST
Значение: 0x000001F5
Учетная запись гостевого пользователя в домене. Пользователи, у которых нет учетной записи, могут автоматически войти в эту учетную запись.
DOMAIN_GROUP_RID_ADMINS
Значение: 0x00000200
Группа администраторов домена. Эта учетная запись существует только в системах под управлением операционных систем сервера.
DOMAIN_GROUP_RID_USERS
Значение: 0x00000201
Группа, содержащая все учетные записи пользователей в домене. Все пользователи автоматически добавляются в эту группу.
DOMAIN_GROUP_RID_GUESTS
Значение: 0x00000202
Учетная запись гостевой группы в домене.
DOMAIN_GROUP_RID_COMPUTERS
Значение: 0x00000203
Группа компьютеров домена. Все компьютеры в домене являются членами этой группы.
DOMAIN_GROUP_RID_CONTROLLERS
Значение: 0x00000204
Группа контроллеров домена. Все контроллеры домена являются членами этой группы.
DOMAIN_GROUP_RID_CERT_ADMINS
Значение: 0x00000205
Группа издателей сертификатов. Компьютеры под управлением служб сертификатов являются членами этой группы.
DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS
Значение: 0x000001F2
Группа контроллеров домена только для чтения предприятия.
DOMAIN_GROUP_RID_SCHEMA_ADMINS
Значение: 0x00000206
Группа администраторов схемы. Члены этой группы могут изменять схему Active Directory.
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS
Значение: 0x00000207
Группа администраторов предприятия. Члены этой группы имеют полный доступ ко всем доменам в лесу Active Directory. Администраторы предприятия отвечают за операции на уровне леса, такие как добавление или удаление новых доменов.
DOMAIN_GROUP_RID_POLICY_ADMINS
Значение: 0x00000208
Группа администраторов политик.
DOMAIN_GROUP_RID_READONLY_CONTROLLERS
Значение: 0x00000209
Группа контроллеров домена только для чтения
DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS
Значение: 0x0000020A
Группа клонируемых контроллеров домена.
DOMAIN_GROUP_RID_CDC_RESERVED
Значение: 0x0000020C
Зарезервированная группа CDC.
DOMAIN_GROUP_RID_PROTECTED_USERS
Значение: 0x0000020D
Группа защищенных пользователей.
DOMAIN_GROUP_RID_KEY_ADMINS
Значение: 0x0000020E
Группа ключевых администраторов.
DOMAIN_GROUP_RID_ENTERPRISE_KEY_ADMINS
Значение: 0x0000020F
Группа администраторов ключей предприятия.

Следующие идентификаторы идентификаторов используются для указания обязательного уровня целостности.

RID Значение Определяет
SECURITY_MANDATORY_UNTRUSTED_RID 0x00000000 Ненадежных.
SECURITY_MANDATORY_LOW_RID 0x00001000 Низкая целостность.
SECURITY_MANDATORY_MEDIUM_RID 0x00002000 Средняя целостность.
SECURITY_MANDATORY_MEDIUM_PLUS_RID SECURITY_MANDATORY_MEDIUM_RID + 0x100 Средняя высокая целостность.
SECURITY_MANDATORY_HIGH_RID 0X00003000 Высокая целостность.
SECURITY_MANDATORY_SYSTEM_RID 0x00004000 Целостность системы.
SECURITY_MANDATORY_PROTECTED_PROCESS_RID 0x00005000 Защищенный процесс.

В следующей таблице приведены примеры идентификаторов идентификаторов, относящихся к домену, которые можно использовать для формирования известных идентификаторов SID для локальных групп (псевдонимов). Дополнительные сведения о локальных и глобальных группах см. в разделе "Функции локальных групп " и "Функции группы".

RID Определяет
DOMAIN_ALIAS_RID_ADMINS
Значение: 0x00000220
Строковое значение: S-1-5-32-544
Локальная группа, используемая для администрирования домена.
DOMAIN_ALIAS_RID_USERS
Значение: 0x00000221
Строковое значение: S-1-5-32-545
Локальная группа, представляющая всех пользователей в домене.
DOMAIN_ALIAS_RID_GUESTS
Значение: 0x00000222
Строковое значение: S-1-5-32-546
Локальная группа, представляющая гостей домена.
DOMAIN_ALIAS_RID_POWER_USERS
Значение: 0x00000223
Строковое значение: S-1-5-32-547
Локальная группа, используемая для представления пользователя или набора пользователей, которые ожидают рассматривать систему, как если бы это был личный компьютер, а не как рабочая станция для нескольких пользователей.
DOMAIN_ALIAS_RID_ACCOUNT_OPS
Значение: 0x00000224
Строковое значение: S-1-5-32-548
Локальная группа, которая существует только в системах под управлением операционных систем сервера. Эта локальная группа позволяет контролировать учетные записи, не являющиеся администраторами.
DOMAIN_ALIAS_RID_SYSTEM_OPS
Значение: 0x00000225
Строковое значение: S-1-5-32-549
Локальная группа, которая существует только в системах под управлением операционных систем сервера. Эта локальная группа выполняет системные административные функции, не включая функции безопасности. Он устанавливает сетевые ресурсы, управляет принтерами, разблокирует рабочие станции и выполняет другие операции.
DOMAIN_ALIAS_RID_PRINT_OPS
Значение: 0x00000226
Строковое значение: S-1-5-32-550
Локальная группа, которая существует только в системах под управлением операционных систем сервера. Эта локальная группа управляет принтерами и очередями печати.
DOMAIN_ALIAS_RID_BACKUP_OPS
Значение: 0x00000227
Строковое значение: S-1-5-32-551
Локальная группа, используемая для управления назначением прав резервного копирования и восстановления файлов.
DOMAIN_ALIAS_RID_REPLICATOR
Значение: 0x00000228
Строковое значение: S-1-5-32-552
Локальная группа, отвечающая за копирование баз данных безопасности с основного контроллера домена на контроллеры домена резервного копирования. Эти учетные записи используются только системой.
DOMAIN_ALIAS_RID_RAS_SERVERS
Значение: 0x00000229
Строковое значение: S-1-5-32-553
Локальная группа, представляющая серверы RAS и IAS. Эта группа разрешает доступ к различным атрибутам пользовательских объектов.
DOMAIN_ALIAS_RID_PREW2KCOMPACCESS
Значение: 0x0000022A
Строковое значение: S-1-5-32-554
Локальная группа, которая существует только в системах под управлением Windows 2000 Server. Дополнительные сведения см. в разделе "Разрешить анонимный доступ".
DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS
Значение: 0x0000022B
Строковое значение: S-1-5-32-555
Локальная группа, представляющая всех пользователей удаленного рабочего стола.
DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS
Значение: 0x0000022C
Строковое значение: S-1-5-32-556
Локальная группа, представляющая конфигурацию сети.
DOMAIN_ALIAS_RID_INCOMING_FOREST_TRUST_BUILDERS
Значение: 0x0000022D
Строковое значение: S-1-5-32-557
Локальная группа, представляющая всех пользователей доверия к лесу.
DOMAIN_ALIAS_RID_MONITORING_USERS
Значение: 0x0000022E
Строковое значение: S-1-5-32-558
Локальная группа, представляющая всех пользователей, отслеживаемых.
DOMAIN_ALIAS_RID_LOGGING_USERS
Значение: 0x0000022F
Строковое значение: S-1-5-32-559
Локальная группа, отвечаем за ведение журнала пользователей.
DOMAIN_ALIAS_RID_AUTHORIZATIONACCESS
Значение: 0x00000230
Строковое значение: S-1-5-32-560
Локальная группа, представляющая весь авторизованный доступ.
DOMAIN_ALIAS_RID_TS_LICENSE_SERVERS
Значение: 0x00000231
Строковое значение: S-1-5-32-561
Локальная группа, которая существует только в системах под управлением операционных систем сервера, которые позволяют службам терминалов и удаленному доступу.
DOMAIN_ALIAS_RID_DCOM_USERS
Значение: 0x00000232
Строковое значение: S-1-5-32-562
Локальная группа, представляющая пользователей, которые могут использовать объектную модель распределенного компонента (DCOM).
DOMAIN_ALIAS_RID_IUSERS
Значение: 0X00000238
Строковое значение: S-1-5-32-568
Локальная группа, представляющая пользователей Интернета.
DOMAIN_ALIAS_RID_CRYPTO_OPERATORS
Значение: 0x00000239
Строковое значение: S-1-5-32-569
Локальная группа, представляющая доступ к операторам шифрования.
DOMAIN_ALIAS_RID_CACHEABLE_PRINCIPALS_GROUP
Значение: 0x0000023B
Строковое значение: S-1-5-32-571
Локальная группа, представляющая субъекты, которые можно кэшировать.
DOMAIN_ALIAS_RID_NON_CACHEABLE_PRINCIPALS_GROUP
Значение: 0x0000023C
Строковое значение: S-1-5-32-572
Локальная группа, представляющая субъекты, которые нельзя кэшировать.
DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP
Значение: 0x0000023D
Строковое значение: S-1-5-32-573
Локальная группа, представляющая средства чтения журналов событий.
DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP
Значение: 0x0000023E
Строковое значение: S-1-5-32-574
Локальная группа пользователей, которые могут подключаться к центрам сертификации с помощью распределенной объектной модели компонента (DCOM).
DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_SERVERS
Значение: 0x0000023F
Строковое значение: S-1-5-32-575
Локальная группа, представляющая серверы удаленного доступа RDS.
DOMAIN_ALIAS_RID_RDS_ENDPOINT_SERVERS
Значение: 0x00000240
Строковое значение: S-1-5-32-576
Локальная группа, представляющая серверы конечных точек.
DOMAIN_ALIAS_RID_RDS_MANAGEMENT_SERVERS
Значение: 0x00000241
Строковое значение: S-1-5-32-577
Локальная группа, представляющая серверы управления.
DOMAIN_ALIAS_RID_HYPER_V_ADMINS
Значение: 0x00000242
Строковое значение: S-1-5-32-578
Локальная группа, представляющая администраторов Hyper-v.
DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS
Значение: 0x00000243
Строковое значение: S-1-5-32-579
Локальная группа, представляющая помощь по управлению доступом OPS.
DOMAIN_ALIAS_RID_REMOTE_MANAGEMENT_USERS
Значение: 0x00000244
Строковое значение: S-1-5-32-580
Локальная группа, представляющая пользователей удаленного управления.
DOMAIN_ALIAS_RID_DEFAULT_ACCOUNT
Значение: 0x00000245
Строковое значение: S-1-5-32-581
Локальная группа, представляющая учетную запись по умолчанию.
DOMAIN_ALIAS_RID_STORAGE_REPLICA_ADMINS
Значение: 0x00000246
Строковое значение: S-1-5-32-582
Локальная группа, представляющая администраторов реплик хранилища.
DOMAIN_ALIAS_RID_DEVICE_OWNERS
Значение: 0x00000247
Строковое значение: S-1-5-32-583
Локальная группа, представляющая, может сделать параметры ожидаемыми для владельцев устройств.
DOMAIN_ALIAS_RID_USER_MODE_HARDWARE_OPERATORS
Значение: 0x00000248
Строковое значение: S-1-5-32-584
Члены этой группы могут получить доступ к драйверам карт в режиме пользователя.

Перечисление WELL_KNOWN_SID_TYPE определяет список часто используемых идентификаторов SID. Кроме того, язык определения дескриптора безопасности (SDDL) использует строки SID для ссылки на известные идентификаторы БЕЗОПАСНОСТИ в строковом формате.