TargetUserSid

Известные идентификаторы безопасности в операционных системах Windows

Аннотация
Идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для идентификации участника безопасности (например, группы безопасности) в операционных системах Windows. Идентификаторы безопасности, идентифицирующие универсальных пользователей или универсальные группы, хорошо известны. Их значения оставались неизменными во всех операционных системах.

Эта информация полезна при устранении неполадок, связанных с безопасностью. Он также полезен для устранения неполадок, связанных с отображением, в редакторе списков управления доступом (ACL) Windows. Windows отслеживает участника безопасности по его идентификатору безопасности (SID). Чтобы отобразить участника безопасности в редакторе ACL, Windows разрешает идентификатор SID в соответствующее имя участника безопасности.

Хорошо известные идентификаторы безопасности (все версии Windows)

SIDИмяОписание
S – 1-0Пустой администраторЦентр идентификаторов.
S – 1-0-0НиктоНет участника безопасности.
S – 1-1Международный органЦентр идентификаторов.
S – 1-1-0ВсеГруппа, в которую входят все пользователи, даже анонимные пользователи и гости. Членство в группах контролируется операционной системой.
S – 1-2Локальный орган Примечание

По умолчанию группа «все» больше не включает анонимных пользователей на компьютере под управлением Windows XP с пакетом обновления 2 (SP2).

Центр идентификаторов.
S – 1-2-0ЛокальныйГруппа, в которую входят все пользователи, выполнившие вход в систему локально.
S – 1-3Центр создателяЦентр идентификаторов.
S – 1-3-0Создатель — владелецЗаполнитель в наследуемой записи управления доступом (ACE). Если элемент управления доступом наследуется, система заменяет этот идентификатор SID создателем объекта.
S – 1-3-1Группа CreatorЗаполнитель в наследуемой записи ACE. Если элемент управления доступом наследуется, система заменяет этот идентификатор SID основной группой создателя объекта. Основная группа используется только подсистемой POSIX.
S – 1-3-4Права владельцаГруппа, представляющая текущего владельца объекта. Когда к объекту применяется запись ACE, которая передает этот идентификатор SID, система игнорирует неявные разрешения READ_CONTROL и WRITE_DAC для владельца объекта.
S – 1-4Неуникальный органЦентр идентификаторов.
S – 1-5Администратор NTЦентр идентификаторов.
S – 1-5-1УдаленГруппа, в которую входят все пользователи, выполнившие вход с помощью телефонного подключения. Членство в группах контролируется операционной системой.
S – 1-5-2СетьГруппа, в которую входят все пользователи, выполнившие вход через сетевое подключение. Членство в группах контролируется операционной системой.
S – 1-5-3ПартионномуГруппа, в которую входят все пользователи, вошедшие в систему с помощью средства пакетной очереди. Членство в группах контролируется операционной системой.
S – 1-5-4ИнтерактивныГруппа, в которую входят все пользователи, выполнившие вход в систему в интерактивном режиме. Членство в группах контролируется операционной системой.
S – 1-5-5 X – YСеанс входаСеанс входа в систему. Значения X и Y для этих кодов SID различаются для каждого сеанса.
S – 1-5-6СлужбаГруппа, в которую входят все субъекты безопасности, вошедшие в систему в качестве службы. Членство в группах контролируется операционной системой.
S – 1-5-7АнонимныйГруппа, в которую входят все пользователи с анонимным входом. Членство в группах контролируется операционной системой.
S – 1-5-9Контроллеры домена предприятияГруппа, включающая все контроллеры домена в лесу, в котором используется служба каталогов Active Directory. Членство в группах контролируется операционной системой.
S – 1-5-10Основной самозависимыйЗаполнитель в наследуемой записи ACE для объекта Account или объекта Group в Active Directory. Если элемент управления доступом наследуется, система заменяет этот идентификатор SID для субъекта безопасности, который владеет учетной записью.
S – 1-5-11Пользователи, прошедшие проверкуГруппа, в которую входят все пользователи, чьи удостоверения прошли проверку подлинности при входе в систему. Членство в группах контролируется операционной системой.
S – 1-5-12Ограниченный кодЭтот идентификатор безопасности зарезервирован для будущего использования.
S – 1-5-13Пользователи сервера терминаловГруппа, в которую входят все пользователи, выполнившие вход на сервер служб терминалов. Членство в группах контролируется операционной системой.
S – 1-5-14Удаленный интерактивный входГруппа, включающая всех пользователей, выполнивших вход в систему с помощью службы терминалов.
S – 1-5-17Эта организацияУчетная запись, используемая пользователем служб IIS по умолчанию.
S – 1-5-18Локальная системаУчетная запись службы, используемая операционной системой.
S – 1-5-19Администратор NTЛокальная служба
S – 1-5-20Администратор NTСетевая служба
S – 1 – 5 – 21domain — 500АдминистраторУчетная запись пользователя для системного администратора. По умолчанию это единственная учетная запись пользователя, которой предоставляется полный контроль над системой.
S – 1 – 5 – 21domain — 501GuestУчетная запись пользователя для пользователей, у которых нет индивидуальных учетных записей. Для этой учетной записи пользователя не требуется пароль. По умолчанию учетная запись гостя отключена.
S – 1 – 5 – 21domain — 502KRBTGTУчетная запись службы, используемая службой центра распространения ключей (KDC).
S – 1 – 5 – 21domain — 512Администраторы доменаГлобальная группа, членам которой разрешено администрировать домен. По умолчанию группа администраторов домена входит в группу «Администраторы» на всех компьютерах, присоединенных к домену, включая контроллеры домена. «Администраторы домена» — это владелец любого объекта, созданного любым участником группы по умолчанию.
S – 1 – 5 – 21domain — 513Пользователи доменаГлобальная группа, которая по умолчанию включает все учетные записи пользователей в домене. При создании учетной записи пользователя в домене она добавляется в эту группу по умолчанию.
S – 1 – 5 – 21domain — 514Гости доменаГлобальная группа, которая по умолчанию имеет только одного участника, встроенной гостевой учетной записи домена.
S – 1 – 5 – 21domain — 515Компьютеры доменаГлобальная группа, в которую входят все клиенты и серверы, присоединенные к домену.
S – 1 – 5 – 21domain — 516Контроллеры доменаГлобальная группа, включающая все контроллеры домена в домене. По умолчанию в эту группу добавляются новые контроллеры домена.
S – 1 – 5 – 21domain — 517Издатели сертификатовГлобальная группа, включающая все компьютеры, на которых работает центр сертификации предприятия. Издателям сертификатов разрешено публиковать сертификаты для объектов пользователей в Active Directory.
S – 1 – 5 — 21root Domain — 518Администраторы схемыУниверсальная группа в домене с собственным режимом; Глобальная группа в домене с смешанным режимом. Группа авторизована для внесения изменений схемы в Active Directory. По умолчанию единственным членом группы является учетная запись администратора для корневого домена леса.
S – 1 – 5 — 21root Domain — 519Администраторы предприятияУниверсальная группа в домене с собственным режимом; Глобальная группа в домене с смешанным режимом. Группе разрешено вносить изменения на уровне леса в Active Directory, например добавлять дочерние домены. По умолчанию единственным членом группы является учетная запись администратора для корневого домена леса.
S – 1 – 5 – 21domain — 520Владельцы создателей групповой политикиГлобальная группа, которая авторизована для создания новых объектов групповой политики в Active Directory. По умолчанию единственным участником группы является «Администратор».
S – 1 – 5 – 21domain — 526Основные администраторыГруппа безопасности. Цель этой группы заключается в наличии делегированного доступа на запись msdsKeyCredentialLink только к атрибуту. Группа предназначена для использования в сценариях, где доверенные внешние органы (например, Федеративные службы Active Directory) отвечают за изменение этого атрибута. Только доверенные администраторы должны быть членами этой группы.
S – 1 – 5 – 21domain — 527Администраторы корпоративных ключейГруппа безопасности. Цель этой группы заключается в наличии делегированного доступа на запись msdsKeyCredentialLink только к атрибуту. Группа предназначена для использования в сценариях, где доверенные внешние органы (например, Федеративные службы Active Directory) отвечают за изменение этого атрибута. Только доверенные администраторы должны быть членами этой группы.
S – 1 – 5 – 21domain — 553Серверы RAS и IASЛокальная группа домена. По умолчанию у этой группы нет членов. Серверы в этой группе имеют ограничения на чтение учетных записей и чтение сведений о входе в систему для объектов пользователей в локальной группе домена Active Directory.
S – 1-5-32-544АдминистраторыВстроенная группа. После первоначальной установки операционной системы единственным членом группы является учетная запись администратора. Когда компьютер присоединяется к домену, Группа «Администраторы домена» добавляется в группу «Администраторы». Когда сервер становится контроллером домена, Группа «Администраторы предприятия» также добавляется в группу «Администраторы».
S – 1-5-32-545ПользователиВстроенная группа. После первоначальной установки операционной системы единственным участником является группа пользователей, прошедших проверку подлинности. Когда компьютер присоединяется к домену, Группа «Пользователи домена» добавляется в группу «Пользователи» на компьютере.
S – 1-5-32-546GuestsВстроенная группа. По умолчанию единственным участником является Гостевая учетная запись. Группа гостей позволяет пользователям с ограниченными правами или одноразовым пользователям входить в систему с ограниченными правами на доступ к встроенной гостевой учетной записи компьютера.
S – 1-5-32-547Опытные пользователиВстроенная группа. По умолчанию группа не имеет членов. Опытные пользователи могут создавать локальных пользователей и группы; изменять и удалять созданные ими учетные записи; и удалять пользователей из групп «Опытные пользователи», «Пользователи» и «гости». Опытные пользователи также могут устанавливать программы. Создание, удаление и управление локальными принтерами; создавать и удалять общие файловые ресурсы.
S – 1-5-32-548Операторы учетных записейВстроенная группа, которая существует только на контроллерах домена. По умолчанию группа не имеет членов. По умолчанию операторы учетных записей имеют разрешение на создание, изменение и удаление учетных записей пользователей, групп и компьютеров во всех контейнерах и подразделениях Active Directory, кроме Builtin контейнеров и ПОДразделений контроллеров домена. Операторы учетных записей не имеют разрешения на изменение групп администраторов и администраторов домена, а также не имеют разрешения на изменение учетных записей членов этих групп.
S – 1-5-32-549Операторы сервераВстроенная группа, которая существует только на контроллерах домена. По умолчанию группа не имеет членов. Операторы сервера могут войти на сервер в интерактивном режиме; Создание и удаление общих сетевых ресурсов; Запуск и остановка служб; Резервное копирование и восстановление файлов; форматирование жесткого диска компьютера; и завершите работу компьютера.
S – 1-5-32-550Операторы печатиВстроенная группа, которая существует только на контроллерах домена. По умолчанию единственным участником является группа «Пользователи домена». Операторы печати могут управлять принтерами и очередями документов.
S – 1-5-32-551Операторы архивацииВстроенная группа. По умолчанию группа не имеет членов. Операторы резервного копирования могут выполнять резервное копирование и восстановление всех файлов на компьютере независимо от разрешений, защищающих эти файлы. Операторы резервного копирования также могут войти на компьютер и завершить его работу.
S – 1-5-32-552РепликаторыВстроенная группа, используемая службой репликации файлов на контроллерах домена. По умолчанию группа не имеет членов. Не добавляйте пользователей в эту группу.
S – 1-5-32-582Администраторы реплики хранилищаВстроенная группа, предоставляющая полный и неограниченный доступ ко всем функциям реплики хранилища.
S – 1-5-64-10Проверка подлинности NTLMИдентификатор безопасности, используемый при проверке подлинности клиента пакетом проверки подлинности NTLM.
S – 1-5-64-14Проверка подлинности SChannelИдентификатор безопасности, используемый при проверке подлинности клиента пакетом проверки подлинности SChannel.
S – 1-5-64-21Дайджест-проверка подлинностиИдентификатор безопасности, используемый при проверке подлинности клиента пакетом дайджест-проверки подлинности.
S – 1-5-80Служба NTПрефикс учетной записи службы NT.

Идентификаторы безопасности, добавленные в Windows Server 2003 и более поздних версий

При добавлении контроллера домена под управлением Windows Server 2003 или более поздней версии в домен Active Directory добавляет субъекты безопасности в приведенную ниже таблицу.

SIDИмяОписание
S – 1-3-2Создатель ответственного сервераЭтот идентификатор не используется в Windows 2000.
S – 1-3-3Сервер группы CreatorЭтот идентификатор не используется в Windows 2000.
S – 1-5-8СервераЭтот идентификатор не используется в Windows 2000.
S – 1-5-15Эта организацияГруппа, в которую входят все пользователи из одной и той же организации. Включается только в учетные записи AD и добавляется только контроллером домена Windows Server 2003 или более поздней версии.
S – 1-5-32-554Совместимый доступ Буилтин\пре-Виндовс 2000Псевдоним, добавляемый в Windows 2000. Группа обратной совместимости, которая предоставляет доступ на чтение ко всем пользователям и группам в домене.
S – 1-5-32-555Пользователи Буилтин\ремоте для настольных ПКПсевдоним. Членам этой группы предоставляется право на удаленный вход в систему.
S – 1-5-32-556Операторы конфигурации Буилтин\нетворкПсевдоним. Участники этой группы могут иметь некоторые административные привилегии для управления настройкой сетевых функций.
S – 1-5-32-557Построители доверия лесов Буилтин\инкомингПсевдоним. Участники этой группы могут создать входящее, одностороннее отношение доверия с этим лесом.
S – 1-5-32-558Пользователи монитора Буилтин\перформанцеПсевдоним. Участники этой группы имеют удаленный доступ для мониторинга этого компьютера.
S – 1-5-32-559Пользователи журналов Буилтин\перформанцеПсевдоним. Участники этой группы имеют удаленный доступ к планированию ведения журнала счетчиков производительности на этом компьютере.
S – 1-5-32-560Группа доступа для авторизации Буилтин\виндовсПсевдоним. Члены этой группы имеют доступ к вычисляемому атрибуту Токенграупсглобаландуниверсал для объектов User.
S – 1-5-32-561Серверы лицензий сервера Буилтин\терминалПсевдоним. Группа серверов лицензирования сервера терминалов. При установке пакета обновления 1 (SP1) для Windows Server 2003 создается новая локальная группа.
S – 1-5-32-562Пользователи Буилтин\дистрибутед COMПсевдоним. Группа для COM, которая предоставляет элементы управления доступом компутервиде, которые управляют доступом ко всем запросам на вызов, активацию или запуску компьютера.

Идентификаторы безопасности, добавленные в Windows Server 2008 и более поздних версий

При добавлении контроллера домена под управлением Windows Server 2008 или более поздней версии в домен Active Directory добавляет субъекты безопасности в приведенную ниже таблицу.

SIDИмяОписание
S – 1-2-1Вход в консольГруппа, которая включает пользователей, вошедших в физическую консоль.
S – 1-5-21 домен — 498Контроллеры домена только для чтения предприятия Примечание
Добавлено в Windows 7 и Windows Server 2008 R2.

Универсальная группа. Члены этой группы — это контроллеры домена только для чтения на предприятии.
S – 1-5-21 домен — 521Контроллеры домена, предназначенные только для чтенияГлобальная группа. Члены этой группы — это контроллеры домена, доступные только для чтения в домене.
S – 1-5-21 домен — 571Разрешенная группа репликации паролей RODCЛокальная группа домена. Пароли членов этой группы могут реплицироваться на все контроллеры домена, доступные только для чтения, в домене.
S – 1-5-21 домен — 572Запрещенная группа репликации паролей RODCЛокальная группа домена. Пароли членов этой группы не могут реплицироваться на контроллеры домена, предназначенные только для чтения в домене.
S – 1-5-32-569Операторы Буилтин\криптографикВстроенная локальная группа. Членам разрешено выполнять криптографические операции.
S – 1-5-32-573Средства чтения журнала Буилтин\евентВстроенная локальная группа. Участники этой группы могут читать журналы событий с локального компьютера.
S – 1-5-32-574Доступ к DCOM службы Буилтин\цертификатеВстроенная локальная группа. Участники этой группы могут подключаться к центрам сертификации на предприятии.
S – 1-5-80-0Службы NT Сервицес\аллГруппа, включающая все процессы службы, настроенные в системе. Членство в группах контролируется операционной системой.
S – 1-5-80-0Все службы Примечание
Добавлено в Windows Server 2008 R2.

Группа, включающая все процессы службы, настроенные в системе. Членство в группах контролируется операционной системой.
S – 1-5-83-0Виртуальные машины NT Мачине\виртуал Примечание
Добавлено в Windows Vista и Windows Server 2008.

Встроенная группа. Группа создается при установке роли Hyper-V. Членство в группе поддерживается службой управления Hyper-V (VMMS). Для этой группы требуются права на Создание символических ссылок (S екреатесимболиклинкпривилеже), а также Вход в качестве службы (сесервицелогонригхт).
S – 1-5-90-0Группа диспетчера Манажер\виндовс Windows Примечание
Добавлено в Windows 8 и Windows Server 2012.

Встроенная группа, используемая диспетчером окон рабочего стола (DWM). DWM — это служба Windows, которая управляет отображением информации для приложений Windows.
S – 1-16-0Ненадежный обязательный уровеньПримечание
Добавлено в Windows Vista.

Уровень целостности не является доверенным.
S – 1-16-4096Минимальный обязательный уровеньПримечание
Добавлено в Windows Vista и Windows Server 2008.

Уровень целостности.
S – 1-16-8192Средний обязательный уровеньПримечание
Добавлено в Windows Vista и Windows Server 2008.

Средний уровень целостности.
Note (Примечание ) Добавлено в Windows Vista и Windows Server 2008.
S – 1-16-8448Средний плюс обязательный уровеньУровень целостности Medium плюс.
S – 1-16-12288Высокий обязательный уровеньПримечание
Добавлено в Windows Vista и Windows Server 2008.

Уровень высокой целостности.
Примечание
Добавлено в Windows Vista и Windows Server 2008.
S – 1-16-16384Обязательный уровень системыУровень целостности системы.
Примечание
Добавлено в Windows Vista и Windows Server 2008.
S – 1-16-20480Обязательный уровень защищенного процессаУровень целостности для защищенной обработки.
Примечание
Добавлено в Windows Vista и Windows Server 2008.
S – 1-16-28672Обязательный уровень безопасного процессаУровень целостности безопасного процесса.
Примечание
Добавлено в Windows Vista и Windows Server 2008.

Идентификаторы безопасности, добавленные в Windows Server 2012 и более поздних версий

При добавлении контроллера домена под управлением Windows Server 2012 или более поздней версии в домен Active Directory добавляет субъекты безопасности в приведенную ниже таблицу.

SIDИмяОписание
S – 1-5-21 —домен– 522Клонированные контроллеры доменаГлобальная группа. Участники этой группы, являющиеся контроллерами домена, могут клонироваться.
S – 1-5-32-575Серверы удаленного доступа Буилтин\рдсВстроенная локальная группа. Серверы в этой группе позволяют пользователям удаленных приложений RemoteApp и личным виртуальным рабочим столам получать доступ к этим ресурсам. В развертываниях с выходом в Интернет эти серверы, как правило, развертываются в пограничной сети. Эта группа должна быть заполнена на серверах, на которых запущен посредник подключений к удаленному рабочему столу. Серверы шлюза удаленных рабочих столов и серверы веб-доступа к удаленным рабочим столам, используемые в развертывании, должны находиться в этой группе.
S – 1-5-32-576Серверы конечных точек Буилтин\рдсВстроенная локальная группа. Серверы в этой группе запускают виртуальные машины и хосты, в которых работают приложения RemoteApp и персональные виртуальные рабочие столы пользователей. Эта группа должна быть заполнена на серверах, на которых запущен посредник подключений к удаленному рабочему столу. Серверы узлов сеансов удаленных рабочих столов и серверы узла виртуализации удаленных рабочих столов, используемые в развертывании, должны находиться в этой группе.
S – 1-5-32-577Серверы управления Буилтин\рдсВстроенная локальная группа. Серверы в этой группе могут выполнять рутинные действия администратора на серверах с запущенными службами удаленных рабочих столов. Эта группа должна быть заполнена на всех серверах в развертывании служб удаленных рабочих столов. В эту группу должны быть включены серверы, на которых выполняется служба центрального управления RDS.
S – 1-5-32-578Администраторы Буилтин\хипер-вВстроенная локальная группа. Члены этой группы имеют полный и неограниченный доступ ко всем функциям Hyper – V.
S – 1-5-32-579Операторы помощи элементов управления Буилтин\акцессВстроенная локальная группа. Участники этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на этом компьютере.
S – 1-5-32-580Пользователи управления Буилтин\ремотеВстроенная локальная группа. Участники этой группы могут получать доступ к ресурсам WMI через протоколы управления (например, WS-Management через службу удаленного управления Windows). Это применимо только к пространствам имен WMI, которые предоставляют доступ пользователю.

Все идентификаторы SID возможностей, которые поддерживает операционная система, хранятся в реестре Windows в следующем подразделе:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities

Этот подраздел также содержит любой идентификатор безопасности, который добавляется сторонними приложениями. Все идентификаторы SID возможностей начинаются с S-1-15-3

Источник: https://docs.microsoft.com/ru-ru/troubleshoot/windows-server/identity/security-identifiers-in-windows#sids-added-by-windows-server-2003-and-later-versions

Добавить комментарий