Известные идентификаторы безопасности в операционных системах Windows
Аннотация
Идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для идентификации участника безопасности (например, группы безопасности) в операционных системах Windows. Идентификаторы безопасности, идентифицирующие универсальных пользователей или универсальные группы, хорошо известны. Их значения оставались неизменными во всех операционных системах.
Эта информация полезна при устранении неполадок, связанных с безопасностью. Он также полезен для устранения неполадок, связанных с отображением, в редакторе списков управления доступом (ACL) Windows. Windows отслеживает участника безопасности по его идентификатору безопасности (SID). Чтобы отобразить участника безопасности в редакторе ACL, Windows разрешает идентификатор SID в соответствующее имя участника безопасности.
Хорошо известные идентификаторы безопасности (все версии Windows)
| SID | Имя | Описание |
| S – 1-0 | Пустой администратор | Центр идентификаторов. |
| S – 1-0-0 | Никто | Нет участника безопасности. |
| S – 1-1 | Международный орган | Центр идентификаторов. |
| S – 1-1-0 | Все | Группа, в которую входят все пользователи, даже анонимные пользователи и гости. Членство в группах контролируется операционной системой. |
| S – 1-2 | Локальный орган | Примечание По умолчанию группа «все» больше не включает анонимных пользователей на компьютере под управлением Windows XP с пакетом обновления 2 (SP2). Центр идентификаторов. |
| S – 1-2-0 | Локальный | Группа, в которую входят все пользователи, выполнившие вход в систему локально. |
| S – 1-3 | Центр создателя | Центр идентификаторов. |
| S – 1-3-0 | Создатель — владелец | Заполнитель в наследуемой записи управления доступом (ACE). Если элемент управления доступом наследуется, система заменяет этот идентификатор SID создателем объекта. |
| S – 1-3-1 | Группа Creator | Заполнитель в наследуемой записи ACE. Если элемент управления доступом наследуется, система заменяет этот идентификатор SID основной группой создателя объекта. Основная группа используется только подсистемой POSIX. |
| S – 1-3-4 | Права владельца | Группа, представляющая текущего владельца объекта. Когда к объекту применяется запись ACE, которая передает этот идентификатор SID, система игнорирует неявные разрешения READ_CONTROL и WRITE_DAC для владельца объекта. |
| S – 1-4 | Неуникальный орган | Центр идентификаторов. |
| S – 1-5 | Администратор NT | Центр идентификаторов. |
| S – 1-5-1 | Удален | Группа, в которую входят все пользователи, выполнившие вход с помощью телефонного подключения. Членство в группах контролируется операционной системой. |
| S – 1-5-2 | Сеть | Группа, в которую входят все пользователи, выполнившие вход через сетевое подключение. Членство в группах контролируется операционной системой. |
| S – 1-5-3 | Партионному | Группа, в которую входят все пользователи, вошедшие в систему с помощью средства пакетной очереди. Членство в группах контролируется операционной системой. |
| S – 1-5-4 | Интерактивны | Группа, в которую входят все пользователи, выполнившие вход в систему в интерактивном режиме. Членство в группах контролируется операционной системой. |
| S – 1-5-5 X – Y | Сеанс входа | Сеанс входа в систему. Значения X и Y для этих кодов SID различаются для каждого сеанса. |
| S – 1-5-6 | Служба | Группа, в которую входят все субъекты безопасности, вошедшие в систему в качестве службы. Членство в группах контролируется операционной системой. |
| S – 1-5-7 | Анонимный | Группа, в которую входят все пользователи с анонимным входом. Членство в группах контролируется операционной системой. |
| S – 1-5-9 | Контроллеры домена предприятия | Группа, включающая все контроллеры домена в лесу, в котором используется служба каталогов Active Directory. Членство в группах контролируется операционной системой. |
| S – 1-5-10 | Основной самозависимый | Заполнитель в наследуемой записи ACE для объекта Account или объекта Group в Active Directory. Если элемент управления доступом наследуется, система заменяет этот идентификатор SID для субъекта безопасности, который владеет учетной записью. |
| S – 1-5-11 | Пользователи, прошедшие проверку | Группа, в которую входят все пользователи, чьи удостоверения прошли проверку подлинности при входе в систему. Членство в группах контролируется операционной системой. |
| S – 1-5-12 | Ограниченный код | Этот идентификатор безопасности зарезервирован для будущего использования. |
| S – 1-5-13 | Пользователи сервера терминалов | Группа, в которую входят все пользователи, выполнившие вход на сервер служб терминалов. Членство в группах контролируется операционной системой. |
| S – 1-5-14 | Удаленный интерактивный вход | Группа, включающая всех пользователей, выполнивших вход в систему с помощью службы терминалов. |
| S – 1-5-17 | Эта организация | Учетная запись, используемая пользователем служб IIS по умолчанию. |
| S – 1-5-18 | Локальная система | Учетная запись службы, используемая операционной системой. |
| S – 1-5-19 | Администратор NT | Локальная служба |
| S – 1-5-20 | Администратор NT | Сетевая служба |
| S – 1 – 5 – 21domain — 500 | Администратор | Учетная запись пользователя для системного администратора. По умолчанию это единственная учетная запись пользователя, которой предоставляется полный контроль над системой. |
| S – 1 – 5 – 21domain — 501 | Guest | Учетная запись пользователя для пользователей, у которых нет индивидуальных учетных записей. Для этой учетной записи пользователя не требуется пароль. По умолчанию учетная запись гостя отключена. |
| S – 1 – 5 – 21domain — 502 | KRBTGT | Учетная запись службы, используемая службой центра распространения ключей (KDC). |
| S – 1 – 5 – 21domain — 512 | Администраторы домена | Глобальная группа, членам которой разрешено администрировать домен. По умолчанию группа администраторов домена входит в группу «Администраторы» на всех компьютерах, присоединенных к домену, включая контроллеры домена. «Администраторы домена» — это владелец любого объекта, созданного любым участником группы по умолчанию. |
| S – 1 – 5 – 21domain — 513 | Пользователи домена | Глобальная группа, которая по умолчанию включает все учетные записи пользователей в домене. При создании учетной записи пользователя в домене она добавляется в эту группу по умолчанию. |
| S – 1 – 5 – 21domain — 514 | Гости домена | Глобальная группа, которая по умолчанию имеет только одного участника, встроенной гостевой учетной записи домена. |
| S – 1 – 5 – 21domain — 515 | Компьютеры домена | Глобальная группа, в которую входят все клиенты и серверы, присоединенные к домену. |
| S – 1 – 5 – 21domain — 516 | Контроллеры домена | Глобальная группа, включающая все контроллеры домена в домене. По умолчанию в эту группу добавляются новые контроллеры домена. |
| S – 1 – 5 – 21domain — 517 | Издатели сертификатов | Глобальная группа, включающая все компьютеры, на которых работает центр сертификации предприятия. Издателям сертификатов разрешено публиковать сертификаты для объектов пользователей в Active Directory. |
| S – 1 – 5 — 21root Domain — 518 | Администраторы схемы | Универсальная группа в домене с собственным режимом; Глобальная группа в домене с смешанным режимом. Группа авторизована для внесения изменений схемы в Active Directory. По умолчанию единственным членом группы является учетная запись администратора для корневого домена леса. |
| S – 1 – 5 — 21root Domain — 519 | Администраторы предприятия | Универсальная группа в домене с собственным режимом; Глобальная группа в домене с смешанным режимом. Группе разрешено вносить изменения на уровне леса в Active Directory, например добавлять дочерние домены. По умолчанию единственным членом группы является учетная запись администратора для корневого домена леса. |
| S – 1 – 5 – 21domain — 520 | Владельцы создателей групповой политики | Глобальная группа, которая авторизована для создания новых объектов групповой политики в Active Directory. По умолчанию единственным участником группы является «Администратор». |
| S – 1 – 5 – 21domain — 526 | Основные администраторы | Группа безопасности. Цель этой группы заключается в наличии делегированного доступа на запись msdsKeyCredentialLink только к атрибуту. Группа предназначена для использования в сценариях, где доверенные внешние органы (например, Федеративные службы Active Directory) отвечают за изменение этого атрибута. Только доверенные администраторы должны быть членами этой группы. |
| S – 1 – 5 – 21domain — 527 | Администраторы корпоративных ключей | Группа безопасности. Цель этой группы заключается в наличии делегированного доступа на запись msdsKeyCredentialLink только к атрибуту. Группа предназначена для использования в сценариях, где доверенные внешние органы (например, Федеративные службы Active Directory) отвечают за изменение этого атрибута. Только доверенные администраторы должны быть членами этой группы. |
| S – 1 – 5 – 21domain — 553 | Серверы RAS и IAS | Локальная группа домена. По умолчанию у этой группы нет членов. Серверы в этой группе имеют ограничения на чтение учетных записей и чтение сведений о входе в систему для объектов пользователей в локальной группе домена Active Directory. |
| S – 1-5-32-544 | Администраторы | Встроенная группа. После первоначальной установки операционной системы единственным членом группы является учетная запись администратора. Когда компьютер присоединяется к домену, Группа «Администраторы домена» добавляется в группу «Администраторы». Когда сервер становится контроллером домена, Группа «Администраторы предприятия» также добавляется в группу «Администраторы». |
| S – 1-5-32-545 | Пользователи | Встроенная группа. После первоначальной установки операционной системы единственным участником является группа пользователей, прошедших проверку подлинности. Когда компьютер присоединяется к домену, Группа «Пользователи домена» добавляется в группу «Пользователи» на компьютере. |
| S – 1-5-32-546 | Guests | Встроенная группа. По умолчанию единственным участником является Гостевая учетная запись. Группа гостей позволяет пользователям с ограниченными правами или одноразовым пользователям входить в систему с ограниченными правами на доступ к встроенной гостевой учетной записи компьютера. |
| S – 1-5-32-547 | Опытные пользователи | Встроенная группа. По умолчанию группа не имеет членов. Опытные пользователи могут создавать локальных пользователей и группы; изменять и удалять созданные ими учетные записи; и удалять пользователей из групп «Опытные пользователи», «Пользователи» и «гости». Опытные пользователи также могут устанавливать программы. Создание, удаление и управление локальными принтерами; создавать и удалять общие файловые ресурсы. |
| S – 1-5-32-548 | Операторы учетных записей | Встроенная группа, которая существует только на контроллерах домена. По умолчанию группа не имеет членов. По умолчанию операторы учетных записей имеют разрешение на создание, изменение и удаление учетных записей пользователей, групп и компьютеров во всех контейнерах и подразделениях Active Directory, кроме Builtin контейнеров и ПОДразделений контроллеров домена. Операторы учетных записей не имеют разрешения на изменение групп администраторов и администраторов домена, а также не имеют разрешения на изменение учетных записей членов этих групп. |
| S – 1-5-32-549 | Операторы сервера | Встроенная группа, которая существует только на контроллерах домена. По умолчанию группа не имеет членов. Операторы сервера могут войти на сервер в интерактивном режиме; Создание и удаление общих сетевых ресурсов; Запуск и остановка служб; Резервное копирование и восстановление файлов; форматирование жесткого диска компьютера; и завершите работу компьютера. |
| S – 1-5-32-550 | Операторы печати | Встроенная группа, которая существует только на контроллерах домена. По умолчанию единственным участником является группа «Пользователи домена». Операторы печати могут управлять принтерами и очередями документов. |
| S – 1-5-32-551 | Операторы архивации | Встроенная группа. По умолчанию группа не имеет членов. Операторы резервного копирования могут выполнять резервное копирование и восстановление всех файлов на компьютере независимо от разрешений, защищающих эти файлы. Операторы резервного копирования также могут войти на компьютер и завершить его работу. |
| S – 1-5-32-552 | Репликаторы | Встроенная группа, используемая службой репликации файлов на контроллерах домена. По умолчанию группа не имеет членов. Не добавляйте пользователей в эту группу. |
| S – 1-5-32-582 | Администраторы реплики хранилища | Встроенная группа, предоставляющая полный и неограниченный доступ ко всем функциям реплики хранилища. |
| S – 1-5-64-10 | Проверка подлинности NTLM | Идентификатор безопасности, используемый при проверке подлинности клиента пакетом проверки подлинности NTLM. |
| S – 1-5-64-14 | Проверка подлинности SChannel | Идентификатор безопасности, используемый при проверке подлинности клиента пакетом проверки подлинности SChannel. |
| S – 1-5-64-21 | Дайджест-проверка подлинности | Идентификатор безопасности, используемый при проверке подлинности клиента пакетом дайджест-проверки подлинности. |
| S – 1-5-80 | Служба NT | Префикс учетной записи службы NT. |
Идентификаторы безопасности, добавленные в Windows Server 2003 и более поздних версий
При добавлении контроллера домена под управлением Windows Server 2003 или более поздней версии в домен Active Directory добавляет субъекты безопасности в приведенную ниже таблицу.
| SID | Имя | Описание |
| S – 1-3-2 | Создатель ответственного сервера | Этот идентификатор не используется в Windows 2000. |
| S – 1-3-3 | Сервер группы Creator | Этот идентификатор не используется в Windows 2000. |
| S – 1-5-8 | Сервера | Этот идентификатор не используется в Windows 2000. |
| S – 1-5-15 | Эта организация | Группа, в которую входят все пользователи из одной и той же организации. Включается только в учетные записи AD и добавляется только контроллером домена Windows Server 2003 или более поздней версии. |
| S – 1-5-32-554 | Совместимый доступ Буилтин\пре-Виндовс 2000 | Псевдоним, добавляемый в Windows 2000. Группа обратной совместимости, которая предоставляет доступ на чтение ко всем пользователям и группам в домене. |
| S – 1-5-32-555 | Пользователи Буилтин\ремоте для настольных ПК | Псевдоним. Членам этой группы предоставляется право на удаленный вход в систему. |
| S – 1-5-32-556 | Операторы конфигурации Буилтин\нетворк | Псевдоним. Участники этой группы могут иметь некоторые административные привилегии для управления настройкой сетевых функций. |
| S – 1-5-32-557 | Построители доверия лесов Буилтин\инкоминг | Псевдоним. Участники этой группы могут создать входящее, одностороннее отношение доверия с этим лесом. |
| S – 1-5-32-558 | Пользователи монитора Буилтин\перформанце | Псевдоним. Участники этой группы имеют удаленный доступ для мониторинга этого компьютера. |
| S – 1-5-32-559 | Пользователи журналов Буилтин\перформанце | Псевдоним. Участники этой группы имеют удаленный доступ к планированию ведения журнала счетчиков производительности на этом компьютере. |
| S – 1-5-32-560 | Группа доступа для авторизации Буилтин\виндовс | Псевдоним. Члены этой группы имеют доступ к вычисляемому атрибуту Токенграупсглобаландуниверсал для объектов User. |
| S – 1-5-32-561 | Серверы лицензий сервера Буилтин\терминал | Псевдоним. Группа серверов лицензирования сервера терминалов. При установке пакета обновления 1 (SP1) для Windows Server 2003 создается новая локальная группа. |
| S – 1-5-32-562 | Пользователи Буилтин\дистрибутед COM | Псевдоним. Группа для COM, которая предоставляет элементы управления доступом компутервиде, которые управляют доступом ко всем запросам на вызов, активацию или запуску компьютера. |
Идентификаторы безопасности, добавленные в Windows Server 2008 и более поздних версий
При добавлении контроллера домена под управлением Windows Server 2008 или более поздней версии в домен Active Directory добавляет субъекты безопасности в приведенную ниже таблицу.
| SID | Имя | Описание |
| S – 1-2-1 | Вход в консоль | Группа, которая включает пользователей, вошедших в физическую консоль. |
| S – 1-5-21 домен — 498 | Контроллеры домена только для чтения предприятия | Примечание Добавлено в Windows 7 и Windows Server 2008 R2. Универсальная группа. Члены этой группы — это контроллеры домена только для чтения на предприятии. |
| S – 1-5-21 домен — 521 | Контроллеры домена, предназначенные только для чтения | Глобальная группа. Члены этой группы — это контроллеры домена, доступные только для чтения в домене. |
| S – 1-5-21 домен — 571 | Разрешенная группа репликации паролей RODC | Локальная группа домена. Пароли членов этой группы могут реплицироваться на все контроллеры домена, доступные только для чтения, в домене. |
| S – 1-5-21 домен — 572 | Запрещенная группа репликации паролей RODC | Локальная группа домена. Пароли членов этой группы не могут реплицироваться на контроллеры домена, предназначенные только для чтения в домене. |
| S – 1-5-32-569 | Операторы Буилтин\криптографик | Встроенная локальная группа. Членам разрешено выполнять криптографические операции. |
| S – 1-5-32-573 | Средства чтения журнала Буилтин\евент | Встроенная локальная группа. Участники этой группы могут читать журналы событий с локального компьютера. |
| S – 1-5-32-574 | Доступ к DCOM службы Буилтин\цертификате | Встроенная локальная группа. Участники этой группы могут подключаться к центрам сертификации на предприятии. |
| S – 1-5-80-0 | Службы NT Сервицес\алл | Группа, включающая все процессы службы, настроенные в системе. Членство в группах контролируется операционной системой. |
| S – 1-5-80-0 | Все службы | Примечание Добавлено в Windows Server 2008 R2. Группа, включающая все процессы службы, настроенные в системе. Членство в группах контролируется операционной системой. |
| S – 1-5-83-0 | Виртуальные машины NT Мачине\виртуал | Примечание Добавлено в Windows Vista и Windows Server 2008. Встроенная группа. Группа создается при установке роли Hyper-V. Членство в группе поддерживается службой управления Hyper-V (VMMS). Для этой группы требуются права на Создание символических ссылок (S екреатесимболиклинкпривилеже), а также Вход в качестве службы (сесервицелогонригхт). |
| S – 1-5-90-0 | Группа диспетчера Манажер\виндовс Windows | Примечание Добавлено в Windows 8 и Windows Server 2012. Встроенная группа, используемая диспетчером окон рабочего стола (DWM). DWM — это служба Windows, которая управляет отображением информации для приложений Windows. |
| S – 1-16-0 | Ненадежный обязательный уровень | Примечание Добавлено в Windows Vista. Уровень целостности не является доверенным. |
| S – 1-16-4096 | Минимальный обязательный уровень | Примечание Добавлено в Windows Vista и Windows Server 2008. Уровень целостности. |
| S – 1-16-8192 | Средний обязательный уровень | Примечание Добавлено в Windows Vista и Windows Server 2008. Средний уровень целостности. |
| Note (Примечание ) Добавлено в Windows Vista и Windows Server 2008. | ||
| S – 1-16-8448 | Средний плюс обязательный уровень | Уровень целостности Medium плюс. |
| S – 1-16-12288 | Высокий обязательный уровень | Примечание Добавлено в Windows Vista и Windows Server 2008. Уровень высокой целостности. |
| Примечание | ||
| Добавлено в Windows Vista и Windows Server 2008. | ||
| S – 1-16-16384 | Обязательный уровень системы | Уровень целостности системы. |
| Примечание | ||
| Добавлено в Windows Vista и Windows Server 2008. | ||
| S – 1-16-20480 | Обязательный уровень защищенного процесса | Уровень целостности для защищенной обработки. |
| Примечание | ||
| Добавлено в Windows Vista и Windows Server 2008. | ||
| S – 1-16-28672 | Обязательный уровень безопасного процесса | Уровень целостности безопасного процесса. |
| Примечание | ||
| Добавлено в Windows Vista и Windows Server 2008. |
Идентификаторы безопасности, добавленные в Windows Server 2012 и более поздних версий
При добавлении контроллера домена под управлением Windows Server 2012 или более поздней версии в домен Active Directory добавляет субъекты безопасности в приведенную ниже таблицу.
| SID | Имя | Описание |
| S – 1-5-21 —домен– 522 | Клонированные контроллеры домена | Глобальная группа. Участники этой группы, являющиеся контроллерами домена, могут клонироваться. |
| S – 1-5-32-575 | Серверы удаленного доступа Буилтин\рдс | Встроенная локальная группа. Серверы в этой группе позволяют пользователям удаленных приложений RemoteApp и личным виртуальным рабочим столам получать доступ к этим ресурсам. В развертываниях с выходом в Интернет эти серверы, как правило, развертываются в пограничной сети. Эта группа должна быть заполнена на серверах, на которых запущен посредник подключений к удаленному рабочему столу. Серверы шлюза удаленных рабочих столов и серверы веб-доступа к удаленным рабочим столам, используемые в развертывании, должны находиться в этой группе. |
| S – 1-5-32-576 | Серверы конечных точек Буилтин\рдс | Встроенная локальная группа. Серверы в этой группе запускают виртуальные машины и хосты, в которых работают приложения RemoteApp и персональные виртуальные рабочие столы пользователей. Эта группа должна быть заполнена на серверах, на которых запущен посредник подключений к удаленному рабочему столу. Серверы узлов сеансов удаленных рабочих столов и серверы узла виртуализации удаленных рабочих столов, используемые в развертывании, должны находиться в этой группе. |
| S – 1-5-32-577 | Серверы управления Буилтин\рдс | Встроенная локальная группа. Серверы в этой группе могут выполнять рутинные действия администратора на серверах с запущенными службами удаленных рабочих столов. Эта группа должна быть заполнена на всех серверах в развертывании служб удаленных рабочих столов. В эту группу должны быть включены серверы, на которых выполняется служба центрального управления RDS. |
| S – 1-5-32-578 | Администраторы Буилтин\хипер-в | Встроенная локальная группа. Члены этой группы имеют полный и неограниченный доступ ко всем функциям Hyper – V. |
| S – 1-5-32-579 | Операторы помощи элементов управления Буилтин\акцесс | Встроенная локальная группа. Участники этой группы могут удаленно запрашивать атрибуты авторизации и разрешения для ресурсов на этом компьютере. |
| S – 1-5-32-580 | Пользователи управления Буилтин\ремоте | Встроенная локальная группа. Участники этой группы могут получать доступ к ресурсам WMI через протоколы управления (например, WS-Management через службу удаленного управления Windows). Это применимо только к пространствам имен WMI, которые предоставляют доступ пользователю. |
Все идентификаторы SID возможностей, которые поддерживает операционная система, хранятся в реестре Windows в следующем подразделе:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities
Этот подраздел также содержит любой идентификатор безопасности, который добавляется сторонними приложениями. Все идентификаторы SID возможностей начинаются с S-1-15-3
Источник: https://docs.microsoft.com/ru-ru/troubleshoot/windows-server/identity/security-identifiers-in-windows#sids-added-by-windows-server-2003-and-later-versions