Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt beschreven hoe beveiligings-id's (SID's) werken met accounts en groepen in het Windows Server-besturingssysteem.
Wat zijn SID's?
Een SID wordt gebruikt om een beveiligingsprincipaal of beveiligingsgroep uniek te identificeren. Beveiligingsprinciplen kunnen elke entiteit vertegenwoordigen die door het besturingssysteem kan worden geverifieerd. Voorbeelden hiervan zijn een gebruikersaccount, een computeraccount of een thread of proces dat wordt uitgevoerd in de beveiligingscontext van een gebruikers- of computeraccount.
Elk account of elke groep, of elk proces dat wordt uitgevoerd in de beveiligingscontext van het account, heeft een unieke SID die wordt uitgegeven door een instantie, zoals een Windows-domeincontroller. De SID wordt opgeslagen in een beveiligingsdatabase. Het systeem genereert de SID die een bepaald account of een bepaalde groep identificeert op het moment dat het account of de groep wordt gemaakt. Wanneer een SID wordt gebruikt als de unieke id voor een gebruiker of groep, kan deze nooit meer worden gebruikt om een andere gebruiker of groep te identificeren.
Telkens wanneer een gebruiker zich aanmeldt, maakt het systeem een toegangstoken voor die gebruiker. Het toegangstoken bevat de SID van de gebruiker, de gebruikersrechten en de SID's voor groepen waartoe de gebruiker behoort. Dit token biedt de beveiligingscontext voor alle acties die de gebruiker op die computer uitvoert.
Naast de uniek gemaakte domeinspecifieke SID's die zijn toegewezen aan specifieke gebruikers en groepen, zijn er bekende SID's waarmee algemene groepen en algemene gebruikers worden geïdentificeerd. De SID's "Everyone" en "World" identificeren bijvoorbeeld allebei een groep die alle gebruikers omvat. Bekende SID's hebben waarden die constant blijven voor alle besturingssystemen.
SID's zijn een fundamentele bouwsteen van het Windows-beveiligingsmodel. Ze werken met specifieke onderdelen van de technologieën voor autorisatie en toegangsbeheer in de beveiligingsinfrastructuur van de Windows Server-besturingssystemen. Dit ontwerp helpt de toegang tot netwerkresources te beveiligen en biedt een veiligere computeromgeving.
Note
Deze inhoud heeft alleen betrekking op de Windows-versies in de lijst 'Van toepassing op' aan het begin van het artikel.
Hoe SID's werken
Gebruikers verwijzen naar accounts op basis van de accountnaam. Intern verwijst het besturingssysteem naar accounts en processen die worden uitgevoerd in de beveiligingscontext van het account met behulp van hun SID's. Voor domeinaccounts wordt de SID van een veiligheidsprincipe gemaakt door de SID van het domein samen te voegen met een relatieve identificatie (RID) voor het account. SID's zijn uniek binnen hun bereik (domein of lokaal) en ze worden nooit opnieuw gebruikt.
Het besturingssysteem genereert een SID die een bepaald account of een bepaalde groep identificeert op het moment dat het account of de groep wordt gemaakt. Voor een lokaal account of een lokale groep genereert de lokale beveiligingsautoriteit (LSA) op de computer de SID. De SID wordt opgeslagen met andere accountgegevens in een beveiligd gebied van het register. Voor een domeinaccount of groep genereert de domeinbeveiligingsinstantie de SID. Dit type SID wordt opgeslagen als een kenmerk van het object Gebruiker of Groep in Active Directory Domain Services.
Voor elk lokaal account en elke groep is de SID uniek voor de computer waarop deze is gemaakt. Er zijn nooit twee accounts of groepen op de computer die dezelfde SID delen. Op dezelfde manier is de SID voor elk domeinaccount en elke groep uniek binnen een onderneming. Als gevolg hiervan komt de SID van een account of groep in het ene domein nooit overeen met de SID van een account of groep in een ander domein in de onderneming.
SID's blijven altijd uniek. Beveiligingsautoriteiten geven nooit dezelfde SID twee keer uit en gebruiken nooit SID's voor verwijderde accounts. Als een gebruiker met een gebruikersaccount in een Windows-domein bijvoorbeeld zijn taak verlaat, verwijdert een beheerder zijn Active Directory-account, inclusief de SID waarmee het account wordt geïdentificeerd. Als ze later terugkeren naar een andere taak in hetzelfde bedrijf, maakt een beheerder een nieuw account en genereert het Besturingssysteem Windows Server een nieuwe SID. De nieuwe SID komt niet overeen met de oude sid, dus geen van de toegang van de gebruiker vanaf het oude account wordt overgedragen naar het nieuwe account. Beide accounts vertegenwoordigen twee verschillende beveiligingsprinciplen.
SID-architectuur
Een SID is een gegevensstructuur in binaire indeling die een variabel aantal waarden bevat. De eerste waarden in de structuur bevatten informatie over de SID-structuur. De resterende waarden worden gerangschikt in een hiërarchie (vergelijkbaar met een telefoonnummer) en identificeren de sid-verlenende instantie (bijvoorbeeld NT-instantie), het domein sid-uitgifte en een bepaalde beveiligingsprincipaal of groep. In de volgende afbeelding ziet u de structuur van een SID.
De afzonderlijke waarden van een SID worden beschreven in de volgende tabel:
| Component | Description |
|---|---|
| Revision | Geeft de versie van de SID-structuur aan die in een bepaalde SID wordt gebruikt. |
| Identificatie-autoriteit | Identificeert het hoogste instantieniveau dat SID's kan uitgeven voor een bepaald type beveiligingsprincipaal. De gezagswaarde van de id in de SID voor de groep Iedereen is bijvoorbeeld 1 (Wereldautoriteit). De id-instantiewaarde in de SID voor een specifiek Windows Server-account of -groep is 5 (NT Authority). |
| Subauthorities | Bevat de belangrijkste informatie in een SID, welke is opgenomen in een reeks van één of meer subautoriteitenwaarden. Alle waarden tot, maar niet inclusief, de laatste waarde in de reeks identificeren gezamenlijk een domein in een onderneming. Dit deel van de reeks wordt de domein-id genoemd. De laatste waarde in de reeks, de RID, identificeert een bepaald account of een bepaalde groep ten opzichte van een domein. |
De onderdelen van een SID zijn gemakkelijker te visualiseren wanneer SID's worden geconverteerd van een binair naar een tekenreeksindeling met behulp van standaardnotatie:
S-R-X-Y1-Y2-Yn-1-Yn
In deze notatie worden de onderdelen van een SID beschreven in de volgende tabel:
| Component | Description |
|---|---|
| S | Geeft aan dat de tekenreeks een SID is |
| R | Geeft het revisieniveau aan |
| X | Geeft de waarde van de identificatie-autoriteit aan |
| Y | Vertegenwoordigt een reeks subauthoriteitswaarden, waarbij n het aantal waarden is |
De belangrijkste informatie van de SID is opgenomen in de reeks subautoriteitswaarden. Het eerste deel van de reeks (-Y1-Y2-Y-Y-1) is de domein-id. Dit element van de SID wordt aanzienlijk in een onderneming met verschillende domeinen. De domein-id onderscheidt SID's die een domein uitgeeft van SID's die alle andere domeinen in de onderneming uitgeven. Er zijn geen twee domeinen in een onderneming die dezelfde domein-id delen.
Het laatste item in de reeks subauthoriteitswaarden (-Yn) is de RID. Het onderscheidt één account of groep van alle andere accounts en groepen in het domein. Geen twee accounts of groepen in een domein delen dezelfde RID.
De SID voor de ingebouwde groep Administrators wordt bijvoorbeeld weergegeven in gestandaardiseerde SID-notatie als de volgende tekenreeks:
S-1-5-32-544
Deze SID heeft vier onderdelen:
- Een revisieniveau (1)
- Een identificatie-autoriteitswaarde (5, NT Authority)
- Een domein-id (32, Ingebouwd)
- Een RID (544, beheerders)
SID's voor ingebouwde accounts en groepen hebben altijd dezelfde domein-id-waarde, 32. Deze waarde identificeert het domein, Ingebouwd, dat bestaat op elke computer waarop een versie van het Windows Server-besturingssysteem wordt uitgevoerd. Het is nooit nodig om de ingebouwde accounts en groepen van een computer te onderscheiden van de ingebouwde accounts en groepen van een andere computer, omdat ze lokaal binnen het bereik zijn. Ze zijn lokaal op één computer of, met domeincontrollers voor een netwerkdomein, zijn ze lokaal op verschillende computers die fungeren als één computer.
Ingebouwde accounts en groepen moeten van elkaar worden onderscheiden binnen het bereik van het ingebouwde domein. Daarom heeft de SID voor elk account en elke groep een unieke RID. Een RID-waarde van 544 is uniek voor de ingebouwde groep Administrators. Geen ander account of andere groep in het Builtin-domein heeft een SID met een laatste waarde van 544.
Bekijk in een ander voorbeeld de SID voor de globale groep Domeinadministrators. Elk domein in een onderneming heeft een groep Domeinadministrators en de SID voor elke groep is anders. Het volgende voorbeeld vertegenwoordigt de SID voor de groep Domeinadministrators in het domein Contoso, Ltd. (Contoso\Domain Admins):
S-1-5-21-1004336348-1177238915-682003330-512
De SID voor Contoso\Domain Admins heeft de volgende onderdelen:
- Een revisieniveau (1)
- Een id-instantie (5, NT Authority)
- Een domein-id (21-1004336348-1177238915-682003330, Contoso)
- Een RID (512, domeinadministratoren)
De SID voor Contoso\Domain Admins is onderscheiden van de SID's voor andere domeinadministratorgroepen in dezelfde onderneming door de domein-id: 21-1004336348-1177238915-682003330. Geen ander domein in de onderneming gebruikt deze waarde als domein-id. De SID voor Contoso\Domain Admins verschilt door zijn RID, 512, van de SID's voor andere accounts en groepen die in het Contoso-domein zijn aangemaakt. Er is geen ander account of andere groep in het domein met een SID met de uiteindelijke waarde 512.
RID-toewijzing
Wanneer accounts en groepen worden opgeslagen in een accountdatabase die door een lokale Security Accounts Manager (SAM) wordt beheerd, is het vrij eenvoudig voor het systeem om een unieke RID te genereren voor elk account en elke groep die wordt gemaakt op een zelfstandige computer. De SAM op een zelfstandige computer kan de RID-waarden bijhouden die deze heeft gebruikt en ervoor zorgen dat deze nooit meer worden gebruikt.
In een netwerkdomein is het genereren van unieke RID's echter een complexer proces. Windows Server-netwerkdomeinen kunnen verschillende domeincontrollers hebben. Elke domeincontroller slaat Active Directory-accountgegevens op. Als gevolg hiervan zijn er in een netwerkdomein net zoveel exemplaren van de accountdatabase als er domeincontrollers zijn. Bovendien is elke kopie van de accountdatabase een hoofdkopie.
Nieuwe accounts en groepen kunnen worden gemaakt op elke domeincontroller. Wijzigingen die worden aangebracht in Active Directory op één domeincontroller, worden gerepliceerd naar alle andere domeincontrollers in het domein. Het proces van het repliceren van wijzigingen in één hoofdkopie van de accountdatabase naar alle andere hoofdkopieën wordt een multimaster-bewerking genoemd.
Het proces voor het genereren van unieke RID's is een bewerking met één master. Aan één domeincontroller wordt de rol van RID-master toegewezen en wordt een reeks RID's toegewezen aan elke domeincontroller in het domein. Wanneer een nieuw domeinaccount of een nieuwe groep wordt gemaakt in de replica van een domeincontroller van Active Directory, wordt er een SID toegewezen. De RID voor de nieuwe SID wordt opgehaald uit de toewijzing van RID's van de domeincontroller. Wanneer de voorraad van RID's laag raakt, vraagt de domeincontroller een ander blok van de RID-master aan.
Elke domeincontroller gebruikt elke waarde in een blok met RID's slechts één keer. De RID-master wijst elk blok RID-waarden slechts één keer toe. Dit proces zorgt ervoor dat elk account en elke groep die in het domein is gemaakt, een unieke RID heeft.
SIDs en wereldwijd unieke identificatiecodes
Wanneer een nieuw domeingebruikers- of groepsaccount wordt gemaakt, slaat Active Directory de SID van het account op in de ObjectSID eigenschap van een gebruikers- of groepsobject. Ook wordt het nieuwe object een GUID (Globally Unique Identifier) toegewezen. Dit is een 128-bits waarde die niet alleen uniek is in de onderneming, maar ook over de hele wereld. Een GUID wordt toegewezen aan elk object dat Active Directory maakt, niet alleen gebruikers- en groepsobjecten. De GUID van elk object wordt opgeslagen in de ObjectGUID eigenschap.
Active Directory maakt intern gebruik van GUID's om objecten te identificeren. De GUID is bijvoorbeeld een van de eigenschappen van een object die wordt gepubliceerd in de globale catalogus. Het doorzoeken van de globale catalogus naar een gebruikersobject-GUID levert resultaten op als de gebruiker ergens in de onderneming een account heeft. Eigenlijk kan zoeken naar een object via ObjectGUID de meest betrouwbare manier zijn om het object te vinden dat u wilt opsporen. De waarden van andere objecteigenschappen kunnen worden gewijzigd, maar de ObjectGUID eigenschap verandert nooit. Wanneer aan een object een GUID wordt toegewezen, blijft die waarde voor het leven behouden.
Als een gebruiker van het ene naar het andere domein overgaat, krijgt de gebruiker een nieuwe SID. De SID voor een groepsobject wordt niet gewijzigd, omdat groepen in het domein blijven waar ze worden gemaakt. Als mensen echter verhuizen, kunnen hun accounts met hen meegaan. Als een werknemer overstapt van Noord-Amerika naar Europa, maar in hetzelfde bedrijf blijft, kan een beheerder voor de onderneming het gebruikersobject van de werknemer verplaatsen van bijvoorbeeld Contoso\NoAm naar Contoso\Europe. In dit geval heeft het gebruikersobject voor het account een nieuwe SID nodig. Het domein-id-gedeelte van een SID die in NoAm wordt uitgegeven, is uniek voor NoAm, dus de SID voor het account van de gebruiker in Europa heeft een andere domein-id. Het RID-gedeelte van een SID is uniek ten opzichte van het domein, dus als het domein verandert, verandert de RID ook.
Wanneer een gebruikersobject van het ene naar het andere domein wordt verplaatst, moet er een nieuwe SID worden gegenereerd voor het gebruikersaccount en worden opgeslagen in de ObjectSID eigenschap. Voordat de nieuwe waarde naar de eigenschap wordt geschreven, wordt de vorige waarde gekopieerd naar een andere eigenschap van een gebruikersobject. SIDHistory Deze eigenschap kan meerdere waarden bevatten. Telkens wanneer een gebruikersobject naar een ander domein wordt verplaatst, wordt er een nieuwe SID gegenereerd en opgeslagen in de ObjectSID eigenschap en wordt een andere waarde toegevoegd aan de lijst met oude SID's in de SIDHistory waarde. Wanneer een gebruiker zich aanmeldt en is geverifieerd, vraagt de domeinverificatieservice Active Directory op voor alle SID's die aan de gebruiker zijn gekoppeld. De query bevat de huidige SID van de gebruiker, de oude SID's van de gebruiker en de SID's voor de groepen van de gebruiker. Al deze SID's worden geretourneerd naar de verificatieclient en worden opgenomen in het toegangstoken van de gebruiker. Wanneer de gebruiker toegang probeert te krijgen tot een resource, kan een van de SID's in het toegangstoken (inclusief een van de SID's in de SIDHistory eigenschap) de gebruikerstoegang toestaan of weigeren.
U kunt gebruikers toegang tot een resource toestaan of weigeren op basis van hun taken. U moet echter wel toegang tot een groep toestaan of weigeren, niet voor een persoon. Op die manier kunt u, wanneer gebruikers taken wijzigen of naar andere afdelingen overstappen, eenvoudig hun toegang aanpassen door ze uit bepaalde groepen te verwijderen en aan anderen toe te voegen.
Als u echter individuele gebruikerstoegang tot resources toestaat of weigert, wilt u waarschijnlijk dat de toegang van die gebruiker hetzelfde blijft, ongeacht hoe vaak het accountdomein van de gebruiker verandert. De SIDHistory eigenschap maakt het mogelijk dat de toegang hetzelfde blijft. Wanneer een gebruiker domeinen wijzigt, hoeft u de toegangsbeheerlijst (ACL) niet te wijzigen voor een resource. Een ACL heeft mogelijk de oude SID van de gebruiker, maar niet de nieuwe. Maar de oude SID bevindt zich nog steeds in het toegangstoken van de gebruiker. Deze wordt vermeld onder de SID's voor de groepen van de gebruiker en de gebruiker wordt toegang verleend of geweigerd op basis van de oude SID.
Beroemde SIDs
De waarden van bepaalde SID's zijn constant in alle systemen. Ze worden gemaakt wanneer het besturingssysteem of domein is geïnstalleerd. Ze worden bekende SID's genoemd omdat ze algemene gebruikers of algemene groepen identificeren.
Er zijn universele bekende SID's die zinvol zijn voor alle veilige systemen die gebruikmaken van dit beveiligingsmodel, inclusief besturingssystemen anders dan Windows. Daarnaast zijn er bekende SID's die alleen zinvol zijn op Windows-besturingssystemen.
De volgende tabel bevat de universele bekende SID's:
| De algemeen bekende SID | Name | Identifies |
|---|---|---|
| S-1-0-0 | Null-SID | Een groep zonder leden. Deze waarde wordt vaak gebruikt wanneer een SID-waarde niet bekend is. |
| S-1-1-0 | World | Een groep met alle gebruikers. |
| S-1-2-0 | Local | Gebruikers die zich aanmelden bij terminals die lokaal (fysiek) zijn verbonden met het systeem. |
| S-1-2-1 | Consoleaanmelding | Een groep met gebruikers die zijn aangemeld bij de fysieke console. |
| S-1-3-0 | Eigenaar-id van maker | Een SID die moet worden vervangen door de SID van de gebruiker die een nieuw object maakt. Deze SID wordt gebruikt in overgenomen toegangsbeheervermeldingen (ACL's). |
| S-1-3-1 | Aanmaken Groep ID | Een SID die moet worden vervangen door de primaire groep-SID van de gebruiker die een nieuw object maakt. Gebruik deze SID in erfelijke ACE's. |
| S-1-3-2 | Eigenaarserver | Een plaatsaanduiding in een overerfbare ACE. Wanneer de ACE wordt overgenomen, vervangt het systeem deze SID door de SID voor de server van de eigenaar van het object en slaat het informatie op over wie een bepaald object of bestand heeft gemaakt. |
| S-1-3-3 | Groepsserver | Een plaatsaanduiding in een overerfbare ACE. Wanneer de ACE wordt overgenomen, vervangt het systeem deze SID door de SID voor de groepsserver van het object. Het systeem slaat ook informatie op over de groepen die met het object mogen werken. |
| S-1-3-4 | Eigendomsrechten | Een groep die de huidige eigenaar van het object vertegenwoordigt. Wanneer een ACE met deze SID wordt toegepast op een object, negeert het systeem de impliciete READ_CONTROL en WRITE_DAC standaardtoegangsrechten voor de objecteigenaar. |
| S-1-4 | Niet-unieke instantie | Een SID die een id-instantie vertegenwoordigt. |
| S-1-5 | NT-autoriteit | Een SID die een id-instantie vertegenwoordigt. |
| S-1-5-80-0 | Alle services | Een groep met alle serviceprocessen die op het systeem zijn geconfigureerd. Het besturingssysteem bepaalt het lidmaatschap van deze groep. |
De volgende tabel bevat de vooraf gedefinieerde id-instantieconstanten. De eerste vier waarden worden gebruikt met universele bekende SID's en de rest van de waarden worden gebruikt met bekende SID's in de Windows-besturingssystemen in de lijst 'Van toepassing op' aan het begin van het artikel.
| Identificatie-autoriteit | Value | SID-tekenreeksvoorvoegsel |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 | S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 | S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 | S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 | S-1-3 |
| SECURITY_NT_AUTHORITY | 5 | S-1-5 |
| SECURITY_AUTHENTICATION_AUTHORITY | 18 | S-1-18 |
De volgende RID-waarden worden gebruikt met universele bekende SID's. De kolom Id-instantie toont het voorvoegsel van de id-instantie waarmee u de RID kunt combineren om een universele bekende SID te maken.
| RID-instantie | Value | Identificatie-autoriteit |
|---|---|---|
| SECURITY_NULL_RID | 0 | S-1-0 |
| SECURITY_WORLD_RID | 0 | S-1-1 |
| SECURITY_LOCAL_RID | 0 | S-1-2 |
| SECURITY_CREATOR_OWNER_RID | 0 | S-1-3 |
| SECURITY_CREATOR_GROUP_RID | 1 | S-1-3 |
De SECURITY_NT_AUTHORITY (S-1-5) vooraf gedefinieerde id-instantie produceert SID's die niet universeel zijn. Deze SID's zijn alleen zinvol in installaties van de Windows-besturingssystemen in de lijst 'Van toepassing op' aan het begin van dit artikel.
De volgende tabel bevat de bekende SID's:
| SID | Weergavenaam | Description |
|---|---|---|
| S-1-5-1 | Dialup | Een groep die alle gebruikers omvat die via een inbelverbinding bij het systeem zijn aangemeld. |
| S-1-5-113 | Lokaal account | Een SID die u kunt gebruiken wanneer u de aanmelding van het netwerk beperkt tot lokale accounts in plaats van administrator- of equivalente accounts. Deze SID kan effectief zijn bij het blokkeren van netwerk aanmelden voor lokale gebruikers en groepen op accounttype, ongeacht hun naam. |
| S-1-5-114 | Lokaal account en lid van de groep Administrators | Een SID die u kunt gebruiken wanneer u de aanmelding van het netwerk beperkt tot lokale accounts in plaats van administrator- of equivalente accounts. Deze SID kan effectief zijn bij het blokkeren van netwerk aanmelden voor lokale gebruikers en groepen op accounttype, ongeacht hun naam. |
| S-1-5-2 | Network | Een groep met alle gebruikers die zijn aangemeld via een netwerkverbinding. Toegangstokens voor interactieve gebruikers bevatten geen netwerk-SID. |
| S-1-5-3 | Batch | Een groep met alle gebruikers die zijn aangemeld via de batchwachtrijfaciliteit, zoals taken van de taakplanner. |
| S-1-5-4 | Interactive | Een groep met alle gebruikers die zich interactief aanmelden. Een gebruiker kan een interactieve aanmeldingssessie starten door een verbinding met Externe Desktopservice te openen vanaf een externe computer of door een externe shell, zoals Telnet, te gebruiken. In elk geval bevat het toegangstoken van de gebruiker de interactieve SID. Als de gebruiker zich aanmeldt met behulp van een verbinding met Remote Desktop Services, bevat het toegangstoken van de gebruiker ook de Remote Interactieve Aanmeld-SID. |
| S-1-5-5- X-Y | Aanmeldingssessie | Een bepaalde aanmeldingssessie. De X - en Y-waarden voor SID's in deze indeling zijn uniek voor elke aanmeldingssessie. |
| S-1-5-6 | Service | Een groep met alle beveiligingsprinciplen die zijn aangemeld als een service. |
| S-1-5-7 | Anonieme aanmelding | Een gebruiker die verbinding maakt met de computer zonder een gebruikersnaam en wachtwoord op te geven. De anonieme aanmeldingsidentiteit verschilt van de identiteit die wordt gebruikt door Internet Information Services (IIS) voor anonieme webtoegang. IIS maakt gebruik van een werkelijk account, standaard IUSR_computernaam, voor anonieme toegang tot resources op een website. Strikt genomen is dergelijke toegang niet anoniem, omdat de beveiligingsprincipaal bekend is, zelfs als niet-geïdentificeerde personen het account gebruiken. IUSR_computernaam (of een andere naam van het account) heeft een wachtwoord en IIS meldt zich aan bij het account wanneer de service wordt gestart. Als gevolg hiervan is de anonieme IIS-gebruiker lid van de Geverifieerde gebruikers, maar Anonymous Logon niet. |
| S-1-5-8 | Proxy | Een SID die momenteel niet wordt gebruikt. |
| S-1-5-9 | Bedrijfsdomeincontrollers | Een groep die alle domeincontrollers omvat in een forest met domeinen. |
| S-1-5-10 | Self | Een tijdelijke aanduiding in een ACE voor een gebruiker, groep of computerobject in Active Directory. Wanneer u machtigingen verleent aan self, verleent u deze aan de beveiligingsprincipaal die het object vertegenwoordigt. Tijdens een toegangscontrole vervangt het besturingssysteem de SID voor zichzelf door de SID voor de beveiligingsprincipaal die het object vertegenwoordigt. |
| S-1-5-11 | Geverifieerde gebruikers | Een groep met alle gebruikers en computers met identiteiten die zijn geverifieerd. Geverifieerde gebruikers bevatten het gastaccount niet, zelfs niet als dat account een wachtwoord heeft. Deze groep omvat geverifieerde beveiligingsprinciplen van een vertrouwd domein, niet alleen het huidige domein. |
| S-1-5-12 | Beperkte code | Een identiteit die wordt gebruikt door een proces dat wordt uitgevoerd in een beperkte beveiligingscontext. In Windows- en Windows Server-besturingssystemen kan een softwarebeperkingsbeleid een van de drie beveiligingsniveaus toewijzen aan code: UnrestrictedRestrictedDisallowed Wanneer code wordt uitgevoerd op het beperkte beveiligingsniveau, wordt de beperkte SID toegevoegd aan het toegangstoken van de gebruiker. |
| S-1-5-13 | Terminal Server-gebruiker | Een groep met alle gebruikers die zich aanmelden bij een server waarop Externe Desktopdiensten zijn ingeschakeld. |
| S-1-5-14 | Externe interactieve aanmelding | Een groep met alle gebruikers die zich aanmelden bij de computer met behulp van een verbinding met een extern bureaublad. Deze groep is een subset van de interactieve groep. Toegangstokens die de EXTERNE interactieve aanmeldings-SID bevatten, bevatten ook de interactieve SID. |
| S-1-5-15 | Deze organisatie | Een groep met alle gebruikers van dezelfde organisatie. Deze groep is alleen opgenomen in Active Directory-accounts en wordt alleen toegevoegd door een domeincontroller. |
| S-1-5-17 | IUSR | Een account dat wordt gebruikt door de standaard IIS-gebruiker. |
| S-1-5-18 | Systeem (of LocalSystem) | Een identiteit die lokaal wordt gebruikt door het besturingssysteem en door services die zijn geconfigureerd om u aan te melden als LocalSystem. Het systeem is een verborgen lid van de beheerdersgroep. Dat wil gezegd: elk proces dat als systeem wordt uitgevoerd, heeft de SID voor de ingebouwde groep Administrators in het toegangstoken. Wanneer een proces dat lokaal wordt uitgevoerd als systeem toegang heeft tot netwerkbronnen, doet dit met behulp van de domeinidentiteit van de computer. Het toegangstoken op de externe computer bevat de SID voor het domeinaccount van de lokale computer plus SID's voor beveiligingsgroepen waarvan de computer lid is, zoals domeincomputers en geverifieerde gebruikers. |
| S-1-5-19 | NT-autoriteit (LocalService) | Een identiteit die wordt gebruikt door services die lokaal zijn op de computer, geen uitgebreide lokale toegang nodig hebben en geen geverifieerde netwerktoegang nodig hebben. Services die als LocalService worden uitgevoerd, hebben toegang tot lokale resources als gewone gebruikers en hebben toegang tot netwerkbronnen als anonieme gebruikers. Als gevolg hiervan heeft een service die wordt uitgevoerd als LocalService aanzienlijk minder autoriteit dan een service die lokaal en op het netwerk als LocalSystem wordt uitgevoerd. |
| S-1-5-20 | NetworkService | Een identiteit die wordt gebruikt door services die geen uitgebreide lokale toegang nodig hebben, maar wel geverifieerde netwerktoegang nodig hebben. Services die als NetworkService worden uitgevoerd, hebben toegang tot lokale resources als gewone gebruikers en hebben toegang tot netwerkbronnen met behulp van de identiteit van de computer. Als gevolg hiervan heeft een service die wordt uitgevoerd als NetworkService dezelfde netwerktoegang als een service die wordt uitgevoerd als LocalSystem, maar de lokale toegang aanzienlijk wordt verminderd. |
| S-1-5-domain-500 | Administrator | Een gebruikersaccount voor de systeembeheerder. Elke computer heeft een lokaal Administrator-account en elk domein heeft een domein Administrator-account. Het beheerdersaccount is het eerste account dat is gemaakt tijdens de installatie van het besturingssysteem. Het account kan niet worden verwijderd, uitgeschakeld of vergrendeld, maar de naam kan wel worden gewijzigd. Het beheerdersaccount is standaard lid van de groep Administrators en kan niet worden verwijderd uit die groep. |
| S-1-5-domain-501 | Guest | Een gebruikersaccount voor personen die geen afzonderlijke accounts hebben. Elke computer heeft een lokaal gastaccount en elk domein heeft een domein gastaccount. Gast is standaard lid van de groepen Iedereen en Gasten. Het domeingastaccount is ook lid van de groepen Domeingasten en Domeingebruikers. In tegenstelling tot anonieme aanmelding is Gast een echt account en kan dit worden gebruikt om zich interactief aan te melden. Voor het gastaccount is geen wachtwoord vereist, maar kan er een hebben. |
| S-1-5-domain-502 | KRBTGT | Een gebruikersaccount dat wordt gebruikt door de KDC-service (Key Distribution Center). Het account bestaat alleen op domeincontrollers. |
| S-1-5-domain-512 | Domeinbeheerders | Een globale groep met leden die zijn gemachtigd om het domein te beheren. De groep Domeinadministrators is standaard lid van de groep Administrators op alle computers die lid zijn van het domein, inclusief domeincontrollers. Domain Admins is de standaardeigenaar van elk object dat door een lid van de groep wordt gemaakt in de Active Directory van het domein. Als leden van de groep andere objecten maken, zoals bestanden, is de standaardeigenaar de groep Administrators. |
| S-1-5-domain-513 | Domeingebruikers | Een globale groep met alle gebruikers in een domein. Wanneer u een nieuw gebruikersobject maakt in Active Directory, wordt de gebruiker automatisch toegevoegd aan deze groep. |
| S-1-5-domain-514 | Gastgebruikers | Een globale groep die standaard slechts één lid heeft: het ingebouwde gastaccount van het domein. |
| S-1-5-domain-515 | Domeincomputers | Een globale groep met alle computers die lid zijn van het domein, met uitzondering van domeincontrollers. |
| S-1-5-domain-516 | Domeincontrollers | Een globale groep met alle domeincontrollers in het domein. Nieuwe domeincontrollers worden automatisch aan deze groep toegevoegd. |
| S-1-5-domain-517 | Certificaatuitgevers | Een globale groep met alle computers waarop een certificeringsinstantie voor ondernemingen wordt gehost. Certificaatuitgevers zijn gemachtigd om certificaten voor gebruikersobjecten in Active Directory te publiceren. |
| S-1-5-hoofddomein-518 | Schemabeheerders | Een groep die alleen bestaat in het hoofddomein van het forest. Het is een universele groep als het domein zich in de systeemeigen modus bevindt en het een globale groep is als het domein zich in gemengde modus bevindt. De groep Schemaadministrators is gemachtigd om schemawijzigingen aan te brengen in Active Directory. Standaard is het enige lid van de groep het beheerdersaccount voor het foresthoofddomein. |
| S-1-5-hoofddomein-519 | Enterprise-beheerders | Een groep die alleen bestaat in het hoofddomein van het forest. Het is een universele groep als het domein zich in de systeemeigen modus bevindt en het een globale groep is als het domein zich in gemengde modus bevindt. De groep Ondernemingsadministrators is gemachtigd om wijzigingen aan te brengen in de forestinfrastructuur. Voorbeelden hiervan zijn het toevoegen van onderliggende domeinen, het configureren van sites, het autoriseren van DHCP-servers (Dynamic Host Configuration Protocol) en het installeren van certificeringsinstanties voor ondernemingen. Standaard is het enige lid van Enterprise Admins het Administrator-account voor het rootdomein van het forest. De groep is een standaardlid van elke groep Domeinadministrators in het forest. |
| S-1-5-domain-520 | Groepsbeleidaanmaak Eigenaren | Een globale groep die is geautoriseerd voor het maken van nieuwe groepsbeleidsobjecten in Active Directory. Standaard is het enige lid van de groep Administrator. Wanneer een lid van Group Policy Creator Owners een object maakt, is dat lid de eigenaar van het object. Op deze manier verschilt de groep Eigenaren van groepsbeleidsmakers van andere beheergroepen (zoals Beheerders en Domeinbeheerders). Wanneer een lid van deze groepen een object maakt, is de groep eigenaar van het object, niet de persoon. |
| S-1-5-domain-521 | Domeincontrollers met alleen-lezen toegang | Een wereldwijde groep die alle alleen-lezende domeincontrollers omvat. |
| S-1-5-domain-522 | Kloonbare controllers | Een globale groep die alle domeincontrollers in het domein bevat die kunnen worden gekloond. |
| S-1-5-domain-525 | Beveiligde gebruikers | Een globale groep die extra beveiliging biedt tegen beveiligingsrisico's voor verificatie. |
| S-1-5-hoofddomein-526 | Belangrijke beheerders | Een groep die is bedoeld voor gebruik in scenario's waarin vertrouwde externe autoriteiten verantwoordelijk zijn voor het wijzigen van dit kenmerk. Alleen vertrouwde beheerders moeten lid zijn van deze groep. |
| S-1-5-domain-527 | Ondernemingssleutelbeheerders | Een groep die is bedoeld voor gebruik in scenario's waarin vertrouwde externe autoriteiten verantwoordelijk zijn voor het wijzigen van dit kenmerk. Alleen vertrouwde ondernemingsbeheerders moeten lid worden van deze groep. |
| S-1-5-32-544 | Administrators | Een ingebouwde groep. Na de eerste installatie van het besturingssysteem is het enige lid van de groep het beheerdersaccount. Wanneer een computer lid wordt van een domein, wordt de groep Domeinadministrators toegevoegd aan de groep Administrators. Wanneer een server een domeincontroller wordt, wordt de groep Ondernemingsadministrators ook toegevoegd aan de groep Administrators. |
| S-1-5-32-545 | Users | Een ingebouwde groep. Na de eerste installatie van het besturingssysteem is het enige lid de groep Geverifieerde gebruikers. |
| S-1-5-32-546 | Guests | Een ingebouwde groep. Standaard is het enige lid het gastaccount. Met de groep Gasten kunnen incidentele of eenmalige gebruikers zich aanmelden met beperkte bevoegdheden voor het ingebouwde gastaccount van een computer. |
| S-1-5-32-547 | Geavanceerde Gebruikers | Een ingebouwde groep. De groep heeft standaard geen leden. Geavanceerde gebruikers kunnen: |
| S-1-5-32-548 | Accountbeheerders | Een ingebouwde groep die alleen op domeincontrollers bestaat. De groep heeft standaard geen leden. Accountoperators zijn standaard gemachtigd om accounts te maken, te wijzigen en te verwijderen voor gebruikers, groepen en computers in alle containers en organisatie-eenheden (OE's) van Active Directory, met uitzondering van de ingebouwde container en de organisatie-eenheid domeincontrollers. Accountoperators zijn niet gemachtigd om de groepen Administrators en Domeinadministratoren te wijzigen. Ze zijn ook niet gemachtigd om de accounts voor leden van deze groepen te wijzigen. |
| S-1-5-32-549 | Serverbeheerders | Een ingebouwde groep die alleen op domeincontrollers bestaat. De groep heeft standaard geen leden. Serveroperators kunnen: |
| S-1-5-32-550 | Afdrukoperators | Een ingebouwde groep die alleen op domeincontrollers bestaat. Standaard is het enige lid de groep Domeingebruikers. Afdrukoperators kunnen printers en documentwachtrijen beheren. |
| S-1-5-32-551 | Backupoperators | Een ingebouwde groep. De groep heeft standaard geen leden. Back-upoperators kunnen back-ups maken en alle bestanden op een computer herstellen, ongeacht de machtigingen die deze bestanden beveiligen. Back-upoperators kunnen zich ook aanmelden bij de computer en deze afsluiten. |
| S-1-5-32-552 | Replicators | Een ingebouwde groep die bestandsreplicatie in een domein ondersteunt. De groep heeft standaard geen leden. Voeg geen gebruikers toe aan deze groep. |
| S-1-5-domain-553 | RAS- en IAS-servers | Een lokale domeingroep. Deze groep heeft standaard geen leden. Computers waarop de routerings- en RAS-service worden uitgevoerd, worden automatisch toegevoegd aan de groep. Leden van deze groep hebben toegang tot bepaalde eigenschappen van gebruikersobjecten, zoals Accountbeperkingen lezen, Aanmeldingsgegevens lezen en Informatie over externe toegang lezen. |
| S-1-5-32-554 | Ingebouwde \ Pre-Windows 2000 compatibele toegang | Een achterwaartse compatibiliteitsgroep die leestoegang toestaat voor alle gebruikers en groepen in het domein. |
| S-1-5-32-555 | Builtin\Extern bureaublad-gebruikers | Een alias. Leden van deze groep krijgen het recht om zich op afstand aan te melden. |
| S-1-5-32-556 | Builtin\Netwerkconfiguratie-operators | Een alias. Leden van deze groep kunnen enkele beheerdersbevoegdheden hebben om de configuratie van netwerkfuncties te beheren. |
| S-1-5-32-557 | Ingebouwde \ inkomende Forest Trust Builders | Een alias. Leden van deze groep kunnen binnenkomende, eenrichtingsvertrouwensrelaties met het forest maken. |
| S-1-5-32-558 | Ingebouwd\Prestatiemonitorgebruikers | Een alias. Leden van deze groep hebben externe toegang om de computer te bewaken. |
| S-1-5-32-559 | Builtin\Prestatieloggebruikers | Een alias. Leden van deze groep hebben toegang op afstand om het loggen van prestatiemeters op de computer te plannen. |
| S-1-5-32-560 | Builtin\Windows-autorisatietoegangsgroep | Een alias. Leden van deze groep hebben toegang tot het berekende tokenGroupsGlobalAndUniversal kenmerk op gebruikersobjecten. |
| S-1-5-32-561 | Builtin\Terminalserver Licentieservers | Een alias. Een groep voor Terminal Server-licentieservers. |
| S-1-5-32-562 | Builtin\Distributed COM-gebruikers | Een alias. Een groep voor COM-gebruikers (Component Object Model) om computerbrede toegangsbeheer te bieden waarmee de toegang tot alle aanroepen, activerings- of startaanvragen op de computer wordt geregeld. |
| S-1-5-32-568 | Builtin\IIS_IUSRS | Een alias. Een ingebouwd groepsaccount voor IIS-gebruikers. |
| S-1-5-32-569 | Builtin\Cryptographic Operators | Een ingebouwde lokale groep. Leden zijn gemachtigd om cryptografische bewerkingen uit te voeren. |
| S-1-5-domain-571 | Toegestane RODC-wachtwoordreplicatiegroep | Een groep waarvan de leden hun wachtwoorden kunnen laten repliceren naar alle alleen-lezen domeincontrollers binnen het domein. |
| S-1-5-domain-572 | Geweigerde RODC-wachtwoordreplicatiegroep | Een groep waarvan de leden hun wachtwoorden niet kunnen laten repliceren naar alle read-only domeincontrollers in het domein. |
| S-1-5-32-573 | Ingebouwde Event Log Readers | Een ingebouwde lokale groep. Leden van deze groep kunnen gebeurtenislogboeken lezen van een lokale computer. |
| S-1-5-32-574 | Builtin\Certificaatservice DCOM Toegang | Een ingebouwde lokale groep. Leden van deze groep mogen verbinding maken met certificeringsinstanties in de onderneming. |
| S-1-5-32-575 | Ingebouwde servers voor externe toegang | Een ingebouwde lokale groep. Servers in deze groep geven gebruikers van RemoteApp-programma's en persoonlijke virtuele bureaubladen toegang tot deze resources. In internetgerichte implementaties worden deze servers doorgaans geïmplementeerd in een edge-netwerk. Deze groep moet worden ingevuld op servers waarop Remote Desktop Connection Broker (RD Connection Broker) wordt uitgevoerd. Externe desktop-servergateways (RD Gateway) en externe desktop-webtoegangsservers (RD Web Access) die in de implementatie worden gebruikt, moeten zich in deze groep bevinden. |
| S-1-5-32-576 | Builtin\RDS Eindpuntservers | Een ingebouwde lokale groep. Servers in deze groep voeren virtuele machines uit en hostsessies waar de RemoteApp-programma's van gebruikers en persoonlijke virtuele bureaubladen worden uitgevoerd. Deze groep moet worden ingevuld op servers waarop RD Connection Broker wordt uitgevoerd. Externe bureaublad-sessiehostservers (RD Session Host) en externe bureaublad-virtualisatiehostservers (RD Virtualization Host) die tijdens de implementatie worden gebruikt, moeten zich in deze groep bevinden. |
| S-1-5-32-577 | Builtin\RDS-beheerservers | Een ingebouwde lokale groep. Servers in deze groep kunnen routinebeheeracties uitvoeren op servers waarop Extern bureaublad-services worden uitgevoerd. Deze groep moet worden toegevoegd aan alle servers in een implementatie van extern bureaubladservices. De servers waarop de centrale beheerfunctie van de Extern Bureaublad-services wordt uitgevoerd, moeten in deze groep opgenomen worden. |
| S-1-5-32-578 | Ingebouwde\Hyper-V beheerders | Een ingebouwde lokale groep. Leden van deze groep hebben volledige en onbeperkte toegang tot alle functies van Hyper-V. |
| S-1-5-32-579 | Builtin\Toegangscontrole Assistentie-Operators | Een ingebouwde lokale groep. Leden van deze groep kunnen op afstand query's uitvoeren op autorisatiekenmerken en machtigingen voor resources op de computer. |
| S-1-5-32-580 | Ingebouwd \ Gebruikers voor extern beheer | Een ingebouwde lokale groep. Leden van deze groep hebben toegang tot WMI-resources (Windows Management Instrumentation) via beheerprotocollen zoals Web Services for Management (WS-Management) via de Windows Remote Management-service. Deze toegang is alleen van toepassing op WMI-naamruimten die toegang verlenen aan de gebruiker. |
| S-1-5-64-10 | NTLM-verificatie | Een SID die wordt gebruikt wanneer het verificatiepakket New Technology LAN Manager (NTLM) de client verifieert. |
| S-1-5-64-14 | SChannel-authenticatie | Een SID die wordt gebruikt wanneer het Schannel-verificatiepakket (Secure Channel) de client verifieert. |
| S-1-5-64-21 | Digest-authenticatie | Een SID die wordt gebruikt wanneer het Digest-verificatiepakket de client verifieert. |
| S-1-5-80 | NT-service | Een SID die wordt gebruikt als een NT Service-accountvoorvoegsel (New Technology Service). |
| S-1-5-80-0 | Alle services | Een groep die alle serviceprocessen bevat die op het systeem zijn geconfigureerd. Het besturingssysteem bepaalt het lidmaatschap van deze groep. De SID S-1-5-80-0 vertegenwoordigt NT SERVICES\ALL SERVICES. |
| S-1-5-83-0 | NT VIRTUELE MACHINE\Virtuele machines | Een ingebouwde groep. De groep wordt gemaakt wanneer de Hyper-V-rol is geïnstalleerd. De Hyper-V Management Service (VMMS) behoudt het lidmaatschap van deze groep. Voor deze groep is het recht Symbolische koppelingen maken (SeCreateSymbolicLinkPrivilege) en het recht Aanmelden als een service (SeServiceLogonRight) vereist. |
De volgende RID's zijn relatief ten opzichte van elk domein:
| RID | Decimale waarde | Identifies |
|---|---|---|
| DOMAIN_USER_RID_ADMIN | 500 | Het gebruikersaccount met beheerdersrechten in een domein. |
| DOMAIN_USER_RID_GUEST | 501 | Het gastgebruikersaccount in een domein. Gebruikers die geen account hebben, kunnen zich automatisch aanmelden bij dit account. |
| DOMAIN_GROUP_RID_USERS | 513 | Een groep die alle gebruikersaccounts in een domein bevat. Alle gebruikers worden automatisch toegevoegd aan deze groep. |
| DOMAIN_GROUP_RID_GUESTS | 514 | Het gastaccount van de groep in een domein. |
| DOMAIN_GROUP_RID_COMPUTERS | 515 | De groep Domeincomputer. Alle computers in het domein zijn lid van deze groep. |
| DOMAIN_GROUP_RID_CONTROLLERS | 516 | De domeincontrollergroep. Alle domeincontrollers in het domein zijn lid van deze groep. |
| DOMAIN_GROUP_RID_CERT_ADMINS | 517 | De groep certificaatuitgevers. Computers waarop Active Directory Certificate Services wordt uitgevoerd, zijn lid van deze groep. |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS | 518 | De groep schemabeheerders. Leden van deze groep kunnen het Active Directory-schema wijzigen. |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS | 519 | De groep ondernemingsbeheerders. Leden van deze groep hebben volledige toegang tot alle domeinen in het Active Directory-forest. Ondernemingsbeheerders zijn verantwoordelijk voor bewerkingen op forestniveau, zoals het toevoegen of verwijderen van nieuwe domeinen. |
| DOMAIN_GROUP_RID_POLICY_ADMINS | 520 | De groep beleidsbeheerders. |
De volgende tabel bevat voorbeelden van domein-relatieve RID's die worden gebruikt om bekende SID's te vormen voor lokale groepen:
| RID | Decimale waarde | Identifies |
|---|---|---|
| DOMAIN_ALIAS_RID_ADMINS | 544 | Beheerders van het domein. |
| DOMAIN_ALIAS_RID_USERS | 545 | Alle gebruikers in het domein. |
| DOMAIN_ALIAS_RID_GUESTS | 546 | Gasten van het domein. |
| DOMAIN_ALIAS_RID_POWER_USERS | 547 | Een gebruiker of een set gebruikers die verwachten een systeem te behandelen alsof het hun persoonlijke computer was in plaats van als werkstation voor meerdere gebruikers. |
| DOMAIN_ALIAS_RID_BACKUP_OPS | 551 | Een lokale groep die wordt gebruikt voor het beheren van de toewijzing van gebruikersrechten voor back-up en herstel van bestanden. |
| DOMAIN_ALIAS_RID_REPLICATOR | 552 | Een lokale groep die verantwoordelijk is voor het kopiëren van beveiligingsdatabases van de primaire domeincontroller naar de back-updomeincontrollers. Deze accounts worden alleen door het systeem gebruikt. |
| DOMAIN_ALIAS_RID_RAS_SERVERS | 553 | Een lokale groep die externe toegang en servers vertegenwoordigt waarop Internet Authentication Service (IAS) wordt uitgevoerd. Deze groep staat toegang toe tot verschillende kenmerken van gebruikersobjecten. |
Wijzigingen in SID-functionaliteit
In de volgende tabel worden wijzigingen in de SID-implementatie in de Windows-besturingssystemen beschreven:
| Change | Versie van besturingssysteem | Beschrijving en hulpmiddelen |
|---|---|---|
| De TrustedInstaller SID is eigenaar van de meeste besturingssysteembestanden | Windows Server 2008, Windows Vista | Het doel van deze wijziging is om te voorkomen dat een proces dat wordt uitgevoerd als beheerder of onder het LocalSystem-account, automatisch de besturingssysteembestanden vervangt. |
| Beperkte SID-controles worden geïmplementeerd | Windows Server 2008, Windows Vista | Als er beperkende SID's aanwezig zijn, voert Windows twee toegangscontroles uit. De eerste is de normale toegangscontrole en de tweede is dezelfde toegangscontrole tegen de beperkende SID's in het token. Beide toegangscontroles moeten worden doorgegeven om het proces toegang te geven tot het object. |
Capaciteit-SID's
Mogelijkheid-SID's fungeren als unieke en onveranderbare id's voor mogelijkheden. Een mogelijkheid vertegenwoordigt een onforgeerbaar token van autoriteit dat universele Windows-toepassingen toegang verleent tot resources (bijvoorbeeld documenten, camera's en locaties). Een app met een mogelijkheid krijgt toegang tot de resource waaraan de mogelijkheid is gekoppeld. Een app die geen mogelijkheid heeft , wordt de toegang tot de resource geweigerd.
Alle capability-SID's waarvan het besturingssysteem op de hoogte is, worden opgeslagen in het Windows-register in de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities-locatie. Elke functie-SID die door Microsoft of partnertoepassingen aan Windows wordt toegevoegd, wordt aan deze locatie toegevoegd.
Voorbeelden van registersleutels uit Windows 10, versie 1909, 64-bits Enterprise-editie
Mogelijk ziet u de volgende registersleutels onder AllCachedCapabilities:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
Het prefix van alle capability SID's is S-1-15-3.
Voorbeelden van registersleutels uit Windows 11, versie 21H2, 64-bits Enterprise-editie
Mogelijk ziet u de volgende registersleutels onder AllCachedCapabilities:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
Het prefix van alle capability SID's is S-1-15-3.