Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här artikeln beskrivs hur säkerhetsidentifierare (SID) fungerar med konton och grupper i Windows Server-operativsystemet.
Vad är SID: ar?
Ett SID används för att unikt identifiera ett säkerhetsobjekt eller en säkerhetsgrupp. Säkerhetsobjekt kan representera alla entiteter som operativsystemet kan autentisera. Exempel är ett användarkonto, ett datorkonto eller en tråd eller process som körs i säkerhetskontexten för ett användar- eller datorkonto.
Varje konto eller grupp, eller varje process som körs i säkerhetskontexten för kontot, har ett unikt SID som utfärdas av en utfärdare, till exempel en Windows-domänkontrollant. SID lagras i en säkerhetsdatabas. Systemet genererar det SID som identifierar ett visst konto eller en viss grupp när kontot eller gruppen skapas. När ett SID används som unik identifierare för en användare eller grupp kan det aldrig användas igen för att identifiera en annan användare eller grupp.
Varje gång en användare loggar in skapar systemet en åtkomsttoken för användaren. Åtkomsttoken innehåller användarens SID, användarrättigheter och SID för alla grupper som användaren tillhör. Den här token ger säkerhetskontexten för de åtgärder som användaren utför på datorn.
Förutom de unikt skapade domänspecifika sid:erna som tilldelas specifika användare och grupper finns det välkända SID:er som identifierar generiska grupper och generiska användare. Till exempel identifierar sid:erna Alla och Världen var och en grupp som innehåller alla användare. Välkända SID:er har värden som förblir konstanta i alla operativsystem.
SID:er är en grundläggande byggsten i Windows-säkerhetsmodellen. De arbetar med specifika komponenter i auktoriserings- och åtkomstkontrollteknikerna i säkerhetsinfrastrukturen för Windows Server-operativsystemen. Den här designen hjälper till att skydda åtkomsten till nätverksresurser och ger en säkrare datormiljö.
Note
Det här innehållet gäller endast Windows-versionerna i listan "Gäller för" i början av artikeln.
Så här fungerar SID:erna
Användare refererar till konton efter kontonamnet. Internt refererar operativsystemet till konton och processer som körs i säkerhetskontexten för kontot med hjälp av deras SID:er. För domänkonton skapas SID för ett säkerhetsobjekt genom att sammanlänka domänens SID med en relativ identifierare (RID) för kontot. SID:er är unika inom deras omfång (domän eller lokal), och de återanvänds aldrig.
Operativsystemet genererar ett SID som identifierar ett visst konto eller en viss grupp när kontot eller gruppen skapas. För ett lokalt konto eller en grupp genererar LSA (Local Security Authority) på datorn SID. SID lagras med annan kontoinformation i ett säkert område i registret. För ett domänkonto eller en grupp genererar domänsäkerhetsutfärdare SID. Den här typen av SID lagras som ett attribut för användar- eller gruppobjektet i Active Directory Domain Services.
För varje lokalt konto och grupp är SID unikt för den dator där det skapas. Inga två konton eller grupper på datorn delar någonsin samma SID. På samma sätt är SID unikt i ett företag för varje domänkonto och grupp. Därför matchar SID för ett konto eller en grupp i en domän aldrig SID för ett konto eller en grupp i någon annan domän i företaget.
SID:er förblir alltid unika. Säkerhetsmyndigheterna utfärdar aldrig samma SID två gånger och återanvänder aldrig SID:er för borttagna konton. Om till exempel en användare med ett användarkonto i en Windows-domän lämnar sitt jobb, tar en administratör bort sitt Active Directory-konto, inklusive det SID som identifierar kontot. Om de senare återgår till ett annat jobb på samma företag skapar en administratör ett nytt konto och Windows Server-operativsystemet genererar ett nytt SID. Det nya SID:et matchar inte det gamla, så ingen av användarens åtkomst från det gamla kontot överförs till det nya kontot. Deras båda konton representerar två olika säkerhetsprincipaler.
SID-arkitektur
Ett SID är en datastruktur i binärt format som innehåller ett variabelt antal värden. De första värdena i strukturen innehåller information om SID-strukturen. De återstående värdena ordnas i en hierarki (liknar ett telefonnummer) och de identifierar den SID-utfärdande utfärdaren (till exempel NT-utfärdare), den SID-utfärdande domänen och ett visst säkerhetsobjekt eller en viss grupp. Följande bild illustrerar strukturen för ett SID.
De enskilda värdena för ett SID beskrivs i följande tabell:
| Component | Description |
|---|---|
| Revision | Anger vilken version av SID-strukturen som används i ett visst SID. |
| Myndighet för identifierare | Identifierar den högsta auktoritetsnivån som kan utfärda SID:er för en viss typ av säkerhetsobjekt. Till exempel är identifieringsmyndighetens värde i SID för gruppen Alla 1 (Världsmyndigheten). Värdet för identifieringsmyndigheten i SID för ett specifikt Windows Server-konto eller -grupp är 5 (NT Authority). |
| Subauthorities | Håller den viktigaste informationen i ett SID, som finns i en serie av en eller flera subauktoritetsvärden. Alla värden upp till, men inte inklusive, det sista värdet i serien identifierar tillsammans en domän i ett företag. Den här delen av serien kallas domänidentifierare. Det sista värdet i serien, RID, identifierar ett visst konto eller en viss grupp i förhållande till en domän. |
Komponenterna i ett SID är enklare att visualisera när SID:erna konverteras från en binär fil till ett strängformat med hjälp av standard notation:
S-R-X-Y1-Y2-Yn-1-Yn
I den här notationen beskrivs komponenterna i ett SID i följande tabell:
| Component | Description |
|---|---|
| S | Anger att strängen är ett SID |
| R | Anger revisionsnivån |
| X | Anger auktoritetsvärdet för identifierare |
| Y | Representerar en serie med underauktoritetsvärden, där n är antalet värden |
SID:s viktigaste information finns i serien med underauktoritetsvärden. Den första delen av serien (-Y1-Y2-Yn-1) är domänidentifieraren. Det här elementet i SID blir betydande i ett företag med flera domäner. Mer specifikt skiljer domänidentifieraren åt SID:er som en domän utfärdar från SID:er som alla andra domäner i företaget utfärdar. Inga två domäner i ett företag delar samma domänidentifierare.
Det sista elementet i serien med underauktoritetsvärden (-Yn) är RID. Det skiljer ett konto eller en grupp från alla andra konton och grupper i domänen. Inga två konton eller grupper i någon domän delar samma RID.
SID för den inbyggda gruppen Administratörer representeras till exempel i standardiserad SID-notation som följande sträng:
S-1-5-32-544
Det här SID:et har fyra komponenter:
- En revisionsnivå (1)
- Ett identifieringsmyndighetsvärde (5, NT Authority)
- En domänidentifierare (32, inbyggd)
- En RID (544, administratörer)
SID:er för inbyggda konton och grupper har alltid samma domänidentifierarvärde, 32. Det här värdet identifierar domänen Builtin som finns på alla datorer som kör en version av Windows Server-operativsystemet. Det är aldrig nödvändigt att skilja en dators inbyggda konton och grupper från en annan dators inbyggda konton och grupper, eftersom de är lokala i omfånget. De är lokala för en enda dator eller, med domänkontrollanter för en nätverksdomän, de är lokala för flera datorer som fungerar som en.
Inbyggda konton och grupper måste skiljas från varandra inom omfånget för den inbyggda domänen. Därför har SID för varje konto och grupp ett unikt RID. RID-värdet 544 är unikt för den inbyggda gruppen Administratörer. Inget annat konto eller grupp i den inbyggda domänen har ett SID med ett slutligt värde på 544.
I ett annat exempel bör du överväga SID för den globala gruppen Domänadministratörer. Varje domän i ett företag har en domänadministratörsgrupp och SID för varje grupp är olika. Följande exempel representerar SID för gruppen Domänadministratörer i Contoso, Ltd.-domänen (Contoso\Domänadministratörer):
S-1-5-21-1004336348-1177238915-682003330-512
SID för Contoso\Domain Admins har följande komponenter:
- En revisionsnivå (1)
- En identifierare (5, NT-utfärdare)
- En domänidentifierare (21-1004336348-1177238915-682003330, Contoso)
- En RID (512, Domänadministratörer)
SID för Contoso\Domain Admins skiljer sig från SID:erna för andra domänadministratörsgrupper i samma företag med dess domänidentifierare: 21-1004336348-1177238915-682003330. Ingen annan domän i företaget använder det här värdet som domänidentifierare. SID för Contoso\Domain Admins skiljer sig från SID:erna för andra konton och grupper som skapas i Contoso-domänen av dess RID, 512. Inget annat konto eller grupp i domänen har ett SID med ett slutligt värde på 512.
RID-allokering
När konton och grupper lagras i en kontodatabas som en lokal säkerhetskontohanterare (SAM) hanterar är det ganska enkelt för systemet att generera en unik RID för varje konto och grupp som skapas på en fristående dator. SAM på en fristående dator kan spåra RID-värden som den har använt och se till att den aldrig använder dem igen.
I en nätverksdomän är det dock en mer komplex process att generera unika RID:er. Windows Server-nätverksdomäner kan ha flera domänkontrollanter. Varje domänkontrollant lagrar Active Directory-kontoinformation. I en nätverksdomän finns det därför lika många kopior av kontodatabasen som det finns domänkontrollanter. Dessutom är varje kopia av kontodatabasen en huvudkopia.
Nya konton och grupper kan skapas på valfri domänkontrollant. Ändringar som görs i Active Directory på en domänkontrollant replikeras till alla andra domänkontrollanter i domänen. Processen för att replikera ändringar i en huvudkopia av kontodatabasen till alla andra huvudkopior kallas för en multimaster-åtgärd.
Processen för att generera unika RID:er är en enkel huvudåtgärd. En domänkontrollant tilldelas rollen RID-huvud och allokerar en sekvens med RID:er till varje domänkontrollant i domänen. När ett nytt domänkonto eller en ny grupp skapas i en domänkontrollants replik av Active Directory tilldelas det ett SID. RID för det nya SID hämtas från domänkontrollantens allokering av RID:er. När tillgången på RID börjar ta slut begär domänkontrollanten ytterligare ett block från RID-huvudservern.
Varje domänkontrollant använder varje värde i ett block med RID:er bara en gång. RID-masteren tilldelar varje block av RID-värden endast en gång. Den här processen säkerställer att alla konton och grupper som skapas i domänen har en unik RID.
SID och globalt unika identifierare
När ett nytt domänanvändar- eller gruppkonto skapas lagrar Active Directory kontots SID i ObjectSID egenskapen för ett användar- eller gruppobjekt. Det tilldelar också det nya objektet en globalt unik identifierare (GUID), vilket är ett 128-bitarsvärde som är unikt inte bara i företaget, utan även över hela världen. Ett GUID tilldelas till varje objekt som Active Directory skapar, inte bara användar- och gruppobjekt. Varje objekts GUID lagras i dess ObjectGUID egenskap.
Active Directory använder GUID internt för att identifiera objekt. GUID är till exempel en av ett objekts egenskaper som publiceras i den globala katalogen. Genom att söka i den globala katalogen efter ett användarobjekt ger GUID resultat om användaren har ett konto någonstans i företaget. I själva verket kan sökning efter objekt efter ObjectGUID vara det mest tillförlitliga sättet att hitta det objekt som du vill hitta. Värdena för andra objektegenskaper kan ändras, men egenskapen ObjectGUID ändras aldrig. När ett objekt tilldelas ett GUID behåller det värdet för livet.
Om en användare flyttas från en domän till en annan får användaren ett nytt SID. SID för ett gruppobjekt ändras inte eftersom grupper finns kvar i domänen där de skapas. Men om människor flyttar kan deras konton flyttas med dem. Om en anställd flyttar från Nordamerika till Europa men stannar i samma företag kan en administratör för företaget flytta medarbetarens användarobjekt från till exempel Contoso\NoAm till Contoso\Europe. I det här fallet behöver användarobjektet för kontot ett nytt SID. Domänidentifierardelen av ett SID som utfärdas i NoAm är unik för NoAm, så SID för användarens konto i Europa har en annan domänidentifierare. RID-delen av ett SID är unik i förhållande till domänen, så om domänen ändras ändras även RID.
När ett användarobjekt flyttas från en domän till en annan måste ett nytt SID genereras för användarkontot och lagras i ObjectSID egenskapen. Innan det nya värdet skrivs till egenskapen kopieras det tidigare värdet till en annan egenskap för ett användarobjekt, SIDHistory. Den här egenskapen kan innehålla flera värden. Varje gång ett användarobjekt flyttas till en annan domän genereras och lagras ett nytt SID i ObjectSID egenskapen och ett annat värde läggs till i listan över gamla SID:er i SIDHistory värdet. När en användare loggar in och har autentiserats frågar domänautentiseringstjänsten Active Directory efter alla SID:er som är associerade med användaren. Frågan innehåller användarens aktuella SID, användarens gamla SID och SID:erna för användarens grupper. Alla dessa SID:er returneras till autentiseringsklienten och de ingår i användarens åtkomsttoken. När användaren försöker få åtkomst till en resurs kan någon av sid:erna i åtkomsttoken (inklusive en av SID:erna i SIDHistory egenskapen) tillåta eller neka användaren åtkomst.
Du kan tillåta eller neka användare åtkomst till en resurs baserat på deras jobb. Men du bör tillåta eller neka åtkomst till en grupp, inte till en individ. På så sätt kan du enkelt justera deras åtkomst genom att ta bort dem från vissa grupper och lägga till dem i andra när användare byter jobb eller flyttar till andra avdelningar.
Men om du tillåter eller nekar en enskild användare åtkomst till resurser vill du förmodligen att användarens åtkomst ska förbli densamma oavsett hur många gånger användarens kontodomän ändras. Egenskapen SIDHistory gör det möjligt för åtkomsten att förbli densamma. När en användare ändrar domäner behöver du inte ändra åtkomstkontrollistan (ACL) för någon resurs. En ACL kan ha användarens gamla SID men inte den nya. Men det gamla SID:et finns fortfarande i användarens åtkomsttoken. Den listas bland SID:erna för användarens grupper och användaren beviljas eller nekas åtkomst baserat på det gamla SID:et.
Välkända SIDs
Värdena för vissa SID:er är konstanta i alla system. De skapas när operativsystemet eller domänen installeras. De kallas välkända SID:er eftersom de identifierar generiska användare eller generiska grupper.
Det finns universella välkända SID:er som är meningsfulla för alla säkra system som använder den här säkerhetsmodellen, inklusive andra operativsystem än Windows. Dessutom finns det välkända SID:er som bara är meningsfulla i Windows-operativsystem.
I följande tabell visas de universella välkända SID:erna:
| Universellt välkänt SID | Name | Identifies |
|---|---|---|
| S-1-0-0 | Null-SID | En grupp utan medlemmar. Det här värdet används ofta när ett SID-värde inte är känt. |
| S-1-1-0 | World | En grupp som innehåller alla användare. |
| S-1-2-0 | Local | Användare som loggar in på terminaler som är lokalt (fysiskt) anslutna till systemet. |
| S-1-2-1 | Konsolinloggning | En grupp som innehåller användare som är inloggade på den fysiska konsolen. |
| S-1-3-0 | Skaparens ägar-ID | Ett SID som ska ersättas av SID för användaren som skapar ett nytt objekt. Detta SID används i ärvbara åtkomstkontrollposter (ACL). |
| S-1-3-1 | Grupp-ID för skapare | Ett SID som ska ersättas av primärgruppens SID för användaren som skapar ett nytt objekt. Använd denna SID i ärvbara ACE:er. |
| S-1-3-2 | Ägarserver | En platshållare i ett ärvbart ACE. När ACE ärvs ersätter systemet detta SID med SID för objektets ägarserver och lagrar information om vem som skapade ett visst objekt eller fil. |
| S-1-3-3 | Gruppserver | En platshållare i ett ärvbart ACE. När ACE ärvs ersätter systemet detta SID med SID för objektets gruppserver. Systemet lagrar också information om de grupper som tillåts arbeta med objektet. |
| S-1-3-4 | Ägarrättigheter | En grupp som representerar objektets aktuella ägare. När ett ACE som bär detta SID tillämpas på ett objekt ignorerar systemet implicita READ_CONTROL och WRITE_DAC standardåtkomsträttigheter för objektägaren. |
| S-1-4 | Icke-unik auktoritet | Ett SID som representerar en identifieringsmyndighet. |
| S-1-5 | NT-myndighet | Ett SID som representerar en identifieringsmyndighet. |
| S-1-5-80-0 | Alla tjänster | En grupp som innehåller alla tjänstprocesser som konfigurerats i systemet. Operativsystemet styr medlemskapet i den här gruppen. |
I följande tabell listas de fördefinierade konstanterna för identifierarauktoriteter. De första fyra värdena används med universella välkända SID:er, och resten av värdena används med välkända SID:er i Windows-operativsystemen i listan "Gäller för" i början av artikeln.
| Myndighet för identifierare | Value | SID-strängprefix |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 | S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 | S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 | S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 | S-1-3 |
| SECURITY_NT_AUTHORITY | 5 | S-1-5 |
| SECURITY_AUTHENTICATION_AUTHORITY | 18 | S-1-18 |
Följande RID-värden används med universella välkända SID:er. Kolumnen Identifierareutfärdare visar prefixet för den identifierare som du kan kombinera RID med för att skapa ett universellt välkänt SID.
| RID-utfärdare | Value | Myndighet för identifierare |
|---|---|---|
| SECURITY_NULL_RID | 0 | S-1-0 |
| SECURITY_WORLD_RID | 0 | S-1-1 |
| SECURITY_LOCAL_RID | 0 | S-1-2 |
| SECURITY_CREATOR_OWNER_RID | 0 | S-1-3 |
| SECURITY_CREATOR_GROUP_RID | 1 | S-1-3 |
Den fördefinierade ID-utfärdaren för SECURITY_NT_AUTHORITY (S-1-5) genererar SID:er som inte är universella. Dessa SID:er är bara meningsfulla i installationer av Windows-operativsystemen i listan "Gäller för" i början av den här artikeln.
I följande tabell visas de välkända SID:erna:
| SID | Visningsnamn | Description |
|---|---|---|
| S-1-5-1 | Dialup | En grupp som innehåller alla användare som är inloggade i systemet via modemuppkoppling. |
| S-1-5-113 | Lokalt konto | Ett SID som du kan använda när du begränsar nätverksinloggning till lokala konton i stället för administratör eller motsvarande konton. Detta SID kan vara effektivt när det gäller att blockera nätverksinloggning för lokala användare och grupper efter kontotyp oavsett namn. |
| S-1-5-114 | Lokalt konto och medlem i gruppen Administratörer | Ett SID som du kan använda när du begränsar nätverksinloggning till lokala konton i stället för administratör eller motsvarande konton. Detta SID kan vara effektivt när det gäller att blockera nätverksinloggning för lokala användare och grupper efter kontotyp oavsett namn. |
| S-1-5-2 | Network | En grupp som innehåller alla användare som är inloggade via en nätverksanslutning. Åtkomsttoken för interaktiva användare innehåller inte nätverks-SID. |
| S-1-5-3 | Batch | En grupp som innehåller alla användare som är inloggade via batchköanläggningen, till exempel schemaläggarjobb. |
| S-1-5-4 | Interactive | En grupp som innehåller alla användare som loggar in interaktivt. En användare kan starta en interaktiv inloggningssession genom att öppna en anslutning till Fjärrskrivbordstjänster från en fjärrdator eller med hjälp av ett fjärrgränssnitt som Telnet. I varje fall innehåller användarens åtkomsttoken interaktivt SID. Om användaren loggar in med hjälp av en anslutning till Fjärrskrivbordstjänster, innehåller även användarens åtkomsttoken Remote Interactive Logon-SID. |
| S-1-5-5- X-Y | Inloggningssession | En specifik inloggningssession. X- och Y-värdena för SID:er i det här formatet är unika för varje inloggningssession. |
| S-1-5-6 | Service | En grupp som inkluderar alla säkerhetsprinciper som är inloggade som en tjänst. |
| S-1-5-7 | Anonyminloggning | En användare som ansluter till datorn utan att ange ett användarnamn och lösenord. Identiteten för den anonyma inloggningen är annorlunda än den identitet som används av Internet Information Services (IIS) för anonym tillgång till webbsidor. IIS använder ett faktiskt konto – som standard IUSR_datornamn för anonym åtkomst till resurser på en webbplats. Strängt taget är sådan åtkomst inte anonym, eftersom säkerhetsobjektet är känt även om oidentifierade personer använder kontot. IUSR_datornamn (eller vad du namnger kontot) har ett lösenord och IIS loggar in på kontot när tjänsten startar. Därför är den anonyma IIS-användaren medlem i Autentiserade användare, men anonym inloggning är det inte. |
| S-1-5-8 | Proxy | Ett SID som för närvarande inte används. |
| S-1-5-9 | Företagsdomänkontrollanter | En grupp som innehåller alla domänkontrollanter i en skog med domäner. |
| S-1-5-10 | Self | En platshållare i ett ACE för en användare, grupp eller ett datorobjekt i Active Directory. När du beviljar behörigheter till Self beviljar du dem till säkerhetsobjektet som objektet representerar. Under en åtkomstkontroll ersätter operativsystemet SID för Self med SID för det säkerhetsobjekt som objektet representerar. |
| S-1-5-11 | Autentiserade användare | En grupp som innehåller alla användare och datorer med identiteter som har autentiserats. Autentiserade användare inkluderar inte gästkontot även om kontot har ett lösenord. Den här gruppen innehåller autentiserade säkerhetsobjekt från alla betrodda domäner, inte bara den aktuella domänen. |
| S-1-5-12 | Begränsad kod | En identitet som används av en process som körs i en begränsad säkerhetskontext. I Windows- och Windows Server-operativsystem kan en princip för begränsning av programvara tilldela någon av tre säkerhetsnivåer till kod: UnrestrictedRestrictedDisallowed När koden körs på den begränsade säkerhetsnivån läggs det begränsade SID till i användarens åtkomsttoken. |
| S-1-5-13 | Terminal Server-användare | En grupp som innehåller alla användare som loggar in på en server med Fjärrskrivbordstjänster aktiverade. |
| S-1-5-14 | Interaktiv fjärrinloggning | En grupp som innehåller alla användare som loggar in på datorn med hjälp av en fjärrskrivbordsanslutning. Den här gruppen är en delmängd av den interaktiva gruppen. Åtkomsttokens som innehåller SID för fjärrinteraktiv inloggning innehåller även det interaktiva SID. |
| S-1-5-15 | Den här organisationen | En grupp som innehåller alla användare från samma organisation. Den här gruppen ingår endast i Active Directory-konton och läggs endast till av en domänkontrollant. |
| S-1-5-17 | IUSR | Ett konto som används av IIS-standardanvändaren. |
| S-1-5-18 | System (eller LocalSystem) | En identitet som används lokalt av operativsystemet och av tjänster som är konfigurerade för att logga in som LocalSystem. System är en dold medlem av Administratörer. Alla processer som körs som system har alltså SID för den inbyggda gruppen Administratörer i sin åtkomsttoken. När en process som körs lokalt när systemet har åtkomst till nätverksresurser, gör den det med hjälp av datorns domänidentitet. Dess åtkomsttoken på fjärrdatorn innehåller SID för den lokala datorns domänkonto plus SID:er för säkerhetsgrupper som datorn är medlem i, till exempel domändatorer och autentiserade användare. |
| S-1-5-19 | NT-utfärdare (LocalService) | En identitet som används av tjänster som är lokala för datorn, inte behöver omfattande lokal åtkomst och som inte behöver autentiserad nätverksåtkomst. Tjänster som körs som LocalService kan komma åt lokala resurser som vanliga användare och de får åtkomst till nätverksresurser som anonyma användare. Därför har en tjänst som körs som LocalService betydligt mindre auktoritet än en tjänst som körs som LocalSystem lokalt och i nätverket. |
| S-1-5-20 | NetworkService | En identitet som används av tjänster som inte behöver omfattande lokal åtkomst, men som behöver autentiserad nätverksåtkomst. Tjänster som körs som NetworkService kan komma åt lokala resurser som vanliga användare och komma åt nätverksresurser med hjälp av datorns identitet. Därför har en tjänst som körs som NetworkService samma nätverksåtkomst som en tjänst som körs som LocalSystem, men dess lokala åtkomst minskar avsevärt. |
| S-1-5-domain-500 | Administrator | Ett användarkonto för systemadministratören. Varje dator har ett lokalt administratörskonto och varje domän har ett domänadministratörskonto. Administratörskontot är det första kontot som skapades under installationen av operativsystemet. Kontot kan inte tas bort, inaktiveras eller låsas ut, men det kan byta namn. Som standard är administratörskontot medlem i gruppen Administratörer och det kan inte tas bort från den gruppen. |
| S-1-5-domain-501 | Guest | Ett användarkonto för personer som inte har enskilda konton. Varje dator har ett lokalt gästkonto och varje domän har ett domän gästkonto. Som standard är Gäst medlem i grupperna Alla och Gäster. Domänens gästkonto är också medlem i grupperna Domängäster och Domänanvändare. Till skillnad från anonym inloggning är gäst ett riktigt konto, och det kan användas för att logga in interaktivt. Gästkontot kräver inget lösenord, men det kan ha ett. |
| S-1-5-domain-502 | KRBTGT | Ett användarkonto som används av KDC-tjänsten (Key Distribution Center). Kontot finns bara på domänkontrollanter. |
| S-1-5-domain-512 | Domänadministratörer | En global grupp med medlemmar som har behörighet att administrera domänen. Som standard är gruppen Domänadministratörer medlem i gruppen Administratörer på alla datorer som är anslutna till domänen, inklusive domänkontrollanter. Domänadministratörer är standardägaren för alla objekt som skapas i domänens Active Directory av någon medlem i gruppen. Om medlemmar i gruppen skapar andra objekt, till exempel filer, är standardägaren gruppen Administratörer. |
| S-1-5-domain-513 | Domänanvändare | En global grupp som innehåller alla användare i en domän. När du skapar ett nytt användarobjekt i Active Directory läggs användaren automatiskt till i den här gruppen. |
| S-1-5-domain-514 | Domängäster | En global grupp som som standard bara har en medlem: domänens inbyggda gästkonto. |
| S-1-5-domain-515 | Domändatorer | En global grupp som innehåller alla datorer som är anslutna till domänen, exklusive domänkontrollanter. |
| S-1-5-domain-516 | Domänkontrollanter | En global grupp som innehåller alla domänkontrollanter i domänen. Nya domänkontrollanter läggs till i den här gruppen automatiskt. |
| S-1-5-domain-517 | Utfärdare av certifikat | En global grupp som inkluderar alla datorer som är värdar för en certifikatutfärdare för företag. Cert Publishers har behörighet att publicera certifikat för användarobjekt i Active Directory. |
| S-1-5-rotdomän-518 | Schemaadministratörer | En grupp som bara finns i skogens rotdomän. Det är en universell grupp om domänen är i inbyggt läge och det är en global grupp om domänen är i blandat läge. Gruppen Schemaadministratörer har behörighet att göra schemaändringar i Active Directory. Som standard är den enda medlemmen i gruppen administratörskontot för skogens rotdomän. |
| S-1-5-rotdomän-519 | Företagsadministratörer | En grupp som bara finns i skogens rotdomän. Det är en universell grupp om domänen är i inbyggt läge och det är en global grupp om domänen är i blandat läge. Gruppen Företagsadministratörer har behörighet att göra ändringar i skogsinfrastrukturen. Exempel är att lägga till underordnade domäner, konfigurera platser, auktorisera DHCP-servrar (Dynamic Host Configuration Protocol) och installera företagscertifikatutfärdare. Som standard är den enda medlemmen i Företagsadministratörer administratörskontot för skogens rotdomän. Gruppen är standardmedlem i alla domänadministratörer i skogen. |
| S-1-5-domain-520 | Ägare av gruppolicyskapare | En global grupp som har behörighet att skapa nya grupprincipobjekt i Active Directory. Som standard är den enda medlemmen i gruppen Administratör. När en medlem i Grupppolicy-skapare ägare skapar ett objekt, äger den medlemmen objektet. På så sätt skiljer sig gruppen Gruppprincipsskapare från andra administrativa grupper, såsom administratörer och domänadministratörer. När en medlem i dessa grupper skapar ett objekt äger gruppen objektet, inte individen. |
| S-1-5-domain-521 | Skrivskyddade domänkontrollanter | En global grupp som innehåller alla skrivskyddade domänkontrollanter. |
| S-1-5-domain-522 | Klonbara styrenheter | En global grupp som innehåller alla domänkontrollanter i domänen som kan klonas. |
| S-1-5-domain-525 | Skyddade användare | En global grupp som ger extra skydd mot autentiseringssäkerhetshot. |
| S-1-5-root domain-526 | Nyckeladministratörer | En grupp som är avsedd att användas i scenarier där betrodda externa myndigheter ansvarar för att ändra det här attributet. Endast betrodda administratörer bör bli medlemmar i den här gruppen. |
| S-1-5-domain-527 | Företagsnyckeladministratörer | En grupp som är avsedd att användas i scenarier där betrodda externa myndigheter ansvarar för att ändra det här attributet. Endast betrodda företagsadministratörer bör bli medlemmar i den här gruppen. |
| S-1-5-32-544 | Administrators | En inbyggd grupp. Efter den första installationen av operativsystemet är den enda medlemmen i gruppen administratörskontot. När en dator ansluter till en domän läggs gruppen Domänadministratörer till i gruppen Administratörer. När en server blir en domänkontrollant läggs gruppen Företagsadministratörer också till i gruppen Administratörer. |
| S-1-5-32-545 | Users | En inbyggd grupp. Efter den första installationen av operativsystemet är den enda medlemmen gruppen Autentiserade användare. |
| S-1-5-32-546 | Guests | En inbyggd grupp. Som standard är den enda medlemmen gästkontot. Gruppen Gäster tillåter tillfälliga eller engångsanvändare att logga in med begränsad behörighet till en dators inbyggda gästkonto. |
| S-1-5-32-547 | Power-användare | En inbyggd grupp. Som standard har gruppen inga medlemmar. Power-användare kan: |
| S-1-5-32-548 | Kontoansvariga | En inbyggd grupp som bara finns på domänkontrollanter. Som standard har gruppen inga medlemmar. Som standard har kontooperatörer behörighet att skapa, ändra och ta bort konton för användare, grupper och datorer i alla containrar och organisationsenheter (OUs) i Active Directory förutom den inbyggda containern och domänkontrollanternas organisationsenhet. Kontooperatörer har inte behörighet att ändra grupperna Administratörer och Domänadministratörer. De har inte heller behörighet att ändra kontona för medlemmar i dessa grupper. |
| S-1-5-32-549 | Serveransvariga | En inbyggd grupp som bara finns på domänkontrollanter. Som standard har gruppen inga medlemmar. Serveroperatorer kan: |
| S-1-5-32-550 | Utskriftsoperatörer | En inbyggd grupp som bara finns på domänkontrollanter. Som standard är den enda medlemmen gruppen Domänanvändare. Utskriftsoperatorer kan hantera skrivare och dokumentköer. |
| S-1-5-32-551 | Ansvariga för säkerhetskopiering | En inbyggd grupp. Som standard har gruppen inga medlemmar. Säkerhetskopieringsoperatorer kan säkerhetskopiera och återställa alla filer på en dator, oavsett vilka behörigheter som skyddar filerna. Säkerhetskopieringsoperatorer kan också logga in på datorn och stänga av den. |
| S-1-5-32-552 | Replicators | En inbyggd grupp som stöder filreplikering i en domän. Som standard har gruppen inga medlemmar. Lägg inte till användare i den här gruppen. |
| S-1-5-domain-553 | RAS- och IAS-servrar | En lokal domängrupp. Som standard har den här gruppen inga medlemmar. Datorer som kör routnings- och fjärråtkomsttjänsten läggs automatiskt till i gruppen. Medlemmar i den här gruppen har åtkomst till vissa egenskaper för användarobjekt, till exempel Läs kontobegränsningar, Läs inloggningsinformation och Läs information om fjärråtkomst. |
| S-1-5-32-554 | Inbyggd\Pre-Windows 2000-kompatibel åtkomst | En bakåtkompatibilitetsgrupp som tillåter läsåtkomst för alla användare och grupper i domänen. |
| S-1-5-32-555 | Builtin\Fjärrskrivbordsanvändare | Ett alias. Medlemmar i den här gruppen beviljas behörighet att logga in via fjärranslutning. |
| S-1-5-32-556 | Inbyggda\Nätverkskonfigurationsoperatorer | Ett alias. Medlemmar i den här gruppen kan ha vissa administrativa behörigheter för att hantera konfigurationen av nätverksfunktioner. |
| S-1-5-32-557 | Byggare\Inkommande skogsförtroendebyggare | Ett alias. Medlemmar i den här gruppen kan skapa inkommande enkelriktade förtroenden till skogen. |
| S-1-5-32-558 | Builtin\Performance Monitor-användare | Ett alias. Medlemmar i den här gruppen har fjärråtkomst för att övervaka datorn. |
| S-1-5-32-559 | Builtin\Performance Log-användare | Ett alias. Medlemmar i den här gruppen har fjärråtkomst för att schemalägga loggning av prestandaräknare på datorn. |
| S-1-5-32-560 | Builtin\Windows-autentiseringsåtkomstgrupp | Ett alias. Medlemmar i den här gruppen har åtkomst till det beräknade attributet tokenGroupsGlobalAndUniversal för användarobjekt. |
| S-1-5-32-561 | Builtin\Terminalserverlicensservrar | Ett alias. En grupp för Terminal Server-licensservrar. |
| S-1-5-32-562 | Builtin\Distribuerade COM-användare | Ett alias. En grupp för COM-användare (Component Object Model) för att tillhandahålla datoromfattande åtkomstkontroller som styr åtkomsten till alla samtals-, aktiverings- eller startbegäranden på datorn. |
| S-1-5-32-568 | Builtin\IIS_IUSRS | Ett alias. Ett inbyggt gruppkonto för IIS-användare. |
| S-1-5-32-569 | Inbyggda\kryptografiska operatorer | En inbyggd lokal grupp. Medlemmar har behörighet att utföra kryptografiska åtgärder. |
| S-1-5-domain-571 | Tillåten RODC-lösenordsreplikeringsgrupp | En grupp med medlemmar vars lösenord kan replikeras till alla skrivskyddade domänkontrollanter i domänen. |
| S-1-5-domain-572 | Nekad RODC-lösenordsreplikeringsgrupp | En grupp med medlemmar som inte kan få sina lösenord replikerade till alla skrivskyddade domänkontrollanter i domänen. |
| S-1-5-32-573 | Builtin\Event Log-läsare | En inbyggd lokal grupp. Medlemmar i den här gruppen kan läsa händelseloggar från en lokal dator. |
| S-1-5-32-574 | Builtin\Certificate Service DCOM-åtkomst | En inbyggd lokal grupp. Medlemmar i den här gruppen får ansluta till certifikatutfärdare i företaget. |
| S-1-5-32-575 | Builtin\RDS Fjärråtkomstservrar | En inbyggd lokal grupp. Servrar i den här gruppen ger användare av RemoteApp-program och personliga virtuella skrivbord åtkomst till dessa resurser. I internetuppkopplade distributioner distribueras dessa servrar vanligtvis i ett gränsnätverk. Den här gruppen måste konfigureras på servrar som kör Anslutningsförmedlare för Fjärrskrivbord (RD-anslutningsförmedlare). Fjärrskrivbordsgatewayservrar (RD Gateway) och fjärrskrivbordswebbåtkomstservrar (RD Web Access) som används i distributionen måste finnas i den här gruppen. |
| S-1-5-32-576 | Builtin\RDS-slutpunktsservrar | En inbyggd lokal grupp. Servrar i den här gruppen kör virtuella datorer och värdsessioner där användarnas RemoteApp-program och personliga virtuella skrivbord körs. Den här gruppen måste befolkas på servrar som kör RD-anslutningsmäklare. Värdservrar (RD Session Host) för fjärrskrivbordssession och virtualiseringsvärdservrar (RD Virtualization Host) för fjärrskrivbord som används i distributionen måste finnas i den här gruppen. |
| S-1-5-32-577 | Builtin\RDS-hanteringsservrar | En inbyggd lokal grupp. Servrar i den här gruppen kan utföra rutinmässiga administrativa åtgärder på servrar som kör Fjärrskrivbordstjänster. Den här gruppen måste fyllas i på alla servrar i en distribution av fjärrskrivbordstjänster. Servrarna som kör den centrala hanteringstjänsten fjärrskrivbordstjänster måste ingå i den här gruppen. |
| S-1-5-32-578 | Builtin\Hyper-V-administratörer | En inbyggd lokal grupp. Medlemmar i den här gruppen har fullständig och obegränsad åtkomst till alla funktioner i Hyper-V. |
| S-1-5-32-579 | Builtin\Access Control-assistansoperatörer | En inbyggd lokal grupp. Medlemmar i den här gruppen kan fjärrfråga auktoriseringsattribut och behörigheter för resurser på datorn. |
| S-1-5-32-580 | Builtin\Remote Management-användare | En inbyggd lokal grupp. Medlemmar i den här gruppen kan komma åt WMI-resurser (Windows Management Instrumentation) via hanteringsprotokoll som Web Services for Management (WS-Management) via Windows Remote Management-tjänsten. Den här åtkomsten gäller endast för WMI-namnområden som ger åtkomst till användaren. |
| S-1-5-64-10 | NTLM-autentisering | Ett SID som används när NTLM-autentiseringspaketet (New Technology LAN Manager) autentiserar klienten. |
| S-1-5-64-14 | SChannel-autentisering | Ett SID som används när autentiseringspaketet Secure Channel (Schannel) autentiserar klienten. |
| S-1-5-64-21 | Digest-autentisering | Ett SID som används när digest-autentiseringspaketet autentiserar klienten. |
| S-1-5-80 | NT-tjänst | Ett SID som används som ett kontoprefix för New Technology Service (NT Service). |
| S-1-5-80-0 | Alla tjänster | En grupp som innehåller alla tjänstprocesser som är konfigurerade i systemet. Operativsystemet styr medlemskapet i den här gruppen. SID:n S-1-5-80-0 representerar NT SERVICES\ALL SERVICES. |
| S-1-5-83-0 | NT VIRTUAL MACHINE\Virtuella maskiner | En inbyggd grupp. Gruppen skapas när Hyper-V-rollen installeras. Hyper-V Management Service (VMMS) underhåller medlemskapet i den här gruppen. Den här gruppen kräver rättigheten Skapa symboliska länkar (SeCreateSymbolicLinkPrivilege) och inloggning som en tjänsträttighet (SeServiceLogonRight). |
Följande RID:ar är relativa till varje domän:
| RID | Decimalvärde | Identifies |
|---|---|---|
| DOMAIN_USER_RID_ADMIN | 500 | Det administrativa användarkontot i en domän. |
| DOMAIN_USER_RID_GUEST | 501 | Gästanvändarkontot i en domän. Användare som inte har något konto kan automatiskt logga in på det här kontot. |
| DOMAIN_GROUP_RID_USERS | 513 | En grupp som innehåller alla användarkonton i en domän. Alla användare läggs automatiskt till i den här gruppen. |
| DOMAIN_GROUP_RID_GUESTS | 514 | Gruppgästkontot i en domän. |
| DOMAIN_GROUP_RID_COMPUTERS | 515 | Gruppen med domändatorer. Alla datorer i domänen är medlemmar i den här gruppen. |
| DOMAIN_GROUP_RID_CONTROLLERS | 516 | Domänkontrollergruppen. Alla domänkontrollanter i domänen är medlemmar i den här gruppen. |
| DOMAIN_GROUP_RID_CERT_ADMINS | 517 | Certifikatutgivarnas grupp. Datorer som kör Active Directory Certificate Services är medlemmar i den här gruppen. |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS | 518 | Schemaadministratörsgruppen. Medlemmar i den här gruppen kan ändra Active Directory-schemat. |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS | 519 | Gruppen Företagsadministratörer. Medlemmar i den här gruppen har fullständig åtkomst till alla domäner i Active Directory-skogen. Företagsadministratörer ansvarar för åtgärder på skogsnivå, till exempel att lägga till eller ta bort nya domäner. |
| DOMAIN_GROUP_RID_POLICY_ADMINS | 520 | Gruppen Policyadministratörer. |
I följande tabell visas exempel på domänrelativa RID:n som används för att bilda välkända SID:n för lokala grupper:
| RID | Decimalvärde | Identifies |
|---|---|---|
| DOMAIN_ALIAS_RID_ADMINS | 544 | Administratörer av domänen. |
| DOMAIN_ALIAS_RID_USERS | 545 | Alla användare i domänen. |
| DOMAIN_ALIAS_RID_GUESTS | 546 | Gäster på domänen. |
| DOMAIN_ALIAS_RID_POWER_USERS | 547 | En användare eller en uppsättning användare som förväntar sig att behandla ett system som om det vore deras personliga dator i stället för som en arbetsstation för flera användare. |
| DOMAIN_ALIAS_RID_BACKUP_OPS | 551 | En lokal grupp som används för att styra tilldelningen av användarrättigheter för säkerhetskopiering och återställning av filer. |
| DOMAIN_ALIAS_RID_REPLICATOR | 552 | En lokal grupp som ansvarar för att kopiera säkerhetsdatabaser från den primära domänkontrollanten till reservdomänkontrollanterna. Dessa konton används endast av systemet. |
| DOMAIN_ALIAS_RID_RAS_SERVERS | 553 | En lokal grupp som representerar fjärråtkomst och servrar som kör IAS (Internet Authentication Service). Den här gruppen tillåter åtkomst till olika attribut för användarobjekt. |
Ändringar i SID-funktioner
I följande tabell beskrivs ändringar i SID-implementeringen i Windows-operativsystemen:
| Change | Operativsystemversion | Beskrivning och resurser |
|---|---|---|
| TrustedInstaller SID äger de flesta operativsystemfilerna | Windows Server 2008, Windows Vista | Syftet med den här ändringen är att förhindra att en process som körs som administratör eller under LocalSystem-kontot automatiskt ersätter operativsystemfilerna. |
| Begränsade SID-kontroller implementeras | Windows Server 2008, Windows Vista | När det finns begränsningar för SID:er utför Windows två åtkomstkontroller. Den första är den normala åtkomstkontrollen och den andra är samma åtkomstkontroll mot de begränsade SID:erna i token. Båda åtkomstkontrollerna måste godkännas så att processen kan komma åt objektet. |
Kapacitets-SID:er
Funktions-SID:er fungerar som unika och oföränderliga identifierare för funktioner. En funktion representerar en oförutsebar token för auktoritet som ger universella Windows-program åtkomst till resurser (till exempel dokument, kameror och platser). En app som har en funktion beviljas åtkomst till den resurs som funktionen är associerad med. En app som inte har någon funktion nekas åtkomst till resursen.
Alla funktions-SID:er som operativsystemet känner till lagras i Windows-registret i den HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities sökvägen. Alla funktions-SID som läggs till i Windows av Microsoft eller partnerprogram läggs till på den här platsen.
Exempel på registernycklar från Windows 10, version 1909, 64-bitars Enterprise-utgåva
Du kan se följande registernycklar under AllCachedCapabilities:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
Prefixet för alla funktions-SID:er är S-1-15-3.
Exempel på registernycklar från Windows 11, version 21H2, 64-bitars Enterprise-utgåva
Du kan se följande registernycklar under AllCachedCapabilities:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
Prefixet för alla funktions-SID:er är S-1-15-3.
Relaterat innehåll
- översikt över åtkomstkontroll