Идентификатор безопасности
Идентификатор безопасности (англ. Security Identifier (SID)) — структура данных переменной длины, которая идентифицирует учётную запись пользователя, группы, службы, домена или компьютера (в Windows на базе технологии NT (NT4, 2000, XP, 2003, Vista,7,8,10)). SID ставится в соответствие каждой учетной записи в момент её создания. Система оперирует с SID'ами учетных записей, а не их именами. В контроле доступа пользователей к защищаемым объектам (файлам, ключам реестра и т.п.) участвуют также только SID'ы.
Идентификатор SID состоит из нескольких частей. Пример такого идентификатора S-1-5-21-1507001333-1204550764-1011284298-1003.
Формат идентификатора безопасности такой: S-R-IA-SA-SA-RID[1].
Описание каждой части SID:
- S — идентификатор SID. Этот идентификатор служит признаком того, что следующее число является идентификатором безопасности, а не простым большим загадочным числом.
- R — первое число является номером редакции (revision). Все идентификаторы безопасности, сгенерированные операционной системой Windows, используют номер редакции 1.
- IA — источник выдачи (issuing authority). Практически все идентификаторы безопасности в операционной системе Windows указывают NT Authority номер 5. Исключением являются широкоизвестные (well-known) учетные записи групп и пользователей.
- SA — уполномоченный центр (sub-authority). Этот идентификатор определяет специальные группы и функции. Например, число 21 указывает, что идентификатор безопасности был выдан контроллером домена или изолированным компьютером.
- Три длинные последовательности цифр 1507001333-1204550764-1011284298 определяют конкретный домен или компьютер, выдавший идентификатор. Эти числа генерируются случайным образом при инсталляции ОС на компьютер. Таким образом обеспечивается уникальность идентификаторов безопасности.
- RID — относительный идентификатор (Relative Identifier). Это уникальное порядковое число, присвоенное учетной записи (пользователя, компьютера или группы) уполномоченным центром SA (в нашем примере его значение равно 1003).
Следует отметить, что относительные идентификаторы RID для встроенных учётных записей пользователей (например, Администратор или Гость) одинаковы для всех компьютеров и доменов. RID для встроенной учетной записи Administrator всегда имеет значение 500, а RID для учетной записи Гость имеет значение 501.
Для создаваемых администратором учетных записей RID начинается со значения 1000 и увеличивается на 1 для каждой новой учетной записи.
Кроме этого, в каждой Windows имеется несколько встроенных широкоизвестных (well-known) учетных записей групп и пользователей. К ним относятся группы Все, ИНТЕРАКТИВНЫЕ, Прошедшие проверку и т.д. Для представления широкоизвестных учетных записей в Windows определен ряд локальных и доменных SID[2]. В отличие от SID обычных пользователей, эти SID-идентификаторы являются предопределенными и имеют одинаковые значения на каждой системе Windows и не зависят от её версии (будь то Windows 2000, Windows Vista или Windows 10). Это позволяет администраторам сетей применять шаблоны безопасности и политики безопасности, а также управлять доступом удаленных пользователей в сетях без доменов.
Например, файл, доступный членам группы Все на той системе, где он был создан, также будет доступен группе Все на любой другой системе или домене. Разумеется, пользователи должны пройти аутентификацию в этой системе, перед тем как стать членами группы Все.
См. также
Примечания
- SID Components (Windows) (англ.). msdn.microsoft.com. Дата обращения: 16 января 2018.
- http://support.microsoft.com/kb/243330 . support.microsoft.com. Дата обращения: 16 января 2018.