Идентификаторы безопасности

от admin
12-02-2011
ОСНОВЫ РЕЕСТРА
Нет коммент.


Уникальное имя какого-нибудь объекта называется идентификатором.

С помощью идентификаторов можно однозначно выделить объект из массы ему подобных. Например, идентификатором может быть имя пользователя.

Зная имя пользователя, например, Денис (в данном случае строка «Денис» — идентификатор), вы сможете произвести операции именно с этим  пользователем, выделив его из числа других пользователей системы.

В Windows имена пользователей, компьютеров сети, групп пользователей и других объектов подчиняются правилам безопасности. Для однозначного  определения этих правил используются идентификаторы безопасности — SID (Security Identifier).

При каждом создании правила безопасности Windows генерирует SID.

Локальные SID (локальные идентификаторы, относящиеся только к этому  компьютеру) генерируются локальными средствами защиты (LSA, Local Security Authority) и хранятся в локальной базе данных.

Кроме локальных средств защиты, есть еще средства защиты домена (Domain Security Authority). DSA генерируют идентификаторы безопасности для  домена и сохраняют их не в локальной базе данных, а в Active Directory  (службе каталогов) на контроллере домена сети.

Понятно, что локальные SID уникальны в пределах компьютера (в пределах локальной базы данных), a SID домена уникальны в пределах домена (базы данных Active Directory). Понятно также, что локальные SID на разных  компьютерах сети могут совпадать, так же как в разных доменах могут быть одинаковые SID домена.

SID никогда не повторяются. Предположим, в системе зарегистрирован  пользователь «Денис». Его учетной записи будет сопоставлен какой-то SID. Если вы удалите эту учетную запись, а затем создадите новую учетную запись с  таким же именем, то S1D у этой учетной записи будет другой.

К учетной записи в Windows можно обратиться как по ее имени, так и по SID, поскольку SID однозначно идентифицирует учетную запись. Но обращаться по SID к учетной записи крайне неудобно, поскольку выражения SID достаточно громоздки:

S-1-5-21-2052111302-436374069-1343024091-1003

Очевидно, намного проще запомнить имя «Den», чем приведенный SID,  однако формат SID все равно нужно знать. SID всегда начинается с буквы «S», после которой следует номер версии SID, обычно 1. Далее обычно стоит число 5, что означает систему NT (NT authority). Все последующие числа (21-2052111302-436374069-1343024091) являются идентификатором домена, а последнее число (1003) — идентификатором группы пользователя.

Помимо персональных учетных записей пользователей в Windows есть  постоянные или "короткие SID ": они одинаковы на всех компьютерах. Знать эти SID просто необходимо, поскольку они часто встречаются в реестре.

В табл.  приведен список данных SID.

Таблица  Постоянные SID

SID Пользователь или группа
S-1.0 Нет полномочий, «пустые» полномочия, соответствует имени

пользователя «nobody» («никто»)
S-1.1 Полномочия мира
S-1.1.0 Все
S-1.2 Локальные полномочия
S-1.3 Создатель (Creator)
S-1.3-0 Создатель/владелец (Creator/Owner)
S-1.3-1 Группа создателя
S-1.3-2, S-1.3-3 Не используются
S-1.4 Неуникальные полномочия
S-1.5 NT-полномочия
S-1.5-2 Сеть
S-1.5-4 Интерактивный
S-1.5-5-X-Z Сессия регистрации
S-1.5-6 Служба (сервис)
S-1.5. -7 Anonymous (анонимный пользователь)
S-1.5-11 Пользователь, который прошел регистрацию
S-1.5-12 Запрещенный
S-1.5-13 Терминальная служба, имеется в виду пользователь, который

зарегистрировался через Telnet
S-1.5-14 Удаленный вход в систему
S-1.5-18 Локальная система (LocalSystem)
S-1.5-19 Локальная служба (LocalService)
S-1.5-20 Сетевая служба (NetworkService)
S-1.5-домен-500 Администратор системы (Administrator)
S -1.5-домен-501 Гость (Guest)
S -1.5-домен-512 Администраторы домена (Domain Administrators)
S -1.5-домен-513 Пользователи домена (Domain Users)
S -1.5-домен-514 Гости домена (Domain Guests)
S -1.5-домен-515 Компьютеры домена (Domain Computers)
S -1.5-домен-516 Контроллеры домена (Domain Controllers)
S -1.5-домен-553 Серверы удаленного доступа (RAS)
S-1.5-32-544 Администраторы (Administrators)
S-1.5-32-545 Пользователи (Users)
S-1.5-32-546 Гости (Guests)
S-1.5-32-547 Опытные пользователи (Power Users)
S-1.5-32-548 Администраторы учетных записей (Account Operators)
S-1.5-32-549 Операторы сервера (Server Operators)
S-1.5-32-550 Операторы печати (Print Operators)
S-1.5-32-551 Операторы резервного копирования (Backup Operators)
S-1.5-32-554 Доступ в режиме совместимости со старыми приложениями
S-1.5-32-555 Пользователи удаленного рабочего стола (Remote Desktop Users)
S-1.5-32-556 Операторы сети (Network Operators)
S-1.6 Полномочия сайта
S-1.7 Полномочия Интернет-сайта
S-1.8 Полномочия сервера Exchange

S-1.9

Управление ресурсами


Оцените статью:
1 голос2 голоса3 голоса4 голоса5 голосов (Нет голосов)
Loading...Loading...
4 125 визитов
Также смотрите

Оставьте свой комментарий к статье