Идентификатор безопасности
Идентификатор безопасности (англ. Security Identifier (SID)) — структура данных переменной длины, которая идентифицирует учётную запись пользователя, группы, службы, домена или компьютера (в Windows на базе технологии NT (NT4, 2000, XP, 2003, Vista, 7, 8, 10)). SID ставится в соответствие каждой учётной записи в момент её создания. Система оперирует с SID’ами учётных записей, а не их именами. В контроле доступа пользователей к защищаемым объектам (файлам, ключам реестра и т. п.) участвуют также только SID’ы.
Обзор
правитьИдентификатор SID состоит из нескольких частей. Пример такого идентификатора S-1-5-21-1507001333-1204550764-1011284298-1003.
Формат идентификатора безопасности такой: S-R-IA-SA-SA-RID[1].
Описание каждой части SID:
- S — идентификатор SID. Этот идентификатор служит признаком того, что следующее число является идентификатором безопасности, а не простым большим загадочным числом.
- R — первое число является номером редакции (revision). Все идентификаторы безопасности, сгенерированные операционной системой Windows, используют номер редакции 1.
- IA — источник выдачи (issuing authority). Практически все идентификаторы безопасности в операционной системе Windows указывают NT Authority номер 5. Исключением являются широкоизвестные (well-known) учётные записи групп и пользователей.
- SA — уполномоченный центр (sub-authority). Этот идентификатор определяет специальные группы и функции. Например, число 21 указывает, что идентификатор безопасности был выдан контроллером домена или изолированным компьютером.
- Три длинные последовательности цифр 1507001333-1204550764-1011284298 определяют конкретный домен или компьютер, выдавший идентификатор. Эти числа генерируются случайным образом при инсталляции ОС на компьютер. Таким образом обеспечивается уникальность идентификаторов безопасности.
- RID — относительный идентификатор (Relative Identifier). Это уникальное порядковое число, присвоенное учётной записи (пользователя, компьютера или группы) уполномоченным центром SA (в нашем примере его значение равно 1003).
Следует отметить, что относительные идентификаторы RID для встроенных учётных записей пользователей (например, Администратор или Гость) одинаковы для всех компьютеров и доменов. RID для встроенной учётной записи Administrator всегда имеет значение 500, а RID для учётной записи Гость имеет значение 501.
Для создаваемых администратором учётных записей RID начинается со значения 1000 и увеличивается на 1 для каждой новой учётной записи.
Кроме этого, в каждой Windows имеется несколько встроенных широкоизвестных (well-known) учётных записей групп и пользователей. К ним относятся группы Все, ИНТЕРАКТИВНЫЕ, Прошедшие проверку и т. д. Для представления широкоизвестных учётных записей в Windows определён ряд локальных и доменных SID[2]. В отличие от SID обычных пользователей, эти SID-идентификаторы являются предопределенными и имеют одинаковые значения на каждой системе Windows и не зависят от её версии (будь то Windows 2000, Windows Vista или Windows 10). Это позволяет администраторам сетей применять шаблоны безопасности и политики безопасности, а также управлять доступом удаленных пользователей в сетях без доменов.
Например, файл, доступный членам группы Все на той системе, где он был создан, также будет доступен группе Все на любой другой системе или домене. Разумеется, пользователи должны пройти аутентификацию в этой системе, перед тем как стать членами группы Все.
См. также
правитьПримечания
править- ↑ SID Components (Windows) (англ.). msdn.microsoft.com. Дата обращения: 16 января 2018. Архивировано 17 января 2018 года.
- ↑ http://support.microsoft.com/kb/243330 . support.microsoft.com. Дата обращения: 16 января 2018. Архивировано 4 марта 2015 года.
Ссылки
править- Access Control Overview
- Security Identifiers
- Well-known SIDs
- Идентификаторы учётных записей в Windows 2000 / XP / 2003 / VISTA
- Марк Руссинович. The Machine SID Duplication Myth
В статье есть список источников, но не хватает сносок. |