Identificadores de seguridad

En este artículo se describe cómo funcionan los identificadores de seguridad (SID) con cuentas y grupos en el sistema operativo Windows Server.

¿Qué son los identificadores de seguridad?

Un identificador de seguridad se usa para identificar de forma única una entidad de seguridad o un grupo de seguridad. Una entidad de seguridad puede representar cualquier entidad que el sistema operativo pueda autenticar, como una cuenta de usuario, una cuenta de equipo o un proceso o subproceso que se ejecuten en el contexto de seguridad de una cuenta de usuario o de equipo.

Cada cuenta o grupo, o cada proceso que se ejecuta en el contexto de seguridad de la cuenta, tiene un SID único emitido por una autoridad, como un controlador de dominio de Windows. El SID se almacena en una base de datos de seguridad. El sistema genera el SID que identifica una cuenta o grupo determinado en el momento en que se crea la cuenta o el grupo. Cuando se ha usado un SID como identificador único para un usuario o grupo, nunca se puede volver a usar para identificar a otro usuario o grupo.

Cada vez que un usuario inicia sesión, el sistema crea un token de acceso para ese usuario. El token de acceso contiene el SID del usuario, los derechos de usuario y los SID de cualquier grupo al que pertenece el usuario. Este token proporciona el contexto de seguridad para las acciones que realiza el usuario en ese equipo.

Además de los SID específicos del dominio creados de forma única que se asignan a usuarios y grupos específicos, hay SID conocidos que identifican grupos genéricos y usuarios genéricos. Por ejemplo, los SID Todos y El mundo identifican un grupo que incluye a todos los usuarios. Los SID conocidos tienen valores que permanecen constantes en todos los sistemas operativos.

Los SID son un bloque de creación fundamental del modelo de seguridad de Windows. Trabajan con componentes específicos de las tecnologías de autorización y control de acceso de la infraestructura de seguridad de los sistemas operativos Windows Server. Esto ayuda a proteger el acceso a los recursos de red y proporciona un entorno informático más seguro.

Nota

Este contenido solo pertenece a las versiones de Windows de la lista "Se aplica a" al principio del artículo.

Funcionamiento de los identificadores de seguridad

Los usuarios hacen referencia a las cuentas por el nombre de la cuenta, pero el sistema operativo hace referencia internamente a cuentas y procesos que se ejecutan en el contexto de seguridad de la cuenta mediante sus SID. Para las cuentas de dominio, el SID de una entidad de seguridad se crea mediante la concatenación del SID del dominio con un identificador relativo (RID) para la cuenta. Los SID son únicos dentro de su ámbito (dominio o local) y nunca se reutilizan.

El sistema operativo genera un SID que identifica una cuenta o grupo determinado en el momento en que se crea la cuenta o el grupo. El SID de una cuenta o grupo local lo genera la Autoridad de seguridad local (LSA) en el equipo y se almacena con otra información de cuenta en un área segura del registro. El SID de una cuenta o grupo de dominio lo genera la autoridad de seguridad de dominio y se almacena como un atributo del objeto User o Group en Active Directory Domain Services.

Para cada cuenta y grupo local, el SID es único para el equipo donde se creó. No hay dos cuentas o grupos en el equipo que compartan el mismo SID. Del mismo modo, para cada cuenta de dominio y grupo, el SID es único dentro de una empresa. Esto significa que el SID de una cuenta o grupo que se crea en un dominio nunca coincidirá con el SID de una cuenta o grupo creado en cualquier otro dominio de la empresa.

Los SID siempre son únicos. Las autoridades de seguridad nunca emiten el mismo SID dos veces y nunca reutilizan los SID para las cuentas eliminadas. Por ejemplo, si un usuario con una cuenta de usuario en un dominio de Windows deja su trabajo, el administrador elimina su cuenta de Active Directory, incluido el SID que identifica la cuenta. Si posteriormente vuelven a un trabajo diferente en la misma empresa, el administrador creará una nueva cuenta y el sistema operativo Windows Server generará un nuevo SID. El nuevo SID no coincide con el antiguo, por lo que ninguno de los accesos del usuario desde su cuenta antigua se transfiere a la nueva cuenta. Las dos cuentas representan dos entidades de seguridad diferentes.

Arquitectura del identificador de seguridad

Un identificador de seguridad es una estructura de datos en formato binario que contiene un número variable de valores. Los primeros valores de la estructura contienen información sobre la estructura del SID. Los valores restantes se organizan en una jerarquía (similar a un número de teléfono) e identifican la autoridad emisora de SID (por ejemplo, "Entidad NT"), el dominio emisor del SID y una entidad de seguridad o un grupo concretos. En la imagen siguiente se muestra la estructura de un SID.

Gráfico de arquitectura de identificador de seguridad que explica el identificador de dominio y el identificador relativo.

Los valores individuales de un SID se describen en la tabla siguiente:

Comentario Descripción
Revisión Indica la versión de la estructura de SID que se usa en un SID determinado.
Entidad de identificador Identifica el nivel más alto de autoridad que puede emitir SID para un tipo determinado de entidad de seguridad. Por ejemplo, el valor de autoridad de identificador del SID para el grupo Todos es 1 (Autoridad mundial). El valor de entidad de identificador del SID para una cuenta o grupo de Windows Server específico es 5 (Entidad NT).
Subautoridades Contiene la información más importante en un SID, que se encuentra en una serie de uno o varios valores de subautoridad. Todos los valores hasta, pero no incluido, el último valor de la serie identifican colectivamente un dominio de una empresa. Esta parte de la serie se denomina identificador de dominio. El último valor de la serie, que se denomina identificador relativo (RID), identifica una cuenta o grupo determinado en relación con un dominio.

Los componentes de un SID son más fáciles de visualizar cuando los SID se convierten de un binario a un formato de cadena mediante notación estándar:

S-R-X-Y1-Y2-Yn-1-Yn

En esta notación, los componentes de un SID se describen en la tabla siguiente:

Comentario Descripción
S Indica que la cadena es un SID.
R Indica el nivel de revisión.
x Indica el valor de entidad del identificador.
Y Representa una serie de valores de subautoridad, donde n es el número de valores.

La información más importante del SID se incluye en la serie de valores de subautoridad. La primera parte de la serie (-Y1-Y2-Yn-1) es el identificador de dominio. Este elemento del SID se convierte en importante en una empresa con varios dominios, ya que el identificador de dominio diferencia los SID emitidos por un dominio de los SID emitidos por todos los demás dominios de la empresa. No hay dos dominios en una empresa que compartan el mismo identificador de dominio.

El último elemento de la serie de valores de subautoridad (-Yn) es el identificador relativo. Distingue una cuenta o grupo de todas las demás cuentas y grupos del dominio. No hay dos cuentas o grupos en ningún dominio que compartan el mismo identificador relativo.

Por ejemplo, el SID del grupo cuenta Administrador se representa en notación SID estandarizada como la siguiente cadena:

S-1-5-32-544

Este SID tiene cuatro componentes:

  • Nivel de revisión (1)
  • Valor de entidad de identificador (5, Entidad NT)
  • Identificador de dominio (32, Builtin)
  • Identificador relativo (544, Administradores)

Los SID para cuentas y grupos integrados siempre tienen el mismo valor de identificador de dominio, 32. Este valor identifica el dominio Builtin, que existe en cada equipo que ejecuta una versión del sistema operativo Windows Server. Nunca es necesario distinguir las cuentas y grupos integrados de un equipo de las cuentas y grupos integrados de otro equipo, ya que son locales en el ámbito. Son locales en un único equipo o, en el caso de controladores de dominio para un dominio de red, son locales para varios equipos que actúan como uno.

Las cuentas y grupos integrados deben distinguirse entre sí dentro del ámbito del dominio Builtin. Por lo tanto, el SID de cada cuenta y grupo tiene un identificador relativo único. Un valor de identificador relativo de 544 es único para el grupo de administradores integrado. Ninguna otra cuenta o grupo en el dominio Builtin tiene un SID con un valor final de 544.

En otro ejemplo, considere el SID para el grupo global, Administradores del dominio. Cada dominio de una empresa tiene un grupo de Administradores del dominio y el SID de cada grupo es diferente. En el ejemplo siguiente se representa el SID del grupo Administradores del dominio en el dominio Contoso, Ltd. (Contoso\Domain Admins):

S-1-5-21-1004336348-1177238915-682003330-512

El SID de Contoso\Domain Admins tiene:

  • Nivel de revisión (1)
  • Entidad de identificador (5, Entidad NT)
  • Identificador de dominio (21-1004336348-1177238915-682003330, Contoso)
  • Identificador relativo (512, Administradores del dominio)

El SID de Contoso\Domain Admins se distingue de los SID de otros grupos de administradores de dominio de la misma empresa por su identificador de dominio: 21-1004336348-1177238915-682003330. Ningún otro dominio de la empresa usa este valor como su identificador de dominio. El SID de Contoso\Domain Admins se distingue de los SID de otras cuentas y grupos creados en el dominio Contoso por su identificador relativo, 512. Ninguna otra cuenta o grupo en el dominio tiene un SID con un valor final de 512.

Asignación de identificadores relativos

Cuando las cuentas y los grupos se almacenan en una base de datos de cuentas administrada por un Administrador de cuentas de seguridad (SAM) local, es bastante fácil que el sistema genere un identificador relativo único para cada cuenta y en un grupo que cree en un equipo independiente. El SAM de un equipo independiente puede realizar un seguimiento de los valores de identificador relativos que ha usado antes y asegurarse de que nunca los usa de nuevo.

Sin embargo, en un dominio de red, la generación de identificadores relativos únicos es un proceso más complejo. Los dominios de red de Windows Server pueden tener varios controladores de dominio. Cada controlador de dominio almacena información de la cuenta de Active Directory. Esto significa que, en un dominio de red, hay tantas copias de la base de datos de cuenta como hay controladores de dominio. Además, cada copia de la base de datos de cuentas es una copia maestra.

Se pueden crear nuevas cuentas y grupos en cualquier controlador de dominio. Los cambios realizados en Active Directory en un controlador de dominio se replican en todos los demás controladores de dominio del dominio. El proceso de replicación de cambios en una copia maestra de la base de datos de cuentas en todas las demás copias maestras se denomina operación multimaestro.

El proceso de generación de identificadores relativos únicos es una operación con un único maestro. Se asigna un controlador de dominio al rol de maestro RID y asigna una secuencia de identificadores relativos a cada controlador de dominio del dominio. Cuando se crea una nueva cuenta de dominio o grupo en la réplica de un controlador de dominio de Active Directory, se le asigna un SID. El identificador relativo del nuevo SID se toma de la asignación del controlador de dominio de identificadores relativos. Cuando su suministro de identificadores relativos comienza a disminuir, el controlador de dominio solicita otro bloque del maestro RID.

Cada controlador de dominio usa cada valor en un bloque de identificadores relativos solo una vez. El maestro RID asigna cada bloque de valores de identificador relativo solo una vez. Este proceso garantiza que todas las cuentas y grupos creados en el dominio tengan un identificador relativo único.

Identificadores de seguridad e identificadores únicos globales

Cuando se crea una nueva cuenta de usuario o grupo de dominio, Active Directory almacena el SID de la cuenta en la propiedad ObjectSID de un objeto User o Group. También asigna al nuevo objeto un identificador único global (GUID), que es un valor de 128 bits único no solo en la empresa, sino también en todo el mundo. Los GUID se asignan a todos los objetos creados por Active Directory y no solo en objetos User y Group. El GUID de cada objeto se almacena en su propiedad ObjectGUID.

Active Directory usa GUID internamente para identificar objetos. Por ejemplo, el GUID es una de las propiedades de un objeto que se publica en el catálogo global. La búsqueda en el catálogo global de un GUID de objeto de usuario genera resultados si el usuario tiene una cuenta en algún lugar de la empresa. De hecho, la búsqueda de cualquier objeto mediante ObjectGUID podría ser la forma más confiable de encontrar el objeto que quiera localizar. Los valores de otras propiedades de objeto pueden cambiar, pero la propiedad ObjectGUID nunca cambia. Cuando se asigna un GUID a un objeto, mantiene ese valor durante la vida útil.

Si un usuario pasa de un dominio a otro, el usuario obtiene un nuevo SID. El SID de un objeto de grupo no cambia, ya que los grupos permanecen en el dominio donde se crearon. Sin embargo, si las personas se mueven, sus cuentas pueden moverse con ellas. Si un empleado pasa de Norteamérica a Europa, pero permanece en la misma empresa, un administrador de la empresa puede mover el objeto User del empleado, por ejemplo, de Contoso\NoAm a Contoso\Europe. Si el administrador lo hace, el objeto User de la cuenta necesita un nuevo SID. La parte del identificador de dominio de un SID emitido en NoAm es única para NoAm, por lo que el SID de la cuenta del usuario en Europa tiene un identificador de dominio diferente. La parte del identificador relativo de un SID es única en relación con el dominio, por lo que si el dominio cambia, el identificador relativo también cambia.

Cuando un objeto User se mueve de un dominio a otro, se debe generar un nuevo SID para la cuenta de usuario y almacenarse en la propiedad ObjectSID. Antes de escribir el nuevo valor en la propiedad, el valor anterior se copia en otra propiedad de un objeto User, SIDHistory. Esta propiedad puede contener varios valores. Cada vez que un objeto User se mueve a otro dominio, se genera un nuevo SID y se almacena en la propiedad ObjectSID y se agrega otro valor a la lista de SID antiguos en SIDHistory. Cuando un usuario inicia sesión y se autentica correctamente, el servicio de autenticación de dominio consulta a Active Directory para todos los SID asociados al usuario, incluido el SID actual del usuario, los SID antiguos del usuario y los SID para los grupos del usuario. Todos estos SID se devuelven al cliente de autenticación y se incluyen en el token de acceso del usuario. Cuando el usuario intenta obtener acceso a un recurso, cualquiera de los SID del token de acceso (incluido uno de los SID de SIDHistory), puede permitir o denegar el acceso del usuario.

Si permite o deniega el acceso de los usuarios a un recurso en función de sus trabajos, debe permitir o denegar el acceso a un grupo, no a un individuo. De este modo, cuando los usuarios cambian de trabajo o se mueven a otros departamentos, puede ajustar fácilmente su acceso quitándolos de determinados grupos y agregándolos a otros.

Sin embargo, si permite o deniega el acceso de un usuario individual a los recursos, es probable que quiera que el acceso del usuario permanezca igual independientemente de cuántas veces cambie el dominio de la cuenta del usuario. Esto sucede gracias a la propiedad SIDHistory. Cuando un usuario cambia los dominios, no es necesario cambiar la lista de control de acceso (ACL) en ningún recurso. Si una ACL tiene el SID antiguo del usuario, pero no el nuevo, el SID anterior sigue en el token de acceso del usuario. Se muestra entre los SID de los grupos del usuario y se concede o deniega el acceso al usuario en función del SID anterior.

SID conocidos

Los valores de ciertos SID son constantes en todos los sistemas. Se crean cuando se instala el sistema operativo o el dominio. Se denominan SID conocidos porque identifican usuarios genéricos o grupos genéricos.

Hay SID conocidos universales que son significativos en todos los sistemas seguros que usan este modelo de seguridad, incluidos los sistemas operativos distintos de Windows. Además, hay SID conocidos que solo son significativos en sistemas operativos de Windows.

Los SID conocidos universales se enumeran en la tabla siguiente:

Valor SID conocido universal Identifica
S-1-0-0 SID nulo Grupo sin miembros. Esto se usa a menudo cuando no se conoce un valor de SID.
S-1-1-0 World Grupo que incluye todos los usuarios.
S-1-2-0 Local Usuarios que inician sesión en terminales que están conectados localmente (físicamente) al sistema.
S-1-2-1 Inicio de sesión de la consola Grupo que incluye usuarios que han iniciado sesión en la consola física.
S-1-3-0 Id. de Creador Propietario Identificador de seguridad que se va a reemplazar por el identificador de seguridad del usuario que creó un nuevo objeto. Este SID se usa en entradas de control de acceso (ACE) herederas.
S-1-3-1 Id. de grupo de Creador Identificador de seguridad que se va a reemplazar por el SID de grupo principal del usuario que creó un nuevo objeto. Use este SID en ACE herederas.
S-1-3-2 Servidor de propietario Marcador de posición en una ACE que se puede heredar. Cuando se hereda la ACE, el sistema reemplaza este SID por el SID para el servidor de propietario del objeto y almacena información sobre el creador de un objeto o archivo determinado.
S-1-3-3 Servidor de grupo Marcador de posición en una ACE que se puede heredar. Cuando se hereda la ACE, el sistema reemplaza este SID por el SID para el servidor de grupo del objeto y almacena información sobre los grupos que tienen permiso para trabajar con el objeto.
S-1-3-4 Derechos de propietario Grupo que representa el propietario actual del objeto. Cuando una ACE que lleva este SID se aplica a un objeto, el sistema ignora los permisos READ_CONTROL y WRITE_DAC implícitos para el propietario del objeto.
S-1-4 Autoridad no única SID que representa una entidad de identificador.
S-1-5 NT Authority (NT AUTHORITY) SID que representa una entidad de identificador.
S-1-5-80-0 Todos los servicios Grupo que incluye todos los procesos de servicio configurados en el sistema. El sistema operativo controla la pertenencia.

En la tabla siguiente se enumeran las constantes de entidad de identificador predefinidas. Los cuatro primeros valores se usan con SID conocidos universales y el resto de los valores se usan con SID conocidos en los sistemas operativos Windows de la lista "Se aplica a" al principio del artículo.

Entidad de identificador Valor Prefijo de cadena de SID
SECURITY_NULL_SID_AUTHORITY 0 S-1-0
SECURITY_WORLD_SID_AUTHORITY 1 S-1-1
SECURITY_LOCAL_SID_AUTHORITY 2 S-1-2
SECURITY_CREATOR_SID_AUTHORITY 3 S-1-3
SECURITY_NT_AUTHORITY 5 S-1-5
SECURITY_AUTHENTICATION_AUTHORITY 18 S-1-18

Los siguientes valores RID se usan con SID conocidos universales. La columna Entidad de identificador muestra el prefijo de la entidad de identificador con la que puede combinar el RID para crear un SID conocido universal.

Entidad de identificador relativa Valor Entidad de identificador
SECURITY_NULL_RID 0 S-1-0
SECURITY_WORLD_RID 0 S-1-1
SECURITY_LOCAL_RID 0 S-1-2
SECURITY_CREATOR_OWNER_RID 0 S-1-3
SECURITY_CREATOR_GROUP_RID 1 S-1-3

La entidad de identificador predefinida SECURITY_NT_AUTHORITY (S-1-5) genera SID que no son universales y solo son significativas en las instalaciones de los sistemas operativos Windows de la lista "Se aplica a" al principio de este artículo.

Los SID conocidos se enumeran en la tabla siguiente:

SID Nombre para mostrar Descripción
S-1-5-1 Dialup (DIALUP) Un grupo que incluye a todos los usuarios que han iniciado sesión en el sistema mediante la conexión de acceso telefónico.
S-1-5-113 Cuenta local Puede usar este SID al restringir el inicio de sesión de red a cuentas locales en lugar de "administrador" o equivalente. Este SID puede ser eficaz al bloquear el inicio de sesión de red para usuarios y grupos locales por tipo de cuenta, independientemente de su nombre.
S-1-5-114 Cuenta local y miembro del grupo Administradores Puede usar este SID al restringir el inicio de sesión de red a cuentas locales en lugar de "administrador" o equivalente. Este SID puede ser eficaz al bloquear el inicio de sesión de red para usuarios y grupos locales por tipo de cuenta, independientemente de su nombre.
S-1-5-2 Red Un grupo que incluye a todos los usuarios que han iniciado sesión a través de una conexión de red. Los tokens de acceso para los usuarios interactivos no contienen el SID de red.
S-1-5-3 Batch Un grupo que incluye a todos los usuarios que han iniciado sesión mediante la instalación de cola por lotes, como los trabajos del programador de tareas.
S-1-5-4 Interactive Un grupo que incluye a todos los usuarios que inician sesión de forma interactiva. Un usuario puede iniciar una sesión de inicio de sesión interactiva abriendo una conexión de Servicios de Escritorio remoto desde un equipo remoto o mediante un shell remoto, como Telnet. En cada caso, el token de acceso del usuario contiene el SID interactivo. Si el usuario inicia sesión con una conexión a Servicios de Escritorio remoto, el token de acceso del usuario también contiene el SID de inicio de sesión interactivo remoto.
S-1-5-5- X-Y Sesión de inicio Los valores X e Y de estos SID identifican de forma única una sesión de inicio de sesión determinada.
S-1-5-6 Servicio Un grupo que incluye todas las entidades de seguridad que han iniciado sesión como servicio.
S-1-5-7 Inicio de sesión anónimo Un usuario que se ha conectado al equipo sin proporcionar un nombre de usuario y una contraseña.
La identidad de inicio de sesión anónimo es diferente de la identidad que usa Internet Information Services (IIS) para el acceso web anónimo. IIS usa una cuenta real: de forma predeterminada, IUSR_ComputerName, para el acceso anónimo a los recursos de un sitio web. En sentido estricto, este acceso no es anónimo, ya que la entidad de seguridad se conoce aunque las personas no identificadas usen la cuenta. IUSR_ComputerName (o el nombre de la cuenta) tiene una contraseña e IIS inicia sesión en la cuenta cuando se inicia el servicio. Como resultado, el usuario "anónimo" de IIS es miembro de usuarios autenticados, pero el inicio de sesión anónimo no lo es.
S-1-5-8 Proxy Actualmente no se aplica: este SID no se usa.
S-1-5-9 Enterprise Domain Controllers Grupo que incluye todos los controladores de dominio de un bosque de dominios.
S-1-5-10 Propio Un marcador de posición de una ACE en un objeto de usuario, grupo o equipo en Active Directory. Cuando se conceden permisos propios, se conceden permisos a la entidad de seguridad que representa el objeto. Durante una comprobación de acceso, el sistema operativo reemplaza el SID propio por el SID de la entidad de seguridad representada por el objeto.
S-1-5-11 Usuarios autenticados Un grupo que incluye todos los usuarios y equipos con identidades que se han autenticado. Los usuarios autenticados no incluyen Invitado aunque la cuenta de invitado tenga una contraseña.
Este grupo incluye entidades de seguridad autenticadas de cualquier dominio de confianza, no solo el dominio actual.
S-1-5-12 Código restringido Una identidad que usa un proceso que se ejecuta en un contexto de seguridad restringido. En los sistemas operativos Windows y Windows Server, una directiva de restricción de software puede asignar uno de los tres niveles de seguridad al código:
Unrestricted
Restricted
Disallowed
Cuando el código se ejecuta en el nivel de seguridad restringido, el SID Restringido se agrega al token de acceso del usuario.
S-1-5-13 Usuario de Terminal Server Grupo que incluye a todos los usuarios que inician sesión en un servidor con servicios de Escritorio remoto habilitados.
S-1-5-14 Inicio de sesión remoto interactivo Grupo que incluye a todos los usuarios que inician sesión en el equipo mediante una conexión de escritorio remoto. Este grupo es un subconjunto del grupo Interactivo. Los tokens de acceso que contienen el SID de inicio de sesión remoto interactivo también contienen el SID interactivo.
S-1-5-15 This Organization (Esta compañía) Grupo que incluye a todos los usuarios de la misma organización. Solo se incluye con cuentas de Active Directory y solo se agrega mediante un controlador de dominio.
S-1-5-17 IUSR Cuenta que usa el usuario predeterminado de Internet Information Services (IIS).
S-1-5-18 Sistema (o LocalSystem) Identidad que usa localmente el sistema operativo y los servicios que están configurados para iniciar sesión como LocalSystem.
El sistema es un miembro oculto de los administradores. Es decir, cualquier proceso que se ejecute como sistema tiene el SID para el grupo de administradores integrados en su token de acceso.
Cuando un proceso que se ejecuta localmente como sistema accede a los recursos de red, lo hace mediante la identidad de dominio del equipo. Su token de acceso en el equipo remoto incluye el SID para la cuenta de dominio del equipo local más los SID para los grupos de seguridad de los que el equipo es miembro, como equipos de dominio y usuarios autenticados.
S-1-5-19 Entidad NT (LocalService) Una identidad que usan los servicios que son locales en el equipo, no necesita acceso local extenso y no necesita acceso de red autenticado. Los servicios que se ejecutan como LocalService acceden a los recursos locales como usuarios normales y acceden a los recursos de red como usuarios anónimos. Como resultado, un servicio que se ejecuta como LocalService tiene una autoridad significativamente menor que un servicio que se ejecuta como LocalSystem localmente y en la red.
S-1-5-20 Servicio de red Una identidad que usan los servicios que no necesitan acceso local extenso, pero que necesitan acceso de red autenticado. Los servicios que se ejecutan como NetworkService acceden a los recursos locales como usuarios normales y acceden a los recursos de red mediante la identidad del equipo. Como resultado, un servicio que se ejecuta como NetworkService tiene el mismo acceso de red que un servicio que se ejecuta como LocalSystem, pero ha reducido significativamente el acceso local.
S-1-5-domain-500 Administrador Cuenta de usuario para el administrador del sistema. Cada equipo tiene una cuenta de administrador local y cada dominio tiene una cuenta de administrador de dominio.
La cuenta de administrador es la primera cuenta creada durante la instalación del sistema operativo. La cuenta no se puede eliminar, deshabilitar ni bloquear, pero se puede cambiar el nombre.
De forma predeterminada, la cuenta de administrador es miembro del grupo Administradores y no se puede quitar de ese grupo.
S-1-5-domain-501 Invitado Cuenta de usuario para personas que no tienen cuentas individuales. Cada equipo tiene una cuenta de invitado local y cada dominio tiene una cuenta de invitado de dominio.
De forma predeterminada, Invitado es miembro de los grupos Todos e Invitados. La cuenta de invitado de dominio también es miembro de los grupos Invitados de dominio y Usuarios de dominio.
A diferencia del inicio de sesión anónimo, Invitado es una cuenta real y se puede usar para iniciar sesión de forma interactiva. La cuenta de invitado no requiere una contraseña, pero puede tener una.
S-1-5-domain-502 KRBTGT Una cuenta de usuario que usa el servicio Centro de distribución de claves (KDC). La cuenta solo existe en controladores de dominio.
S-1-5-domain-512 Admins. del dominio Un grupo global con miembros autorizados para administrar el dominio. De forma predeterminada, el grupo Administradores de dominio es miembro del grupo Administradores en todos los equipos que se han unido al dominio, incluidos los controladores de dominio.
Administradores de dominio es el propietario predeterminado de cualquier objeto creado en el dominio de Active Directory por cualquier miembro del grupo. Si los miembros del grupo crean otros objetos, como archivos, el propietario predeterminado es el grupo Administradores.
S-1-5-domain-513 Usuarios de dominio Un grupo global que incluye a todos los usuarios de un dominio. Al crear un nuevo objeto User en Active Directory, el usuario se agrega automáticamente a este grupo.
S-1-5-domain-514 Invitados del dominio Un grupo global que, de forma predeterminada, tiene solo un miembro: la cuenta de invitado integrada del dominio.
S-1-5-domain-515 Equipos del dominio Un grupo global que incluye todos los equipos que se han unido al dominio, excepto los controladores de dominio.
S-1-5-domain-516 Controladores de dominio Un grupo global que incluye todos los controladores de dominio del dominio. Los nuevos controladores de dominio se agregan automáticamente a este grupo.
S-1-5-domain-517 Publicadores de certificados Un grupo global que incluye todos los equipos que hospedan una entidad de certificación empresarial.
Los publicadores de certificados están autorizados para publicar certificados para objetos User en Active Directory.
S-1-5-root domain-518 Administradores de esquema Grupo que solo existe en el dominio raíz del bosque. Es un grupo universal si el dominio está en modo nativo y es un grupo global si el dominio está en modo mixto. El grupo Administradores de esquema está autorizado para realizar cambios de esquema en Active Directory. De forma predeterminada, el único miembro del grupo es la cuenta Administrador del dominio raíz del bosque.
S-1-5-root domain-519 Administradores de empresas Grupo que solo existe en el dominio raíz del bosque. Es un grupo universal si el dominio está en modo nativo y es un grupo global si el dominio está en modo mixto.
El grupo Administradores de empresa está autorizado para realizar cambios en la infraestructura del bosque, como agregar dominios secundarios, configurar sitios, autorizar servidores DHCP e instalar entidades de certificación empresariales.
De forma predeterminada,el único miembro de Administradores de empresa es la cuenta Administrador del dominio raíz del bosque. El grupo es un miembro predeterminado de todos los grupos Administradores de dominio del bosque.
S-1-5-domain-520 Propietarios del creador de directivas de grupo Un grupo global autorizado para crear nuevos objetos de directiva de grupo en Active Directory. De forma predeterminada, el único miembro del grupo es Administrador.
Los objetos creados por los miembros de Propietarios del creador de directiva de grupo son propiedad del usuario individual que los crea. De este modo, el grupo Propietarios del creador de directiva de grupo es diferente a otros grupos administrativos (como Administradores y Administradores de dominio). Los objetos creados por los miembros de estos grupos son propiedad del grupo en lugar del individuo.
S-1-5-dominio-521 Controladores de dominio de solo lectura Un grupo global que incluye todos los controladores de dominio de solo lectura.
S-1-5-dominio-522 Controladores que pueden clonarse Un grupo global que incluye todos los controladores de dominio del dominio que se puede clonar.
S-1-5-dominio-525 Usuarios protegidos Un grupo global al que se conceden protecciones adicionales contra amenazas de seguridad de autenticación.
S-1-5-dominio raíz-526 Administradores de claves Este grupo está pensado para su uso en escenarios en los que las autoridades externas de confianza son las responsables de modificar este atributo. Solo los administradores de confianza deben ser miembros de este grupo.
S-1-5-dominio-527 Administradores clave Enterprise Este grupo está pensado para su uso en escenarios en los que las autoridades externas de confianza son las responsables de modificar este atributo. Solo los administradores de empresa de confianza deben ser miembros de este grupo.
S-1-5-32-544 Administradores Un grupo integrado. Después de la instalación inicial del sistema operativo, el único miembro del grupo es la cuenta Administrador. Cuando un equipo se une a un dominio, el grupo Administradores de dominio se agrega al grupo Administradores. Cuando un servidor se convierte en un controlador de dominio, el grupo Administradores de empresa también se agrega al grupo Administradores.
S-1-5-32-545 Usuarios Un grupo integrado. Después de la instalación inicial del sistema operativo, el único miembro es el grupo Usuarios autenticados.
S-1-5-32-546 Invitados Un grupo integrado. De forma predeterminada, el único miembro es la cuenta Invitado. El grupo Invitados permite que los usuarios ocasionales o únicos inicien sesión con privilegios limitados en la cuenta de invitado integrada de un equipo.
S-1-5-32-547 Usuarios avanzados Un grupo integrado. De forma predeterminada, este grupo no tiene miembros. Los usuarios avanzados pueden crear usuarios y grupos locales; modificar y eliminar cuentas que han creado; y quitar usuarios de los grupos Usuarios avanzados, Usuarios e Invitados. Los usuarios avanzados también pueden instalar programas; crear, administrar y eliminar impresoras locales; y crear y eliminar recursos compartidos de archivos.
S-1-5-32-548 Operadores de cuentas Un grupo integrado que solo existe en controladores de dominio. De forma predeterminada, este grupo no tiene miembros. De forma predeterminada, los operadores de cuenta tienen permiso para crear, modificar y eliminar cuentas para usuarios, grupos y equipos en todos los contenedores y unidades organizativas de Active Directory, excepto el contenedor Builtin y la unidad organizativa de controladores de dominio. Los operadores de cuenta no tienen permiso para modificar los grupos Administradores y Administradores del dominio, ni para modificar las cuentas de los miembros de tales grupos.
S-1-5-32-549 Operadores de servidores Descripción: Grupo integrado que solo existe en controladores de dominio. De forma predeterminada, este grupo no tiene miembros. Los operadores de servidor pueden iniciar sesión en un servidor de forma interactiva; crear y eliminar recursos compartidos de red; iniciar y detener servicios; realizar copias de seguridad y restaurar archivos; dar formato al 0disco duro del equipo y apagar el ordenador.
S-1-5-32-550 Operadores de impresión Un grupo integrado que solo existe en controladores de dominio. De forma predeterminada, el único miembro es el grupo Usuarios del dominio. Los operadores de impresión pueden administrar impresoras y colas de documentos.
S-1-5-32-551 Operadores de copias de seguridad Un grupo integrado. De forma predeterminada, este grupo no tiene miembros. Los operadores de copia de seguridad pueden hacer copias de seguridad y restaurar archivos de un equipo, independientemente de los permisos que protejan dichos archivos. Los operadores de copia de seguridad también pueden iniciar sesión en el equipo y apagarlo.
S-1-5-32-552 Replicadores Un grupo integrado que usa el servicio de replicación de archivos en controladores de dominio. De forma predeterminada, este grupo no tiene miembros. No agregue usuarios a este grupo.
S-1-5-domain-553 Servidores RAS e IAS Un grupo de dominios local. De forma predeterminada, este grupo no tiene miembros. Los equipos que ejecutan el servicio de enrutamiento y acceso remoto se agregan automáticamente al grupo.
Los miembros de este grupo tienen acceso a determinadas propiedades de objetos User, como Leer restricciones de cuenta, Leer información de inicio de sesión y Leer información de acceso remoto.
S-1-5-32-554 Builtin\Acceso compatible con versiones anteriores a Windows 2000 Alias agregado por Windows 2000. Un grupo de compatibilidad con versiones anteriores que permite el acceso de lectura en todos los usuarios y grupos del dominio.
S-1-5-32-555 Builtin\Usuarios de Escritorio remoto Un alias. A los miembros de este grupo se les concede el derecho de iniciar sesión de forma remota.
S-1-5-32-556 Builtin\Operadores de configuración de red Un alias. Los miembros de este grupo pueden tener algunos privilegios administrativos para administrar la configuración de las características de red.
S-1-5-32-557 Builtin\Generadores de confianza de bosque de entrada Un alias. Los miembros de este grupo pueden crear confianzas unidireccionales entrantes en este bosque.
S-1-5-32-558 Builtin\Usuarios de supervisión de rendimiento Un alias. Los miembros de este grupo tienen acceso remoto para supervisar este equipo.
S-1-5-32-559 Builtin\Usuarios del registro de rendimiento Un alias. Los miembros de este grupo tienen acceso remoto para programar un registro de contadores de rendimiento en este equipo.
S-1-5-32-560 Builtin\Grupo de acceso de autorización de Windows Un alias. Los miembros de este grupo tienen acceso al atributo tokenGroupsGlobalAndUniversal calculado en objetos User.
S-1-5-32-561 Builtin\Servidores de licencias de Terminal Server Un alias. Un grupo para Servidores de licencias de Terminal Server. Cuando se instala Windows Server 2003 Service Pack 1, se crea un nuevo grupo local.
S-1-5-32-562 Builtin\Usuarios de COM distribuido Un alias. Un grupo para que COM proporcione controles de acceso para todo el equipo que rige el acceso a todas las solicitudes de llamada, activación o inicio en el equipo.
S-1-5-32-568 Builtin\IIS_IUSRS Un alias. Una cuenta de grupo integrada para los usuarios de IIS.
S-1-5-32-569 Builtin\Operadores criptográficos Un grupo local integrado. Los miembros están autorizados a realizar operaciones criptográficas.
S-1-5-dominio-571 Grupo con permiso para replicar contraseñas en RODC Los miembros de este grupo pueden tener sus contraseñas repetidas en todos los controladores de dominio de solo lectura del dominio.
S-1-5-dominio-572 Grupo sin permiso para replicar contraseñas en RODC Los miembros de este grupo no pueden replicar sus contraseñas en todos los controladores de dominio de sólo lectura del dominio.
S-1-5-32-573 Builtin\Lectores del registro de eventos Un grupo local integrado. Los miembros de este grupo pueden leer los registros de eventos de un equipo local.
S-1-5-32-574 Builtin\Acceso DCOM del servicio de certificados Un grupo local integrado. Los miembros de este grupo pueden conectarse a las entidades de certificación de la empresa.
S-1-5-32-575 Builtin\Servidores de acceso remoto RDS Un grupo local integrado. Los servidores de este grupo permiten a los usuarios de programas RemoteApp y escritorios virtuales personales acceder a estos recursos. En las implementaciones accesibles desde Internet, estos servidores normalmente se implementan en una red perimetral. Este grupo debe rellenarse en servidores que ejecutan el Agente de conexión a Escritorio remoto. Los servidores de puerta de enlace de Escritorio remoto y los servidores de Acceso web de Escritorio remoto usados en la implementación deben estar en este grupo.
S-1-5-32-576 Builtin\Servidores de punto de conexión RDS Un grupo local integrado. Los servidores de este grupo ejecutan máquinas virtuales y hospedan sesiones donde se ejecutan los programas RemoteApp y los escritorios virtuales personales de los usuarios. Este grupo debe rellenarse en servidores que ejecutan el Agente de conexión a Escritorio remoto. Los servidores host de sesión de Escritorio remoto y los servidores host de virtualización de Escritorio remoto que se usan en la implementación deben estar en este grupo.
S-1-5-32-577 Builtin\Servidores de administración RDS Un grupo local integrado. Los servidores de este grupo pueden realizar acciones administrativas rutinarias en servidores que ejecutan Servicios de Escritorio remoto. Este grupo debe rellenarse en todos los servidores de una implementación de Servicios de Escritorio remoto. Los servidores que ejecutan el servicio de administración central de RDS deben incluirse en este grupo.
S-1-5-32-578 Builtin\Administradores de Hyper-V Un grupo local integrado. Los miembros de este grupo tienen acceso completo y sin restricciones a todas las características de Hyper-V.
S-1-5-32-579 Builtin\Operadores de asistencia de control de acceso Un grupo local integrado. Los miembros de este grupo pueden consultar de forma remota atributos y permisos de autorización para los recursos de este equipo.
S-1-5-32-580 Builtin\Usuarios de administración remota Un grupo local integrado. Los miembros de este grupo pueden acceder a los recursos de Instrumental de administración de Windows (WMI) mediante protocolos de administración (como WS-Management mediante el Servicio de administración remota de Windows). Esto solo se aplica a los espacios de nombres WMI que conceden acceso al usuario.
S-1-5-64-10 Autenticación NTLM SID que se usa cuando el paquete de autenticación NTLM autentica al cliente.
S-1-5-64-14 Autenticación SChannel SID que se usa cuando el paquete de autenticación SChannel autentica al cliente.
S-1-5-64-21 Autenticación implícita SID que se usa cuando el paquete de autenticación Digest autentica al cliente.
S-1-5-80 Servicio NT SID que se usa como prefijo de cuenta de servicio NT.
S-1-5-80-0 Todos los servicios Grupo que incluye todos los procesos de servicio configurados en el sistema. El sistema operativo controla la pertenencia. SID S-1-5-80-0 es igual a NT SERVICES\ALL SERVICES. Este SID se introdujo en Windows Server 2008 R2.
S-1-5-83-0 NT VIRTUAL MACHINE\Virtual Machines Un grupo integrado. El grupo se crea cuando se instala el rol de Hyper-V. El servicio de administración de Hyper-V (VMMS) mantiene la pertenencia al grupo. Este grupo requiere el derecho Crear vínculos simbólicos (SeCreateSymbolicLinkPrivilege) y el derecho Iniciar sesión como servicio (SeServiceLogonRight).

Los siguientes RID son relativos a cada dominio:

RID Valor decimal Identifica
DOMAIN_USER_RID_ADMIN 500 La cuenta de usuario administrativo de un dominio.
DOMAIN_USER_RID_GUEST 501 La cuenta de usuario invitado de un dominio. Los usuarios que no tienen una cuenta pueden iniciar sesión automáticamente en esta cuenta.
DOMAIN_GROUP_RID_USERS 513 Grupo que contiene todas las cuentas de usuario de un dominio. Todos los usuarios se agregan automáticamente a este grupo.
DOMAIN_GROUP_RID_GUESTS 514 La cuenta Invitado del grupo en un dominio.
DOMAIN_GROUP_RID_COMPUTERS 515 El grupo Equipo de dominio. Todos los equipos del dominio son miembros de este grupo.
DOMAIN_GROUP_RID_CONTROLLERS 516 El grupo Controlador de dominio. Todos los controladores de dominio del dominio son miembros de este grupo.
DOMAIN_GROUP_RID_CERT_ADMINS 517 Grupo de publicadores de certificados. Los equipos que ejecutan Servicios de certificados de Active Directory son miembros de este grupo.
DOMAIN_GROUP_RID_SCHEMA_ADMINS 518 El grupo de administradores de esquemas. Los miembros de este grupo pueden modificar el esquema de Active Directory.
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS 519 El grupo de administradores de empresa. Los miembros de este grupo tienen acceso total a todos los dominios en el bosque de Active Directory. Los administradores de empresa son responsables de las operaciones de nivel de bosque, como agregar o quitar nuevos dominios.
DOMAIN_GROUP_RID_POLICY_ADMINS 520 El grupo de administradores de directivas.

En la tabla siguiente se muestran ejemplos de RID relativos al dominio que se usan para formar SID conocidos para grupos locales:

RID Valor decimal Identifica
DOMAIN_ALIAS_RID_ADMINS 544 Administradores del dominio.
DOMAIN_ALIAS_RID_USERS 545 Todos los usuarios en el dominio.
DOMAIN_ALIAS_RID_GUESTS 546 Invitados del dominio.
DOMAIN_ALIAS_RID_POWER_USERS 547 Un usuario o un conjunto de usuarios que esperan tratar un sistema como si fuera su equipo personal en lugar de como una estación de trabajo para varios usuarios.
DOMAIN_ALIAS_RID_BACKUP_OPS 551 Un grupo local que se usa para controlar la asignación de derechos de usuario de copia de seguridad y restauración de archivos.
DOMAIN_ALIAS_RID_REPLICATOR 552 Un grupo local responsable de copiar bases de datos de seguridad desde el controlador de dominio principal a los controladores de dominio de copia de seguridad. Estas cuentas solo las usa el sistema.
DOMAIN_ALIAS_RID_RAS_SERVERS 553 Un grupo local que representa el acceso remoto y los servidores que ejecutan el Servicio de autenticación de Internet (IAS). Este grupo permite el acceso a varios atributos de objetos User.

Cambios en la funcionalidad del identificador de seguridad

Los cambios en la implementación del SID en los sistemas operativos Windows se describen en la tabla siguiente:

Change Versión del sistema operativo Descripción y recursos
La mayoría de los archivos del sistema operativo son propiedad del identificador de seguridad TrustedInstaller (SID) Windows Server 2008, Windows Vista El propósito de este cambio es evitar que un proceso que se ejecute como administrador o en la cuenta LocalSystem reemplace automáticamente los archivos del sistema operativo.
Se implementan comprobaciones de SID restringidas Windows Server 2008, Windows Vista Al restringir los SID, Windows realiza dos comprobaciones de acceso. La primera es la comprobación de acceso normal y la segunda es la misma comprobación de acceso con respecto a los SID de restricción del token. Ambas comprobaciones de acceso deben pasar para permitir que el proceso tenga acceso al objeto.

SID de funcionalidad

Los identificadores de seguridad de las funcionalidades se usan para identificar de forma única e inmutable las funcionalidades que representan un token de autoridad que no se puede olvidar, que concede acceso a los recursos (por ejemplo, documentos, cámara y ubicación) a aplicaciones universales de Windows. A una aplicación que tiene una funcionalidad se le concede acceso al recurso al que está asociada dicha funcionalidad, mientras que a la que no tiene una funcionalidad se le deniega el acceso al recurso.

Todos los SID de funcionalidad que el sistema operativo conoce se almacenan en el Registro de Windows en la ruta de acceso "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities". Todos los SID de funcionalidad que agreguen a Windows aplicaciones propias o de terceros se agregarán a esta ubicación.

Ejemplos de claves del registro tomadas de Windows 10, versión 1909, edición Enterprise de 64 bits

Es posible que vea las siguientes claves del registro en AllCachedCapabilities:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

Todos los SID de funcionalidad tienen el prefijo S-1-15-3.

Ejemplos de claves del registro tomadas de Windows 11, versión 21H2, edición Enterprise de 64 bits

Es posible que vea las siguientes claves del registro en AllCachedCapabilities:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

Todos los SID de funcionalidad tienen el prefijo S-1-15-3.

Consulte también