SIDs conhecidos
Identificadores de segurança ( SIDs) conhecidos identificam grupos genéricos e usuários genéricos. Por exemplo, existem SIDs bem conhecidos para identificar os seguintes grupos e usuários:
- Todos ou Mundo, que é um grupo que inclui todos os usuários.
- CREATOR_OWNER, que é usado como um espaço reservado em uma ACE herdável. Quando a ACE é herdada, o sistema substitui o SID CREATOR_OWNER pelo SID do criador do objeto.
- O grupo Administradores do domínio interno no computador local.
Existem SIDs universais bem conhecidos, que são significativos em todos os sistemas seguros que usam esse modelo de segurança, incluindo sistemas operacionais diferentes do Windows. Além disso, existem SIDs bem conhecidos que são significativos apenas em sistemas Windows.
A API do Windows define um conjunto de constantes para valores de autoridade de identificador conhecido e identificador relativo (RID). Você pode usar essas constantes para criar SIDs conhecidos. O exemplo a seguir combina as constantes SECURITY_WORLD_SID_AUTHORITY e SECURITY_WORLD_RID para mostrar o SID universal bem conhecido para o grupo especial que representa todos os usuários (Todos ou Mundo):
S-1-1-0
Este exemplo usa a notação de cadeia de caracteres para SIDs em que S identifica a cadeia de caracteres como um SID, o primeiro 1 é o nível de revisão do SID e os dois dígitos restantes são as constantes SECURITY_WORLD_SID_AUTHORITY e SECURITY_WORLD_RID.
Você pode usar a função AllocateAndInitializeSid para criar um SID combinando um valor de autoridade de identificador com até oito valores de subautoridade. Por exemplo, para determinar se o usuário conectado é membro de um determinado grupo conhecido, chame AllocateAndInitializeSid para criar um SID para o grupo conhecido e use a função EqualSid para comparar esse SID com os SIDs de grupo no token de acesso do usuário. Para obter um exemplo, consulte Procurando um SID em um token de acesso em C++. Você deve chamar a função FreeSid para liberar um SID alocado por AllocateAndInitializeSid.
O restante desta seção contém tabelas de SIDs conhecidos e tabelas de constantes de autoridade e subautoridade de identificador que você pode usar para criar SIDs conhecidos.
A seguir estão alguns SIDs universais bem conhecidos.
| SID universal conhecido | Identifica |
|---|---|
| SID nulo Valor da cadeia de caracteres: S-1-0-0 |
Um grupo sem membros. Isso geralmente é usado quando um valor SID não é conhecido. |
| World (Mundo) Valor da cadeia de caracteres: S-1-1-0 |
Um grupo que inclui todos os usuários. |
| Local Valor da cadeia de caracteres: S-1-2-0 |
Usuários que fazem logon em terminais conectados localmente (fisicamente) ao sistema. |
| ID do Proprietário Criador Valor da cadeia de caracteres: S-1-3-0 |
Um identificador de segurança a ser substituído pelo identificador de segurança do usuário que criou um objeto. Esse SID é usado em ACEs herdáveis. |
| ID do Grupo de Criadores Valor da cadeia de caracteres: S-1-3-1 |
Um identificador de segurança a ser substituído pelo SID do grupo primário do usuário que criou um objeto. Use esse SID em ACEs herdáveis. |
A tabela a seguir lista as constantes de autoridade de identificador predefinidas. Os quatro primeiros valores são usados com SIDs universais bem conhecidos; o último valor é usado com SIDs conhecidos do Windows.
| Autoridade de identificador | Valor | Valor da cadeia de caracteres |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 |
S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 |
S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 |
S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 |
S-1-3 |
| SECURITY_NT_AUTHORITY | 5 |
S-1-5 |
Os seguintes valores de RID são usados com SIDs universais bem conhecidos. A coluna Autoridade de identificador mostra o prefixo da autoridade de identificador com a qual você pode combinar o RID para criar um SID universal conhecido.
| Autoridade de identificador relativo | Valor | Valor da cadeia de caracteres |
|---|---|---|
| SECURITY_NULL_RID | 0 |
S-1-0 |
| SECURITY_WORLD_RID | 0 |
S-1-1 |
| SECURITY_LOCAL_RID | 0 |
S-1-2 |
| SECURITY_LOCAL_LOGON_RID | 1 |
S-1-2 |
| SECURITY_CREATOR_OWNER_RID | 0 |
S-1-3 |
| SECURITY_CREATOR_GROUP_RID | 1 |
S-1-3 |
A autoridade de identificador predefinida SECURITY_NT_AUTHORITY (S-1-5) produz SIDs que não são universais, mas são significativos apenas em instalações do Windows. Você pode usar os seguintes valores de RID com SECURITY_NT_AUTHORITY para criar SIDs conhecidos.
| Constante | Identifica |
|---|---|
| SECURITY_DIALUP_RID Valor da cadeia de caracteres: S-1-5-1 |
Usuários que fazem logon em terminais usando um modem dial-up. Este é um identificador de grupo. |
| SECURITY_NETWORK_RID Valor da cadeia de caracteres: S-1-5-2 |
Usuários que fazem logon em uma rede. Esse é um identificador de grupo adicionado ao token de um processo quando foi conectado ao longo de uma rede. O tipo de logon correspondente é LOGON32_LOGON_NETWORK. |
| SECURITY_BATCH_RID Valor da cadeia de caracteres: S-1-5-3 |
Usuários que fazem logon usando um recurso de fila de lotes. Este é um identificador de grupo adicionado ao token de um processo quando ele foi registrado como um trabalho em lote. O tipo de logon correspondente é LOGON32_LOGON_BATCH. |
| SECURITY_INTERACTIVE_RID Valor da cadeia de caracteres: S-1-5-4 |
Usuários que fazem logon para operação interativa. Esse é um identificador de grupo adicionado ao token de um processo quando foi conectado interativamente. O tipo de logon correspondente é LOGON32_LOGON_INTERACTIVE. |
| SECURITY_LOGON_IDS_RID Valor da cadeia de caracteres: S-1-5-5-*X*-*Y* |
Uma sessão de logon. Isso é usado para garantir que somente os processos em uma determinada sessão de logon possam obter acesso aos objetos window-station dessa sessão. Os valores X e Y para esses SIDs são diferentes para cada sessão de logon. O valor SECURITY_LOGON_IDS_RID_COUNT é o número de RIDs nesse identificador (5-X- Y). |
| SECURITY_SERVICE_RID Valor da cadeia de caracteres: S-1-5-6 |
Contas autorizadas a fazer logon como um serviço. Esse é um identificador de grupo adicionado ao token de um processo quando foi registrado como um serviço. O tipo de logon correspondente é LOGON32_LOGON_SERVICE. |
| SECURITY_ANONYMOUS_LOGON_RID Valor da cadeia de caracteres: S-1-5-7 |
Logon anônimo ou logon de sessão nulo. |
| SECURITY_PROXY_RID Valor da cadeia de caracteres: S-1-5-8 |
Procuração. |
| SECURITY_ENTERPRISE_CONTROLLERS_RID Valor da cadeia de caracteres: S-1-5-9 |
Controladores corporativos. |
| SECURITY_PRINCIPAL_SELF_RID Valor da cadeia de caracteres: S-1-5-10 |
O identificador de segurança PRINCIPAL_SELF pode ser usado na ACL de um objeto de usuário ou grupo. Durante uma verificação de acesso, o sistema substitui o SID pelo SID do objeto. O SID PRINCIPAL_SELF é útil para especificar uma ACE hereditária que se aplica ao objeto de usuário ou grupo que herda a ACE. É a única maneira de representar o SID de um objeto criado no descritor de segurança padrão do esquema. |
| SECURITY_AUTHENTICATED_USER_RID Valor da cadeia de caracteres: S-1-5-11 |
Os usuários autenticados. |
| SECURITY_RESTRICTED_CODE_RID Valor da cadeia de caracteres: S-1-5-12 |
Código restrito |
| SECURITY_TERMINAL_SERVER_RID Valor da cadeia de caracteres: S-1-5-13 |
Serviços de Terminal. Adicionado automaticamente ao token de segurança de um usuário que faz logon em um servidor de terminal. |
| SECURITY_LOCAL_SYSTEM_RID Valor da cadeia de caracteres: S-1-5-18 |
Uma conta especial usada pelo sistema operacional. |
| SECURITY_NT_NON_UNIQUE Valor da cadeia de caracteres: S-1-5-21 |
Os SMSL não são únicos. |
| SECURITY_BUILTIN_DOMAIN_RID Valor da cadeia de caracteres: S-1-5-32 |
O domínio interno do sistema. |
| SECURITY_WRITE_RESTRICTED_CODE_RID Valor da cadeia de caracteres: S-1-5-33 |
Escrever código restrito. |
Os RIDs a seguir são relativos a cada domínio.
| RID | Identifica |
|---|---|
| DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP Valor: 0x0000023E |
O grupo de usuários que pode se conectar a autoridades de certificação usando o DCOM (Distributed Component Object Model). |
| DOMAIN_USER_RID_ADMIN Valor: 0x000001F4 |
A conta de usuário administrativa em um domínio. |
| DOMAIN_USER_RID_GUEST Valor: 0x000001F5 |
A conta de usuário convidado em um domínio. Os usuários que não têm uma conta podem fazer logon automaticamente nessa conta. |
| DOMAIN_GROUP_RID_ADMINS Valor: 0x00000200 |
O grupo de administradores de domínio. Essa conta existe apenas em sistemas que executam sistemas operacionais de servidor. |
| DOMAIN_GROUP_RID_USERS Valor: 0x00000201 |
Um grupo que contém todas as contas de usuário de um domínio. Todos os usuários são automaticamente adicionados a esse grupo. |
| DOMAIN_GROUP_RID_GUESTS Valor: 0x00000202 |
A conta do grupo convidado em um domínio. |
| DOMAIN_GROUP_RID_COMPUTERS Valor: 0x00000203 |
O grupo de computadores do domínio. Todos os computadores do domínio são membros desse grupo. |
| DOMAIN_GROUP_RID_CONTROLLERS Valor: 0x00000204 |
O grupo de controladores de domínio. Todos os DCs no domínio são membros desse grupo. |
| DOMAIN_GROUP_RID_CERT_ADMINS Valor: 0x00000205 |
O grupo de editores de certificados. Os computadores que executam os Serviços de Certificados são membros desse grupo. |
| DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS Valor: 0x000001F2 |
O grupo de controladores de domínio somente leitura corporativos. |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS Valor: 0x00000206 |
O grupo de administradores de esquema. Os membros desse grupo podem modificar o esquema do Active Directory. |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS Valor: 0x00000207 |
O grupo de administradores corporativos. Os membros desse grupo têm acesso completo a todos os domínios da floresta do Active Directory. Os administradores corporativos são responsáveis por operações de nível de floresta, como adicionar ou remover novos domínios. |
| DOMAIN_GROUP_RID_POLICY_ADMINS Valor: 0x00000208 |
O grupo de administradores de diretiva. |
| DOMAIN_GROUP_RID_READONLY_CONTROLLERS Valor: 0x00000209 |
O grupo de controladores de domínio somente leitura |
| DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS Valor: 0x0000020A |
O grupo de controladores de domínio clonáveis. |
| DOMAIN_GROUP_RID_CDC_RESERVED Valor: 0x0000020C |
O grupo CDC reservado. |
| DOMAIN_GROUP_RID_PROTECTED_USERS Valor: 0x0000020D |
O grupo de usuários protegidos. |
| DOMAIN_GROUP_RID_KEY_ADMINS Valor: 0x0000020E |
O grupo de administradores de chave. |
| DOMAIN_GROUP_RID_ENTERPRISE_KEY_ADMINS Valor: 0x0000020F |
O grupo de administradores de chave corporativa. |
Os RIDs a seguir são usados para especificar o nível de integridade obrigatório.
| RID | Valor | Identifica |
|---|---|---|
| SECURITY_MANDATORY_UNTRUSTED_RID | 0x00000000 |
Untrusted. |
| SECURITY_MANDATORY_LOW_RID | 0x00001000 |
Baixa integridade. |
| SECURITY_MANDATORY_MEDIUM_RID | 0x00002000 |
Integridade média. |
| SECURITY_MANDATORY_MEDIUM_PLUS_RID | SECURITY_MANDATORY_MEDIUM_RID + 0x100 |
Integridade média alta. |
| SECURITY_MANDATORY_HIGH_RID | 0X00003000 |
Alta integridade. |
| SECURITY_MANDATORY_SYSTEM_RID | 0x00004000 |
Integridade do sistema. |
| SECURITY_MANDATORY_PROTECTED_PROCESS_RID | 0x00005000 |
Processo protegido. |
A tabela a seguir tem exemplos de RIDs relativos ao domínio que você pode usar para formar SIDs conhecidos para grupos locais (aliases). Para obter mais informações sobre grupos locais e globais, consulte Funções de grupo local e Funções de grupo.
| RID | Identifica |
|---|---|
| DOMAIN_ALIAS_RID_ADMINS Valor: 0x00000220Valor da cadeia de caracteres: S-1-5-32-544 |
Um grupo local usado para administração do domínio. |
| DOMAIN_ALIAS_RID_USERS Valor: 0x00000221Valor da cadeia de caracteres: S-1-5-32-545 |
Um grupo local que representa todos os usuários no domínio. |
| DOMAIN_ALIAS_RID_GUESTS Valor: 0x00000222Valor da cadeia de caracteres: S-1-5-32-546 |
Um grupo local que representa convidados do domínio. |
| DOMAIN_ALIAS_RID_POWER_USERS Valor: 0x00000223Valor da cadeia de caracteres: S-1-5-32-547 |
Um grupo local usado para representar um usuário ou conjunto de usuários que esperam tratar um sistema como se fosse seu computador pessoal, em vez de como uma estação de trabalho para vários usuários. |
| DOMAIN_ALIAS_RID_ACCOUNT_OPS Valor: 0x00000224Valor da cadeia de caracteres: S-1-5-32-548 |
Um grupo local que existe apenas em sistemas que executam sistemas operacionais de servidor. Esse grupo local permite o controle sobre contas de não administrador. |
| DOMAIN_ALIAS_RID_SYSTEM_OPS Valor: 0x00000225Valor da cadeia de caracteres: S-1-5-32-549 |
Um grupo local que existe apenas em sistemas que executam sistemas operacionais de servidor. Esse grupo local executa funções administrativas do sistema, não incluindo funções de segurança. Ele estabelece compartilhamentos de rede, controla impressoras, desbloqueia estações de trabalho e executa outras operações. |
| DOMAIN_ALIAS_RID_PRINT_OPS Valor: 0x00000226Valor da cadeia de caracteres: S-1-5-32-550 |
Um grupo local que existe apenas em sistemas que executam sistemas operacionais de servidor. Esse grupo local controla impressoras e filas de impressão. |
| DOMAIN_ALIAS_RID_BACKUP_OPS Valor: 0x00000227Valor da cadeia de caracteres: S-1-5-32-551 |
Um grupo local usado para controlar a atribuição de privilégios de backup e restauração de arquivos. |
| DOMAIN_ALIAS_RID_REPLICATOR Valor: 0x00000228Valor da cadeia de caracteres: S-1-5-32-552 |
Um grupo local responsável por copiar bancos de dados de segurança do controlador de domínio primário para os controladores de domínio de backup. Essas contas são usadas apenas pelo sistema. |
| DOMAIN_ALIAS_RID_RAS_SERVERS Valor: 0x00000229Valor da cadeia de caracteres: S-1-5-32-553 |
Um grupo local que representa servidores RAS e IAS. Esse grupo permite o acesso a vários atributos de objetos de usuário. |
| DOMAIN_ALIAS_RID_PREW2KCOMPACCESS Valor: 0x0000022AValor da cadeia de caracteres: S-1-5-32-554 |
Um grupo local que existe apenas em sistemas que executam o Windows 2000 Server. Para obter mais informações, consulte Permitindo acesso anônimo. |
| DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS Valor: 0x0000022BValor da cadeia de caracteres: S-1-5-32-555 |
Um grupo local que representa todos os usuários da área de trabalho remota. |
| DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS Valor: 0x0000022CValor da cadeia de caracteres: S-1-5-32-556 |
Um grupo local que representa a configuração de rede. |
| DOMAIN_ALIAS_RID_INCOMING_FOREST_TRUST_BUILDERS Valor: 0x0000022DValor da cadeia de caracteres: S-1-5-32-557 |
Um grupo local que representa qualquer usuário de confiança de floresta. |
| DOMAIN_ALIAS_RID_MONITORING_USERS Valor: 0x0000022EValor da cadeia de caracteres: S-1-5-32-558 |
Um grupo local que representa todos os usuários que estão sendo monitorados. |
| DOMAIN_ALIAS_RID_LOGGING_USERS Valor: 0x0000022FValor da cadeia de caracteres: S-1-5-32-559 |
Um grupo local responsável pelo registro em log de usuários. |
| DOMAIN_ALIAS_RID_AUTHORIZATIONACCESS Valor: 0x00000230Valor da cadeia de caracteres: S-1-5-32-560 |
Um grupo local que representa todo o acesso autorizado. |
| DOMAIN_ALIAS_RID_TS_LICENSE_SERVERS Valor: 0x00000231Valor da cadeia de caracteres: S-1-5-32-561 |
Um grupo local que existe apenas em sistemas que executam sistemas operacionais de servidor que permitem serviços de terminal e acesso remoto. |
| DOMAIN_ALIAS_RID_DCOM_USERS Valor: 0x00000232Valor da cadeia de caracteres: S-1-5-32-562 |
Um grupo local que representa usuários que podem usar o DCOM (Distributed Component Object Model). |
| DOMAIN_ALIAS_RID_IUSERS Valor: 0X00000238Valor da cadeia de caracteres: S-1-5-32-568 |
Um grupo local que representa os usuários da Internet. |
| DOMAIN_ALIAS_RID_CRYPTO_OPERATORS Valor: 0x00000239Valor da cadeia de caracteres: S-1-5-32-569 |
Um grupo local que representa o acesso a operadores de criptografia. |
| DOMAIN_ALIAS_RID_CACHEABLE_PRINCIPALS_GROUP Valor: 0x0000023BValor da cadeia de caracteres: S-1-5-32-571 |
Um grupo local que representa entidades que podem ser armazenadas em cache. |
| DOMAIN_ALIAS_RID_NON_CACHEABLE_PRINCIPALS_GROUP Valor: 0x0000023CValor da cadeia de caracteres: S-1-5-32-572 |
Um grupo local que representa entidades que não podem ser armazenadas em cache. |
| DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP Valor: 0x0000023DValor da cadeia de caracteres: S-1-5-32-573 |
Um grupo local que representa leitores de log de eventos. |
| DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP Valor: 0x0000023EValor da cadeia de caracteres: S-1-5-32-574 |
O grupo local de usuários que podem se conectar a autoridades de certificação usando o DCOM (Distributed Component Object Model). |
| DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_SERVERS Valor: 0x0000023FValor da cadeia de caracteres: S-1-5-32-575 |
Um grupo local que representa servidores de acesso remoto RDS. |
| DOMAIN_ALIAS_RID_RDS_ENDPOINT_SERVERS Valor: 0x00000240Valor da cadeia de caracteres: S-1-5-32-576 |
Um grupo local que representa servidores de ponto de extremidade. |
| DOMAIN_ALIAS_RID_RDS_MANAGEMENT_SERVERS Valor: 0x00000241Valor da cadeia de caracteres: S-1-5-32-577 |
Um grupo local que representa servidores de gerenciamento. |
| DOMAIN_ALIAS_RID_HYPER_V_ADMINS Valor: 0x00000242Valor da cadeia de caracteres: S-1-5-32-578 |
Um grupo local que representa administradores do hyper-v. |
| DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS Valor: 0x00000243Valor da cadeia de caracteres: S-1-5-32-579 |
Um grupo local que representa o OPS de assistência de controle de acesso. |
| DOMAIN_ALIAS_RID_REMOTE_MANAGEMENT_USERS Valor: 0x00000244Valor da cadeia de caracteres: S-1-5-32-580 |
Um grupo local que representa usuários de gerenciamento remoto. |
| DOMAIN_ALIAS_RID_DEFAULT_ACCOUNT Valor: 0x00000245Valor da cadeia de caracteres: S-1-5-32-581 |
Um grupo local que representa a conta padrão. |
| DOMAIN_ALIAS_RID_STORAGE_REPLICA_ADMINS Valor: 0x00000246Valor da cadeia de caracteres: S-1-5-32-582 |
Um grupo local que representa administradores de réplica de armazenamento. |
| DOMAIN_ALIAS_RID_DEVICE_OWNERS Valor: 0x00000247Valor da cadeia de caracteres: S-1-5-32-583 |
Um grupo local que representa pode fazer configurações esperadas para Proprietários de dispositivos. |
A enumeração WELL_KNOWN_SID_TYPE define a lista de SIDs comumente usados. Além disso, a linguagem de definição de descritor de segurança (SDDL) usa cadeias de caracteres SID para fazer referência a SIDs conhecidos em um formato de cadeia de caracteres.