Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como os SIDs (identificadores de segurança) funcionam com as contas e os grupos no sistema operacional Windows Server.
O que são SIDs?
Um SID é usado para identificar exclusivamente uma entidade de segurança ou um grupo de segurança. As entidades de segurança podem representar uma entidade que o sistema operacional seja capaz de autenticar. Os exemplos incluem uma conta de usuário, uma conta de computador, ou um thread ou processo executado no contexto de segurança de uma conta de usuário ou computador.
Cada conta ou grupo, ou cada processo executado no contexto de segurança da conta, tem um SID exclusivo emitido por uma autoridade, como um controlador de domínio do Windows. O SID é armazenado em um banco de dados de segurança. O sistema gera o SID que identifica uma conta ou um grupo específico no momento em que a conta ou o grupo é criado. Quando um SID é usado como identificador exclusivo de um usuário ou grupo, ele não pode ser reutilizado para identificar outro usuário ou grupo.
Sempre que um usuário entra, o sistema cria um token de acesso para esse usuário. O token de acesso contém o SID do usuário, os direitos de usuário e os SIDs de todos os grupos aos quais o usuário pertence. Esse token fornece o contexto de segurança para todas as ações executadas pelo usuário nesse computador.
Além dos SIDs específicos do domínio criados exclusivamente, atribuídos a usuários e grupos específicos, há SIDs conhecidos que identificam grupos e usuários genéricos. Por exemplo, os SIDs Todos e Mundo identificam um grupo que inclui todos os usuários. Os SIDs conhecidos têm valores que permanecem constantes em todos os sistemas operacionais.
Os SIDs são um bloco de construção fundamental do modelo de segurança do Windows. Eles trabalham com componentes específicos das tecnologias de autorização e controle de acesso na infraestrutura de segurança dos sistemas operacionais do Windows Server. Esse design ajuda a proteger o acesso a recursos de rede e oferece um ambiente de computação mais seguro.
Note
Esse conteúdo pertence somente às versões do Windows na lista "Aplica-se a" no início do artigo.
Como os SIDs funcionam
Os usuários se referem às contas pelo nome da conta. Internamente, o sistema operacional refere-se a contas e processos executados no contexto de segurança da conta usando SIDs. Para as contas de domínio, o SID de uma entidade de segurança é criado pela concatenação do SID do domínio com um RID (identificador relativo) da conta. Os SIDs são exclusivos no respectivo escopo (domínio ou local) e nunca são reutilizados.
O sistema operacional gera um SID que identifica uma conta ou um grupo específico no momento em que a conta ou o grupo é criado. Para uma conta ou grupo local, a LSA (Autoridade de Segurança Local) no computador gera o SID. O SID é armazenado com outras informações de conta em uma área segura do registro. Para uma conta ou grupo de domínio, a autoridade de segurança de domínio gera o SID. Esse tipo de SID é armazenado como um atributo do objeto Usuário ou Grupo no Active Directory Domain Services.
Para cada conta e grupo local, o SID é exclusivo para o computador em que ele é criado. Duas contas ou dois grupos no computador nunca compartilham o SID. Da mesma forma, para cada conta de domínio e grupo, o SID é exclusivo em uma empresa. Como resultado, o SID de uma conta ou grupo em um domínio nunca corresponde ao SID de uma conta ou grupo em outro domínio da empresa.
Os SIDs sempre permanecem exclusivos. As autoridades de segurança nunca emitem o mesmo SID duas vezes e nunca reutilizam os SIDs das contas excluídas. Por exemplo, se um usuário com uma conta de usuário em um domínio do Windows deixar o trabalho, um administrador excluirá a conta do Active Directory dele, incluindo o SID que identifica a conta. Se, posteriormente, ele retornar a um trabalho diferente na mesma empresa, um administrador criará outra conta e o sistema operacional Windows Server vai gerar um novo SID. O novo SID não corresponde ao antigo, ou seja, nenhum acesso do usuário da conta antiga é transferido para a nova conta. Ambas as contas representam dois princípios de segurança diferentes.
Arquitetura de SID
Um SID é uma estrutura de dados em formato binário contendo um número variável de valores. Os primeiros valores na estrutura contêm informações sobre a estrutura do SID. Os valores restantes são organizados em uma hierarquia (similar a um número de telefone) e identificam a autoridade emissora do SID (por exemplo, Autoridade NT), o domínio emissor do SID e uma entidade de segurança ou um grupo específico. A imagem a seguir ilustra a estrutura de um SID.
Os valores individuais de um SID são descritos na seguinte tabela:
| Component | Description |
|---|---|
| Revision | Indica a versão da estrutura do SID usada em um SID específico. |
| Autoridade de identificador | Identifica o nível mais alto de autoridade que pode emitir SIDs para um tipo específico de entidade de segurança. Por exemplo, o valor da autoridade de identificador no SID do grupo Todos é 1 (Autoridade Mundial). O valor da autoridade de identificador no SID para uma conta ou um grupo específico do Windows Server é 5 (Autoridade NT). |
| Subauthorities | Contém as informações mais importantes em um SID, que está contido em uma série de um ou mais valores de subautoridade. Todos os valores até, mas não incluindo, o último valor da série identificam coletivamente um domínio em uma empresa. Essa parte da série é chamada de identificador de domínio. O último valor da série, o RID, identifica uma conta ou um grupo específico em relação a um domínio. |
Os componentes de um SID são mais fáceis de serem visualizados quando os SIDs são convertidos de um binário para um formato de cadeia de caracteres usando a notação padrão:
S-R-X-Y1-Y2-Yn-1-Yn
Nessa notação, os componentes de um SID são descritos na seguinte tabela:
| Component | Description |
|---|---|
| S | Indica que a cadeia de caracteres é um SID |
| R | Indica o nível de revisão |
| X | Indica o valor da autoridade do identificador |
| Y | Representa uma série de valores de subautoridade, em que n é o número de valores |
As informações mais importantes do SID estão contidas na série de valores de subautoridade. A primeira parte da série (-Y1-Y2-Y-Yn-1) é o identificador de domínio. Esse elemento do SID torna-se significativo em uma empresa com diversos domínios. Especificamente, o identificador de domínio faz distinção entre os SIDs emitidos por um domínio e os SIDs emitidos por todos os demais domínios da empresa. Dois domínios em uma empresa não compartilham o identificador de domínio.
O último item na série de valores de sub-propriedade (-Yn) é o RID. Ele distingue uma conta ou um grupo de todas as outras contas e grupos do domínio. Não há duas contas ou grupos em um domínio que compartilhem o mesmo RID.
Por exemplo, o SID do grupo Administradores interno é representado na notação de SID padronizada como a seguinte cadeia de caracteres:
S-1-5-32-544
Esse SID tem quatro componentes:
- Um nível de revisão (1)
- Um valor de autoridade de identificador (5, Autoridade NT)
- Um identificador de domínio (32, Interno)
- Um RID (544, Administradores)
Os SIDs de contas e de grupos internos sempre têm o mesmo valor de identificador de domínio, 32. Esse valor identifica o domínio, Interno, que existe em todos os computadores que executam uma versão do sistema operacional Windows Server. Nunca é necessário distinguir as contas e os grupos internos de um computador das contas e dos grupos internos de outro computador, pois eles têm escopo local. Eles são locais para um único computador ou, com controladores de domínio para um domínio de rede, são locais para diversos computadores que atuam como um.
As contas e os grupos internos precisam ser diferenciados entre si no escopo do domínio Interno. Portanto, o SID de cada conta e grupo tem um RID exclusivo. Um valor RID de 544 é exclusivo para o grupo de Administradores interno. Nenhuma outra conta ou grupo no domínio Interno tem um SID com um valor final de 544.
Em outro exemplo, considere o SID para o grupo global, Administradores de Domínio. Cada domínio em uma empresa tem um grupo Administradores de Domínio, e o SID de cada grupo é diferente. O seguinte exemplo representa o SID do grupo Administradores de Domínio no domínio Contoso, Ltd. (Contoso\Administradores de Domínio):
S-1-5-21-1004336348-1177238915-682003330-512
O SID para Contoso\Administradores de Domínio tem os seguintes componentes:
- Um nível de revisão (1)
- Uma autoridade de identificador (5, Autoridade NT)
- Um identificador de domínio (21-1004336348-1177238915-682003330, Contoso)
- Um RID (512, Administradores de Domínio)
O SID de Contoso\Administradores de Domínio é diferenciado dos SIDs de outros grupos Administradores de Domínio na mesma empresa pelo identificador de domínio: 21-1004336348-1177238915-682003330. Nenhum outro domínio na empresa usa esse valor como o identificador de domínio. O SID para Contoso\Administradores de Domínio é diferenciado dos SIDs para outras contas e grupos criados no domínio da Contoso pelo RID, 512. Nenhuma outra conta ou grupo no domínio tem um SID com um valor final de 512.
Alocação rid
Quando contas e grupos são armazenados em um banco de dados de contas gerenciado por um SAM (Gerenciador de Contas de Segurança) local, é fácil para o sistema gerar um RID exclusivo para cada conta e grupo criado em um computador autônomo. O SAM em um computador autônomo pode controlar os valores de RID que ele usou e garantir que nunca mais utilize-os.
Mas, em um domínio de rede, a geração de RIDs exclusivos é um processo mais complexo. Os domínios de rede do Windows Server podem ter vários controladores de domínio. Cada controlador de domínio armazena informações da conta do Active Directory. Como resultado, em um domínio de rede, o número de cópias do banco de dados da conta corresponde ao número de controladores de domínio. Além disso, cada cópia do banco de dados da conta é uma cópia mestra.
Contas e grupos podem ser criados em qualquer controlador de domínio. As alterações feitas no Active Directory em um controlador de domínio são replicadas em todos os outros controladores de domínio do domínio. O processo de replicação de alterações em uma cópia mestra do banco de dados da conta para todas as outras cópias mestras é chamado de operação de vários mestres.
O processo de geração de RIDs exclusivos é uma operação de mestre único. Um controlador de domínio recebe a função de mestre RID e aloca uma sequência de RIDs para cada controlador de domínio no domínio. Quando uma conta de domínio ou um grupo é criado na réplica de um controlador de domínio do Active Directory, ele recebe um SID. O RID do novo SID é obtido a partir da alocação de RIDs do controlador de domínio. Quando o suprimento de RIDs começa a ser executado com pouca memória, o controlador de domínio solicita outro bloco do mestre RID.
Cada controlador de domínio usa cada valor em um bloco de RIDs apenas uma vez. O mestre RID aloca cada bloco de valores RID apenas uma vez. Esse processo garante que cada conta e grupo criado no domínio tenha um RID exclusivo.
SIDs e identificadores globais exclusivos
Quando uma conta de usuário ou um grupo de domínio é criado, o Active Directory armazena o SID da conta na propriedade ObjectSID de um objeto Usuário ou Grupo. Ele também atribui ao novo objeto um GUID (identificador global exclusivo), que é um valor de 128 bits exclusivo na empresa e em todo o mundo. Um GUID é atribuído a cada objeto criado pelo Active Directory, não apenas a objetos Usuário e Grupo. O GUID de cada objeto é armazenado na propriedade ObjectGUID.
O Active Directory usa GUIDs internamente para identificar objetos. Por exemplo, o GUID é uma das propriedades de um objeto que é publicada no catálogo global. A pesquisa de um GUID de objeto Usuário no catálogo global produzirá resultados se o usuário tiver uma conta em algum lugar da empresa. Na verdade, a pesquisa de qualquer objeto por ObjectGUID pode ser a maneira mais confiável de localizar o objeto que você deseja encontrar. Os valores de outras propriedades de objeto podem ser alterados, mas a propriedade ObjectGUID nunca é alterada. Quando um objeto recebe um GUID, ele mantém esse valor durante toda a vida útil.
Se um usuário passar de um domínio para outro, ele obterá um novo SID. O SID de um objeto group não é alterado, pois os grupos permanecem no domínio em que são criados. No entanto, se as pessoas mudarem, as respectivas contas poderão mudar com elas. Se um funcionário mudar da América do Norte para a Europa, mas permanecer na mesma empresa, um administrador da empresa poderá mover o objeto User do funcionário de, por exemplo, Contoso\NoAm para Contoso\Europe. Nesse caso, o objeto Usuário da conta precisa de um novo SID. A parte do identificador de domínio de um SID emitida na AmNor é exclusiva dela, ou seja, o SID da conta do usuário na Europa tem outro identificador de domínio. A parte RID de um SID é exclusiva em relação ao domínio; portanto, se o domínio mudar, o RID também será alterado.
Quando um objeto Usuário é movido de um domínio para outro, um novo SID precisa ser gerado para a conta de usuário e armazenado na propriedade ObjectSID. Antes que o novo valor seja gravado na propriedade, o valor anterior é copiado para outra propriedade de um objeto Usuário, SIDHistory. Essa propriedade pode conter vários valores. Cada vez que um objeto Usuário migra para outro domínio, um novo SID é gerado e armazenado na propriedade ObjectSID e outro valor é adicionado à lista de SIDs antigos no valor SIDHistory. Quando um usuário entra e é autenticado com êxito, o serviço de autenticação de domínio consulta o Active Directory para todos os SIDs associados ao usuário. A consulta inclui o SID atual, os SIDs antigos e os SIDs de grupos do usuário. Todos esses SIDs são retornados ao cliente de autenticação e incluídos no token de acesso do usuário. Quando o usuário tenta obter acesso a um recurso, um dos SIDs no token de acesso (inclusive um dos SIDs na propriedade SIDHistory) pode permitir ou negar o acesso do usuário.
Você pode permitir ou negar o acesso de usuários a um recurso com base em trabalhos. Mas você deve permitir ou negar o acesso a um grupo, não a um indivíduo. Dessa forma, quando os usuários mudam de trabalho ou se mudam para outros departamentos, você pode ajustar com facilidade o acesso deles removendo-os de determinados grupos e adicionando-os a outros.
No entanto, se você permitir ou negar o acesso de um usuário individual aos recursos, provavelmente, o ideal será que o acesso desse usuário permaneça o mesmo, independentemente de quantas vezes o domínio da conta do usuário mude. A propriedade SIDHistory permite que o acesso fique inalterado. Quando um usuário muda de domínio, não é necessário alterar a ACL (lista de controle de acesso) em nenhum recurso. Uma ACL pode ter o SID antigo do usuário, mas não o novo. Mas o SID antigo ainda está no token de acesso do usuário. Ele está listado entre os SIDs dos grupos do usuário, e o usuário recebe ou nega o acesso com base no SID antigo.
SIDs conhecidos
Os valores de alguns SIDs são constantes em todos os sistemas. Eles são criados quando o sistema operacional ou o domínio é instalado. São chamados de SIDs conhecidos, porque identificam usuários genéricos ou grupos genéricos.
Há SIDs universais conhecidos que são significativos em todos os sistemas seguros que usam esse modelo de segurança, incluindo sistemas operacionais diferentes do Windows. Além disso, há SIDs conhecidos que são significativos apenas em sistemas operacionais Windows.
A seguinte tabela lista os SIDs universais conhecidos:
| SID universal conhecido | Name | Identifies |
|---|---|---|
| S-1-0-0 | SID nulo | Um grupo sem membros. Esse valor costuma ser usado quando um valor SID é desconhecido. |
| S-1-1-0 | World | Um grupo que inclui todos os usuários. |
| S-1-2-0 | Local | Usuários que se conectam aos terminais que estão conectados localmente (fisicamente) ao sistema. |
| S-1-2-1 | Console Logon | Um grupo que inclui usuários que estão conectados ao console físico. |
| S-1-3-0 | ID do Proprietário Criador | Um SID a ser substituído pelo SID do usuário que cria um novo objeto. Esse SID é usado em ACEs (entradas de controle de acesso) herdadas. |
| S-1-3-1 | ID do Grupo de Criadores | Um SID a ser substituído pelo SID do grupo primário do usuário que cria um novo objeto. Use esse SID em ACEs herdáveis. |
| S-1-3-2 | Servidor proprietário | Um espaço reservado em uma ACE herdável. Quando a ACE é herdada, o sistema substitui esse SID pelo SID do servidor proprietário do objeto e armazena informações sobre quem criou um determinado objeto ou arquivo. |
| S-1-3-3 | Servidor de Grupo | Um espaço reservado em uma ACE herdável. Quando a ACE é herdada, o sistema substitui esse SID pelo SID do servidor de grupo do objeto. O sistema também armazena informações sobre os grupos com permissão para trabalhar com o objeto. |
| S-1-3-4 | Direitos de Proprietário | Um grupo que representa o proprietário atual do objeto. Quando uma ACE que carrega esse SID é aplicada a um objeto, o sistema ignora os direitos implícitos de acesso padrão READ_CONTROL e WRITE_DAC para o proprietário do objeto. |
| S-1-4 | Autoridade não exclusiva | Um SID que representa uma autoridade de identificador. |
| S-1-5 | Autoridade NT | Um SID que representa uma autoridade de identificador. |
| S-1-5-80-0 | Todos os Serviços | Um grupo que inclui todos os processos de serviço configurados no sistema. O sistema operacional controla a associação desse grupo. |
A tabela a seguir lista as constantes de autoridade de identificador predefinidas. Os quatro primeiros valores são usados com SIDs universais conhecidos, e o restante dos valores é usado com SIDs conhecidos nos sistemas operacionais Windows na lista "Aplica-se a" no início do artigo.
| Autoridade de identificador | Value | Prefixo de cadeia de caracteres do SID |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 | S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 | S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 | S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 | S-1-3 |
| SECURITY_NT_AUTHORITY | 5 | S-1-5 |
| SECURITY_AUTHENTICATION_AUTHORITY | 18 | S-1-18 |
Os valores do RID a seguir são usados com os SIDs universais conhecidos. A coluna de autoridade identificador mostra o prefixo da autoridade de identificador com a qual você pode combinar o RID para criar um SID universal conhecido.
| Autoridade RID | Value | Autoridade de identificador |
|---|---|---|
| SECURITY_NULL_RID | 0 | S-1-0 |
| SECURITY_WORLD_RID | 0 | S-1-1 |
| SECURITY_LOCAL_RID | 0 | S-1-2 |
| SECURITY_CREATOR_OWNER_RID | 0 | S-1-3 |
| SECURITY_CREATOR_GROUP_RID | 1 | S-1-3 |
A autoridade identificadora predefinida SECURITY_NT_AUTHORITY (S-1-5) gera SIDs que não são universais. Esses SIDs são significativos apenas em instalações de sistemas operacionais Windows na lista "Aplica-se a" no início deste artigo.
A seguinte tabela lista os SIDs conhecidos:
| SID | Nome de exibição | Description |
|---|---|---|
| S-1-5-1 | Dialup | Um grupo que inclui todos os usuários que estão conectados ao sistema por meio da conexão discada. |
| S-1-5-113 | Conta local | Um SID a ser usado ao restringir a entrada de rede a contas locais, e não a contas de administrador ou equivalentes. Esse SID pode ser eficaz no bloqueio da entrada de rede para usuários e grupos locais por tipo de conta, seja qual for o nome. |
| S-1-5-114 | Conta local e membro do grupo Administradores | Um SID a ser usado ao restringir a entrada de rede a contas locais, e não a contas de administrador ou equivalentes. Esse SID pode ser eficaz no bloqueio da entrada de rede para usuários e grupos locais por tipo de conta, seja qual for o nome. |
| S-1-5-2 | Network | Um grupo que inclui todos os usuários que estão conectados por meio de uma conexão de rede. Os tokens de acesso para usuários interativos não contêm o SID de Rede. |
| S-1-5-3 | Lote | Um grupo que inclui todos os usuários que se conectaram via recurso de fila de lotes, como trabalhos do agendador de tarefas. |
| S-1-5-4 | Interactive | Um grupo que inclui todos os usuários que se conectarem de maneira interativa. Um usuário pode iniciar uma sessão de entrada interativa abrindo uma conexão dos Serviços de Área de Trabalho Remota de um computador remoto ou usando um shell remoto, como o Telnet. Em cada caso, o token de acesso do usuário contém o SID Interativo. Se o usuário se conectar usando uma conexão dos Serviços de Área de Trabalho Remota, o token de acesso do usuário também conterá o SID de Logon Interativo Remoto. |
| S-1-5-5- X-Y | Sessão de logon | Uma sessão de entrada específica. Os valores X e Y para SIDs nesse formato são exclusivos para cada sessão de entrada. |
| S-1-5-6 | Service | Um grupo que inclui todas as entidades de segurança conectadas como um serviço. |
| S-1-5-7 | Logon Anônimo | Um usuário que se conecta ao computador sem fornecer um nome de usuário e uma senha. A identidade de Logon Anônimo é diferente da identidade usada pelo IIS (Serviços de Informações da Internet) para o acesso anônimo à Web. O IIS usa uma conta real , por padrão, IUSR_computador-nome, para acesso anônimo aos recursos em um site. Estritamente falando, esse acesso não é anônimo, porque a entidade de segurança é conhecida mesmo que pessoas não identificadas estejam usando a conta. IUSR_ nome do computador (ou o nome da conta) tem uma senha e o IIS entra na conta quando o serviço é iniciado. Como resultado, o usuário anônimo do IIS é membro de Usuários Autenticados, mas o Logon Anônimo não é. |
| S-1-5-8 | Proxy | Um SID não utilizado no momento. |
| S-1-5-9 | Controladores de Domínio Corporativo | Um grupo que inclui todos os controladores de domínio de uma floresta de domínios. |
| S-1-5-10 | Self | Um espaço reservado em um ACE para um usuário, um grupo ou um objeto de computador no Active Directory. Ao conceder permissões individuais, você as concede à entidade de segurança representada pelo objeto. Durante uma verificação de acesso, o sistema operacional substitui o SID Individual pelo SID da entidade de segurança representada pelo objeto. |
| S-1-5-11 | Usuários autenticados | Um grupo que inclui todos os usuários e computadores com identidades que foram autenticadas. Usuários Autenticados não inclui a conta Convidado, mesmo que essa conta tenha uma senha. Esse grupo inclui entidades de segurança autenticadas de qualquer domínio confiável, não apenas do domínio atual. |
| S-1-5-12 | Código restrito | Uma identidade usada por um processo em execução em um contexto de segurança restrito. Nos sistemas operacionais Windows e Windows Server, uma política de restrição de software pode atribuir um destes três níveis de segurança ao código: UnrestrictedRestrictedDisallowed Quando o código é executado no nível de segurança restrito, o SID Restrito é adicionado ao token de acesso do usuário. |
| S-1-5-13 | Usuário do Servidor de Terminal | Um grupo que inclui todos os usuários que entram em um servidor com os Serviços de Área de Trabalho Remota habilitados. |
| S-1-5-14 | Logon Interativo Remoto | Um grupo que inclui todos os usuários que entram no computador usando uma conexão de área de trabalho remota. Esse grupo é um subconjunto do grupo Interativo. Os tokens de acesso que contêm o SID de Logon Interativo Remoto também contêm o SID Interativo. |
| S-1-5-15 | Esta organização | Um grupo que inclui todos os usuários da mesma organização. Esse grupo é incluído apenas em contas do Active Directory e é adicionado apenas por um controlador de domínio. |
| S-1-5-17 | IUSR | Uma conta usada pelo usuário padrão do IIS. |
| S-1-5-18 | Sistema (ou LocalSystem) | Uma identidade usada localmente pelo sistema operacional e pelos serviços configurados para entrar como LocalSystem. O sistema é um membro oculto de Administradores. Ou seja, qualquer processo em execução como Sistema tem o SID para o grupo Administradores interno no token de acesso. Quando um processo que executado localmente à medida que o Sistema acessa os recursos de rede, ele faz isso usando a identidade de domínio do computador. O token de acesso dele no computador remoto inclui o SID da conta de domínio do computador local, além dos SIDs dos grupos de segurança dos quais o computador é membro, como Computadores de Domínio e Usuários Autenticados. |
| S-1-5-19 | Autoridade NT (LocalService) | Uma identidade usada pelos serviços que são locais no computador, que não têm necessidade de acesso local extensivo e que não precisam de acesso de rede autenticado. Os serviços executados como LocalService podem acessar recursos locais como usuários comuns e acessar recursos de rede como usuários anônimos. Como resultado, um serviço executado como LocalService tem significativamente menos autoridade do que um serviço executado como LocalSystem localmente e na rede. |
| S-1-5-20 | NetworkService | Uma identidade usada pelos serviços que não precisam ter acesso local extensivo, mas que precisam ter acesso autenticado à rede. Os serviços executados como NetworkService podem acessar recursos locais como usuários comuns e acessar recursos de rede com a identidade do computador. Como resultado, um serviço executado como NetworkService tem o mesmo acesso à rede que um serviço executado como LocalSystem, mas o acesso local é consideravelmente reduzido. |
| S-1-5-domain-500 | Administradores | Uma conta de usuário do administrador do sistema. Cada computador tem uma conta Administrador local, e cada domínio tem uma conta Administrador de domínio. A conta Administrador é a primeira conta criada durante a instalação do sistema operacional. A conta não pode ser excluída, desabilitada nem bloqueada, mas pode ser renomeada. Por padrão, a conta Administrador é membro do grupo Administradores e não pode ser removida desse grupo. |
| S-1-5-domain-501 | Guest | Uma conta de usuário para pessoas que não têm contas individuais. Cada computador tem uma conta Convidado local, e cada domínio tem uma conta Convidado do domínio. Por padrão, Convidado é um membro dos grupos Todos e Convidados. A conta Convidado do domínio também é membro dos grupos Convidados do Domínio e Usuários do Domínio. Ao contrário do Logon Anônimo, Convidado é uma conta real e pode ser usada para a entrada interativa. A conta Convidado não exige uma senha, mas pode ter uma. |
| S-1-5-domain-502 | KRBTGT | Uma conta de usuário usada pelo serviço KDC (centro de distribuição de chaves). A conta só existe nos controladores de domínio. |
| S-1-5-domain-512 | Administradores do domínio | Um grupo global com membros autorizados a administrar o domínio. Por padrão, o grupo Administradores de Domínio é membro do grupo Administradores em todos os computadores associados ao domínio, incluindo controladores de domínio. Administradores de Domínio é o proprietário padrão de qualquer objeto criado no Active Directory do domínio por qualquer membro do grupo. Se os membros do grupo criarem outros objetos, como arquivos, o proprietário padrão será o grupo Administradores. |
| S-1-5-domain-513 | Usuários de Domínio | Um grupo global que inclui todos os usuários de um domínio. Quando você cria um objeto Usuário no Active Directory, o usuário é adicionado automaticamente a esse grupo. |
| S-1-5-domain-514 | Convidados do Domínio | Um grupo global que, por padrão, tem apenas um membro: a conta Convidado interna do domínio. |
| S-1-5-domain-515 | Computadores de domínio | Um grupo global que inclui todos os computadores associados ao domínio, excluindo controladores de domínio. |
| S-1-5-domain-516 | Controladores de Domínio | Um grupo global que inclui todos os controladores de domínio do domínio. Os novos controladores de domínio são adicionados a esse grupo automaticamente. |
| S-1-5-domain-517 | Editores de Certificados | Um grupo global que inclui todos os computadores que hospedam uma autoridade de certificação corporativa. Os Editores de Certificados estão autorizados a publicar certificados para objetos Usuário no Active Directory. |
| S-1-5-root domain-518 | Administradores de esquema | Um grupo que só existe no domínio raiz da floresta. Ele será um grupo universal se o domínio estiver no modo nativo e será um grupo global se o domínio estiver no modo misto. O grupo Administradores de Esquema está autorizado a fazer alterações de esquema no Active Directory. Por padrão, o único membro do grupo é a conta Administrador do domínio raiz da floresta. |
| S-1-5-root domain-519 | Administradores corporativos | Um grupo que só existe no domínio raiz da floresta. Ele será um grupo universal se o domínio estiver no modo nativo e será um grupo global se o domínio estiver no modo misto. O grupo Administradores Corporativos está autorizado a fazer alterações na infraestrutura de floresta. Os exemplos incluem a adição de domínios filhos, a configuração de sites, a autorização de servidores DHCP e a instalação de autoridades de certificação corporativa. Por padrão, o único membro de Administradores Corporativos é a conta Administrador do domínio raiz da floresta. O grupo é membro padrão de todos os grupos Administradores de Domínio da floresta. |
| S-1-5-domain-520 | Proprietários criadores de política de grupo | Um grupo global autorizado a criar Objetos de Política de Grupo no Active Directory. Por padrão, o único membro do grupo é Administrador. Quando um membro de Proprietários do Criador da Política de Grupo cria um objeto, esse membro é o proprietário do objeto. Dessa forma, o grupo Proprietários Criadores da Política de Grupo é diferente de outros grupos administrativos (como Administradores e Administradores de Domínio). Quando um membro desses grupos cria um objeto, o grupo é proprietário do objeto, não do indivíduo. |
| S-1-5-domain-521 | Controladores de Domínio somente leitura | Um grupo global que inclui todos os controladores de domínio somente leitura. |
| S-1-5-domain-522 | Controladores clonáveis | Um grupo global que inclui todos os controladores de domínio que estão no domínio e podem ser clonados. |
| S-1-5-domain-525 | Usuários protegidos | Um grupo global que oferece proteções extras contra ameaças de segurança de autenticação. |
| S-1-5-root domain-526 | Administradores de chave | Um grupo destinado ao uso em cenários em que autoridades externas confiáveis são responsáveis por modificar esse atributo. Somente administradores confiáveis devem ser membros deste grupo. |
| S-1-5-domain-527 | Administradores de chave corporativa | Um grupo destinado ao uso em cenários em que autoridades externas confiáveis são responsáveis por modificar esse atributo. Somente administradores corporativos confiáveis devem ser membros desse grupo. |
| S-1-5-32-544 | Administrators | Um grupo interno. Após a instalação inicial do sistema operacional, o único membro do grupo é a conta Administrador. Quando um computador ingressa em um domínio, o grupo Administradores de Domínio é adicionado ao grupo Administradores. Quando um servidor se torna um controlador de domínio, o grupo Administradores Corporativos também é adicionado ao grupo Administradores. |
| S-1-5-32-545 | Usuários | Um grupo interno. Após a instalação inicial do sistema operacional, o único membro é o grupo Usuários Autenticados. |
| S-1-5-32-546 | Guests | Um grupo interno. Por padrão, o único membro é a conta Convidado. O grupo Convidados permite que usuários ocasionais ou únicos entrem com privilégios limitados na conta Convidado interna de um computador. |
| S-1-5-32-547 | Usuários do Power | Um grupo interno. Por padrão, o grupo não tem membros. Os usuários avançados podem: |
| S-1-5-32-548 | Opers. de contas | Um grupo interno que só existe nos controladores de domínio. Por padrão, o grupo não tem membros. Por padrão, os Operadores de Conta têm permissão para criar, modificar e excluir contas de usuários, grupos e computadores em todos os contêineres e UOs (unidades organizacionais) do Active Directory, exceto o contêiner Interno e a UO Controladores de Domínio. Os Operadores de Conta não têm permissão para modificar os grupos Administradores e Administradores de Domínio. Eles também não têm permissão para modificar as contas de membros desses grupos. |
| S-1-5-32-549 | Operadores de servidor | Um grupo interno que só existe nos controladores de domínio. Por padrão, o grupo não tem membros. Os Operadores de Servidores podem: |
| S-1-5-32-550 | Operadores de impressão | Um grupo interno que só existe nos controladores de domínio. Por padrão, o único membro é o grupo Usuários do Domínio. Os Operadores de Impressão podem gerenciar impressoras e filas de documentos. |
| S-1-5-32-551 | Operadores de backup | Um grupo interno. Por padrão, o grupo não tem membros. Os Operadores de Backup podem fazer backup de arquivos e restaurá-los em um computador, independentemente das permissões que protegem esses arquivos. Os Operadores de Backup também podem entrar no computador e desligá-lo. |
| S-1-5-32-552 | Replicators | Um grupo interno compatível com a replicação de arquivos em um domínio. Por padrão, o grupo não tem membros. Não adicione usuários a esse grupo. |
| S-1-5-domain-553 | Servidores RAS e IAS | Um grupo de domínio local. Por padrão, esse grupo não tem membros. Os computadores que executam o Serviço de Roteamento e Acesso Remoto são adicionados ao grupo de forma automática. Os membros desse grupo têm acesso a determinadas propriedades de objetos Usuário, como Ler Restrições da Conta, Ler Informações de Logon e Ler Informações de Acesso Remoto. |
| S-1-5-32-554 | Interno\Acesso Compatível com Versões Anteriores ao Windows 2000 | Um grupo de compatibilidade com versões anteriores que permite o acesso de leitura em todos os usuários e grupos do domínio. |
| S-1-5-32-555 | Interno\Usuários da Área de Trabalho Remota | Um alias. Os membros desse grupo recebem o direito de se conectar remotamente. |
| S-1-5-32-556 | Interno\Operadores de Configuração de Rede | Um alias. Os membros desse grupo podem ter alguns privilégios administrativos para gerenciar a configuração de recursos de rede. |
| S-1-5-32-557 | Interno\Criadores de Relação de Confiança de Floresta de Entrada | Um alias. Os membros desse grupo podem criar relações de confiança unidirecionais de entrada para a floresta. |
| S-1-5-32-558 | Interno\Usuários do Monitor de Desempenho | Um alias. Os membros desse grupo têm acesso remoto para monitorar o computador. |
| S-1-5-32-559 | Interno\Usuários do Log de Desempenho | Um alias. Os membros desse grupo têm acesso remoto para agendar o registro em log de contadores de desempenho no computador. |
| S-1-5-32-560 | Interno\Grupo de Acesso de Autorização do Windows | Um alias. Os membros desse grupo têm acesso ao atributo calculado tokenGroupsGlobalAndUniversal em objetos Usuário. |
| S-1-5-32-561 | Interno\Servidores de Licença do Terminal Server | Um alias. Um grupo para servidores de licença do Terminal Server. |
| S-1-5-32-562 | Interno\Usuários do Distributed COM | Um alias. Um grupo de usuários COM (Component Object Model) para fornecer controles de acesso no computador inteiro que controlam o acesso a todas as solicitações de chamada, ativação ou inicialização no computador. |
| S-1-5-32-568 | Builtin\IIS_IUSRS | Um alias. Uma conta de grupo interna para os usuários do IIS. |
| S-1-5-32-569 | Builtin\Cryptographic Operators | Um grupo local interno. Os membros estão autorizados a executar operações de criptografia. |
| S-1-5-domain-571 | Grupo de replicação de senha RDOC permitido | Um grupo com membros que podem ter senhas replicadas para todos os controladores de domínio somente leitura no domínio. |
| S-1-5-domain-572 | Grupo de replicação de senha RDOC negado | Um grupo com membros que não podem ter senhas replicadas para todos os controladores de domínio somente leitura no domínio. |
| S-1-5-32-573 | Interno\Leitores do Log de Eventos | Um grupo local interno. Os membros desse grupo podem ler os logs de eventos em um computador local. |
| S-1-5-32-574 | Interno\Acesso ao DCOM do Serviço de Certificado | Um grupo local interno. Os membros desse grupo têm permissão para conectar-se a autoridades de certificação na empresa. |
| S-1-5-32-575 | Interno\Servidores de Acesso Remoto do RDS | Um grupo local interno. Os servidores desse grupo fornecem a usuários de programas RemoteApp e áreas de trabalho virtuais pessoais acesso a esses recursos. Em implantações voltadas para a Internet, esses servidores normalmente são implantados em uma rede de borda. Esse grupo precisa ser preenchido em servidores que executam o Agente de Conexão de Área de Trabalho Remota. Os servidores de Gateway de Área de Trabalho Remota e os servidores de Acesso via Web de Área de Trabalho Remota usados na implantação precisam estar nesse grupo. |
| S-1-5-32-576 | Interno\Servidores de Ponto de Extremidade do RDS | Um grupo local interno. Os servidores desse grupo executam máquinas virtuais e sessões de host em que são executados programas RemoteApp e áreas de trabalho virtuais pessoais de usuários. Esse grupo precisa ser preenchido nos servidores que executam o Agente de Conexão de Área de Trabalho Remota. Os servidores Host de Sessão de Área de Trabalho Remota e os servidores de Host de Virtualização de Área de Trabalho Remota usados na implantação precisam estar nesse grupo. |
| S-1-5-32-577 | Interno\Servidores de Gerenciamento do RDS | Um grupo local interno. Os servidores desse grupo podem executar ações administrativas de rotina em servidores que executam Serviços de Área de Trabalho Remota. Esse grupo precisa ser preenchido em todos os servidores em uma implantação dos Serviços de Área de Trabalho Remota. Os servidores que estão executando o serviço de gerenciamento central de Serviços de Área de Trabalho Remota devem ser incluídos nesse grupo. |
| S-1-5-32-578 | Administradores do Builtin\Hyper-V | Um grupo local interno. Os membros desse grupo têm acesso completo e irrestrito a todos os recursos do Hyper-V. |
| S-1-5-32-579 | Interno\Operadores de Assistência do Controle de Acesso | Um grupo local interno. Os membros desse grupo podem consultar remotamente os atributos de autorização e as permissões nos recursos do computador. |
| S-1-5-32-580 | Interno\Usuários de Gerenciamento Remoto | Um grupo local interno. Os membros deste grupo podem acessar recursos do WMI (Instrumentação de Gerenciamento do Windows) por meio de protocolos de gerenciamento, como o WS-Management (Web Services for Management) via serviço de Gerenciamento Remoto do Windows. Esse acesso se aplica apenas a namespaces WMI que concedem acesso ao usuário. |
| S-1-5-64-10 | Autenticação NTLM | Um SID usado quando o pacote de autenticação NTLM (New Technology LAN Manager) autentica o cliente. |
| S-1-5-64-14 | Autenticação do SChannel | Um SID usado quando o pacote de autenticação Schannel (Canal Seguro) autentica o cliente. |
| S-1-5-64-21 | Autenticação Digest | Um SID usado quando o pacote de autenticação Digest autentica o cliente. |
| S-1-5-80 | Serviço NT | Um SID usado como um prefixo de conta do Serviço NT (Serviço de Nova Tecnologia). |
| S-1-5-80-0 | Todos os Serviços | Um grupo que inclui todos os processos de serviço configurados no sistema. O sistema operacional controla a associação desse grupo. O SID S-1-5-80-0 representa NT SERVICES\ALL SERVICES. |
| S-1-5-83-0 | MÁQUINA VIRTUAL NT\Máquinas Virtuais | Um grupo interno. O grupo é criado quando a função Hyper-V é instalada. O VMMS (Serviço de Gerenciamento de Hyper-V) mantém a associação desse grupo. Esse grupo exige os direitos Criar Links Simbólicos (SeCreateSymbolicLinkPrivilege) e Fazer logon como um serviço (SeServiceLogonRight). |
Os seguintes RIDs são relativos a cada domínio:
| RID | Valor decimal | Identifies |
|---|---|---|
| DOMAIN_USER_RID_ADMIN | 500 | A conta de usuário administrativa em um domínio. |
| DOMAIN_USER_RID_GUEST | 501 | A conta de usuário convidado em um domínio. Os usuários que não têm uma conta podem entrar automaticamente nessa conta. |
| DOMAIN_GROUP_RID_USERS | 513 | Um grupo que contém todas as contas de usuário de um domínio. Todos os usuários são automaticamente adicionados a esse grupo. |
| DOMAIN_GROUP_RID_GUESTS | 514 | A conta Convidado do grupo em um domínio. |
| DOMAIN_GROUP_RID_COMPUTERS | 515 | O grupo Computador de Domínio. Todos os computadores do domínio são membros desse grupo. |
| DOMAIN_GROUP_RID_CONTROLLERS | 516 | O grupo Controlador de Domínio. Todos os controladores de domínio do domínio são membros desse grupo. |
| DOMAIN_GROUP_RID_CERT_ADMINS | 517 | O grupo de editores de certificados. Os computadores que executam os Serviços de Certificados do Active Directory são membros desse grupo. |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS | 518 | O grupo de administradores de esquema. Os membros desse grupo podem modificar o esquema do Active Directory. |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS | 519 | O grupo de administradores corporativos. Os membros desse grupo têm acesso completo a todos os domínios da floresta do Active Directory. Os administradores corporativos são responsáveis por operações de nível de floresta, como adicionar ou remover novos domínios. |
| DOMAIN_GROUP_RID_POLICY_ADMINS | 520 | O grupo de administradores de política. |
A seguinte tabela lista exemplos de RIDs relativos ao domínio que são usados para formar SIDs conhecidos para grupos locais:
| RID | Valor decimal | Identifies |
|---|---|---|
| DOMAIN_ALIAS_RID_ADMINS | 544 | Administradores do domínio. |
| DOMAIN_ALIAS_RID_USERS | 545 | Todos os usuários do domínio. |
| DOMAIN_ALIAS_RID_GUESTS | 546 | Convidados do domínio. |
| DOMAIN_ALIAS_RID_POWER_USERS | 547 | Um usuário ou um conjunto de usuários que espera tratar um sistema como se fosse o computador pessoal e não como uma estação de trabalho para vários usuários. |
| DOMAIN_ALIAS_RID_BACKUP_OPS | 551 | Um grupo local que é usado para controlar a atribuição de direitos de usuário de backup e restauração de arquivo. |
| DOMAIN_ALIAS_RID_REPLICATOR | 552 | Um grupo local responsável por copiar bancos de dados de segurança do controlador de domínio primário para os controladores de domínio de backup. Essas contas são usadas apenas pelo sistema. |
| DOMAIN_ALIAS_RID_RAS_SERVERS | 553 | Um grupo local que representa o acesso remoto e os servidores que executam o IAS (Serviço de Autenticação da Internet). Esse grupo permite o acesso a vários atributos de objetos Usuário. |
Alterações na funcionalidade do SID
A seguinte tabela descreve alterações na implementação do SID nos sistemas operacionais Windows:
| Change | Versão do sistema operacional | Descrição e recursos |
|---|---|---|
| O SID do TrustedInstaller possui a maioria dos arquivos do sistema operacional | Windows Server 2008, Windows Vista | A finalidade dessa alteração é impedir que um processo em execução como administrador ou na conta LocalSystem substitua automaticamente os arquivos do sistema operacional. |
| As verificações de SID restrito são implementadas | Windows Server 2008, Windows Vista | Ao restringir os SIDs, o Windows executa duas verificações de acesso. A primeira é a verificação de acesso normal e a segunda é a mesma verificação de acesso em relação aos SIDs que restringem o token. Ambas as verificações de acesso precisam ser aprovadas para permitir que o processo acesse o objeto. |
SIDs de funcionalidade
Os SIDs de funcionalidade servem como identificadores exclusivos e imutáveis para funcionalidades. Uma funcionalidade representa um token de autoridade impossível de falsificar que concede a Aplicativos Universais do Windows acesso a recursos (como documentos, câmeras e locais). Um aplicativo que tem uma funcionalidade recebe acesso ao recurso ao qual a funcionalidade está associada. Um aplicativo que não tem uma funcionalidade tem acesso negado ao recurso.
Todos os SIDs de funcionalidade reconhecidos pelo sistema operacional são armazenados no Registro do Windows no caminho HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities. Qualquer SID de funcionalidade adicionado ao Windows por aplicativos da Microsoft ou de parceiros é adicionado a esse local.
Exemplos de chaves do Registro obtidas do Windows 10, versão 1909, Enterprise Edition de 64 bits
Talvez você veja as seguintes chaves do Registro em AllCachedCapabilities:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
Todos os SIDs de funcionalidade têm o prefixo S-1-15-3.
Exemplos de chaves do Registro obtidas do Windows 11, versão 21H2, Enterprise Edition de 64 bits
Talvez você veja as seguintes chaves do Registro em AllCachedCapabilities:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
Todos os SIDs de funcionalidade têm o prefixo S-1-15-3.