Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo descreve como os identificadores de segurança (SIDs) funcionam com contas e grupos no sistema operacional Windows Server.
O que são SIDs?
Um SID é utilizado para identificar de forma única uma entidade de segurança ou um grupo de segurança. As entidades de segurança podem representar qualquer entidade que o sistema operativo possa autenticar. Os exemplos incluem uma conta de usuário, uma conta de computador ou um thread ou processo executado no contexto de segurança de um usuário ou conta de computador.
Cada conta ou grupo, ou cada processo executado no contexto de segurança da conta, tem um SID exclusivo emitido por uma autoridade, como um controlador de domínio do Windows. O SID é armazenado em um banco de dados de segurança. O sistema gera o SID que identifica uma determinada conta ou grupo no momento em que a conta ou grupo é criado. Quando um SID é usado como identificador exclusivo para um usuário ou grupo, ele nunca mais pode ser usado para identificar outro usuário ou grupo.
Cada vez que um usuário entra, o sistema cria um token de acesso para esse usuário. O token de acesso contém o SID do usuário, os direitos de usuário e os SIDs de todos os grupos aos quais o usuário pertence. Esse token fornece o contexto de segurança para quaisquer ações que o usuário execute nesse computador.
Além dos SIDs específicos de domínio criados exclusivamente que são atribuídos a usuários e grupos específicos, existem SIDs bem conhecidos que identificam grupos genéricos e usuários genéricos. Por exemplo, os SIDs Todos e Mundo identificam um grupo que inclui todos os usuários. SIDs bem conhecidos têm valores que permanecem constantes em todos os sistemas operacionais.
Os SIDs são um bloco de construção fundamental do modelo de segurança do Windows. Eles trabalham com componentes específicos das tecnologias de autorização e controle de acesso na infraestrutura de segurança dos sistemas operacionais Windows Server. Esse design ajuda a proteger o acesso aos recursos da rede e fornece um ambiente de computação mais seguro.
Note
Este conteúdo refere-se apenas às versões do Windows na lista "Aplica-se a" no início do artigo.
Como funcionam os SIDs
Os utilizadores referem-se às contas pelo nome da conta. Internamente, o sistema operacional refere-se a contas e processos que são executados no contexto de segurança da conta usando seus SIDs. Para contas de domínio, o SID de um principal de segurança é gerado pela concatenação do SID do domínio com um identificador relativo (RID) associado à conta. Os SIDs são exclusivos dentro de seu escopo (domínio ou local) e nunca são reutilizados.
O sistema operacional gera um SID que identifica uma conta ou grupo específico no momento em que a conta ou grupo é criado. Para uma conta ou grupo local, a Autoridade de Segurança Local (LSA) no computador gera o SID. O SID é armazenado com outras informações da conta em uma área segura do registro. Para uma conta ou grupo de domínio, a autoridade de segurança do domínio gera o SID. Esse tipo de SID é armazenado como um atributo do objeto Usuário ou Grupo nos Serviços de Domínio Ative Directory.
Para cada conta e grupo local, o SID é exclusivo para o computador onde é criado. Nenhuma conta ou grupo no computador compartilha o mesmo SID. Da mesma forma, para cada conta de domínio e grupo, o SID é exclusivo dentro de uma empresa. Como resultado, o SID de uma conta ou grupo em um domínio nunca corresponde ao SID de uma conta ou grupo em qualquer outro domínio na empresa.
Os SIDs permanecem sempre únicos. As autoridades de segurança nunca emitem o mesmo SID duas vezes e nunca reutilizam SIDs para contas excluídas. Por exemplo, se um usuário com uma conta de usuário em um domínio do Windows deixar seu trabalho, um administrador excluirá sua conta do Ative Directory, incluindo o SID que identifica a conta. Se, posteriormente, eles retornarem a um trabalho diferente na mesma empresa, um administrador criará uma nova conta e o sistema operacional Windows Server gerará um novo SID. O novo SID não corresponde ao antigo, por isso, nenhum dos acessos do utilizador da sua conta antiga é transferido para a nova conta. Ambas as contas representam duas entidades de segurança diferentes.
Arquitetura SID
Um SID é uma estrutura de dados em formato binário que contém um número variável de valores. Os primeiros valores na estrutura contêm informações sobre a estrutura SID. Os valores restantes são organizados em uma hierarquia (semelhante a um número de telefone) e identificam a autoridade emissora do SID (por exemplo, Autoridade NT), o domínio emissor do SID e uma entidade ou grupo de segurança específico. A imagem a seguir ilustra a estrutura de um SID.
Os valores individuais de um SID são descritos na tabela a seguir:
| Component | Description |
|---|---|
| Revision | Indica a versão da estrutura SID usada em um SID específico. |
| Autoridade de identificação | Identifica o mais alto nível de autoridade que pode emitir SIDs para um tipo específico de entidade de segurança. Por exemplo, o valor da autoridade do identificador no SID para o grupo Todos é 1 (Autoridade Mundial). O valor da autoridade do identificador no SID para uma conta ou grupo específico do Windows Server é 5 (Autoridade NT). |
| Subauthorities | Contém as informações mais importantes num SID, que estão contidas numa série de um ou mais valores de subautoridade. Todos os valores até, mas não incluindo, o último valor da série identificam coletivamente um domínio em uma empresa. Esta parte da série é chamada de identificador de domínio. O último valor da série, o RID, identifica uma conta ou grupo específico relativo a um domínio. |
Os componentes de um SID são mais fáceis de visualizar quando os SIDs são convertidos de um formato binário para um formato de cadeia de caracteres usando notação padrão:
S-R-X-Y1-Y2-Yn-1-Yn
Nesta notação, os componentes de um SID são descritos na tabela a seguir:
| Component | Description |
|---|---|
| S | Indica que a cadeia de caracteres é um SID |
| R | Indica o nível de revisão |
| X | Indica o valor da autoridade identificadora |
| Y | Representa uma série de valores de subautoridade, onde n é o número de valores |
As informações mais importantes do SID estão contidas na série de valores de subautoridade. A primeira parte da série (-Y1-Y2-Yn-1) é o identificador de domínio. Este elemento do SID torna-se significativo numa empresa com vários domínios. Especificamente, o identificador de domínio diferencia SIDs que um domínio emite de SIDs que todos os outros domínios na empresa emitem. Não há dois domínios em uma empresa que compartilham o mesmo identificador de domínio.
O último item da série de valores de subautoridade (-Yn) é o RID. Ele distingue uma conta ou grupo de todas as outras contas e grupos no domínio. Não há duas contas ou grupos em qualquer domínio que partilhem o mesmo RID.
Por exemplo, o SID para o grupo Administradores interno é representado na notação SID padronizada como a seguinte cadeia de caracteres:
S-1-5-32-544
Este SID tem quatro componentes:
- Um nível de revisão (1)
- Um valor de autoridade de identificação (5, NT Authority)
- Um identificador de domínio (32, Builtin)
- Um RID (544, Administradores)
Os SIDs para contas e grupos internos sempre têm o mesmo valor de identificador de domínio, 32. Esse valor identifica o domínio, Builtin, que existe em todos os computadores que executam uma versão do sistema operacional Windows Server. Nunca é necessário distinguir as contas e grupos internos de um computador das contas e grupos internos de outro computador, porque eles têm escopo local. Eles são locais para um único computador ou, com controladores de domínio para um domínio de rede, são locais para vários computadores que estão agindo como um.
Contas e grupos integrados precisam ser diferenciados uns dos outros dentro do escopo do domínio integrado. Portanto, o SID para cada conta e grupo tem um RID exclusivo. Um valor RID de 544 é exclusivo para o grupo interno Administradores. Nenhuma outra conta ou grupo no domínio Builtin tem um SID com um valor final de 544.
Em outro exemplo, considere o SID para o grupo global, Administradores de Domínio. Cada domínio em uma empresa tem um grupo de Administradores de Domínio, e o SID para cada grupo é diferente. O exemplo a seguir representa o SID do grupo Administradores de Domínio no domínio Contoso, Ltd. (Contoso\Administradores de Domínio):
S-1-5-21-1004336348-1177238915-682003330-512
O SID para Contoso\Administradores de Domínio tem os seguintes componentes:
- Um nível de revisão (1)
- Uma autoridade de identificação (5, NT Authority)
- Um identificador de domínio (21-1004336348-1177238915-682003330, Contoso)
- Um RID (512, grupo de administradores de domínio)
O SID para Contoso\Administradores de Domínio distingue-se dos SIDs de outros grupos de Administradores de Domínio na mesma empresa pelo seu identificador de domínio: 21-1004336348-1177238915-682003330. Nenhum outro domínio na empresa usa esse valor como seu identificador de domínio. O SID para Contoso\Administradores de Domínio é diferenciado dos SIDs para outras contas e grupos criados no domínio Contoso por seu RID, 512. Nenhuma outra conta ou grupo no domínio tem um SID com um valor final de 512.
Atribuição de RID
Quando contas e grupos são armazenados em um banco de dados de contas que um SAM (Gerenciador de Contas de Segurança) local gerencia, é bastante fácil para o sistema gerar um RID exclusivo para cada conta e grupo que ele cria em um computador autônomo. O SAM em um computador autônomo pode rastrear os valores de RID que ele usou e certificar-se de que nunca mais os usa.
Em um domínio de rede, no entanto, gerar RIDs exclusivos é um processo mais complexo. Os domínios de rede do Windows Server podem ter vários controladores de domínio. Cada controlador de domínio armazena informações de conta do Ative Directory. Como resultado, em um domínio de rede, há tantas cópias do banco de dados de conta quanto controladores de domínio. Além disso, cada cópia do banco de dados das contas é uma cópia mestre.
Novas contas e grupos podem ser criados em qualquer controlador de domínio. As alterações feitas no Ative Directory em um controlador de domínio são replicadas para todos os outros controladores de domínio no domínio. O processo de replicação de alterações em uma cópia mestre do banco de dados de conta para todas as outras cópias mestras é chamado de operação multimaster.
O processo de geração de RIDs exclusivos é uma operação de controlo centralizado. A um controlador de domínio é atribuída a função de mestre RID e aloca uma sequência de RIDs a cada controlador de domínio no domínio. Quando uma nova conta ou grupo de domínio é criado na réplica do Ative Directory de um controlador de domínio, é atribuído um SID. O RID para o novo SID é extraído da reserva de RIDs do controlador de domínio. Quando o fornecimento de RIDs começa a escassear, o controlador de domínio solicita outro bloco ao mestre de RID.
Cada controlador de domínio usa cada valor em um bloco de RIDs apenas uma vez. O mestre RID aloca cada bloco de valores RID apenas uma vez. Esse processo garante que cada conta e grupo criado no domínio tenha um RID exclusivo.
SIDs e identificadores globais exclusivos
Quando uma nova conta de utilizador ou grupo de domínio é criada, o Active Directory armazena o SID da conta na propriedade de um objeto Utilizador ou Grupo. Ele também atribui ao novo objeto um identificador global exclusivo (GUID), que é um valor de 128 bits que é exclusivo não apenas na empresa, mas também em todo o mundo. Um GUID é atribuído a cada objeto criado pelo Ative Directory, não apenas aos objetos Usuário e Grupo. O GUID de cada objeto é armazenado em sua ObjectGUID propriedade.
O Ative Directory usa GUIDs internamente para identificar objetos. Por exemplo, o GUID é uma das propriedades de um objeto publicado no catálogo global. Pesquisar um GUID de objeto de usuário no catálogo global produz resultados se o usuário tiver uma conta em algum lugar da empresa. Na verdade, procurar por qualquer objeto por ObjectGUID pode ser a maneira mais confiável de encontrar o objeto que pretende localizar. Os valores de outras propriedades de objeto podem mudar, mas a ObjectGUID propriedade nunca muda. Quando um objeto recebe um GUID, ele mantém esse valor por toda a vida.
Se um usuário se move de um domínio para outro, o usuário recebe um novo SID. O SID de um objeto Group não é alterado porque os grupos permanecem no domínio onde foram criados. No entanto, se as pessoas mudarem de lugar, as suas contas podem acompanhá-las. Se um funcionário se mudar da América do Norte para a Europa, mas permanecer na mesma empresa, um administrador da empresa poderá mover o objeto User do funcionário de, por exemplo, Contoso\NoAm para Contoso\Europe. Nesse caso, o objeto User para a conta precisa de um novo SID. A parte do identificador de domínio de um SID emitido no NoAm é exclusiva do NoAm, portanto, o SID da conta do usuário na Europa tem um identificador de domínio diferente. A parte RID de um SID é exclusiva em relação ao domínio, portanto, se o domínio mudar, o RID também será alterado.
Quando um objeto User se move de um domínio para outro, um novo SID deve ser gerado para a conta de usuário e armazenado na ObjectSID propriedade. Antes que o novo valor seja gravado na propriedade, o valor anterior é copiado para outra propriedade de um objeto User, SIDHistory. Esta propriedade pode conter vários valores. Cada vez que um objeto User é movido para outro domínio, um novo SID é gerado e armazenado na ObjectSID propriedade e outro valor é adicionado à lista de SIDs antigos no SIDHistory valor. Quando um usuário entra e é autenticado com êxito, o serviço de autenticação de domínio consulta o Ative Directory para todos os SIDs associados ao usuário. A consulta inclui o SID atual do usuário, os SIDs antigos do usuário e os SIDs dos grupos de usuários. Todos esses SIDs são retornados ao cliente de autenticação e incluídos no token de acesso do usuário. Quando o usuário tenta obter acesso a um recurso, qualquer um dos SIDs no token de acesso (incluindo um dos SIDs na SIDHistory propriedade), pode permitir ou negar o acesso do usuário.
Você pode permitir ou negar aos usuários o acesso a um recurso com base em seus trabalhos. Mas você deve permitir ou negar o acesso a um grupo, não a um indivíduo. Dessa forma, quando os usuários mudam de trabalho ou mudam para outros departamentos, você pode facilmente ajustar seu acesso removendo-os de determinados grupos e adicionando-os a outros.
No entanto, se você permitir ou negar o acesso de um usuário individual aos recursos, provavelmente desejará que o acesso desse usuário permaneça o mesmo, não importa quantas vezes o domínio da conta do usuário mude. A SIDHistory propriedade possibilita que o acesso permaneça o mesmo. Quando um usuário altera domínios, não há necessidade de alterar a lista de controle de acesso (ACL) em qualquer recurso. Uma ACL pode ter o SID antigo do usuário, mas não o novo. Mas o SID antigo ainda está no token de acesso do usuário. Ele está listado entre os SIDs para os grupos de usuários, e o acesso é concedido ou negado ao usuário com base no SID antigo.
SIDs bem conhecidos
Os valores de certos SIDs são constantes em todos os sistemas. Eles são criados quando o sistema operacional ou domínio é instalado. Eles são chamados de SIDs bem conhecidos porque identificam usuários genéricos ou grupos genéricos.
Existem SIDs universais bem conhecidos que são significativos em todos os sistemas seguros que usam esse modelo de segurança, incluindo sistemas operacionais diferentes do Windows. Além disso, existem SIDs bem conhecidos que são significativos apenas em sistemas operacionais Windows.
A tabela a seguir lista os SIDs universais bem conhecidos:
| SID universal bem conhecido | Name | Identifies |
|---|---|---|
| S-1-0-0 | SID nulo | Um grupo sem membros. Esse valor geralmente é usado quando um valor SID não é conhecido. |
| S-1-1-0 | World | Um grupo que inclui todos os usuários. |
| S-1-2-0 | Local | Utilizadores que iniciam sessão em terminais que estão localmente (fisicamente) ligados ao sistema. |
| S-1-2-1 | Início de Sessão na Consola | Um grupo que inclui usuários conectados ao console físico. |
| S-1-3-0 | ID do proprietário/criador | Um SID a ser substituído pelo SID do usuário que cria um novo objeto. Este SID é usado em entradas de controle de acesso herdáveis (ACEs). |
| S-1-3-1 | ID do Grupo de Criadores | Um SID a ser substituído pelo SID de grupo primário do usuário que cria um novo objeto. Utilize este SID nos ACEs herdáveis. |
| S-1-3-2 | Servidor Proprietário | Um espaço reservado em uma ACE herdável. Quando a ACE é herdada, o sistema substitui esse SID pelo SID do servidor proprietário do objeto e armazena informações sobre quem criou um determinado objeto ou arquivo. |
| S-1-3-3 | Servidor de Grupo | Um espaço reservado em uma ACE herdável. Quando a ACE é herdada, o sistema substitui esse SID pelo SID do servidor de grupo do objeto. O sistema também armazena informações sobre os grupos que têm permissão para trabalhar com o objeto. |
| S-1-3-4 | Direitos do Proprietário | Um grupo que representa o proprietário atual do objeto. Quando uma ACE que contém esse SID é aplicada a um objeto, o sistema ignora os direitos de acesso padrão implícitos READ_CONTROL e WRITE_DAC para o proprietário do objeto. |
| S-1-4 | Autoridade não exclusiva | Um SID que representa uma autoridade identificadora. |
| S-1-5 | Autoridade NT | Um SID que representa uma autoridade identificadora. |
| S-1-5-80-0 | Todos os Serviços | Um grupo que inclui todos os processos de serviço configurados no sistema. O sistema operacional controla os membros deste grupo. |
A tabela a seguir lista as constantes de autoridade identificador predefinidas. Os quatro primeiros valores são usados com SIDs universais bem conhecidos, e o restante dos valores é usado com SIDs conhecidos nos sistemas operacionais Windows na lista "Aplica-se a" no início do artigo.
| Autoridade de identificação | Value | Prefixo da cadeia de caracteres SID |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 | S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 | S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 | S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 | S-1-3 |
| SECURITY_NT_AUTHORITY | 5 | S-1-5 |
| SECURITY_AUTHENTICATION_AUTHORITY | 18 | S-1-18 |
Os seguintes valores de RID são usados com SIDs universais bem conhecidos. A coluna Autoridade identificador mostra o prefixo da autoridade identificador com a qual você pode combinar o RID para criar um SID universal bem conhecido.
| Autoridade RID | Value | Autoridade de identificação |
|---|---|---|
| SECURITY_NULL_RID | 0 | S-1-0 |
| SECURITY_WORLD_RID | 0 | S-1-1 |
| SECURITY_LOCAL_RID | 0 | S-1-2 |
| SECURITY_CREATOR_OWNER_RID | 0 | S-1-3 |
| SECURITY_CREATOR_GROUP_RID | 1 | S-1-3 |
A autoridade de identificação predefinida SECURITY_NT_AUTHORITY (S-1-5) gera SIDs que não são universais. Estes SIDs têm relevância apenas em instalações dos sistemas operativos Windows mencionados na lista "Aplica-se a" no início deste artigo.
A tabela a seguir lista os SIDs conhecidos:
| SID | Nome de exibição | Description |
|---|---|---|
| S-1-5-1 | Dialup | Um grupo que inclui todos os utilizadores com sessão iniciada no sistema através de uma conexão dial-up. |
| S-1-5-113 | Conta local | Um SID que pode ser usado quando restringe o início de sessão na rede a contas locais, em vez de contas de administrador ou equivalentes. Este SID pode ser eficaz no bloqueio do início de sessão na rede para utilizadores e grupos locais por tipo de conta, independentemente do seu nome. |
| S-1-5-114 | Conta local e membro do grupo Administradores | Um SID que pode ser usado quando restringe o início de sessão na rede a contas locais, em vez de contas de administrador ou equivalentes. Este SID pode ser eficaz no bloqueio do início de sessão na rede para utilizadores e grupos locais por tipo de conta, independentemente do seu nome. |
| S-1-5-2 | Network | Um grupo que inclui todos os utilizadores que iniciaram sessão por ligação de rede. Os tokens de acesso para usuários interativos não contêm o SID de rede. |
| S-1-5-3 | Batch | Um grupo que inclui todos os usuários que estão conectados por meio do recurso de fila de lotes, como trabalhos do agendador de tarefas. |
| S-1-5-4 | Interactive | Um grupo que inclui todos os usuários que entram interativamente. Um usuário pode iniciar uma sessão de entrada interativa abrindo uma conexão dos Serviços de Área de Trabalho Remota de um computador remoto ou usando um shell remoto, como Telnet. Em cada caso, o token de acesso do usuário contém o SID interativo. Se o utilizador iniciar sessão usando uma ligação aos Serviços de Ambiente de Trabalho Remoto, o seu token de autorização também incluirá o SID de Logon Interativo Remoto. |
| S-1-5-5- X-Y | Sessão de logon | Uma sessão de início de sessão específica. Os valores X e Y para SIDs neste formato são exclusivos para cada sessão de entrada. |
| S-1-5-6 | Service | Um grupo que inclui todas as entidades de segurança conectadas como um serviço. |
| S-1-5-7 | Logon anônimo | Um usuário que se conecta ao computador sem fornecer um nome de usuário e senha. A identidade de Início de Sessão Anônimo é diferente da identidade usada pelos Serviços de Informações da Internet (IIS) para acesso anónimo à Web. O IIS usa uma conta real — por padrão, IUSR_nome do computador, para acesso anônimo a recursos em um site. A rigor, esse acesso não é anônimo, porque a entidade de segurança é conhecida mesmo que pessoas não identificadas estejam usando a conta. IUSR_nome do computador (ou qualquer que seja o nome que você dê à conta) tem uma senha e o IIS entra na conta quando o serviço é iniciado. Como resultado, o usuário anônimo do IIS é membro dos Usuários Autenticados, mas o Logon Anônimo não é. |
| S-1-5-8 | Proxy | Um SID que não é usado atualmente. |
| S-1-5-9 | Controladores de domínio empresariais | Um grupo que inclui todos os controladores de domínio em uma floresta de domínios. |
| S-1-5-10 | Self | Um placeholder numa ACE para um usuário, grupo ou objeto de computador no Active Directory. Ao conceder permissões a Self, você as concede à entidade de segurança que o objeto representa. Durante uma verificação de acesso, o sistema operacional substitui o SID for Self pelo SID da entidade de segurança que o objeto representa. |
| S-1-5-11 | Utilizadores Autenticados | Um grupo que inclui todos os usuários e computadores com identidades que foram autenticadas. Os Utilizadores Autenticados não incluem a conta de Convidado, mesmo que essa conta tenha uma palavra-passe. Esse grupo inclui entidades de segurança autenticadas de qualquer domínio confiável, não apenas do domínio atual. |
| S-1-5-12 | Código restrito | Uma identidade usada por um processo que está sendo executado em um contexto de segurança restrito. Nos sistemas operacionais Windows e Windows Server, uma diretiva de restrição de software pode atribuir um dos três níveis de segurança ao código: UnrestrictedRestrictedDisallowed Quando o código é executado no nível de segurança restrito, o SID restrito é adicionado ao token de acesso do usuário. |
| S-1-5-13 | Usuário do Terminal Server | Um grupo que inclui todos os utilizadores que iniciam sessão num servidor com os Serviços de Ambiente de Trabalho Remoto ativados. |
| S-1-5-14 | Logon Interativo Remoto | Um grupo que inclui todos os utilizadores que iniciam sessão no computador utilizando uma ligação ao ambiente de trabalho remoto. Este grupo é um subconjunto do grupo Interativo. Os tokens de acesso que contêm o SID de Logon Interativo Remoto também contêm o SID Interativo. |
| S-1-5-15 | Esta Organização | Um grupo que inclui todos os usuários da mesma organização. Esse grupo é incluído apenas nas contas do Ative Directory e adicionado somente por um controlador de domínio. |
| S-1-5-17 | IUSR | Uma conta usada pelo usuário padrão do IIS. |
| S-1-5-18 | Sistema (ou LocalSystem) | Uma identidade usada localmente pelo sistema operacional e por serviços configurados para entrar como LocalSystem. O sistema é um membro oculto dos administradores. Ou seja, qualquer processo que esteja sendo executado como Sistema tem o SID para o grupo Administradores interno em seu token de acesso. Quando um processo que está sendo executado localmente como Sistema acessa recursos de rede, ele faz isso usando a identidade de domínio do computador. Seu token de acesso no computador remoto inclui o SID para a conta de domínio do computador local mais SIDs para grupos de segurança dos quais o computador é membro, como Computadores de Domínio e Usuários Autenticados. |
| S-1-5-19 | Autoridade NT (Serviço Local) | Uma identidade usada por serviços locais ao computador, que não requerem acesso local extensivo e não requerem acesso autenticado à rede. Os serviços executados como LocalService podem acessar recursos locais como usuários comuns e acessar recursos de rede como usuários anônimos. Como resultado, um serviço que é executado como LocalService tem significativamente menos autoridade do que um serviço que é executado como LocalSystem localmente e na rede. |
| S-1-5-20 | NetworkService | Uma identidade usada por serviços que não precisam de acesso local extensivo, mas precisam de acesso autenticado à rede. Os serviços que estão sendo executados como NetworkService podem acessar recursos locais como usuários comuns e acessar recursos de rede usando a identidade do computador. Como resultado, um serviço que é executado como NetworkService tem o mesmo acesso à rede que um serviço que é executado como LocalSystem, mas seu acesso local é significativamente reduzido. |
| S-1-5-domain-500 | Administradores | Uma conta de usuário para o administrador do sistema. Cada computador tem uma conta de Administrador local e cada domínio tem uma conta de Administrador de domínio. A conta de administrador é a primeira conta criada durante a instalação do sistema operacional. A conta não pode ser excluída, desativada ou bloqueada, mas pode ser renomeada. Por padrão, a conta de Administrador é membro do grupo Administradores e não pode ser removida desse grupo. |
| S-1-5-domain-501 | Guest | Uma conta de utilizador para pessoas que não têm contas individuais. Cada computador tem uma conta de convidado local e cada domínio tem uma conta de convidado de domínio. Por padrão, Convidado é membro dos grupos Todos e Convidados. A conta Convidado do domínio também é membro dos grupos Convidados do Domínio e Usuários do Domínio. Ao contrário do Logon Anônimo, Guest é uma conta real e pode ser usada para entrar interativamente. A conta Convidado não requer uma palavra-passe, mas pode ter uma. |
| S-1-5-domain-502 | KRBTGT | Uma conta de utilizador que é utilizada pelo serviço Centro de Distribuição de Chaves (KDC). A conta existe apenas em controladores de domínio. |
| S-1-5-domain-512 | Administradores de Domínio | Um grupo global com membros autorizados a administrar o domínio. Por padrão, o grupo Administradores do Domínio é membro do grupo Administradores em todos os computadores que ingressaram no domínio, incluindo controladores de domínio. Administradores do Domínio são os proprietários padrão de qualquer objeto criado no Active Directory do domínio por qualquer membro do grupo. Se os membros do grupo criarem outros objetos, como arquivos, o proprietário padrão será o grupo Administradores. |
| S-1-5-domain-513 | Utilizadores do Domínio | Um grupo global que inclui todos os usuários em um domínio. Quando você cria um novo objeto User no Ative Directory, o usuário é adicionado automaticamente a esse grupo. |
| S-1-5-domain-514 | Convidados do Domínio | Um grupo global que, por padrão, tem apenas um membro: a conta de convidado interna do domínio. |
| S-1-5-domain-515 | Computadores de Domínio | Um grupo global que inclui todos os computadores que ingressaram no domínio, excluindo controladores de domínio. |
| S-1-5-domain-516 | Controladores de domínio | Um grupo global que inclui todos os controladores de domínio no domínio. Novos controladores de domínio são adicionados a este grupo automaticamente. |
| S-1-5-domain-517 | Editoras de Certificados | Um grupo global que inclui todos os computadores que hospedam uma autoridade de certificação corporativa. Os Editores de Certificados estão autorizados a publicar certificados para objetos de usuário no Ative Directory. |
| Domínio raiz S-1-5-518 | Administradores de esquema | Um grupo que existe apenas no domínio raiz da floresta. É um grupo universal se o domínio estiver no modo nativo e é um grupo global se o domínio estiver no modo misto. O grupo Administradores de Esquema está autorizado a fazer alterações de esquema no Ative Directory. Por padrão, o único membro do grupo é a conta de Administrador do domínio raiz da floresta. |
| S-1-5-raiz do domínio-519 | Administradores Empresariais | Um grupo que existe apenas no domínio raiz da floresta. É um grupo universal se o domínio estiver no modo nativo e é um grupo global se o domínio estiver no modo misto. O grupo Administradores de Empresa está autorizado a fazer alterações na infraestrutura florestal. Os exemplos incluem a adição de domínios filho, a configuração de sites, a autorização de servidores DHCP (Dynamic Host Configuration Protocol) e a instalação de autoridades de certificação corporativas. Por padrão, o único membro dos Administradores de Empresa é a conta de Administrador do domínio raiz da floresta. O grupo é um membro padrão de todos os grupos de Administradores de Domínio na floresta. |
| S-1-5-domain-520 | Proprietários do Criador de Políticas de Grupo | Um grupo global autorizado a criar novos Objetos de Diretiva de Grupo no Ative Directory. Por padrão, o único membro do grupo é Administrador. Quando um membro dos Proprietários Criadores de Política de Grupo cria um objeto, esse membro é o proprietário do objeto. Dessa forma, o grupo Proprietários Criadores de Política de Grupo é diferente de outros grupos administrativos (como Administradores e Administradores de Domínio). Quando um membro desses grupos cria um objeto, o grupo é o proprietário do objeto, não o indivíduo. |
| S-1-5-domain-521 | Controladores de domínio só de leitura | Um grupo global que inclui todos os controladores de domínio somente leitura. |
| S-1-5-domain-522 | Controladores clonáveis | Um grupo global que inclui todos os controladores de domínio no domínio que podem ser clonados. |
| S-1-5-domain-525 | Utilizadores Protegidos | Um grupo global que oferece proteções extras contra ameaças à segurança de autenticação. |
| Domínio S-1-5-raiz-526 | Administradores-chave | Um grupo destinado a ser usado em cenários em que autoridades externas confiáveis são responsáveis por modificar esse atributo. Apenas os administradores fidedignos devem tornar-se membros deste grupo. |
| S-1-5-domain-527 | Administradores de chaves corporativas | Um grupo destinado a ser usado em cenários em que autoridades externas confiáveis são responsáveis por modificar esse atributo. Apenas administradores empresariais confiáveis devem se tornar membros desse grupo. |
| S-1-5-32-544 | Administrators | Um grupo embutido. Após a instalação inicial do sistema operacional, o único membro do grupo é a conta de administrador. Quando um computador ingressa em um domínio, o grupo Administradores do Domínio é adicionado ao grupo Administradores. Quando um servidor se torna um controlador de domínio, o grupo Administradores de Empresa também é adicionado ao grupo Administradores. |
| S-1-5-32-545 | Utilizadores | Um grupo embutido. Após a instalação inicial do sistema operacional, o único membro é o grupo Usuários Autenticados. |
| S-1-5-32-546 | Guests | Um grupo embutido. Por padrão, o único membro é a conta Convidado. O grupo Convidados permite que usuários ocasionais ou únicos entrem com privilégios limitados na conta de convidado interna de um computador. |
| S-1-5-32-547 | Utilizadores Avançados | Um grupo embutido. Por padrão, o grupo não tem membros. Os utilizadores avançados podem: |
| S-1-5-32-548 | Operadores de Contas | Um grupo interno que existe apenas em controladores de domínio. Por padrão, o grupo não tem membros. Por padrão, os operadores de conta têm permissão para criar, modificar e excluir contas de utilizadores, grupos e computadores em todos os contentores e unidades organizacionais (UOs) do Active Directory, exceto o contentor Builtin e a UO Controladores de Domínio. Os Operadores de Conta não têm permissão para modificar os grupos Administradores e Administradores de Domínio. Eles também não têm permissão para modificar as contas dos membros desses grupos. |
| S-1-5-32-549 | Operadores de servidor | Um grupo interno que existe apenas em controladores de domínio. Por padrão, o grupo não tem membros. Os operadores de servidor podem: |
| S-1-5-32-550 | Operadores de impressão | Um grupo interno que existe apenas em controladores de domínio. Por padrão, o único membro é o grupo Usuários do Domínio. Os operadores de impressão podem gerir impressoras e filas de documentos. |
| S-1-5-32-551 | Operadores de backup | Um grupo embutido. Por padrão, o grupo não tem membros. Os operadores de backup podem fazer backup e restaurar todos os arquivos em um computador, independentemente das permissões que protegem esses arquivos. Os operadores de backup também podem entrar no computador e desligá-lo. |
| S-1-5-32-552 | Replicators | Um grupo interno que oferece suporte à replicação de arquivos em um domínio. Por padrão, o grupo não tem membros. Não adicione utilizadores a este grupo. |
| S-1-5-domain-553 | Servidores RAS e IAS | Um grupo de domínio local. Por padrão, esse grupo não tem membros. Os computadores que executam o Serviço de Roteamento e Acesso Remoto são adicionados ao grupo automaticamente. Os membros desse grupo têm acesso a determinadas propriedades de objetos de usuário, como Ler restrições de conta, Ler informações de logon e Ler informações de acesso remoto. |
| S-1-5-32-554 | Acesso compatível com Builtin\Pre-Windows 2000 | Um grupo de compatibilidade retroativa que permite leitura a todos os utilizadores e grupos do domínio. |
| S-1-5-32-555 | Builtin\Utilizadores da Área de Trabalho Remota | Um pseudônimo. Os membros deste grupo têm o direito de aceder remotamente. |
| S-1-5-32-556 | Builtin\Operadores de configuração de rede | Um pseudônimo. Os membros desse grupo podem ter alguns privilégios administrativos para gerenciar a configuração de recursos de rede. |
| S-1-5-32-557 | Builtin\Construtores de Confiança de Floresta de Entrada | Um pseudônimo. Os membros desse grupo podem criar confianças unidirecionais de entrada para a floresta. |
| S-1-5-32-558 | Builtin\Utilizadores do Monitor de Desempenho | Um pseudônimo. Os membros deste grupo têm acesso remoto para monitorizar o computador. |
| S-1-5-32-559 | Builtin\Utilizadores de Registo de Desempenho | Um pseudônimo. Os membros deste grupo têm acesso remoto para agendar o registo de contadores de desempenho no computador. |
| S-1-5-32-560 | Interno\Grupo de Acesso de Autorização do Windows | Um pseudônimo. Os membros desse grupo têm acesso ao atributo computado tokenGroupsGlobalAndUniversal em objetos User. |
| S-1-5-32-561 | Servidores de Licença Builtin\Terminal Server | Um pseudônimo. Um grupo para servidores de licença do Terminal Server. |
| S-1-5-32-562 | Builtin\Utilizadores COM distribuídos | Um pseudônimo. Um grupo para usuários COM (Component Object Model) para fornecer controles de acesso em todo o computador que controlam o acesso a todas as solicitações de chamada, ativação ou inicialização no computador. |
| S-1-5-32-568 | Builtin\IIS_IUSRS | Um pseudônimo. Uma conta de grupo interna para usuários do IIS. |
| S-1-5-32-569 | Builtin\Operadores criptográficos | Um grupo local incorporado. Os membros estão autorizados a realizar operações criptográficas. |
| S-1-5-domain-571 | Grupo permitido de replicação de senhas RODC | Um grupo com membros que podem ter as suas senhas replicadas para todos os controladores de domínio de leitura apenas no domínio. |
| S-1-5-domain-572 | Grupo de replicação de senha RODC negado | Um grupo com membros que não podem ter as suas senhas replicadas para todos os controladores de domínio de apenas leitura no domínio. |
| S-1-5-32-573 | Builtin\Leitores de log de eventos | Um grupo local incorporado. Os membros deste grupo podem ler registos de eventos a partir de um computador local. |
| S-1-5-32-574 | Acesso DCOM Incorporado\Serviço de Certificado | Um grupo local incorporado. Os membros desse grupo podem se conectar às autoridades de certificação da empresa. |
| S-1-5-32-575 | Servidores de Acesso Remoto Builtin\RDS | Um grupo local incorporado. Os servidores desse grupo dão aos usuários de programas RemoteApp e áreas de trabalho virtuais pessoais acesso a esses recursos. Em implantações voltadas para a Internet, esses servidores geralmente são implantados em uma rede de borda. Esse grupo precisa ser preenchido em servidores que estão a executar o Agente de Conexão de Área de Trabalho Remota (RD Connection Broker). Os servidores do Gateway de Ambiente de Trabalho Remoto (RD Gateway) e os servidores de Acesso pela Web ao Ambiente de Trabalho Remoto (RD Web Access) utilizados na implementação precisam estar neste grupo. |
| S-1-5-32-576 | Servidores de Ponto Final Builtin\RDS | Um grupo local incorporado. Os servidores desse grupo executam máquinas virtuais e hospedam sessões em que os programas RemoteApp e áreas de trabalho virtuais pessoais dos usuários são executados. Esse grupo precisa ser preenchido em servidores que executam o Broker de Conexão RD. Os servidores Host de Sessão de Área de Trabalho Remota (Host de Sessão RD) e os servidores Host de Virtualização de Área de Trabalho Remota (Host de Virtualização RD) usados na implantação precisam estar nesse grupo. |
| S-1-5-32-577 | Servidores de Gerenciamento Builtin\RDS | Um grupo local incorporado. Os servidores desse grupo podem executar ações administrativas de rotina em servidores que executam os Serviços de Área de Trabalho Remota. Esse grupo precisa ser preenchido em todos os servidores em uma implantação dos Serviços de Área de Trabalho Remota. Os servidores que executam o serviço de gerenciamento central dos Serviços de Área de Trabalho Remota devem ser incluídos nesse grupo. |
| S-1-5-32-578 | Administradores\Hyper-V incorporados | Um grupo local incorporado. Os membros desse grupo têm acesso completo e irrestrito a todos os recursos do Hyper-V. |
| S-1-5-32-579 | Builtin\Operadores de Assistência ao Controle de Acesso | Um grupo local incorporado. Os membros desse grupo podem consultar remotamente atributos de autorização e permissões para recursos no computador. |
| S-1-5-32-580 | Builtin\Usuários de gerenciamento remoto | Um grupo local incorporado. Os membros desse grupo podem acessar recursos WMI (Instrumentação de Gerenciamento do Windows) por meio de protocolos de gerenciamento, como Serviços Web para Gerenciamento (WS-Management), por meio do serviço Gerenciamento Remoto do Windows. Esse acesso se aplica somente a namespaces WMI que concedem acesso ao usuário. |
| S-1-5-64-10 | Autenticação NTLM | Um SID que é usado quando o pacote de autenticação New Technology LAN Manager (NTLM) autentica o cliente. |
| S-1-5-64-14 | Autenticação SChannel | Um SID que é utilizado quando o cliente é autenticado pelo pacote de autenticação Canal Seguro (Schannel). |
| S-1-5-64-21 | Autenticação Digest | Um SID que é usado quando o pacote de autenticação Digest autentica o cliente. |
| S-1-5-80 | Serviço NT | Um SID que é usado como um prefixo de conta do New Technology Service (NT Service). |
| S-1-5-80-0 | Todos os Serviços | Um grupo que inclui todos os processos de serviço configurados no sistema. O sistema operacional controla os membros deste grupo. O SID S-1-5-80-0 representa NT SERVICES\ALL SERVICES. |
| S-1-5-83-0 | MÁQUINA VIRTUAL NT/Máquinas Virtuais | Um grupo embutido. O grupo é criado quando a função Hyper-V é instalada. O Hyper-V Management Service (VMMS) mantém a associação desse grupo. Este grupo requer o direito Criar Links Simbólicos (SeCreateSymbolicLinkPrivilege) e o direito Iniciar sessão como Serviço (SeServiceLogonRight). |
Os seguintes RIDs são relativos a cada domínio:
| RID | Valor decimal | Identifies |
|---|---|---|
| DOMAIN_USER_RID_ADMIN | 500 | A conta de usuário administrativo em um domínio. |
| DOMAIN_USER_RID_GUEST | 501 | A conta de usuário convidado em um domínio. Os utilizadores que não têm uma conta podem iniciar sessão automaticamente nesta conta. |
| DOMAIN_GROUP_RID_USERS | 513 | Um grupo que contém todas as contas de usuário em um domínio. Todos os utilizadores são automaticamente adicionados a este grupo. |
| DOMAIN_GROUP_RID_GUESTS | 514 | A conta de convidado do grupo num domínio. |
| DOMAIN_GROUP_RID_COMPUTERS | 515 | O grupo Computador do Domínio. Todos os computadores no domínio são membros deste grupo. |
| DOMAIN_GROUP_RID_CONTROLLERS | 516 | O grupo Controlador de Domínio. Todos os controladores de domínio no domínio são membros deste grupo. |
| DOMAIN_GROUP_RID_CERT_ADMINS | 517 | O grupo de editores de certificados. Os computadores que executam os Serviços de Certificados do Ative Directory são membros desse grupo. |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS | 518 | O grupo de administradores do esquema. Os membros desse grupo podem modificar o esquema do Ative Directory. |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS | 519 | O grupo de administradores de empresas. Os membros deste grupo têm acesso total a todos os domínios na floresta do Ative Directory. Os administradores corporativos são responsáveis por operações no nível da floresta, como adicionar ou remover novos domínios. |
| DOMAIN_GROUP_RID_POLICY_ADMINS | 520 | O grupo de administradores de políticas. |
A tabela a seguir lista exemplos de RIDs relativos ao domínio que são usados para formar SIDs conhecidos para grupos locais:
| RID | Valor decimal | Identifies |
|---|---|---|
| DOMAIN_ALIAS_RID_ADMINS | 544 | Administradores do domínio. |
| DOMAIN_ALIAS_RID_USERS | 545 | Todos os usuários no domínio. |
| DOMAIN_ALIAS_RID_GUESTS | 546 | Convidados do domínio. |
| DOMAIN_ALIAS_RID_POWER_USERS | 547 | Um utilizador ou um conjunto de utilizadores que esperam tratar um sistema como se fosse o seu computador pessoal e não como uma estação de trabalho para vários utilizadores. |
| DOMAIN_ALIAS_RID_BACKUP_OPS | 551 | Um grupo local usado para controlar a atribuição de direitos de usuário de backup e restauração de arquivos. |
| DOMAIN_ALIAS_RID_REPLICATOR | 552 | Um grupo local responsável por copiar bancos de dados de segurança do controlador de domínio primário para os controladores de domínio de backup. Estas contas são utilizadas apenas pelo sistema. |
| DOMAIN_ALIAS_RID_RAS_SERVERS | 553 | Um grupo local que representa o acesso remoto e os servidores que executam o Serviço de Autenticação da Internet (IAS). Este grupo permite o acesso a vários atributos de objetos User. |
Alterações na funcionalidade SID
A tabela a seguir descreve as alterações na implementação do SID nos sistemas operacionais Windows:
| Change | Versão do sistema operacional | Descrição e recursos |
|---|---|---|
| O SID TrustedInstaller possui a maioria dos arquivos do sistema operacional | Windows Server 2008, Windows Vista | O objetivo dessa alteração é impedir que um processo em execução como administrador ou sob a conta LocalSystem substitua automaticamente os arquivos do sistema operacional. |
| Verificações SID restritas são implementadas | Windows Server 2008, Windows Vista | Quando a restrição de SIDs está presente, o Windows executa duas verificações de acesso. A primeira é a verificação de acesso normal e a segunda é a mesma verificação de acesso em relação aos SIDs restritivos no token. Ambas as verificações de acesso devem passar para permitir que o processo acesse o objeto. |
Identificadores de Capacidade (SIDs)
Os SIDs de capacidade servem como identificadores exclusivos e imutáveis para os recursos. Um recurso representa um token de autoridade não falsificável que concede aos Aplicativos Universais do Windows acesso a recursos (por exemplo, documentos, câmeras e locais). Um aplicativo que tem um recurso recebe acesso ao recurso ao qual o recurso está associado. Um aplicativo que não tem um recurso tem acesso negado ao recurso.
Todos os SIDs de capacidade que o sistema operacional conhece são armazenados no registro do Windows no caminho HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities. Qualquer SID de capacidade adicionado ao Windows pela Microsoft ou por aplicativos parceiros é adicionado a este local.
Exemplos de chaves de registo retiradas do Windows 10, versão 1909, edição Enterprise de 64 bits
Poderá ver as seguintes chaves de registo em AllCachedCapabilities:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
O prefixo de todos os SIDs de capacidade é S-1-15-3.
Exemplos de chaves de registo retiradas do Windows 11, versão 21H2, edição Enterprise de 64 bits
Poderá ver as seguintes chaves de registo em AllCachedCapabilities:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
O prefixo de todos os SIDs de capacidade é S-1-15-3.