SID
简介
标识用户、组和计算机账户的唯一的号码
每次用户登录时,系统为该用户创建一个访问令牌。访问令牌包含用户的 SID、用户权限和该用户所属的任何组的 SID。此令牌相当于用户访问系统资源的票证
当用户访问系统资源时,会将访问令牌提供给Windows NT,由Windows NT检测用户要访问的对象的访问控制列表ACL上是否此用户被允许对该资源访问,如果有,Windowx NT将会根据表中该用户所拥有的权限,将权限分配给该用户
SID 的一个重要属性是其在时间和地点上的唯一性。SID 在创建它的环境中(在域中 或在本地计算机上)是唯一的。它在时间上也是唯一的:如果您创建一个用户对象,将其删除,然后使用相同的名称重新创建它,则新对象将不会具有与原始对象相同的 SID。操作系统中的进程是根据用户的SID判断用户的权限的,而不是用户或组名
组成
一个经典的SID如下所示,它遵循的模式是:S-R-IA-SA-SA-RID
1 | S-1-5-21-1576590859-2219829432-1450006054-1001 |
| 模式 | 说明 |
|---|---|
| S | 首字母S将后面的字符串标识为SID |
| R(Revision修订) | Windows生成的所有SID都使用修订级别 1 |
| IA(颁发机构) | 标识符权限值。这是发布 SID 的顶级权限的预定义标识符。通常为 5,代表 SECURITY_NT_AUTHORITY,但是,代表已知组和账户的SID例外 |
| SA(子机构) | 此部分是域或本地计算机标识符(在本例中为本地标识符)这是一个 48 位字符串,用于标识创建 SID 的机构(计算机或域) |
| RID(相对ID) | 是SA所指派的一个惟一的、顺序的编号、代表一个安全主体(比如一个用户、计算机或组) |
RID
指派给用户、计算机和组的RID从1000开始。500-999的RID被专门保留起来、表示在每个Windows计算机和域中通用的账户和组,它们称为“已知RID”有些已知RID会附加到一个域SID上,从而构成一个惟一的标识符。另一些则附加到Builtin SID(S-1-5-32)上,指出它们是可能具有特权的Builtin账户——特权要么是硬编码到操作系统中的,要么是在安全数据库中指派的
常见的RID:
500 - 管理员
519 - EA
501 - Guest
