sid сша что это
Америка (Civ6)
Америка
.png "sid сша что это. Смотреть фото sid сша что это. Смотреть картинку sid сша что это. Картинка про sid сша что это. Фото sid сша что это")
Способность нации
Лидер
.png "sid сша что это. Смотреть фото sid сша что это. Смотреть картинку sid сша что это. Картинка про sid сша что это. Фото sid сша что это")
_2.png "sid сша что это. Смотреть фото sid сша что это. Смотреть картинку sid сша что это. Картинка про sid сша что это. Фото sid сша что это")
Уникальный юнит
.png "sid сша что это. Смотреть фото sid сша что это. Смотреть картинку sid сша что это. Картинка про sid сша что это. Фото sid сша что это")
Уникальная постройка
.png "sid сша что это. Смотреть фото sid сша что это. Смотреть картинку sid сша что это. Картинка про sid сша что это. Фото sid сша что это")
Континент
Площадь
Население
Столица
Игровое описание [ ]
С точки зрения цивилизации развитие Америки из кучки склочных колоний до сверхдержавы, которой есть дело до всего, что происходит на земном шаре, было стремительным. Америка – продукт волн иммиграции. В настоящее время это четвёртая страна в мире по площади и третья по численности населения. Она занимает значительную часть Североамериканского континента от Атлантики до Тихого океана, и здесь расположены некоторые из самых больших городов человечества. С самым большим в мире ВВП (валовой внутренний продукт), сектором услуг, медиа-индустрией, а также огневой мощью (не считая ядерного оружия), США можно рассматривать как главную страну в мире, или, по крайней мере, наиболее влиятельную на данный момент.
Некоторые историки утверждают, что история Америки началась, когда на Североамериканском континенте у восточного побережья возникли тринадцать английских колоний. Их население состояло из безземельных вторых сыновей британского дворянства, желавших быстро разбогатеть авантюристов, каторжников, должников, религиозных фанатиков, политических радикалов и людей, просто искавших лучшей жизни. Другие иммигранты – африканские рабы, европейская прислуга и им подобные прибыли в Америку не по своей воле. Независимо от обстоятельств, вся эта мятежная чернь заложила основу американского «плавильного котла».
Под руководством знати из Вирджинии и интеллектуалов Новой Англии колонисты всего за 12 лет дошли от празднования совместной победы над Францией вместе с англичанами до вооружённого конфликта против Великобритании. Если бы британский парламент действовал согласно сатирическим «правилам, по которым великая империя может быть уменьшена» Бена Франклина (1773), то есть краткому перечню жалоб колонистов, Англия, возможно, намного раньше отказалась бы от Северной Америки, как от невыгодного вложения. Как и в большинстве междоусобиц, главной причиной были деньги. Колонистов раздражали экономические ограничения со стороны Великобритании и налоги в британскую казну, которые они считали несправедливыми. Между тем британцы (наряду с несколькими упорными лоялистами), как правило, считали, что американцы – неблагодарный сброд, который не имел ни малейшего представления о том, сколько денег Корона тратила на их защиту и развитие.
К концу 1770-х годов американские колонии открыто восстали, и 4 июля 1776 года, после интенсивных дебатов и выкручивания рук, собрание представителей колоний объявило о независимости. Это повлекло за собой начало Американской революционной войны. Борьба бушевала с апреля 1775-го по октябрь 1781-го года. Как это обычно и бывает с революционными войнами, ситуация была запутанной: партизанская война на юге, череда атак и отступлений на севере. Континентальная армия (так называли мятежных колонистов) и по численности, и по вооружению уступала высококвалифицированной британской армии, которая уже выдержала проверку боем, в частности, потому, что прославленный британский флот имел абсолютный контроль над морем… до тех пор, пока в конце 1770-х годов не вступили в войну французы и испанцы.
В конце 1781 года Континентальная армия окружила британские войска генерала Корнуоллиса в Йорктауне. Французский флот не позволил бы англичанам сбежать, и Корнуоллису пришлось сдаться американцу Джорджу Вашингтону, герою революции. Наконец, два года спустя был подписан мирный договор, согласно которому новой республике отходили все земли к востоку от Миссисипи (за исключением Флориды, которая досталась Испании), а американские торговцы получили право гнаться за выгодой по всему миру, используя принцип «свободной торговли». Также формально признавалось создание новой нации.
Когда с неприятностями было покончено, американские «патриоты» взялись за создание федеративной республики. Первой попыткой стало утверждение «Статей Конфедерации и вечного союза» в 1781 году, которые оказались великолепными в своей бесполезности, поскольку документ не предоставлял правительству ни полномочий по налогообложению граждан, ни военной силы, и не предполагал назначения лица, ответственного за исполнение его предписаний. Руководители нового Конгресса Соединённых Штатов быстро исправили эти и другие недостатки: в 1787 году в Филадельфии они созвали секретное совещание, чтобы пересмотреть «Статьи». Вместо этого, после долгих речей и споров, собравшиеся подготовили полностью новую Конституцию, принятую правительством в 1789 году: в ней была утверждена форма государственного устройства Соединённых Штатов, так или иначе существующая поныне. В том же году Вашингтон был избран первым президентом. В 1791 году был подписан Билль о правах, и, чтобы все получилось как надо, были приняты 17 поправок и ещё 6 предложены.
Во время экспансии начались конфликты, которые в 1861 году закончились междоусобицей: Гражданской войной (или Войной за независимость Юга, или Войной между штатами, или Войной раскола, или Войной мистера Линкольна, или войной с множеством других, менее вежливых названий). Затем последовали четыре года напряжённых боев, в результате которых 600 тысяч американцев погибли и 400 тысяч были ранены. Война привела к освобождению рабов на Юге, фактическому уничтожению инфраструктуры южных штатов, конституционному ограничению прав штатов, возникновению долгосрочной неприязни между регионами, и, что порадует каждого американца, налогу на прибыль для финансирования военных действий.
Движимые «предопределением Судьбы», ни на что больше не отвлекающиеся, поселенцы, старатели, торговцы, проповедники и люди вне закона устремились на Запад в надежде на лучшую жизнь, а также в поисках приключений и богатства. Через пару поколений даже отдалённые уголки Америки были некоторым образом окультурены (зачастую после уничтожения коренных жителей). Это произошло благодаря богобоязненным семьям, заселившим «Дикий Запад», которые смогли сколотить состояния на добыче полезных ископаемых, скотоводстве, заготовке древесины и своей удаче. Европейские иммигранты, привлекаемые «Американской мечтой», вливались в страну вдоль всего восточного побережья. Это были люди, которые умирали тысячами, чтобы вскопать землю, проложить железные дороги, построить шахты в горах и положить конец беззаконию.
В начале XX века американцы были настроены оптимистично и охвачены благодушной верой в либерализм и политические реформы, научный прогресс, христианские ценности, урбанизацию и империализм. В это же время писатели и композиторы создавали новую американскую литературу и музыку. Но пока американская промышленная, культурная и экономическая мощь росли, вооружённые силы не успевали идти в ногу со временем.
Весь этот оптимизм и идеализм внезапно угасли в первые десятилетия нового века – участие Америки в Первой мировой войне, пандемия гриппа-испанки (1918-1919), обвал фондового рынка – и в результате моральное разложение «ревущих двадцатых», экологическая катастрофа «Пыльного котла» и «Великая депрессия»: хорошие времена закончились. С появлением сухого закона (помните фразу о благих намерениях?) к порочному союзу крупного бизнеса и большой политики присоединилась «большая преступность» (а позже – «большие СМИ»). Не особенно организованная преступность стала очень организованной. «Семьи», которые раньше только «обгрызали» края американской экономики, стали отламывать крупные куски. Такие гангстеры как Диллинджер и Капоне стали медиа- и народными героями, невиданными со времен дешёвых вестернов.
Соединённые Штаты спаслись от всего этого 7 декабря 1941 года, когда началась «Славная война». Война в Европе бушевала уже два года, в то время как Соединённые Штаты оставались якобы в стороне. И вот Америка подверглась нападению императорской Японии. В течение нескольких дней нацистская Германия и фашистская Италия объявили войну США. Вторая мировая война стала по-настоящему мировой. Научившись на своих ошибках, к концу 1942 года страна наступала на всех фронтах и поставляла союзникам тонны материалов, необходимых для победы. Война закончилась в 1945 году, после того, как Америка сбросила атомные бомбы на два японских города.
В разгар всего этого Америка двинулась к воплощению в жизнь высоких идеалов свободы и равенства, которые она отстаивает с момента своего основания. После Второй мировой войны несколько общественных движений: за освобождение женщин, гражданские права, права индейцев, права ЛГБТ и т.д. – изменили американский образ жизни. СМИ распространили эти и некоторые менее приятные особенности Америки во все уголки земного шара. До сих пор великие империи опирались либо на военную, либо на промышленную мощь, но Америка может считаться первой державой, основанной на экспорте культуры и своих ценностей, распространяемых с помощью глобальной медиа-машины.
Идентификаторы безопасности
Область применения
В этом разделе для ИТ-специалистов описываются идентификаторы безопасности и их работа в отношении учетных записей и групп Windows операционной системы.
Что такое идентификаторы безопасности?
Идентификатор безопасности (SID) используется для уникальной идентификации директора или группы безопасности. Принципы безопасности могут представлять любую сущность, которая может быть аутентификацией операционной системы, например учетную запись пользователя, учетную запись компьютера или поток или процесс, который выполняется в контексте безопасности пользователя или учетной записи компьютера.
Каждая учетная запись, группа или процесс, запущенный в контексте безопасности учетной записи, имеет уникальный SID, выданный органом, например контроллером Windows домена. Он хранится в базе данных безопасности. Система создает SID, который определяет определенную учетную запись или группу во время создания учетной записи или группы. Когда SID был использован в качестве уникального идентификатора для пользователя или группы, он никогда не может быть использован для идентификации другого пользователя или группы.
При каждом входе пользователя система создает маркер доступа для этого пользователя. Маркер доступа содержит ПОЛЬЗОВАТЕЛЬСКИЙ ИНТЕРФЕЙС пользователя, права пользователя и СИД для любых групп, к которой принадлежит пользователь. Этот маркер обеспечивает контекст безопасности для любых действий, выполняемых пользователем на этом компьютере.
Помимо уникально созданных ИИИ, определенных для домена, которые назначены определенным пользователям и группам, существуют хорошо известные СИД, которые определяют общие группы и общих пользователей. Например, СИД «Все» и «Мир» определяют группу, включаемую всех пользователей. Известные SID-системы имеют значения, которые остаются неизменными во всех операционных системах.
SiDs — это фундаментальный строительный блок Windows безопасности. Они работают с определенными компонентами технологий управления авторизацией и доступом в инфраструктуре безопасности операционных систем Windows Server. Это помогает защитить доступ к сетевым ресурсам и обеспечивает более безопасную вычислительную среду.
Содержимое в этом разделе относится к компьютерам, на которые запущены поддерживаемые версии операционной системы Windows, как это обозначено в списке Applies To в начале этой темы.
Работа идентификаторов безопасности
Пользователи ссылаются на учетные записи с помощью имени учетной записи, но операционная система внутренне ссылается на учетные записи и процессы, которые работают в контексте безопасности учетной записи с помощью идентификаторов безопасности (SID). Для учетных записей домена, SID директора безопасности создается путем согласовывания SID домена с относительным идентификатором (RID) для учетной записи. SiDs являются уникальными в пределах их области (домена или локального), и они никогда не будут повторно.
Операционная система создает SID, который определяет определенную учетную запись или группу во время создания учетной записи или группы. Sid для локальной учетной записи или группы создается местным управлением безопасности (LSA) на компьютере и хранится с другими сведениями учетной записи в безопасной области реестра. Sid для учетной записи домена или группы создается органом безопасности домена и хранится в качестве атрибута объекта User или Group в службах домена Active Directory.
Для каждой локальной учетной записи и группы sid является уникальным для компьютера, на котором он был создан. Нет двух учетных записей или групп на компьютере никогда не имеют одного и того же SID. Кроме того, для каждой учетной записи домена и группы sid является уникальным в пределах предприятия. Это означает, что SID для учетной записи или группы, созданной в одном домене, никогда не будет соответствовать SID для учетной записи или группы, созданной в любом другом домене предприятия.
SID всегда остаются уникальными. Органы безопасности никогда не выпускают один и тот же SID дважды и никогда не будут повторно использовать SID-данные для удаленных учетных записей. Например, если пользователь с учетной записью пользователя в домене Windows покидает свою работу, администратор удаляет ее учетную запись Active Directory, в том числе sid, который идентифицирует учетную запись. Если позже она возвращается на другую работу в одной и той же компании, администратор создает новую учетную запись, а операционная система Windows Server создает новый SID. Новый SID не соответствует старому; поэтому доступ пользователя со старой учетной записи не передается на новую учетную запись. Две ее учетные записи представляют две совершенно разные принципы безопасности.
Архитектура идентификатора безопасности
Идентификатор безопасности — это структура данных в двоичном формате, которая содержит переменное количество значений. Первые значения в структуре содержат сведения о структуре SID. Остальные значения расположены в иерархии (аналогично номеру телефона), и они идентифицируют орган по выдаче SID (например, «NT Authority»), домен sid-issuing и определенного доверителя безопасности или группу. На следующем изображении иллюстрируется структура SID.
Отдельные значения SID описаны в следующей таблице.
| Comment | Описание |
|---|---|
| Редакция | Указывает версию структуры SID, которая используется в определенном SID. |
| Управление идентификатором | Определяет самый высокий уровень полномочий, которые могут выдавать SID-коды для определенного типа доверителем безопасности. Например, значение авторитета идентификатора в группе SID для всех — 1 (World Authority). Значение авторитета идентификатора в SID для определенной учетной записи Windows Server или группы — 5 (NT Authority). |
| Subauthorities | >содержит наиболее важную информацию в SID, которая содержится в серии из одного или более значений subauthority. Все значения до, но не включая, последнее значение в серии совместно идентифицируют домен в предприятии. Эта часть серии называется идентификатором домена. Последнее значение в серии, которое называется относительным идентификатором (RID), определяет определенную учетную запись или группу по отношению к домену. |
Компоненты SID легче визуализировать при преобразовании SID из двоичного в формат строки с помощью стандартной нотации:
В этой нотации компоненты SID представлены, как показано в следующей таблице.
| Comment | Описание |
|---|---|
| S | Указывает, что строка является SID |
| R | Указывает уровень пересмотра |
| X | Указывает значение авторитета идентификатора |
| Y | Представляет ряд значений подавторности, где n — это число значений |
Наиболее важные сведения SID содержатся в серии значений подавторитета. Первая часть серии (-Y1-Y2-Y** n-1) — идентификатор домена. Этот элемент SID становится значительным в предприятии с несколькими доменами, так как идентификатор домена отличает идентификаторы SID, которые выданы одним доменом, от СИД, которые выданы всеми другими доменами предприятия. Нет двух доменов в корпоративном идентификаторе одного и того же домена.
Последний элемент из серии значений subauthority (-Yn)— это относительный идентификатор. Она отличает одну учетную запись или группу от всех других учетных записей и групп в домене. Нет двух учетных записей или групп в любом домене с одинаковым относительным идентификатором.
Например, SID для встроенной группы администраторов представлен в стандартизированной нотации SID в качестве следующей строки:
Этот SID имеет четыре компонента:
Уровень пересмотра (1)
Значение авторитета идентификатора (5, NT Authority)
Идентификатор домена (32, Builtin)
Относительный идентификатор (544, Администраторы)
SiD-коды для встроенных учетных записей и групп всегда имеют одно и то же значение идентификатора домена: 32. Это значение определяет домен Builtin, который существует на каждом компьютере, на котором работает версия операционной системы Windows Server. Никогда не нужно отличать встроенные учетные записи и группы одного компьютера от встроенных учетных записей и групп другого компьютера, так как они локальны в области. Они локализованы на одном компьютере, или в случае контроллеров домена для сетевого домена они локальны для нескольких компьютеров, которые действуют как один.
Встроенные учетные записи и группы должны отличаться друг от друга в области домена Builtin. Таким образом, sid для каждой учетной записи и группы имеет уникальный относительный идентификатор. Относительное значение идентификатора 544 уникально для встроенной группы администраторов. Ни одна другая учетная запись или группа в домене Builtin не имеет SID с конечным значением 544.
Sid для администраторов Contoso\Domain имеет:
Уровень пересмотра (1)
Орган идентификатора (5, NT Authority)
Идентификатор домена (21-10043363348-1177238915-6820033330, Contoso)
Относительный идентификатор (512, Администраторы домена)
Sid для администраторов Contoso\Domain отличается от SID для других групп администраторов домена в том же предприятии идентификатором домена: 21-1004336348-1177238915-68200333330. Ни один другой домен в предприятии не использует это значение в качестве идентификатора домена. Sid для администраторов Contoso\Domain отличается от СИД для других учетных записей и групп, созданных в домене Contoso относительным идентификатором 512. Ни одна другая учетная запись или группа в домене не имеет SID с конечным значением 512.
Распределение относительного идентификатора
Когда учетные записи и группы хранятся в базе данных учетных записей, управляемой локальным диспетчером учетных записей безопасности (SAM), система может создать уникальный относительный идентификатор для каждой учетной записи и группы, которую она создает на отдельном компьютере. Sam на отдельном компьютере может отслеживать относительные значения идентификатора, которые он использовал ранее, и убедиться, что он никогда не использует их снова.
Однако в сетевом домене создание уникальных относительных идентификаторов является более сложным процессом. Windows серверных сетевых доменов может иметь несколько контроллеров домена. Каждый контроллер домена хранит сведения об учетной записи Active Directory. Это означает, что в сетевом домене существует столько же копий базы данных учетных записей, сколько контроллеров домена. Кроме того, каждая копия базы данных учетных записей является основной копией. Новые учетные записи и группы можно создавать на любом контроллере домена. Изменения, внесенные в Active Directory на одном контроллере домена, реплицированы во все другие контроллеры домена в домене. Процесс репликации изменений в одной мастер-копии базы данных учетной записи во все остальные мастер-копии называется операцией multimaster.
Процесс создания уникальных относительных идентификаторов — это одноуголовная операция. Одному контроллеру домена назначена роль мастера относительного идентификатора (RID), и он выделяет последовательность относительные идентификаторы каждому контроллеру домена в домене. Когда новая учетная запись домена или группа создается в реплике одного контроллера домена Active Directory, ему назначен SID. Относительный идентификатор для нового SID взят из выделения контроллером домена относительных идентификаторов. Когда его предложение относительных идентификаторов начинает работать низко, контроллер домена запрашивает еще один блок от мастера RID.
Каждый контроллер домена использует каждое значение в блоке относительных идентификаторов только один раз. Мастер RID выделяет каждый блок относительных значений идентификатора только один раз. Этот процесс гарантирует, что каждая учетная запись и группа, созданные в домене, имеет уникальный относительный идентификатор.
Идентификаторы безопасности и уникальные идентификаторы глобального масштаба
Когда создается новый пользователь домена или учетная запись группы, Active Directory хранит SID учетной записи в свойстве ObjectSID объекта User или Group. Он также назначает новому объекту глобальный уникальный идентификатор (GUID), который является 128-битным значением, уникальным не только на предприятии, но и во всем мире. GUID назначены каждому объекту, созданному Active Directory, а не только объектам user и Group. GUID каждого объекта хранится в свойстве ObjectGUID.
Active Directory использует внутренние GUID-интерфейсы для идентификации объектов. Например, GUID — это одно из свойств объекта, которое публикуется в глобальном каталоге. Поиск глобального каталога GUID объекта Пользователя дает результаты, если у пользователя есть учетная запись где-то на предприятии. На самом деле поиск любого объекта с помощью ObjectGUID может быть самым надежным способом поиска объекта, который необходимо найти. Значения других свойств объектов могут изменяться, но свойство ObjectGUID никогда не меняется. Когда объекту назначен GUID, оно сохраняет это значение для жизни.
Если пользователь перемещается из одного домена в другой, он получает новый SID. Sid для группового объекта не меняется, так как группы остаются в домене, где они были созданы. Однако если люди перемещаются, их учетные записи могут перемещаться вместе с ними. Если сотрудник перемещается из Северной Америки в Европу, но остается в одной компании, администратор предприятия может переместить объект Пользователя сотрудника из, например, Contoso\NoAm в Contoso\Europe. Если администратор делает это, объекту User для учетной записи необходим новый SID. Часть идентификатора домена sid, выданная в NoAm, является уникальной для NoAm; таким образом, sid для учетной записи пользователя в Европе имеет другой идентификатор домена. Относительная часть идентификатора SID уникальна по отношению к домену; так что если домен изменяется, то изменяется и относительный идентификатор.
Когда объект Пользователя перемещается из одного домена в другой, для учетной записи пользователя и хранения в свойстве ObjectSID должен быть создан новый SID. Перед тем, как новое значение будет записано в свойство, предыдущее значение копируется в другое свойство объекта Пользователя, SIDHistory. Это свойство может иметь несколько значений. Каждый раз, когда объект Пользователя перемещается в другой домен, новый SID создается и хранится в свойстве ObjectSID, а в списке старых SID в SIDHistoryдобавляется другое значение. При успешной проверке подлинности пользователя служба проверки подлинности домена запрашивает Active Directory для всех СИД, связанных с пользователем, включая текущий SID пользователя, старые СИД пользователя и СИД для групп пользователей. Все эти СИД возвращаются клиенту проверки подлинности и включаются в маркер доступа пользователя. Когда пользователь пытается получить доступ к ресурсу, любой из СИД в маркере доступа (в том числе один из SID в SIDHistory), может разрешить или запретить доступ к пользователю.
Если вы разрешаете или отказываете пользователям в доступе к ресурсу на основе их заданий, то следует разрешить или запретить доступ к группе, а не к отдельному лицу. Таким образом, при смене рабочих мест или переходе в другие отделы можно легко настроить доступ, удалив их из определенных групп и добавив их в другие.
Однако, если вы разрешаете или отказываете отдельному пользователю в доступе к ресурсам, возможно, вы хотите, чтобы доступ этого пользователя не менялся независимо от того, сколько раз изменяется домен учетной записи пользователя. Свойство SIDHistory позволяет это сделать. При изменении доменов пользователем нет необходимости изменять список управления доступом (ACL) на любом ресурсе. Если ACL имеет старый SID пользователя, но не новый, старый SID по-прежнему находится в маркере доступа пользователя. Он перечислены среди sid для групп пользователя, и пользователю предоставляется или отказано в доступе на основе старого SID.
Хорошо известные SID
Значения определенных SID-данных являются постоянными во всех системах. Они создаются при установке операционной системы или домена. Они называются хорошо известными СИД, так как они определяют общих пользователей или общие группы.
Существуют универсальные хорошо известные СИИ, которые имеют значение во всех безопасных системах, которые используют эту модель безопасности, включая операционные системы, не Windows. Кроме того, существуют хорошо известные СИИ, которые имеют значение только Windows операционных системах.
В следующей таблице перечислены универсальные хорошо известные СИИ.
| Значение | Универсальный Well-Known SID | Идентификаторы |
|---|---|---|
| S-1-0-0 | Null SID | Группа без участников. Это часто используется, когда значение SID неизвестно. |
| S-1-1-0 | World | Группа, включаемая всех пользователей. |
| S-1-2-0 | Локальные | Пользователи, которые подключаются к терминалам, подключенным к системе локально (физически). |
| S-1-2-1 | Консоли Logon | Группа, включаемая пользователей, которые вошли в физическую консоль. |
| S-1-3-0 | ID владельца-создателя | Идентификатор безопасности, который должен быть заменен идентификатором безопасности пользователя, создавшего новый объект. Этот SID используется в наследуемых acEs. |
| S-1-3-1 | ID группы создателей | Идентификатор безопасности, который должен быть заменен пользовательским интерфейсом основной группы пользователя, создавшего новый объект. Используйте этот SID в наследуемых acEs. |
| S-1-3-2 | Сервер владельца-создателя | |
| S-1-3-3 | Сервер группы Creator | |
| S-1-3-4 | Права владельца | Группа, представляюющая текущего владельца объекта. Когда ACE, несущий этот SID, применяется к объекту, система игнорирует неявные разрешения READ_CONTROL WRITE_DAC для владельца объекта. |
| S-1-4 | Non-unique Authority | Sid, представляю для себя орган идентификатора. |
| S-1-5 | NT Authority | Sid, представляю для себя орган идентификатора. |
| S-1-5-80-0 | Все службы | Группа, которая включает все процессы службы, настроенные в системе. Членство контролируется операционной системой. |
В следующей таблице перечислены предопределяемые константы полномочий идентификатора. Первые четыре значения используются с универсальными хорошо известными siD-данными, а остальные значения используются с известными SID-данными в Windows операционных системах, указанных в списке Applies To.
| Управление идентификаторами | Значение | Префикс строки SID |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 | S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 | S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 | S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 | S-1-3 |
| SECURITY_NT_AUTHORITY | 5 | S-1-5 |
| SECURITY_AUTHENTICATION_AUTHORITY | 18 | S-1-18 |
Следующие значения RID используются с универсальными хорошо известными СИД. Столбец авторитета идентификатора показывает префикс органа идентификатора, с которым можно объединить RID для создания универсального общеизвестного SID.
| Управление относительным идентификатором | Значение | Управление идентификаторами |
|---|---|---|
| SECURITY_NULL_RID | 0 | S-1-0 |
| SECURITY_WORLD_RID | 0 | S-1-1 |
| SECURITY_LOCAL_RID | 0 | S-1-2 |
| SECURITY_CREATOR_OWNER_RID | 0 | S-1-3 |
| SECURITY_CREATOR_GROUP_RID | 1 | S-1-3 |
Орган предварительного идентификации security_NT_AUTHORITY (S-1-5) создает идентификаторы SID, которые не являются универсальными и имеют смысл только в установках операционных систем Windows, указанных в списке Applies To в начале этой темы. В следующей таблице перечислены известные СИД.
Следующие RID относительно каждого домена.
| RID | Десятичная величина | Идентификаторы |
|---|---|---|
| DOMAIN_USER_RID_ADMIN | 500 | Учетная запись административного пользователя в домене. |
| DOMAIN_USER_RID_GUEST | 501 | Учетная запись гостевого пользователя в домене. Пользователи, у которых нет учетной записи, могут автоматически войти в эту учетную запись. |
| DOMAIN_GROUP_RID_USERS | 513 | Группа, которая содержит все учетные записи пользователей в домене. Все пользователи автоматически добавляются в эту группу. |
| DOMAIN_GROUP_RID_GUESTS | 514 | Учетная запись группового гостя в домене. |
| DOMAIN_GROUP_RID_COMPUTERS | 515 | Группа «Компьютер домена». Все компьютеры в домене являются членами этой группы. |
| DOMAIN_GROUP_RID_CONTROLLERS | 516 | Группа контроллера домена. Все контроллеры домена в домене являются членами этой группы. |
| DOMAIN_GROUP_RID_CERT_ADMINS | 517 | Группа издателей сертификатов. Компьютеры с службами сертификатов Active Directory являются членами этой группы. |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS | 518 | Группа администраторов схемы. Члены этой группы могут изменять схему Active Directory. |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS | 519 | Группа администраторов предприятия. Члены этой группы имеют полный доступ ко всем доменам в лесу Active Directory. Enterprise администраторы отвечают за операции на уровне лесов, такие как добавление или удаление новых доменов. |
| DOMAIN_GROUP_RID_POLICY_ADMINS | 520 | Группа администраторов политики. |
В следующей таблице приводится пример СИИ, используемых для формирования известных СИД для локальных групп.
| RID | Десятичная величина | Идентификаторы |
|---|---|---|
| DOMAIN_ALIAS_RID_ADMINS | 544 | Администраторы домена. |
| DOMAIN_ALIAS_RID_USERS | 545 | Все пользователи в домене. |
| DOMAIN_ALIAS_RID_GUESTS | 546 | Гости домена. |
| DOMAIN_ALIAS_RID_POWER_USERS | 547 | Пользователь или набор пользователей, которые рассчитывают относиться к системе как к своему персональному компьютеру, а не как к рабочей станции для нескольких пользователей. |
| DOMAIN_ALIAS_RID_BACKUP_OPS | 551 | Локализованная группа, которая используется для управления назначением прав пользователя на резервное копирование и восстановление файлов. |
| DOMAIN_ALIAS_RID_REPLICATOR | 552 | Локализованная группа, которая отвечает за копирование баз данных безопасности с основного контроллера домена на контроллеры резервного копирования домена. Эти учетные записи используются только системой. |
| DOMAIN_ALIAS_RID_RAS_SERVERS | 553 | Локализованная группа, которая представляет удаленный доступ и серверы, работающие в службе проверки подлинности в Интернете (IAS). Эта группа разрешает доступ к различным атрибутам объектов Пользователя. |
Изменения в функциональных возможностях идентификатора безопасности
В следующей таблице описываются изменения в реализации SID в Windows операционных системах, указанных в списке.
| Изменение | Версия операционной системы | Описание и ресурсы |
|---|---|---|
| Большинство файлов операционной системы принадлежат идентификатору безопасности TrustedInstaller (SID) | Windows Server 2008, Windows Vista | Целью этого изменения является предотвращение автоматической замены файлов операционной системы в качестве администратора или учетной записи LocalSystem. |
| Реализованы ограниченные проверки SID | Windows Server 2008, Windows Vista | При ограничении SID присутствуют, Windows выполняет две проверки доступа. Во-первых, это обычная проверка доступа, а вторая — та же проверка доступа к ограничивающим SID-данным в маркере. Для доступа к объекту необходимо пройти обе проверки доступа. |
SiD-функции
Все SID-данные о возможностях, о чем известно операционной системе, хранятся в Windows реестре в путиHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities. К этому расположению будут добавлены Windows возможности, добавленные в Windows или сторонними приложениями.
Примеры ключей реестра, взятых из Windows 10 версии 1909, 64-Enterprise версии
В статье AllCachedCapabilities можно увидеть следующие клавиши реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows