Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
16 février 2011 3 16 /02 /février /2011 16:14

Microsoft

 

On parle souvent de SID, mais que se cache-t-il derrière ?

Un SID est un identifiant unique. Chaque objet dans l'AD (Active Directory) possède son SID. Le domaine lui-même a son SID. La structure du SID est simple ce qui nous permet d'identifier certaines choses.

Je ne vais pas entrer dans le mode de fonctionnement du SID et du "Maitre d'opération" (rôle FSMO). En revanche, je vais vous donner l'ensemble des SID système qui peuvent être utile pour du dépannage. Les SID qui vont suivre sont commum aux système d'exploitation Windows Server 2003, Windows Server 2008, Windows XP, Windows 2000 et Windows 2000 Professionnel.

Les SID connus :

  • SID : S-1-0
    Nom : Null Authority
    Description : Autorité d'identificateur
  • SID : S-1-0-0
    Nom : Nobody
    Description : Pas d'entité de sécurité.
  • SID : S-1-1
    Nom : World Authority
    Description : Autorité d'identificateur.
  • SID : S-1-1-0
    Nom : Tout le monde
    Description : Un groupe qui inclut tous les utilisateurs, même les utilisateurs anonymes et les invités. L'appartenance est contrôlée par le système d'exploitation.
  • SID : S-1-2
    Nom : Autorité locale
    Description : Autorité d'identificateur.
  • SID : S-1-2-0
    Nom : Local
    Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés de façon locale.
  • SID : S-1-2-1
    Nom : Ouverture de session de console
    Description : Un groupe qui inclut les utilisateurs ayant ouvert une session sur la console physique.

Remarque : Par défaut , le groupe Tout le monde n'inclut plus les utilisateurs anonymes sur un ordinateur qui exécute Windows XP Service Pack 2 (SP2).

 

Les SID suivant ont été ajoutés dans Windows 7 et Windows Server 2008 R2 :

  • SID : S-1-3
    Nom : Créateur Authority
    Description : Autorité d'identificateur.
  • SID : S-1-3-0
    Nom : Créateur propriétaire
    Description : Un espace réservé dans une entrée de contrôle d'accès pouvant être héritée (ACE). Lorsque l'ACE est héritée, le système remplace ce SID par le SID du créateur de l'objet.
  • SID : S-1-3-1
    Nom : Groupe créateur
    Description : Un espace réservé dans une ACE pouvant être héritée. Lorsque l'ACE est héritée, le système remplace ce SID par le SID du groupe primaire du créateur de l'objet. Le groupe primaire est utilisé uniquement par le sous-système POSIX.
  • SID : S-1-3-2
    Nom : Serveur créateur propriétaire
    Description : Ce SID n'est pas utilisé dans Windows 2000.
  • SID : S-1-3-3
    Nom : Serveur groupe créateur
    Description : Ce SID n'est pas utilisé dans Windows 2000.
  • SID : S-1-3-4
    Nom : Droits de propriétaire
    Description : Un groupe qui représente le propriétaire actuel de l'objet. Lorsqu'une ACE qui contient ce SID est appliquée à un objet, le système ignore les autorisations implicites READ_CONTROL et WRITE_DAC pour le propriétaire de l'objet.

 

Les SID suivant ont été ajoutés dans Windows Vista et Windows Server 2008 :

  • SID : S-1-4
    Nom : Non-unique Authority
    Description : Autorité d'identificateur.
  • SID : S-1-5
    Nom : NT Authority
    Description : Autorité d'identificateur.
  • SID : S-1-5-1
    Nom : Ligne
    Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés par l'intermédiaire d'une connexion d'accès à distance. L'appartenance est contrôlée par le système d'exploitation.
  • SID : S-1-5-2
    Nom : Réseau
    Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés par l'intermédiaire d'une connexion réseau. L'appartenance est contrôlée par le système d'exploitation.
  • SID : S-1-5-3
    Nom : Tâche
    Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés via une file d'attente de tâches. L'appartenance est contrôlée par le système d'exploitation.
  • SID : S-1-5-4
    Nom : Interactif
    Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés de façon interactive. L'appartenance est contrôlée par le système d'exploitation.
  • SID : S-1-5-5-X-Y
    Nom : Session d'ouverture de session
    Description : Une session d'ouverture de session. Les valeurs X et Y pour ces SID sont différentes pour chaque session.
  • SID : S-1-5-6
    Nom : Service
    Description : Un groupe qui inclut toutes les entités de sécurité qui ont ouvert une session en tant que service. L'appartenance est contrôlée par le système d'exploitation.
  • SID : S-1-5-7
    Nom : Anonyme
    Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés de façon anonyme. L'appartenance est contrôlée par le système d'exploitation.
  • SID : S-1-5-8
    Nom : Proxy
    Description : Ce SID n'est pas utilisé dans Windows 2000.
  • SID : S-1-5-9
    Nom : Contrôleurs de domaine d'entreprise
    Description : Un groupe qui inclut tous les contrôleurs de domaine dans une forêt qui utilise un service d'annuaire Active Directory. L'appartenance est contrôlée par le système d'exploitation.
  • SID : S-1-5-10
    Nom : Principal Self
    Description : Un espace réservé dans une ACE pouvant être héritée sur un objet de compte ou objet de groupe dans Active Directory. Lorsque l'ACE est héritée, le système remplace ce SID par le SID pour l'entité de sécurité qui contient le compte.
  • SID : S-1-5-11
    Nom : Utilisateurs authentifiés
    Description : Un groupe qui inclut tous les utilisateurs dont les identités ont été authentifiées lorsqu'ils se sont connectés. L'appartenance est contrôlée par le système d'exploitation.
  • SID : S-1-5-12
    Nom : Restricted Code
    Description : Ce SID est réservé pour une future utilisation.
  • SID : S-1-5-13
    Nom : Utilisateurs Terminal Server
    Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés à un serveur Terminal Services. L'appartenance est contrôlée par le système d'exploitation.
  • SID : S-1-5-14
    Nom : Ouverture de session interactive à distance
    Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés via une ouverture de session des services Terminal Server.
  • SID : S-1-5-15
    Nom : Cette organisation
    Description : Un groupe qui inclut tous les utilisateurs de la même organisation. Uniquement inclus avec les comptes Active Directory et uniquement ajouté par un contrôleur de domaine Windows Server 2003 ou ultérieur.
  • SID : S-1-5-17
    Nom : Cette organisation
    Description : Compte utilisé par l'utilisateur d'Internet Information Services (IIS) par défaut.
  • SID : S-1-5-18
    Nom : Local System
    Description : Un compte de service qui est utilisé par le système d'exploitation.
  • SID : S-1-5-19
    Nom : NT Authority
    Description : Service local
  • SID : S-1-5-20
    Nom : NT Authority
    Description : Service réseau
  • SID : S-1-5-21domaine-500
    Nom : Administrateur
    Description : Un compte d'utilisateur pour l'administrateur système. Par défaut, il s'agit du seul compte d'utilisateur qui dispose du contrôle total sur le système.
  • SID : S-1-5-21domaine-501
    Nom : Invité
    Description : Un compte d'utilisateur pour les personnes qui n'ont pas de comptes individuels. Ce compte d'utilisateur n'a pas besoin de mot de passe. Par défaut, le compte Invité est désactivé.
  • SID : S-1-5-21domaine-502
    Nom : KRBTGT
    Description : Un compte de service qui est utilisé par le service Centre de distribution de clés (KDC).
  • SID : S-1-5-21domaine-512
    Nom : Administrateurs du domaine
    Description : Un groupe global dont les membres sont autorisés à administrer le domaine. Par défaut, le groupe Administrateurs du domaine est membre du groupe Administrateurs sur tous les ordinateurs qui ont rejoint un domaine, y compris les contrôleurs de domaine. Les Administrateurs du domaine sont les propriétaires par défaut de tout objet créé par un membre du groupe.
  • SID : S-1-5-21domaine-513
    Nom : Utilisateurs du domaine
    Description : Un groupe global qui, par défaut, inclut tous les comptes d'utilisateurs dans un domaine. Lorsque vous créez un compte d'utilisateur dans un domaine, il est ajouté par défaut à ce groupe.
  • SID : S-1-5-21domaine-514
    Nom : Invités du domaine
    Description : Un groupe global qui, par défaut, n'a qu'un seul membre, le compte Invité du domaine.
  • SID : S-1-5-21domaine-515
    Nom : Ordinateurs du domaine
    Description : Un groupe global qui inclut tous les clients et serveurs qui ont rejoint le domaine.
  • SID : S-1-5-21domaine-516
    Nom : Contrôleurs de domaine
    Description : Un groupe global qui inclut tous les contrôleurs de domaine dans le domaine. Les nouveaux contrôleurs de domaine sont ajoutés par défaut à ce groupe.
  • SID : S-1-5-21domaine-517
    Nom : Éditeurs de certificats
    Description : Un groupe global qui inclut tous les ordinateurs qui hébergent une autorité de certification d'entreprise. Les Éditeurs de certificats sont autorisés à publier des certificats pour les objets Utilisateur dans Active Directory.
  • SID : S-1-5-21domaine racine-518
    Nom : Administrateurs du schéma
    Description : Un groupe universel dans un domaine en mode natif ; un groupe global dans un domaine en mode mixte. Le groupe est autorisé à apporter des modifications au schéma dans Active Directory. Par défaut, le seul membre du groupe est le compte Administrateur pour le domaine racine de forêt.
  • SID : S-1-5-21domaine racine-519
    Nom : Administrateurs de l'entreprise
    Description : Un groupe universel dans un domaine en mode natif ; un groupe global dans un domaine en mode mixte. Le groupe est autorisé à apporter des modifications à la forêt dans Active Directory, par exemple à ajouter des domaines enfants. Par défaut, le seul membre du groupe est le compte Administrateur pour le domaine racine de forêt.
  • SID : S-1-5-21domaine-520
    Nom : Propriétaires créateurs de la stratégie de groupe
    Description : Un groupe global qui est autorisé à créer de nouveaux objets Stratégie de groupe dans Active Directory. Par défaut, le seul membre du groupe est Administrateur.
  • SID : S-1-5-21domaine-553
    Nom : Serveurs RAS et IAS
    Description : Un groupe local de domaine. Par défaut, ce groupe n'a pas de membres. Les serveurs de ce groupe ont un accès Read Account Restrictions et Read Logon Information sur les objets utilisateur du groupe local de domaine Active Directory.
  • SID : S-1-5-32-544
    Nom : Administrateurs
    Description : Un groupe prédéfini. Après l'installation initiale du système d'exploitation, le seul membre du groupe est le compte Administrateur. Lorsqu'un ordinateur rejoint un domaine, le groupe Administrateurs du domaine est ajouté au groupe Administrateurs. Lorsqu'un serveur devient un contrôleur de domaine, le groupe Administrateurs de l'entreprise est également ajouté au groupe Administrateurs.
  • SID : S-1-5-32-545
    Nom : Utilisateurs
    Description : Un groupe prédéfini. Après l'installation initiale du système d'exploitation, le seul membre est le groupe Utilisateurs authentifiés. Lorsqu'un ordinateur rejoint un domaine, le groupe Utilisateurs du domaine est ajouté au groupe Utilisateurs sur l'ordinateur.
  • SID : S-1-5-32-546
    Nom : Invités
    Description : Un groupe prédéfini. Par défaut, le seul membre est le compte Invité. Le groupe Invités permet à des utilisateurs occasionnels d'ouvrir une session avec des privilèges limités sur un compte Invité prédéfini sur l'ordinateur.
  • SID : S-1-5-32-547
    Nom : Utilisateurs avec pouvoir
    Description : Un groupe prédéfini. Par défaut, ce groupe n'a pas de membres. Les utilisateurs avec pouvoir peuvent créer des utilisateurs et des groupes locaux, modifier et supprimer des comptes qu'ils ont créés et supprimer des utilisateurs des groupes Utilisateurs avec pouvoir, Utilisateurs et Invités. Les utilisateurs avec pouvoir peuvent également installer des programmes, créer, gérer et supprimer des imprimantes locales et créer et supprimer des partages de fichiers.
  • SID : S-1-5-32-548
    Nom : Opérateurs de compte
    Description : Un groupe prédéfini qui existe uniquement sur les contrôleurs de domaine. Par défaut, ce groupe n'a pas de membres. Par défaut, les Opérateurs de comptes peuvent créer, modifier et supprimer des comptes pour les utilisateurs, les groupes et les ordinateurs dans tous les conteneurs et toutes les unités d'organisation Active Directory à l'exception du conteneur Builtin et de l'unité d'organisation des contrôleurs de domaine. Les Opérateurs de compte ne peuvent pas modifier les groupes Administrateurs et Administrateurs du domaine, ni les comptes pour les membres de ces groupes.
  • SID : S-1-5-32-549
    Nom : Opérateurs de serveur
    Description : Un groupe prédéfini qui existe uniquement sur les contrôleurs de domaine. Par défaut, ce groupe n'a pas de membres. Les Opérateurs de serveur peuvent ouvrir une session de façon interactive sur un serveur, créer et supprimer des partages réseau, démarrer et arrêter des services, sauvegarder et restaurer des fichiers, formater le disque dur d'un ordinateur et arrêter l'ordinateur.
  • SID : S-1-5-32-550
    Nom : Opérateurs d'impression
    Description : Un groupe prédéfini qui existe uniquement sur les contrôleurs de domaine. Par défaut, le seul membre est le groupe Utilisateurs du domaine. Les Opérateurs d'impression peuvent gérer des imprimantes et des files d'attente de document.
  • SID : S-1-5-32-551
    Nom : Opérateurs de sauvegarde
    Description : Un groupe prédéfini. Par défaut, ce groupe n'a pas de membres. Les Opérateurs de sauvegarde peuvent sauvegarder et restaurer tous les fichiers d'un ordinateur, indépendamment des autorisations qui protègent ces fichiers. Les Opérateurs de sauvegarde peuvent également ouvrir une session sur l'ordinateur et l'arrêter.
  • SID : S-1-5-32-552
    Nom : Duplicateurs
    Description : Un groupe prédéfini qui est utilisé par le service de réplication de fichiers sur les contrôleurs de domaine. Par défaut, ce groupe n'a pas de membres. N'ajoutez pas d'utilisateurs à ce groupe.
  • SID : S-1-5-64-10
    Nom : Authentification NTLM
    Description : Un SID qui est utilisé lorsque le package d'authentification NTLM a authentifié le client
  • SID : S-1-5-64-14
    Nom : Authentification SChannel
    Description : Un SID qui est utilisé lorsque le package d'authentification SChannel a authentifié le client.
  • SID : S-1-5-64-21
    Nom : Authentification Digest
    Description : Un SID qui est utilisé lorsque le package de l'authentification Digest a authentifié le client.
  • SID : S-1-5-80
    Nom : Service NT
    Description : Un préfixe de compte de service NT
  • SID : S-1-16-0
    Nom : Niveau obligatoire non approuvé
    Description : Un niveau d'intégrité non approuvés. Note ajoutée dans Windows Vista et Windows Server 2008
  • SID : S-1-16-4096
    Nom : Niveau obligatoire faible
    Description : Un niveau d'intégrité faible.
  • SID : S-1-16-8192
    Nom : Niveau obligatoire moyen
    Description : Un niveau d'intégrité moyenne
  • SID : S-1-16-8448
    Nom : Niveau obligatoire moyen plus
    Description : Un niveau d'intégrité moyen plus
  • SID : S-1-16-12288
    Nom : Niveau obligatoire élevé
    Description : Un niveau d'intégrité élevé
  • SID : S-1-16-16384
    Nom : Niveau obligatoire système
    Description : Un niveau d'intégrité système
  • SID : S-1-16-20480
    Nom : Niveau obligatoire de processus protégé
    Description : Un niveau d'intégrité du processus protégé
  • SID : S-1-16-28672
    Nom : Niveau obligatoire de processus sécurisé
    Description : Un niveau d'intégrité de processus sécurisé

 

Les groupes suivants s'afficheront en tant que SID jusqu'à ce qu'un contrôleur de domaine Windows Server 2003 devienne détenteur du rôle de maître d'opérations du contrôleur de domaine principal. (Le « maître d'opérations » est également connu sous le nom de FSMO (opérations à maître unique flottant).) Les nouveaux groupes prédéfinis supplémentaires qui sont créés lorsqu'un contrôleur de domaine Windows Server 2003 est ajouté au domaine sont :

  • SID : S-1-5-32-554
    Nom : BUILTIN\Accès compatible pré-Windows 2000
    Description : Un alias ajouté par Windows 2000. Un groupe de compatibilité descendante qui autorise un accès en lecture sur tous les utilisateurs et groupes du domaine.
  • SID : S-1-5-32-555
    Nom : BUILTIN\Utilisateurs du Bureau à distance
    Description : Un alias. Les membres de ce groupe disposent des droits nécessaires pour ouvrir une session à distance.
  • SID : S-1-5-32-556
    Nom : BUILTIN\Opérateurs de configuration réseau
    Description : Un alias. Les membres de ce groupe peuvent disposer de certaines autorisations d'administration pour la configuration des fonctionnalités réseau.
  • SID : S-1-5-32-557
    Nom : BUILTIN\Générateurs d'approbations de forêt entrante
    Description : Un alias. Les membres de ce groupe peuvent créer des approbations à sens unique entrantes vers cette forêt.
  • SID : S-1-5-32-558
    Nom : BUILTIN\Utilisateurs de l'Analyseur de performances
    Description : Un alias. Les membres de ce groupe disposent de l'autorisation d'accès à distance pour surveiller cet ordinateur.
  • SID : S-1-5-32-559
    Nom : BUILTIN\Utilisateurs du journal de performance
    Description : Un alias. Les membres de ce groupe disposent de l'autorisation d'accès à distance pour planifier la journalisation des compteurs de performances sur cet ordinateur.
  • SID : S-1-5-32-560
    Nom : BUILTIN\Groupe d'accès d'autorisation Windows
    Description : Un alias. Les membres de ce groupe ont accès à l'attribut tokenGroupsGlobalAndUniversal sur les objets Utilisateur.
  • SID : S-1-5-32-561
    Nom : BUILTIN\Serveurs de licences des services Terminal Server
    Description : Un alias. Un groupe pour les serveurs de licences des services Terminal Server. Lors de l'installation de Windows Server 2003 Service Pack 1, un nouveau groupe local est créé.
  • SID : S-1-5-32-562
    Nom : utilisateurs BUILTIN\Distributed COM
    Description : Un alias. Un groupe pour COM pour fournir des contrôles d'accès dans tout l'ordinateur qui régissent l'accès à toutes les requêtes d'appel, d'activation ou de lancement sur l'ordinateur.

 

Les groupes suivants s'afficheront en tant que SID jusqu'à ce qu'un contrôleur de domaine Windows Server 2008 ou Windows Server 2008 R2 devienne détenteur du rôle de maître d'opérations du contrôleur de domaine principal. (Le « maître d'opérations » est également connu sous le nom de FSMO (opérations à maître unique flottant).) Les nouveaux groupes prédéfinis supplémentaires qui sont créés lorsqu'un contrôleur de domaine Windows Server 2008 ou Windows Server 2008 R2 est ajouté au domaine sont :

  • SID : S-1-5- 21domaine -498
    Nom : Contrôleurs de domaine Enterprise lecture seule
    Description : Un groupe universel. Les membres de ce groupe sont des contrôleurs de domaine en lecture seule dans l'entreprise
  • SID : S-1-5- 21domaine -521
    Nom : Contrôleurs de domaine en lecture seule
    Description : Un groupe global. Les membres de ce groupe sont des contrôleurs de domaine en lecture seule dans le domaine
  • SID : S-1-5-32-569
    Nom : opérateurs BUILTIN\Cryptographic
    Description : Un groupe local intégré. Les membres sont autorisés à effectuer des opérations cryptographiques.
  • SID : S-1-5-21domaine-571
    Nom : Groupe de réplications de mot de passe RODC autorisées
    Description : Un groupe local de domaine. Les membres de ce groupe peuvent faire répliquer leurs mots de passe pour tous les contrôleurs de domaine en lecture seule dans le domaine.
  • SID : S-1-5- 21domaine -572
    Nom : Groupe de réplications de mot de passe RODC refusées
    Description : Un groupe local de domaine. Les membres de ce groupe ne peuvent faire réplisuer leurs mots de passe pour les contrôleurs de domaine en lecture seule dans le domaine
  • SID : S-1-5-32-573
    Nom : BUILTIN\Agents de lecture du journal des événements
    Description : Un groupe local intégré. Les membres de ce groupe peuvent lire des journaux des événements à partir dun ordinateur local.
  • SID : S-1-5-32-574
    Nom : BUILTIN\Accès DCOM aux services de certificat
    Description : Un groupe local intégré. Les membres de ce groupe sont autorisés à se connecter aux autorités de certification de l'entreprise.

 

Source d'information Microsoft.

Partager cet article

Repost 0
Published by Lucky le Koala, le bien-heureux - dans Technique
commenter cet article

commentaires

Présentation

  • : Le blog de Lucky le Koala
  • Le blog de Lucky le Koala
  • : Un peu de tout mais toujours en ralant !
  • Contact

Catégories