SID AND RID OF Windows

 · 2020-12-3 · 次阅读


windows下的SID和RID:

SID-Security Identifiers安全标识符。

​ SID是标识用户、组和计算机账户的唯一的号码,在第一次创建该用户时,将给网络上的每一个用户发布一个唯一的SID。

​ 同名先后创建的两个用户SID是不一样的,因而权限一不一样。操作系统种的进程是根据用户的SID来判断用户权限的,而并不是用户或组名。

​ 简单总结一下就是:SID是代表用户的唯一标识,也是组和计算机账户的安全标识符。即使同名先后创建的两个用户,SID也不一样并且权限也不一样。在用户登陆验证通过后,登陆进程会给用户一个访问令牌,此令牌相当于访问系统资源的票证,当用户访问系统资源时,会将访问令牌提供给Windows NT,由Winodws NT检测用户要访问的对象的访问控制列表ACL上是否此用户被允许对该资源访问,如果有,Winodws NT将会根据表中该用户所拥有的权限,将权限分配给该用户。

SID的组成

SID:一个典型的SID:S-1-5-21-1683771068-12213551888-624655398-1001.它遵循的模式是:S-R-IA-SA-SA-RID。下面是具体解释:
1、字母S指明这是一个SID标识符,它将数字标记为一个SID。
2、R代表Revision(修订),Windows生成的所有SID都使用修订级别 1.
3、IA代表颁发机构。在Widnwos中,几乎所有SID都指定NT机构作为颁发机构,它的ID编号为5.但是,代表已知组和账户的SID例外。
4、SA代表一个子机构。SA指定特殊的组或职能。例如、21表明SID由一个域控制器或者一台单机颁发。随后的一长串数字(1683771068-12213551888-624655398)就是颁发SID的那个域或机器的SA。
5、RID是指相对ID(RID)、是SA所指派的一个惟一的、顺序的编号、代表一个安全主体(比如一个用户、计算机或组)

注:在经典NT和windows2000中,Local System账户SID S-1-5-18为几乎所有服务提供了安全上下文,该账户具有很大的特权。Windows2003则引入了另外两个“已知SID”来为服务提供一个安全上 下文、即LocalService和NetworkService。

RID

​ 已知RID:指派给用户、计算机和组的RID从1000开始。500-999的RID被专门保留起来,表示在每个Windows计算机和域中通用的账户和组他们被统称为已知RID。有些已知RID会附加到一个域SID上,从而构成一个唯一的标识符,另一些附加到Builtin SID(S-1-5-32上),,指出它们是可能具有特权的Builtin账户--特权要么是硬编码到操作系统中的,要么是在安全数据库中指派的。

纯摘自:windows下的SID和RID