SID
總述:SID就是唯一標識用戶,組和計算機賬戶的安全標識符。同名先后創建的兩個用戶SID是不一樣的,所以權限也不一樣。在用戶登錄驗證通過之后,登錄進程會給用戶一個訪問令牌,此令牌相當於用戶訪問系統資源的票證,當用戶訪問系統資源時,會將訪問令牌提供給Windows NT,由Windows NT檢測用戶要訪問的對象的訪問控制列表ACL上是否此用戶被允許對該資源訪問,如果有,Windowx NT將會根據表中該用戶所擁有的權限,將權限分配給該用戶。
SID安全標識符(Security Identifiers),是標識用戶、組和計算機賬戶的唯一的號碼,在第一次創建該用戶時,將給網絡上的每一個用戶發布一個唯一的SID。同名先后創建的兩個用戶SID是不一樣的,所以權限也不一樣。操作系統中的進程是根據用戶的SID判斷用戶的權限的,而不是用戶或組名,
SID的組成
SID:一個典型的SID:S-1-5-21-1683771068-12213551888-624655398-1001.它遵循的模式是:S-R-IA-SA-SA-RID。下面是具體解釋:
1、字母S指明這是一個SID標識符,它將數字標記為一個SID。
2、R代表Revision(修訂),Windows生成的所有SID都使用修訂級別 1.
3、IA代表頒發機構。在Widnwos中,幾乎所有SID都指定NT機構作為頒發機構,它的ID編號為5.但是,代表已知組和賬戶的SID例外。
4、SA代表一個子機構。SA指定特殊的組或職能。例如、21表明SID由一個域控制器或者一台單機頒發。隨后的一長串數字(1683771068-12213551888-624655398)就是頒發SID的那個域或機器的SA。
5、RID是指相對ID(RID)、是SA所指派的一個惟一的、順序的編號、代表一個安全主體(比如一個用戶、計算機或組)
注:在經典NT和windows2000中,Local System賬戶SID S-1-5-18為幾乎所有服務提供了安全上下文,該賬戶具有很大的特權。Windows2003則引入了另外兩個“已知SID”來為服務提供一個安全上 下文、即LocalService和NetworkService。
RID
已知RID:指派給用戶、計算機和組的RID從1000開始。500-999的RID被專門保留起來、表示在每個Windows計算機和域中通用的賬戶和組,它們稱為“已知RID”有些已知RID會附加到一個域SID上,從而構成一個惟一的標識符。另一些則附加到Builtin SID(S-1-5-32)上,指出它們是可能具有特權的Builtin賬戶--特權要么是硬編碼到操作系統中的,要么是在安全數據庫中指派的。
關於SID的獲得、SID重復問題的產生、的解決方法、如何修改鏡像操作系統的SID:https://www.cnblogs.com/mq0036/p/3518542.html