Security Identifier ist eine eindeutige Datenstruktur zu Identifizierung von Benutzern und Gruppen

Security Identifier ist eine eindeutige Datenstruktur zu Identifizierung von Benutzern und Gruppen, ähnlich wie eine GUID (Globally Unique Identifier). Die SID wird im „Security Accounts Manager“ (SAM) abgelegt. Dabei handelt es sich um eine Datenbank, die Teil der Windows-Registry ist. Der SAM enthält nicht nur die SIDs, sondern auch Benutzernamen und die als Hashes abgelegten Passwörter.

Beispiel:

S15-21-20004783541275210071-8395221151005

Eine SID hat eine variable Länge und besteht aus 5 Bestandteilen, die mit Bindestrichen getrennt angezeigt werden. Vorn steht zuerst das S als Prefix, dann folgt eine „Revisionnummer“ (immer die 1 bei NT und W2k) und ein 48-bit-Wert mit dem Namen „Identifier Authority“ – die 5 (immer die 5 bei NT) am Anfang steht für Windows Security System. Dahinter folgt der 32-bit-Wert „SubAuthority“ (1. Security-Domain-RID, 2. Domain-RID-Admins).
Ganz am Schluss steht die Benutzer-ID „RID“ (Relative Identifier).

Die 5 Bestandteile:

  • 1 = S
  • 2 = Revisionsnummer
  • 3 = Identifier Authority
  • 4 = SubAuthority (1. und 2. Domain-RID)
  • 5 = Benutzer-ID

Die einzigartige SID-Nummer ist so ausgeklügelt, dass es praktisch unmöglich ist, dass auf dieser Welt einmal zwei identische SIDs generiert werden.

Die SID wird für einen Benutzer automatisch angelegt, wenn er erstellt wird. Da es in einem Netzwerk gleichnamige Benutzer geben kann, verwendet Windows zur eindeutigen Kennzeichnung eine SID. Werden einem Benutzer beispielsweise bestimmte Berechtigungen für den Zugriff auf Ordner und Dateien zugewiesen, so weist Windows die Berechtigungen der SID zu. In der Registry im Schlüssel HKEY_USERS befindet sich die Benutzeridentifikation (SID) des angemeldeten Benutzers, statt des Benutzernamens, sowie unter

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ProfileList

Da in der SID auch die betreffende Domäne des Benutzer hinterlegt wird, ändert sich die SID eines Benutzers, wenn er in eine andere Domäne verschoben wird. Falls eine SID doppelt vorhanden ist, erhalten die betroffenen Rechner keinen Netzwerk-Zugriff.

Wurde der Rechner geklont – z.B.mit DriveImage -, kann es zu Problemen im Netzwerk kommen, wenn die bereits vorhandene SID auch auf dem anderen Rechner eingesetzt wird. Setzt man nun mehrere geklonte Rechner im Netzwerk ein, haben alle Benutzeraccounts dieselbe SID, also alle Benutzer automatisch dieselben Rechte auf allen diesen PCs. Tools, wie Sysprep schaffen Abhilfe.

Nützliche Informationen bei der Behandlung von Sicherheitsproblemen, auch bei möglichen Anzeigeproblemen, die im ACL-Editor (in ihm kann eine SID anstelle des Benutzer- oder Gruppennamens erscheinen) sichtbar werden können:
Hilfe & Support 243330

Microsoft Hilfe & Support „SID structure“

1 Star2 Stars3 Stars4 Stars5 Stars (38 Stimmen, Durchschnitt: 4,70 aus 5)
Loading...