Lorsque l’on gère un Active Directory (AD DS), ou que l’on programme en Powershell, ou d’autres langage lié à Windows. On se retrouve souvent confronté aux SIDs.
Qu’est qu’un SID? C’est un identifiant unique. Chaque objet, tout est objet dans l’AD, (Active Directory) possède son SID. Le domaine lui-même a son SID.
La structure du SID est relativement simple, et de facto cela permet de les identifier et de savoir certaines choses à leur sujet.
Le SID est une valeur unique. Il n’y a pas 2 SID identique sur une machine.
Il est de longueur variable et cette longueur variable est utilisée pour identifier l’entité de sécurité ou le groupe de sécurité du systèmes d’exploitation (en l’occurrence Windows).
Les SID les plus connus sont un groupe de SID qui identifient des utilisateurs génériques ou des groupes génériques. LA valeurs de ces SID reste constante quelque soit le systèmes d’exploitation.
Les informations liés aux SIDs sont utiles pour résoudre les problèmes qui sont liés à la sécurité. Ces informations sont aussi utiles pour les problèmes d’affichage dans l’éditeur d’ACL. En effet un SID peut être affiché dans l’éditeur ACL en lieu et place du nom de l’utilisateur ou du groupe (idéal pour les internationalisation).
Il y a plusieurs manières de récupérer le SID d’un objet. Pourquoi pas celui d’un compte.
En utilisant un outil disponible dans la suite Sysinternals utilities, PsGetSID. Cet outil qui fonctionne en ligne de commande permet de récupérer le SID.
Par exemple pour trouver mon SID
La syntaxe est PsGetSIF SAMAccount
PsGetSID Olivier
A chaque utilisateur étant assigné un unique SID qui est utilisé pour avoir accès aux ressources comme les fichiers, les clés de registres, les répertoires partagés, etc. On peut obtenir le SID d’un utilisateur en utilisant aussi la commande WMIC USERACCOUNT.
Pour avoir le SID d’un utilisateur local
wmic useraccount where name='username' get sid
Par exemple pour obtenir le SID d’un utilisateur local avec le prénom « olivier »
wmic useraccount where name='olivier' get sid
On peut aussi à l’aide de la variable windows %username% avoir le SID de l’utilisateur loggué.
Cela est utile dans les scripts où on veut récupérer le SID de l’utilisateur loggué.
wmic useraccount where name='%username%' get sid
Pour avoir le SID l’utilisateur du domaine loggué.
Lancer la commande ‘whoami /user’ pour avoir le SID de l’utilisateur du domaine loggué.
c:\>whoami /user
USER INFORMATION
----------------
User Name SID
============== ==============================================
mydomain\wincmd S-1-5-21-7375663-6890924511-1272660413-2944159
c:\>
Pour avoir le SID de l’administrateur local de l’ordinateur.
wmic useraccount where (name='administrateur' and domain='%computername%') get name,sid
Pour avoir le SID pour l’administrateur de Domaine.
wmic useraccount where (name='admin' and domain='%userdomain%') get name,sid
Et bien sûr, on peut retrouver le nom d’un utilisateur par son SID
wmic useraccount where sid='S-1-5-21-4127031757-370342100-887826627-1001' get name
Ci-dessous la liste des SID, en commençant par les plus connus :
Voici quelques SID bien connus :
- SID : S-1-0
Nom : Null Authority
Description : Autorité d’identificateur. - SID : S-1-0-0
Nom : Personne
Description : Pas d’entité de sécurité. - SID : S-1-1
Nom : Autorité mondiale
Description : Autorité d’identificateur. - SID : S-1-1-0
Nom : Tout le monde
Description : Un groupe qui inclut tous les utilisateurs, même les utilisateurs anonymes et les invités. L’appartenance est contrôlée par le système d’exploitation.Remarque Par défaut, le groupe Tout le monde n’inclut plus les utilisateurs anonymes sur les ordinateurs qui exécutent Windows XP Service Pack 2 (SP2). - SID : S-1-2
Nom : Autorité locale
Description : Autorité d’identificateur. - SID : S-1-2-0Nom : LocalDescription : Un groupe qui inclut tous les utilisateurs qui se sont connectés de façon locale.
- SID : S-1-2-1Nom : Ouverture de session de la consoleDescription : Un groupe qui comprend les utilisateurs ayant ouvert une session sur la console physique.Remarque Ajouté dans Windows 7 et Windows Server 2008 R2
- SID : S-1-3
Nom : Autorité de création
Description : Autorité d’identificateur. - SID : S-1-3-0
Nom : Propriétaire créateur
Description : Un espace réservé dans une entrée de contrôle d’accès pouvant être héritée (ACE). Lorsque l’ACE est héritée, le système remplace ce SID par le SID du créateur de l’objet. - SID : S-1-3-1
Nom : Groupe créateur
Description : Un espace réservé dans une ACE pouvant être héritée. Lorsque l’ACE est héritée, le système remplace ce SID par le SID du groupe primaire du créateur de l’objet. Le groupe primaire est utilisé uniquement par le sous-système POSIX. - SID : S-1-3-2
Nom : Serveur créateur propriétaire
Description : Ce SID n’est pas utilisé dans Windows 2000. - SID : S-1-3-3
Nom : Serveur groupe créateur
Description : Ce SID n’est pas utilisé dans Windows 2000. - SID : S-1-3-4 Nom : Droits propriétaireDescription : Groupe qui représente le propriétaire actuel de l’objet. Lorsqu’une ACE qui contient ce SID est appliquée à un objet, le système ignore les autorisations implicites READ_CONTROL et WRITE_DAC pour le propriétaire de l’objet.
- SID : S-1-5-80-0
Nom : Tous les services
Description : Groupe qui comprend tous les processus de service configurés sur le système. L’appartenance est contrôlée par le système d’exploitation.Remarque Ajouté dans Windows Vista et Windows Server 2008 - SID : S-1-4
Nom : Autorité non unique
Description : Autorité d’identificateur. - SID : S-1-5
Nom : Autorité NT
Description : Autorité d’identificateur. - SID : S-1-5-1
Nom : Ligne
Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés par l’intermédiaire d’une connexion d’accès à distance. L’appartenance est contrôlée par le système d’exploitation. - SID : S-1-5-2
Nom : Réseau
Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés par l’intermédiaire d’une connexion réseau. L’appartenance est contrôlée par le système d’exploitation. - SID : S-1-5-3
Nom : Lot
Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés via une file d’attente de tâches. L’appartenance est contrôlée par le système d’exploitation. - SID : S-1-5-4
Nom : Interactif
Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés de façon interactive. L’appartenance est contrôlée par le système d’exploitation. - SID : S-1-5-5-X-Y
Nom : Session d’ouverture de session
Description : Une session d’ouverture de session. Les valeurs X et Y pour ces SID sont différentes pour chaque session. - SID : S-1-5-6
Nom : Service
Description : Un groupe qui inclut toutes les entités de sécurité qui ont ouvert une session en tant que service. L’appartenance est contrôlée par le système d’exploitation. - SID : S-1-5-7
Nom : Anonyme
Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés de façon anonyme. L’appartenance est contrôlée par le système d’exploitation. - SID : S-1-5-8
Nom : Proxy
Description : Ce SID n’est pas utilisé dans Windows 2000. - SID : S-1-5-9
Nom : Contrôleurs de domaine d’entreprise
Description : Un groupe qui inclut tous les contrôleurs de domaine dans une forêt qui utilise un service d’annuaire Active Directory. L’appartenance est contrôlée par le système d’exploitation. - SID : S-1-5-10
Nom : Principal
Description : Un espace réservé dans une ACE pouvant être héritée sur un objet de compte ou objet de groupe dans Active Directory. Lorsque l’ACE est héritée, le système remplace ce SID par le SID pour l’entité de sécurité qui contient le compte. - SID : S-1-5-11
Nom : Utilisateurs authentifiés
Description : Un groupe qui inclut tous les utilisateurs dont les identités ont été authentifiées lorsqu’ils se sont connectés. L’appartenance est contrôlée par le système d’exploitation. - SID : S-1-5-12
Nom : Code restreint
Description : Ce SID est réservé pour une future utilisation. - SID : S-1-5-13
Nom : Utilisateurs Terminal Server
Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés à un serveur Terminal Services. L’appartenance est contrôlée par le système d’exploitation. - SID : S-1-5-14
Nom : Ouverture de session interactive à distance
Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés via une ouverture de session des services Terminal Server. - SID : S-1-5-15
Nom : Cette organisation
Description : Groupe qui comprend tous les utilisateurs de la même organisation. Uniquement inclus avec les comptes Active Directory et uniquement ajouté par un contrôleur de domaine Windows Server 2003 ou version ultérieure. - SID : S-1-5-17
Nom : Cette organisation
Description : Compte utilisé par l’utilisateur d’Internet Information Services (IIS) par défaut. - SID : S-1-5-18
Nom : Système local
Description : Compte de service qui est utilisé par le système d’exploitation. - SID : S-1-5-19
Nom : Autorité NT
Description : Service local - SID : S-1-5-20
Nom : Autorité NT
Description : Service réseau - SID : S-1-5-21domaine-500
Nom : Administrateur
Description : Un compte d’utilisateur pour l’administrateur système. Par défaut, il s’agit du seul compte d’utilisateur qui dispose du contrôle total sur le système. - SID : S-1-5-21domaine-501
Nom : Invité
Description : Un compte d’utilisateur pour les personnes qui n’ont pas de compte individuel. Ce compte d’utilisateur n’a pas besoin de mot de passe. Par défaut, le compte Invité est désactivé. - SID : S-1-5-21domaine-502
Nom : KRBTGT
Description : Un compte de service qui est utilisé par le service Centre de distribution de clés (KDC). - SID : S-1-5-21domaine-512
Nom : Administrateurs du domaine
Description : Un groupe global dont les membres sont autorisés à administrer le domaine. Par défaut, le groupe Administrateurs du domaine est membre du groupe Administrateurs sur tous les ordinateurs qui ont rejoint un domaine, y compris les contrôleurs de domaine. Les Administrateurs du domaine sont les propriétaires par défaut de tout objet créé par un membre du groupe. - SID : S-1-5-21domaine-513
Nom : Utilisateurs du domaine
Description : Un groupe global qui, par défaut, inclut tous les comptes d’utilisateurs dans un domaine. Lorsque vous créez un compte d’utilisateur dans un domaine, il est ajouté par défaut à ce groupe. - SID : S-1-5-21domaine-514
Nom : Invités du domaine
Description : Un groupe global qui, par défaut, n’a qu’un seul membre, le compte Invité du domaine. - SID : S-1-5-21domaine-515
Nom : Ordinateurs du domaine
Description : Un groupe global qui inclut tous les clients et serveurs qui ont rejoint le domaine. - SID : S-1-5-21domaine-516
Nom : Contrôleurs de domaine
Description : Un groupe global qui inclut tous les contrôleurs de domaine dans le domaine. Les nouveaux contrôleurs de domaine sont ajoutés par défaut à ce groupe. - SID : S-1-5-21domaine-517
Nom : Éditeurs de certificats
Description : Un groupe global qui inclut tous les ordinateurs qui hébergent une autorité de certification d’entreprise. Les Éditeurs de certificats sont autorisés à publier des certificats pour les objets Utilisateur dans Active Directory. - SID : S-1-5-21domaine racine-518
Nom : Administrateurs du schéma
Description : Un groupe universel dans un domaine en mode natif ; un groupe global dans un domaine en mode mixte. Le groupe est autorisé à apporter des modifications au schéma dans Active Directory. Par défaut, le seul membre du groupe est le compte Administrateur pour le domaine racine de forêt. - SID : S-1-5-21domain racine-519
Nom : Administrateurs de l’entreprise
Description : Un groupe universel dans un domaine en mode natif ; un groupe global dans un domaine en mode mixte. Le groupe est autorisé à apporter des modifications à la forêt dans Active Directory, par exemple à ajouter des domaines enfants. Par défaut, le seul membre du groupe est le compte Administrateur pour le domaine racine de forêt. - SID : S-1-5-21domaine-520
Nom : Propriétaires créateurs de la stratégie de groupe
Description : Un groupe global qui est autorisé à créer de nouveaux objets Stratégie de groupe dans Active Directory. Par défaut, le seul membre du groupe est Administrateur. - SID : S-1-5-21domaine-526
Nom : Administrateurs de clé
Description : Un groupe de sécurité. L’objet de ce groupe est d’obtenir un accès en écriture délégué uniquement sur l’attribut msdsKeyCredentialLink. Ce groupe est destiné à être utilisé dans les scénarios où des autorités externes approuvées (par exemple les services ADFS) sont responsables de la modification de cet attribut. Seuls les administrateurs approuvés doivent faire partie de ce groupe. - SID : S-1-5-21domaine-527
Nom : Administrateurs de clés de l’entreprise
Description : Un groupe de sécurité. L’objet de ce groupe est d’obtenir un accès en écriture délégué uniquement sur l’attribut msdsKeyCredentialLink. Ce groupe est destiné à être utilisé dans les scénarios où des autorités externes approuvées (par exemple les services ADFS) sont responsables de la modification de cet attribut. Seuls les administrateurs approuvés doivent faire partie de ce groupe. - SID : S-1-5-21domaine-553
Nom : Serveurs RAS et IAS
Description : Un groupe local de domaine. Par défaut, ce groupe n’a pas de membres. Les serveurs de ce groupe ont un accès Read Account Restrictions et Read Logon Information sur les objets utilisateur du groupe local de domaine Active Directory. - SID : S-1-5-32-544
Nom : Administrateurs
Description : Un groupe prédéfini. Après l’installation initiale du système d’exploitation, le seul membre du groupe est le compte Administrateur. Lorsqu’un ordinateur rejoint un domaine, le groupe Administrateurs du domaine est ajouté au groupe Administrateurs. Lorsqu’un serveur devient un contrôleur de domaine, le groupe Administrateurs de l’entreprise est également ajouté au groupe Administrateurs. - SID : S-1-5-32-545
Nom : Utilisateurs
Description : Un groupe prédéfini. Après l’installation initiale du système d’exploitation, le seul membre est le groupe Utilisateurs authentifiés. Lorsqu’un ordinateur rejoint un domaine, le groupe Utilisateurs du domaine est ajouté au groupe Utilisateurs sur l’ordinateur. - SID : S-1-5-32-546
Nom : Invités
Description : Un groupe prédéfini. Par défaut, le seul membre est le compte Invité. Le groupe Invités permet à des utilisateurs occasionnels d’ouvrir une session avec des privilèges limités sur un compte Invité prédéfini sur l’ordinateur. - SID : S-1-5-32-547
Nom : Utilisateurs avec pouvoir
Description : Un groupe prédéfini. Par défaut, ce groupe n’a pas de membres. Les utilisateurs avec pouvoir peuvent créer des utilisateurs et des groupes locaux, modifier et supprimer des comptes qu’ils ont créés et supprimer des utilisateurs des groupes Utilisateurs avec pouvoir, Utilisateurs et Invités. Les utilisateurs avec pouvoir peuvent également installer des programmes, créer, gérer et supprimer des imprimantes locales et créer et supprimer des partages de fichiers. - SID : S-1-5-32-548
Nom : Opérateurs de compte
Description : Un groupe prédéfini qui existe uniquement sur les contrôleurs de domaine. Par défaut, ce groupe n’a pas de membres. Par défaut, les Opérateurs de comptes peuvent créer, modifier et supprimer des comptes pour les utilisateurs, les groupes et les ordinateurs dans tous les conteneurs et toutes les unités d’organisation Active Directory à l’exception du conteneur Builtin et de l’unité d’organisation des contrôleurs de domaine. Les Opérateurs de compte ne peuvent pas modifier les groupes Administrateurs et Administrateurs du domaine, ni les comptes pour les membres de ces groupes. - SID : S-1-5-32-549
Nom : Opérateurs de serveur
Description : Un groupe prédéfini qui existe uniquement sur les contrôleurs de domaine. Par défaut, ce groupe n’a pas de membres. Les Opérateurs de serveur peuvent ouvrir une session de façon interactive sur un serveur, créer et supprimer des partages réseau, démarrer et arrêter des services, sauvegarder et restaurer des fichiers, formater le disque dur d’un ordinateur et arrêter l’ordinateur. - SID : S-1-5-32-550
Nom : Opérateurs d’impression
Description : Un groupe prédéfini qui existe uniquement sur les contrôleurs de domaine. Par défaut, le seul membre est le groupe Utilisateurs du domaine. Les Opérateurs d’impression peuvent gérer des imprimantes et des files d’attente de document. - SID : S-1-5-32-551
Nom : Opérateurs de sauvegarde
Description : Un groupe prédéfini. Par défaut, ce groupe n’a pas de membres. Les Opérateurs de sauvegarde peuvent sauvegarder et restaurer tous les fichiers d’un ordinateur, indépendamment des autorisations qui protègent ces fichiers. Les Opérateurs de sauvegarde peuvent également ouvrir une session sur l’ordinateur et l’arrêter. - SID : S-1-5-32-552
Nom : Duplicateurs
Description : Un groupe prédéfini qui est utilisé par le service de réplication de fichiers sur les contrôleurs de domaine. Par défaut, ce groupe n’a pas de membres. N’ajoutez pas d’utilisateurs à ce groupe. - SID : S-1-5-64-10
Nom : Authentification NTLM
Description : Un SID qui est utilisé lorsque le package d’authentification NTLM a authentifié le client. - SID : S-1-5-64-14
Nom : Authentification SChannel
Description : Un SID qui est utilisé lorsque le package d’authentification Schannel a authentifié le client. - SID : S-1-5-64-21
Nom : Authentification Digest
Description : Un SID qui est utilisé lorsque le package d’authentification Digest a authentifié le client. - SID : S-1-5-80
Nom : Service NT
Description : Un préfixe de compte de service NT. - SID : S-1-5-80-0
SID S-1-5-80-0 = NT SERVICES\ALL SERVICES
Nom : Tous les services
Description : Groupe qui comprend tous les processus de service configurés sur le système. L’appartenance est contrôlée par le système d’exploitation.Remarque Ajouté dans Windows Server 2008 R2 - SID : S-1-5-83-0
Nom : NT VIRTUAL MACHINE\Machines virtuelles
Description : Un groupe prédéfini. Ce groupe est créé lorsque le rôle Hyper-V est installé. L’appartenance à ce groupe est assurée par le service Hyper-V VMMS. Ce groupe doit disposer du droit « Créer des liens symboliques » (SeCreateSymbolicLinkPrivilege) et du droit « Ouvrir une session en tant que service » (SeServiceLogonRight).Remarque Ajouté dans Windows 8 et Windows Server 2012 - SID : S-1-16-0
Nom : Niveau obligatoire non approuvé
Description : Un niveau d’intégrité non approuvé. Remarque Ajouté dans Windows Vista et Windows Server 2008Remarque Ajouté dans Windows Vista et Windows Server 2008 - SID : S-1-16-4096
Nom : Niveau obligatoire faible
Description : Un niveau d’intégrité faible.Remarque Ajouté dans Windows Vista et Windows Server 2008 - SID : S-1-16-8192
Nom : Niveau obligatoire moyen
Description : Un niveau d’intégrité moyen.Remarque Ajouté dans Windows Vista et Windows Server 2008 - SID : S-1-16-8448
Nom : Niveau obligatoire moyen à élevé
Description : Un niveau d’intégrité moyen à élevé.Remarque Ajouté dans Windows Vista et Windows Server 2008 - SID : S-1-16-12288
Nom : Niveau obligatoire élevé
Description : Un niveau d’intégrité élevé.Remarque Ajouté dans Windows Vista et Windows Server 2008 - SID : S-1-16-16384
Nom : Niveau obligatoire système
Description : Un niveau d’intégrité système.Remarque Ajouté dans Windows Vista et Windows Server 2008 - SID : S-1-16-20480
Nom : Niveau obligatoire de processus protégé
Description : Un niveau d’intégrité de processus protégé.Remarque Ajouté dans Windows Vista et Windows Server 2008 - SID : S-1-16-28672
Nom : Niveau obligatoire de processus sécurisé
Description : Un niveau d’intégrité de processus sécurisé.Remarque Ajouté dans Windows Vista et Windows Server 2008
Les groupes suivants s’affichent en tant que SID jusqu’à ce qu’un contrôleur de domaine Windows Server 2003 détienne le rôle de maître d’opérations du contrôleur de domaine principal. Le « maître d’opérations » est également connu sous le nom de FSMO (opérations à maître unique flottant). Les groupes prédéfinis supplémentaires suivants sont créés lorsqu’un contrôleur de domaine Windows Server 2003 est ajouté au domaine :
- SID : S-1-5-32-554
Nom : BUILTIN\Accès compatible pré-Windows 2000
Description : Un alias ajouté par Windows 2000. Un groupe de compatibilité descendante qui autorise un accès en lecture sur tous les utilisateurs et groupes du domaine. - SID : S-1-5-32-555
Nom : BUILTIN\Utilisateurs du Bureau à distance
Description : Un alias. Les membres de ce groupe disposent des droits nécessaires pour ouvrir une session à distance. - SID : S-1-5-32-556
Nom : BUILTIN\Opérateurs de configuration réseau
Description : Un alias. Les membres de ce groupe peuvent disposer de certaines autorisations d’administration pour la configuration des fonctionnalités réseau. - SID : S-1-5-32-557
Nom : BUILTIN\Générateurs d’approbations de forêt entrante
Description : Un alias. Les membres de ce groupe peuvent créer des approbations à sens unique entrantes vers cette forêt. - SID : S-1-5-32-558
Nom : BUILTIN\Utilisateurs de l’Analyseur de performances
Description : Un alias. Les membres de ce groupe disposent de l’autorisation d’accès à distance pour surveiller cet ordinateur. - SID : S-1-5-32-559
Nom : BUILTIN\Utilisateurs du journal de performance
Description : Un alias. Les membres de ce groupe disposent de l’autorisation d’accès à distance pour planifier la journalisation des compteurs de performances sur cet ordinateur. - SID : S-1-5-32-560
Nom : BUILTIN\Groupe d’accès d’autorisation Windows
Description : Un alias. Les membres de ce groupe ont accès à l’attribut tokenGroupsGlobalAndUniversal sur les objets Utilisateur. - SID : S-1-5-32-561
Nom : BUILTIN\Serveurs de licences des services Terminal Server
Description : Un alias. Un groupe pour les serveurs de licences des services Terminal Server. Lors de l’installation de Windows Server 2003 Service Pack 1, un nouveau groupe local est créé. - SID : S-1-5-32-562
Nom : BUILTIN\Utilisateurs COM distribués
Description : Un alias. Un groupe pour que COM fournisse des contrôles d’accès dans tout l’ordinateur afin de régir l’accès à toutes les requêtes d’appel, d’activation ou de lancement sur l’ordinateur.
Les groupes suivants s’affichent en tant que SID jusqu’à ce qu’un contrôleur de domaine Windows Server 2008 ou Windows Server 2008 R2 devienne détenteur du rôle de maître d’opérations du contrôleur de domaine principal. Le « maître d’opérations » est également connu sous le nom de FSMO (opérations à maître unique flottant). Les groupes prédéfinis supplémentaires suivants sont créés lorsqu’un contrôleur de domaine Windows Server 2008 ou Windows Server 2008 R2 est ajouté au domaine :
- SID : S-1-5- 21domaine -498
Nom : Contrôleurs de domaine Entreprise en lecture seule
Description : Un groupe universel. Les membres de ce groupe sont les contrôleurs de domaine en lecture seule dans l’entreprise. - SID : S-1-5- 21domaine -521
Nom : Contrôleurs de domaine en lecture seule
Description : Un groupe global. Les membres de ce groupe sont les contrôleurs de domaine en lecture seule dans le domaine. - SID : S-1-5-32-569
Nom : BUILTIN\Opérateurs de chiffrement
Description : Un groupe local prédéfini. Les membres sont autorisés à effectuer des opérations de chiffrement. - SID : S-1-5-21 domaine -571
Nom : Groupe de réplication de mot de passe RODC autorisée
Description : Un groupe local de domaine. Les membres de ce groupe peuvent faire répliquer leurs mots de passe pour tous les contrôleurs de domaine en lecture seule dans le domaine. - SID : S-1-5- 21 domaine -572
Nom : Groupe de réplication de mot de passe RODC refusée
Description : Un groupe local de domaine. Les membres de ce groupe ne peuvent pas faire répliquer leurs mots de passe pour les contrôleurs de domaine en lecture seule dans le domaine. - SID : S-1-5-32-573
Nom : BUILTIN\Lecteurs du journal des événements
Description : Un groupe local prédéfini. Les membres de ce groupe peuvent lire les journaux d’événements à partir d’un ordinateur local. - SID : S-1-5-32-574
Nom : BUILTIN\Accès DCOM du service de certificat
Description : Un groupe local prédéfini. Les membres de ce groupe sont autorisés à se connecter aux autorités de certification de l’entreprise.
Les groupes suivants s’affichent en tant que SID jusqu’à ce qu’un contrôleur de domaine Windows Server 2012 détienne le rôle de maître d’opérations du contrôleur de domaine principal. Le « maître d’opérations » est également connu sous le nom de FSMO (opérations à maître unique flottant). Les groupes prédéfinis supplémentaires suivants sont créés lorsqu’un contrôleur de domaine Windows Server 2012 est ajouté au domaine :
- SID : S-1-5-21-domaine-522
Nom : Contrôleurs de domaine clonables
Description : Un groupe global. Les membres de ce groupe qui sont des contrôleurs de domaine sont susceptibles d’être clonés. - SID : S-1-5-32-575
Nom : BUILTIN\Serveurs d’accès distant RDS
Description : Un groupe local prédéfini. Les serveurs de ce groupe permettent aux programmes d’application distante et aux bureaux virtuels d’accéder à ces ressources. Dans les déploiements avec accès via Internet, ces serveurs sont habituellement déployés sur un réseau de périmètre. Ce groupe doit être rempli sur les serveurs qui exécutent le service Broker pour les connexions Bureau à distance. Les serveur de passerelle Bureau à distance et les serveurs d’accès web Bureau à distance utilisés dans le déploiement doivent se trouver dans ce groupe. - SID : S-1-5-32-576
Nom : BUILTIN\Serveurs de point de terminaison RDS
Description : Un groupe local prédéfini. Les serveurs de ce groupe exécutent des machines virtuelles et hébergent les sessions dans lesquelles s’exécutent les programmes d’application distante et de bureau virtuel personnel des utilisateurs. Ce groupe doit être rempli sur les serveurs qui exécutent le service Broker pour les connexions Bureau à distance. Les serveurs hôtes de sessions Bureau à distance et les serveurs hôte de virtualisation des services Bureau à distance utilisés dans le déploiement doivent se trouver dans ce groupe. - SID : S-1-5-32-577
Nom : BUILTIN\Serveurs de gestion RDS
Description : Un groupe local prédéfini. Les serveurs de ce groupe peuvent effectuer des actions d’administration de routine sur les serveurs exécutant les Services Bureau à distance. Ce groupe doit être rempli sur tous les serveurs dans un déploiement Services Bureau à distance. Les serveurs qui exécutent le service de gestion centrale des Services Bureau à distance doivent être inclus dans ce groupe. - SID : S-1-5-32-578
Nom : BUILTIN\Administrateurs Hyper-V
Description : Un groupe local prédéfini. Les membres de ce groupe bénéficient d’un accès complet et illimité à toutes les fonctionnalités d’Hyper-V. - SID : S-1-5-32-579
Nom : BUILTIN\Opérateurs d’assistance de contrôle d’accès
Description : Un groupe local prédéfini. Les membres de ce groupe peuvent émettre des requêtes d’attributs d’autorisation et d’autorisations pour les ressources sur cet ordinateur. - SID : S-1-5-32-580
Nom : BUILTIN\Utilisateurs de gestion à distance
Description : Un groupe local prédéfini. Les membres de ce groupe peuvent accéder aux ressources WMI via les protocoles de gestion (comme WS-Management via le service Windows Remote Management). Ceci s’applique uniquement aux espaces de noms qui accordent l’accès à l’utilisateur.
Liens :
http://lucky-le-koala.over-blog.com/article-microsoft-les-sid-67338549.html
Administration Système & Windows 