SID, l’identificateurs de sécurité sous Windows

IC127131Lorsque l’on gère un Active Directory (AD DS), ou que l’on programme en Powershell, ou d’autres langage lié à Windows. On se retrouve souvent confronté aux SIDs.

Qu’est qu’un SID? C’est un identifiant unique. Chaque objet, tout est objet dans l’AD, (Active Directory) possède son SID. Le domaine lui-même a son SID.
La structure du SID est relativement simple, et de facto cela permet de les identifier et de savoir certaines choses à leur sujet.

Le SID est une valeur unique. Il n’y a pas 2 SID identique sur une machine.
Il est de longueur variable et cette longueur variable est utilisée pour identifier l’entité de sécurité ou le groupe de sécurité du systèmes d’exploitation (en l’occurrence Windows).
Les SID les plus connus sont un groupe de SID qui identifient des utilisateurs génériques ou des groupes génériques. LA valeurs de ces SID reste constante quelque soit le systèmes d’exploitation.

Les informations liés aux SIDs sont utiles pour résoudre les problèmes qui sont liés à la sécurité. Ces informations sont aussi utiles pour les problèmes d’affichage dans l’éditeur d’ACL. En effet un SID peut être affiché dans l’éditeur ACL en lieu et place du nom de l’utilisateur ou du groupe (idéal pour les internationalisation).

Il y a plusieurs manières de récupérer le SID d’un objet. Pourquoi pas celui d’un compte.
En utilisant un outil disponible dans la suite Sysinternals utilities, PsGetSID. Cet outil qui fonctionne en ligne de commande permet de récupérer le SID.
Par exemple pour trouver mon SID
La syntaxe est PsGetSIF SAMAccount
PsGetSID Olivier
psgetsidCapture

A chaque utilisateur étant assigné un unique SID qui est utilisé pour avoir accès aux ressources comme les fichiers, les clés de registres, les répertoires partagés, etc. On peut obtenir le SID d’un utilisateur en utilisant aussi la commande WMIC USERACCOUNT.

Pour avoir le SID d’un utilisateur local

wmic useraccount where name='username' get sid

Par exemple pour obtenir le SID d’un utilisateur local avec le prénom « olivier »

wmic useraccount where name='olivier' get sid

Capturesid1

On peut aussi à l’aide de la variable windows %username% avoir le SID de l’utilisateur loggué.
Cela est utile dans les scripts où on veut récupérer le SID de l’utilisateur loggué.

wmic useraccount where name='%username%' get sid

Pour avoir le SID l’utilisateur du domaine loggué.

Lancer la commande ‘whoami /user’ pour avoir le SID de l’utilisateur du domaine loggué.

c:\>whoami /user
USER INFORMATION
----------------
User Name SID
============== ==============================================
mydomain\wincmd S-1-5-21-7375663-6890924511-1272660413-2944159
c:\>

Pour avoir le SID de l’administrateur local de l’ordinateur.

wmic useraccount where (name='administrateur' and domain='%computername%') get name,sid

Capturesid2

Pour avoir le SID pour l’administrateur de Domaine.

wmic useraccount where (name='admin' and domain='%userdomain%') get name,sid

Et bien sûr, on peut retrouver le nom d’un utilisateur par son SID

wmic useraccount where sid='S-1-5-21-4127031757-370342100-887826627-1001' get name

Capturesid3

Ci-dessous la liste des SID, en commençant par les plus connus :

Voici quelques SID bien connus :

  • SID : S-1-0
    Nom : Null Authority
    Description : Autorité d’identificateur.
  • SID : S-1-0-0
    Nom : Personne
    Description : Pas d’entité de sécurité.
  • SID : S-1-1
    Nom : Autorité mondiale
    Description : Autorité d’identificateur.
  • SID : S-1-1-0
    Nom : Tout le monde
    Description : Un groupe qui inclut tous les utilisateurs, même les utilisateurs anonymes et les invités. L’appartenance est contrôlée par le système d’exploitation.Remarque Par défaut, le groupe Tout le monde n’inclut plus les utilisateurs anonymes sur les ordinateurs qui exécutent Windows XP Service Pack 2 (SP2).
  • SID : S-1-2
    Nom : Autorité locale
    Description : Autorité d’identificateur.
  • SID : S-1-2-0Nom : LocalDescription : Un groupe qui inclut tous les utilisateurs qui se sont connectés de façon locale.
  • SID : S-1-2-1Nom : Ouverture de session de la consoleDescription : Un groupe qui comprend les utilisateurs ayant ouvert une session sur la console physique.Remarque Ajouté dans Windows 7 et Windows Server 2008 R2
  • SID : S-1-3
    Nom : Autorité de création
    Description : Autorité d’identificateur.
  • SID : S-1-3-0
    Nom : Propriétaire créateur
    Description : Un espace réservé dans une entrée de contrôle d’accès pouvant être héritée (ACE). Lorsque l’ACE est héritée, le système remplace ce SID par le SID du créateur de l’objet.
  • SID : S-1-3-1
    Nom : Groupe créateur
    Description : Un espace réservé dans une ACE pouvant être héritée. Lorsque l’ACE est héritée, le système remplace ce SID par le SID du groupe primaire du créateur de l’objet. Le groupe primaire est utilisé uniquement par le sous-système POSIX.
  • SID : S-1-3-2
    Nom : Serveur créateur propriétaire
    Description : Ce SID n’est pas utilisé dans Windows 2000.
  • SID : S-1-3-3
    Nom : Serveur groupe créateur
    Description : Ce SID n’est pas utilisé dans Windows 2000.
  • SID : S-1-3-4 Nom : Droits propriétaireDescription : Groupe qui représente le propriétaire actuel de l’objet. Lorsqu’une ACE qui contient ce SID est appliquée à un objet, le système ignore les autorisations implicites READ_CONTROL et WRITE_DAC pour le propriétaire de l’objet.
  • SID : S-1-5-80-0
    Nom : Tous les services
    Description : Groupe qui comprend tous les processus de service configurés sur le système. L’appartenance est contrôlée par le système d’exploitation.Remarque Ajouté dans Windows Vista et Windows Server 2008
  • SID : S-1-4
    Nom : Autorité non unique
    Description : Autorité d’identificateur.
  • SID : S-1-5
    Nom : Autorité NT
    Description : Autorité d’identificateur.
  • SID : S-1-5-1
    Nom : Ligne
    Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés par l’intermédiaire d’une connexion d’accès à distance. L’appartenance est contrôlée par le système d’exploitation.
  • SID : S-1-5-2
    Nom : Réseau
    Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés par l’intermédiaire d’une connexion réseau. L’appartenance est contrôlée par le système d’exploitation.
  • SID : S-1-5-3
    Nom : Lot
    Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés via une file d’attente de tâches. L’appartenance est contrôlée par le système d’exploitation.
  • SID : S-1-5-4
    Nom : Interactif
    Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés de façon interactive. L’appartenance est contrôlée par le système d’exploitation.
  • SID : S-1-5-5-X-Y
    Nom : Session d’ouverture de session
    Description : Une session d’ouverture de session. Les valeurs X et Y pour ces SID sont différentes pour chaque session.
  • SID : S-1-5-6
    Nom : Service
    Description : Un groupe qui inclut toutes les entités de sécurité qui ont ouvert une session en tant que service. L’appartenance est contrôlée par le système d’exploitation.
  • SID : S-1-5-7
    Nom : Anonyme
    Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés de façon anonyme. L’appartenance est contrôlée par le système d’exploitation.
  • SID : S-1-5-8
    Nom : Proxy
    Description : Ce SID n’est pas utilisé dans Windows 2000.
  • SID : S-1-5-9
    Nom : Contrôleurs de domaine d’entreprise
    Description : Un groupe qui inclut tous les contrôleurs de domaine dans une forêt qui utilise un service d’annuaire Active Directory. L’appartenance est contrôlée par le système d’exploitation.
  • SID : S-1-5-10
    Nom : Principal
    Description : Un espace réservé dans une ACE pouvant être héritée sur un objet de compte ou objet de groupe dans Active Directory. Lorsque l’ACE est héritée, le système remplace ce SID par le SID pour l’entité de sécurité qui contient le compte.
  • SID : S-1-5-11
    Nom : Utilisateurs authentifiés
    Description : Un groupe qui inclut tous les utilisateurs dont les identités ont été authentifiées lorsqu’ils se sont connectés. L’appartenance est contrôlée par le système d’exploitation.
  • SID : S-1-5-12
    Nom : Code restreint
    Description : Ce SID est réservé pour une future utilisation.
  • SID : S-1-5-13
    Nom : Utilisateurs Terminal Server
    Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés à un serveur Terminal Services. L’appartenance est contrôlée par le système d’exploitation.
  • SID : S-1-5-14
    Nom : Ouverture de session interactive à distance
    Description : Un groupe qui inclut tous les utilisateurs qui se sont connectés via une ouverture de session des services Terminal Server.
  • SID : S-1-5-15
    Nom : Cette organisation
    Description : Groupe qui comprend tous les utilisateurs de la même organisation. Uniquement inclus avec les comptes Active Directory et uniquement ajouté par un contrôleur de domaine Windows Server 2003 ou version ultérieure.
  • SID : S-1-5-17
    Nom : Cette organisation
    Description : Compte utilisé par l’utilisateur d’Internet Information Services (IIS) par défaut.
  • SID : S-1-5-18
    Nom : Système local
    Description : Compte de service qui est utilisé par le système d’exploitation.
  • SID : S-1-5-19
    Nom : Autorité NT
    Description : Service local
  • SID : S-1-5-20
    Nom : Autorité NT
    Description : Service réseau
  • SID : S-1-5-21domaine-500
    Nom : Administrateur
    Description : Un compte d’utilisateur pour l’administrateur système. Par défaut, il s’agit du seul compte d’utilisateur qui dispose du contrôle total sur le système.
  • SID : S-1-5-21domaine-501
    Nom : Invité
    Description : Un compte d’utilisateur pour les personnes qui n’ont pas de compte individuel. Ce compte d’utilisateur n’a pas besoin de mot de passe. Par défaut, le compte Invité est désactivé.
  • SID : S-1-5-21domaine-502
    Nom : KRBTGT
    Description : Un compte de service qui est utilisé par le service Centre de distribution de clés (KDC).
  • SID : S-1-5-21domaine-512
    Nom : Administrateurs du domaine
    Description : Un groupe global dont les membres sont autorisés à administrer le domaine. Par défaut, le groupe Administrateurs du domaine est membre du groupe Administrateurs sur tous les ordinateurs qui ont rejoint un domaine, y compris les contrôleurs de domaine. Les Administrateurs du domaine sont les propriétaires par défaut de tout objet créé par un membre du groupe.
  • SID : S-1-5-21domaine-513
    Nom : Utilisateurs du domaine
    Description : Un groupe global qui, par défaut, inclut tous les comptes d’utilisateurs dans un domaine. Lorsque vous créez un compte d’utilisateur dans un domaine, il est ajouté par défaut à ce groupe.
  • SID : S-1-5-21domaine-514
    Nom : Invités du domaine
    Description : Un groupe global qui, par défaut, n’a qu’un seul membre, le compte Invité du domaine.
  • SID : S-1-5-21domaine-515
    Nom : Ordinateurs du domaine
    Description : Un groupe global qui inclut tous les clients et serveurs qui ont rejoint le domaine.
  • SID : S-1-5-21domaine-516
    Nom : Contrôleurs de domaine
    Description : Un groupe global qui inclut tous les contrôleurs de domaine dans le domaine. Les nouveaux contrôleurs de domaine sont ajoutés par défaut à ce groupe.
  • SID : S-1-5-21domaine-517
    Nom : Éditeurs de certificats
    Description : Un groupe global qui inclut tous les ordinateurs qui hébergent une autorité de certification d’entreprise. Les Éditeurs de certificats sont autorisés à publier des certificats pour les objets Utilisateur dans Active Directory.
  • SID : S-1-5-21domaine racine-518
    Nom : Administrateurs du schéma
    Description : Un groupe universel dans un domaine en mode natif ; un groupe global dans un domaine en mode mixte. Le groupe est autorisé à apporter des modifications au schéma dans Active Directory. Par défaut, le seul membre du groupe est le compte Administrateur pour le domaine racine de forêt.
  • SID : S-1-5-21domain racine-519
    Nom : Administrateurs de l’entreprise
    Description : Un groupe universel dans un domaine en mode natif ; un groupe global dans un domaine en mode mixte. Le groupe est autorisé à apporter des modifications à la forêt dans Active Directory, par exemple à ajouter des domaines enfants. Par défaut, le seul membre du groupe est le compte Administrateur pour le domaine racine de forêt.
  • SID : S-1-5-21domaine-520
    Nom : Propriétaires créateurs de la stratégie de groupe
    Description : Un groupe global qui est autorisé à créer de nouveaux objets Stratégie de groupe dans Active Directory. Par défaut, le seul membre du groupe est Administrateur.
  • SID : S-1-5-21domaine-526
    Nom : Administrateurs de clé
    Description : Un groupe de sécurité. L’objet de ce groupe est d’obtenir un accès en écriture délégué uniquement sur l’attribut msdsKeyCredentialLink. Ce groupe est destiné à être utilisé dans les scénarios où des autorités externes approuvées (par exemple les services ADFS) sont responsables de la modification de cet attribut. Seuls les administrateurs approuvés doivent faire partie de ce groupe.
  • SID : S-1-5-21domaine-527
    Nom : Administrateurs de clés de l’entreprise
    Description : Un groupe de sécurité. L’objet de ce groupe est d’obtenir un accès en écriture délégué uniquement sur l’attribut msdsKeyCredentialLink. Ce groupe est destiné à être utilisé dans les scénarios où des autorités externes approuvées (par exemple les services ADFS) sont responsables de la modification de cet attribut. Seuls les administrateurs approuvés doivent faire partie de ce groupe.
  • SID : S-1-5-21domaine-553
    Nom : Serveurs RAS et IAS
    Description : Un groupe local de domaine. Par défaut, ce groupe n’a pas de membres. Les serveurs de ce groupe ont un accès Read Account Restrictions et Read Logon Information sur les objets utilisateur du groupe local de domaine Active Directory.
  • SID : S-1-5-32-544
    Nom : Administrateurs
    Description : Un groupe prédéfini. Après l’installation initiale du système d’exploitation, le seul membre du groupe est le compte Administrateur. Lorsqu’un ordinateur rejoint un domaine, le groupe Administrateurs du domaine est ajouté au groupe Administrateurs. Lorsqu’un serveur devient un contrôleur de domaine, le groupe Administrateurs de l’entreprise est également ajouté au groupe Administrateurs.
  • SID : S-1-5-32-545
    Nom : Utilisateurs
    Description : Un groupe prédéfini. Après l’installation initiale du système d’exploitation, le seul membre est le groupe Utilisateurs authentifiés. Lorsqu’un ordinateur rejoint un domaine, le groupe Utilisateurs du domaine est ajouté au groupe Utilisateurs sur l’ordinateur.
  • SID : S-1-5-32-546
    Nom : Invités
    Description : Un groupe prédéfini. Par défaut, le seul membre est le compte Invité. Le groupe Invités permet à des utilisateurs occasionnels d’ouvrir une session avec des privilèges limités sur un compte Invité prédéfini sur l’ordinateur.
  • SID : S-1-5-32-547
    Nom : Utilisateurs avec pouvoir
    Description : Un groupe prédéfini. Par défaut, ce groupe n’a pas de membres. Les utilisateurs avec pouvoir peuvent créer des utilisateurs et des groupes locaux, modifier et supprimer des comptes qu’ils ont créés et supprimer des utilisateurs des groupes Utilisateurs avec pouvoir, Utilisateurs et Invités. Les utilisateurs avec pouvoir peuvent également installer des programmes, créer, gérer et supprimer des imprimantes locales et créer et supprimer des partages de fichiers.
  • SID : S-1-5-32-548
    Nom : Opérateurs de compte
    Description : Un groupe prédéfini qui existe uniquement sur les contrôleurs de domaine. Par défaut, ce groupe n’a pas de membres. Par défaut, les Opérateurs de comptes peuvent créer, modifier et supprimer des comptes pour les utilisateurs, les groupes et les ordinateurs dans tous les conteneurs et toutes les unités d’organisation Active Directory à l’exception du conteneur Builtin et de l’unité d’organisation des contrôleurs de domaine. Les Opérateurs de compte ne peuvent pas modifier les groupes Administrateurs et Administrateurs du domaine, ni les comptes pour les membres de ces groupes.
  • SID : S-1-5-32-549
    Nom : Opérateurs de serveur
    Description : Un groupe prédéfini qui existe uniquement sur les contrôleurs de domaine. Par défaut, ce groupe n’a pas de membres. Les Opérateurs de serveur peuvent ouvrir une session de façon interactive sur un serveur, créer et supprimer des partages réseau, démarrer et arrêter des services, sauvegarder et restaurer des fichiers, formater le disque dur d’un ordinateur et arrêter l’ordinateur.
  • SID : S-1-5-32-550
    Nom : Opérateurs d’impression
    Description : Un groupe prédéfini qui existe uniquement sur les contrôleurs de domaine. Par défaut, le seul membre est le groupe Utilisateurs du domaine. Les Opérateurs d’impression peuvent gérer des imprimantes et des files d’attente de document.
  • SID : S-1-5-32-551
    Nom : Opérateurs de sauvegarde
    Description : Un groupe prédéfini. Par défaut, ce groupe n’a pas de membres. Les Opérateurs de sauvegarde peuvent sauvegarder et restaurer tous les fichiers d’un ordinateur, indépendamment des autorisations qui protègent ces fichiers. Les Opérateurs de sauvegarde peuvent également ouvrir une session sur l’ordinateur et l’arrêter.
  • SID : S-1-5-32-552
    Nom : Duplicateurs
    Description : Un groupe prédéfini qui est utilisé par le service de réplication de fichiers sur les contrôleurs de domaine. Par défaut, ce groupe n’a pas de membres. N’ajoutez pas d’utilisateurs à ce groupe.
  • SID : S-1-5-64-10
    Nom : Authentification NTLM
    Description : Un SID qui est utilisé lorsque le package d’authentification NTLM a authentifié le client.
  • SID : S-1-5-64-14
    Nom : Authentification SChannel
    Description : Un SID qui est utilisé lorsque le package d’authentification Schannel a authentifié le client.
  • SID : S-1-5-64-21
    Nom : Authentification Digest
    Description : Un SID qui est utilisé lorsque le package d’authentification Digest a authentifié le client.
  • SID : S-1-5-80
    Nom : Service NT
    Description : Un préfixe de compte de service NT.
  • SID : S-1-5-80-0
    SID S-1-5-80-0 = NT SERVICES\ALL SERVICES
    Nom : Tous les services
    Description : Groupe qui comprend tous les processus de service configurés sur le système. L’appartenance est contrôlée par le système d’exploitation.Remarque Ajouté dans Windows Server 2008 R2
  • SID : S-1-5-83-0
    Nom : NT VIRTUAL MACHINE\Machines virtuelles
    Description : Un groupe prédéfini. Ce groupe est créé lorsque le rôle Hyper-V est installé. L’appartenance à ce groupe est assurée par le service Hyper-V VMMS. Ce groupe doit disposer du droit « Créer des liens symboliques » (SeCreateSymbolicLinkPrivilege) et du droit « Ouvrir une session en tant que service » (SeServiceLogonRight).Remarque Ajouté dans Windows 8 et Windows Server 2012
  • SID : S-1-16-0
    Nom : Niveau obligatoire non approuvé
    Description : Un niveau d’intégrité non approuvé. Remarque Ajouté dans Windows Vista et Windows Server 2008Remarque Ajouté dans Windows Vista et Windows Server 2008
  • SID : S-1-16-4096
    Nom : Niveau obligatoire faible
    Description : Un niveau d’intégrité faible.Remarque Ajouté dans Windows Vista et Windows Server 2008
  • SID : S-1-16-8192
    Nom : Niveau obligatoire moyen
    Description : Un niveau d’intégrité moyen.Remarque Ajouté dans Windows Vista et Windows Server 2008
  • SID : S-1-16-8448
    Nom : Niveau obligatoire moyen à élevé
    Description : Un niveau d’intégrité moyen à élevé.Remarque Ajouté dans Windows Vista et Windows Server 2008
  • SID : S-1-16-12288
    Nom : Niveau obligatoire élevé
    Description : Un niveau d’intégrité élevé.Remarque Ajouté dans Windows Vista et Windows Server 2008
  • SID : S-1-16-16384
    Nom : Niveau obligatoire système
    Description : Un niveau d’intégrité système.Remarque Ajouté dans Windows Vista et Windows Server 2008
  • SID : S-1-16-20480
    Nom : Niveau obligatoire de processus protégé
    Description : Un niveau d’intégrité de processus protégé.Remarque Ajouté dans Windows Vista et Windows Server 2008
  • SID : S-1-16-28672
    Nom : Niveau obligatoire de processus sécurisé
    Description : Un niveau d’intégrité de processus sécurisé.Remarque Ajouté dans Windows Vista et Windows Server 2008

Les groupes suivants s’affichent en tant que SID jusqu’à ce qu’un contrôleur de domaine Windows Server 2003 détienne le rôle de maître d’opérations du contrôleur de domaine principal. Le « maître d’opérations » est également connu sous le nom de FSMO (opérations à maître unique flottant). Les groupes prédéfinis supplémentaires suivants sont créés lorsqu’un contrôleur de domaine Windows Server 2003 est ajouté au domaine :

  • SID : S-1-5-32-554
    Nom : BUILTIN\Accès compatible pré-Windows 2000
    Description : Un alias ajouté par Windows 2000. Un groupe de compatibilité descendante qui autorise un accès en lecture sur tous les utilisateurs et groupes du domaine.
  • SID : S-1-5-32-555
    Nom : BUILTIN\Utilisateurs du Bureau à distance
    Description : Un alias. Les membres de ce groupe disposent des droits nécessaires pour ouvrir une session à distance.
  • SID : S-1-5-32-556
    Nom : BUILTIN\Opérateurs de configuration réseau
    Description : Un alias. Les membres de ce groupe peuvent disposer de certaines autorisations d’administration pour la configuration des fonctionnalités réseau.
  • SID : S-1-5-32-557
    Nom : BUILTIN\Générateurs d’approbations de forêt entrante
    Description : Un alias. Les membres de ce groupe peuvent créer des approbations à sens unique entrantes vers cette forêt.
  • SID : S-1-5-32-558
    Nom : BUILTIN\Utilisateurs de l’Analyseur de performances
    Description : Un alias. Les membres de ce groupe disposent de l’autorisation d’accès à distance pour surveiller cet ordinateur.
  • SID : S-1-5-32-559
    Nom : BUILTIN\Utilisateurs du journal de performance
    Description : Un alias. Les membres de ce groupe disposent de l’autorisation d’accès à distance pour planifier la journalisation des compteurs de performances sur cet ordinateur.
  • SID : S-1-5-32-560
    Nom : BUILTIN\Groupe d’accès d’autorisation Windows
    Description : Un alias. Les membres de ce groupe ont accès à l’attribut tokenGroupsGlobalAndUniversal sur les objets Utilisateur.
  • SID : S-1-5-32-561
    Nom : BUILTIN\Serveurs de licences des services Terminal Server
    Description : Un alias. Un groupe pour les serveurs de licences des services Terminal Server. Lors de l’installation de Windows Server 2003 Service Pack 1, un nouveau groupe local est créé.
  • SID : S-1-5-32-562
    Nom : BUILTIN\Utilisateurs COM distribués
    Description : Un alias. Un groupe pour que COM fournisse des contrôles d’accès dans tout l’ordinateur afin de régir l’accès à toutes les requêtes d’appel, d’activation ou de lancement sur l’ordinateur.

Les groupes suivants s’affichent en tant que SID jusqu’à ce qu’un contrôleur de domaine Windows Server 2008 ou Windows Server 2008 R2 devienne détenteur du rôle de maître d’opérations du contrôleur de domaine principal. Le « maître d’opérations » est également connu sous le nom de FSMO (opérations à maître unique flottant). Les groupes prédéfinis supplémentaires suivants sont créés lorsqu’un contrôleur de domaine Windows Server 2008 ou Windows Server 2008 R2 est ajouté au domaine :

  • SID : S-1-5- 21domaine -498
    Nom : Contrôleurs de domaine Entreprise en lecture seule
    Description : Un groupe universel. Les membres de ce groupe sont les contrôleurs de domaine en lecture seule dans l’entreprise.
  • SID : S-1-5- 21domaine -521
    Nom : Contrôleurs de domaine en lecture seule
    Description : Un groupe global. Les membres de ce groupe sont les contrôleurs de domaine en lecture seule dans le domaine.
  • SID : S-1-5-32-569
    Nom : BUILTIN\Opérateurs de chiffrement
    Description : Un groupe local prédéfini. Les membres sont autorisés à effectuer des opérations de chiffrement.
  • SID : S-1-5-21 domaine -571
    Nom : Groupe de réplication de mot de passe RODC autorisée
    Description : Un groupe local de domaine. Les membres de ce groupe peuvent faire répliquer leurs mots de passe pour tous les contrôleurs de domaine en lecture seule dans le domaine.
  • SID : S-1-5- 21 domaine -572
    Nom : Groupe de réplication de mot de passe RODC refusée
    Description : Un groupe local de domaine. Les membres de ce groupe ne peuvent pas faire répliquer leurs mots de passe pour les contrôleurs de domaine en lecture seule dans le domaine.
  • SID : S-1-5-32-573
    Nom : BUILTIN\Lecteurs du journal des événements
    Description : Un groupe local prédéfini. Les membres de ce groupe peuvent lire les journaux d’événements à partir d’un ordinateur local.
  • SID : S-1-5-32-574
    Nom : BUILTIN\Accès DCOM du service de certificat
    Description : Un groupe local prédéfini. Les membres de ce groupe sont autorisés à se connecter aux autorités de certification de l’entreprise.

Les groupes suivants s’affichent en tant que SID jusqu’à ce qu’un contrôleur de domaine Windows Server 2012 détienne le rôle de maître d’opérations du contrôleur de domaine principal. Le « maître d’opérations » est également connu sous le nom de FSMO (opérations à maître unique flottant). Les groupes prédéfinis supplémentaires suivants sont créés lorsqu’un contrôleur de domaine Windows Server 2012 est ajouté au domaine :

  • SID : S-1-5-21-domaine-522
    Nom : Contrôleurs de domaine clonables
    Description : Un groupe global. Les membres de ce groupe qui sont des contrôleurs de domaine sont susceptibles d’être clonés.
  • SID : S-1-5-32-575
    Nom : BUILTIN\Serveurs d’accès distant RDS
    Description : Un groupe local prédéfini. Les serveurs de ce groupe permettent aux programmes d’application distante et aux bureaux virtuels d’accéder à ces ressources. Dans les déploiements avec accès via Internet, ces serveurs sont habituellement déployés sur un réseau de périmètre. Ce groupe doit être rempli sur les serveurs qui exécutent le service Broker pour les connexions Bureau à distance. Les serveur de passerelle Bureau à distance et les serveurs d’accès web Bureau à distance utilisés dans le déploiement doivent se trouver dans ce groupe.
  • SID : S-1-5-32-576
    Nom : BUILTIN\Serveurs de point de terminaison RDS
    Description : Un groupe local prédéfini. Les serveurs de ce groupe exécutent des machines virtuelles et hébergent les sessions dans lesquelles s’exécutent les programmes d’application distante et de bureau virtuel personnel des utilisateurs. Ce groupe doit être rempli sur les serveurs qui exécutent le service Broker pour les connexions Bureau à distance. Les serveurs hôtes de sessions Bureau à distance et les serveurs hôte de virtualisation des services Bureau à distance utilisés dans le déploiement doivent se trouver dans ce groupe.
  • SID : S-1-5-32-577
    Nom : BUILTIN\Serveurs de gestion RDS
    Description : Un groupe local prédéfini. Les serveurs de ce groupe peuvent effectuer des actions d’administration de routine sur les serveurs exécutant les Services Bureau à distance. Ce groupe doit être rempli sur tous les serveurs dans un déploiement Services Bureau à distance. Les serveurs qui exécutent le service de gestion centrale des Services Bureau à distance doivent être inclus dans ce groupe.
  • SID : S-1-5-32-578
    Nom : BUILTIN\Administrateurs Hyper-V
    Description : Un groupe local prédéfini. Les membres de ce groupe bénéficient d’un accès complet et illimité à toutes les fonctionnalités d’Hyper-V.
  • SID : S-1-5-32-579
    Nom : BUILTIN\Opérateurs d’assistance de contrôle d’accès
    Description : Un groupe local prédéfini. Les membres de ce groupe peuvent émettre des requêtes d’attributs d’autorisation et d’autorisations pour les ressources sur cet ordinateur.
  • SID : S-1-5-32-580
    Nom : BUILTIN\Utilisateurs de gestion à distance
    Description : Un groupe local prédéfini. Les membres de ce groupe peuvent accéder aux ressources WMI via les protocoles de gestion (comme WS-Management via le service Windows Remote Management). Ceci s’applique uniquement aux espaces de noms qui accordent l’accès à l’utilisateur.

Liens :

https://support.microsoft.com/fr-fr/help/243330/well-known-security-identifiers-in-windows-operating-systems

http://lucky-le-koala.over-blog.com/article-microsoft-les-sid-67338549.html

Publicités
Cet article, publié dans Active Directory, AD DS, déploiement, Deploiement, Deployment, Powershel, PowerShell, Server 2016, Tips, Windows 10, Windows 7, Windows Server, est tagué , , , , , , , , , , , , , , , , , . Ajoutez ce permalien à vos favoris.

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s