Identificadores de seguridad bien conocidos en los sistemas operativos Windows

Se aplica a: Windows 10, version 2004, all editionsWindows Server, version 2004, all editionsWindows Server, version 1909, all editions

Resumen


Un identificador de seguridad (SID) es un valor único de longitud variable que se utiliza para identificar una entidad de seguridad (como un grupo de seguridad) en sistemas operativos Windows. Los SID que identifican usuarios genéricos o grupos genéricos se conocen particularmente bien. Sus valores permanecen constantes en todos los sistemas operativos.

Esta información es útil para solucionar problemas relacionados con la seguridad. También es útil para solucionar problemas de visualización en el editor de lista de control de acceso (ACL) de Windows. Windows hace un seguimiento de una entidad de seguridad por su SID. Para mostrar la entidad de seguridad en el editor de ACL, Windows resuelve el SID en su nombre de entidad de seguridad asociado. 

Con el tiempo, este conjunto de SID conocidos ha crecido. Las tablas de este artículo organizan estos SID en función de la versión de Windows que los introdujo.

SID conocidos (todas las versiones de Windows)


Todas las versiones de Windows utilizan los siguientes SID conocidos.

SID

Nombre

Descripción

S-1-0 Entidad nula entidad de identificador.
S-1-0-0 Nadie ningún principal de seguridad.
S-1-1 Entidad mundial entidad de identificador.
S-1-1-0 Todos grupo que incluye todos los usuarios, incluso los anónimos e invitados. Los miembros son controlados por el sistema operativo.

Nota:
De forma predeterminada, el grupo Todos ya no incluye a los usuarios anónimos de un equipo que ejecuta Windows XP Service Pack 2 (SP2).
S-1-2 Entidad local entidad de identificador.
S-1-2-0 Local grupo que incluye todos los usuarios que han iniciado la sesión localmente.
S-1-3 Creator Authority entidad de identificador.
S-1-3-0 Creator Owner marcador de posición en una entrada de control de acceso heredable (ACE). Cuando la ACE se hereda, el sistema sustituye este SID por el SID del creador del objeto.
S-1-3-1 Creator Group marcador de posición en una ACE heredable. Cuando la ACE se hereda, el sistema sustituye este SID por el SID del grupo principal del creador del objeto. El grupo principal sólo lo utiliza el subsistema POSIX.
S-1-3-4 Derechos de propietario grupo que representa al propietario actual del objeto. Cuando una ACE que lleva el SID se aplica a un objeto, el sistema omite los permisos implícitos READ_CONTROL y WRITE_DAC del propietario del objeto.
S-1-4 Entidad no única entidad de identificador.
S-1-5 NT Authority entidad de identificador.
S-1-5-1 Acceso telefónico grupo que incluye todos los usuarios que han iniciado la sesión a través de una conexión de acceso telefónico. Los miembros son controlados por el sistema operativo.
S-1-5-2 Red grupo que incluye todos los usuarios que han iniciado sesión a través de una conexión de red. Los miembros son controlados por el sistema operativo.
S-1-5-3 Lote grupo que incluye todos los usuarios que han iniciado sesión a través de un sistema de cola de procesamiento por lotes. La pertenencia es controlada por el sistema operativo.
S-1-5-4 Interactivo grupo que incluye todos los usuarios que han iniciado sesión interactivamente. Los miembros son controlados por el sistema operativo.
S-1-5-5-X-Y Sesión de inicio sesión de inicio. Los valores X e Y de estos SID son diferentes para cada sesión.
S-1-5-6 Servicio grupo que incluye todos los principales de seguridad que han iniciado la sesión como un servicio. Los miembros son controlados por el sistema operativo.
S-1-5-7 Anónimo grupo que incluye todos los usuarios que han iniciado sesión anónimamente. Los miembros son controlados por el sistema operativo.
S-1-5-9 Controladores de dominio empresariales grupo que incluye todos los controladores de dominio de un bosque que utilizan un servicio de directorio de Active Directory. Los miembros son controlados por el sistema operativo.
S-1-5-10 Self principal marcador de posición en una ACE heredable en un objeto de cuenta u de grupo en Active Directory. Cuando la ACE se hereda, el sistema sustituye este SID por el SID del principal de seguridad que posee la cuenta.
S-1-5-11 Usuarios autenticados grupo que incluye todos los usuarios cuyas identidades se autenticaron cuando iniciaron la sesión. Los miembros son controlados por el sistema operativo.
S-1-5-12 Código restringido este SID está reservado para uso futuro.
S-1-5-13 Usuarios de Terminal Server grupo que incluye todos los usuarios que han iniciado sesión en un servidor de servicios de Terminal Server. Los miembros son controlados por el sistema operativo.
S-1-5-14 Inicio de sesión interactivo remoto grupo que incluye todos los usuarios que han iniciado la sesión a través de un inicio de sesión de servicios de Terminal Server.
S-1-5-17 Esta organización cuenta utilizada por el usuario predeterminado de servicios de Internet Information Server (IIS).
S-1-5-18 Sistema local cuenta de servicio utilizada por el sistema operativo.
S-1-5-19 NT Authority Servicio local
S-1-5-20 NT Authority Servicio de red
S-1-5-21dominio-500 Administrador cuenta de usuario del administrador del sistema. De forma predeterminada, es la única cuenta de usuario a la que se le da control total sobre el sistema.
S-1-5-21dominio-501 Invitado cuenta de usuario para las personas que no tienen cuentas individuales. Esta cuenta de usuario no requiere una contraseña. De forma predeterminada, la cuenta de invitado está deshabilitada.
S-1-5-21dominio-502 KRBTGT cuenta de servicio que utiliza el servicio de centro de distribución de claves (KDC).
S-1-5-21dominio-512 Administradores de dominio grupo global cuyos miembros están autorizados para administrar el dominio. De forma predeterminada, el grupo Admins. del dominio es miembro del grupo Administradores en todos los equipos que se han unido a un dominio, incluidos los controladores de dominio. Admins. del dominio es el propietario predeterminado de cualquier objeto creado por cualquier miembro del grupo.
S-1-5-21dominio-513 Usuarios del dominio grupo global que, de forma predeterminada, incluye todas las cuentas de usuario de un dominio. Cuando crea una cuenta de usuario en un dominio, se agrega de forma predeterminada a este grupo.
S-1-5-21dominio-514 Invitados de dominio grupo global que, de forma predeterminada, tiene sólo un miembro, la cuenta de invitado integrada del dominio.
S-1-5-21dominio-515 Equipos de dominio grupo global que incluye todos los clientes y servidores se han unido al dominio.
S-1-5-21dominio-516 Controladores de dominio grupo global que incluye todos los controladores de dominio del dominio. De forma predeterminada, se agregan nuevos controladores de dominio a este grupo.
S-1-5-21dominio-517 Publicadores de certificados grupo global que incluye todos los equipos que ejecutan una entidad de certificación de empresa. Los publicadores de certificados están autorizados para publicar certificados para objetos de usuario en Active Directory.
S-1-5-21dominio raíz-518 Administradores de esquema grupo universal de un dominio en modo nativo; un grupo global de un dominio en modo mixto. El grupo está autorizado para realizar cambios de esquema en Active Directory. De forma predeterminada, el único miembro del grupo es la cuenta Administrador en el dominio raíz del bosque.
S-1-5-21dominio raíz-519 Administradores de organización grupo universal de un dominio en modo nativo; un grupo global de un dominio en modo mixto. El grupo está autorizado para realizar cambios en todo el bosque en Active Directory, como agregar dominios secundarios. De forma predeterminada, el único miembro del grupo es la cuenta Administrador en el dominio raíz del bosque.
S-1-5-21dominio-520 Propietarios del creador de directivas de grupo grupo global que está autorizado para crear nuevos objetos de directiva de grupo en Active Directory. De forma predeterminada, el único miembro del grupo es Administrador.
S-1-5-21dominio-526 Administradores clave un grupo de seguridad. La intención para este grupo es tener acceso de escritura delegado solo en el atributo msdsKeyCredentialLink. El grupo se destina a su uso en escenarios donde autoridades externas de confianza (por ejemplo, los servicios de federación de Active Directory) son responsables de modificar este atributo. Solo se deben incluir como miembros de este grupo a administradores de confianza.
S-1-5-21dominio-527 Administradores de empresa clave un grupo de seguridad. La intención para este grupo es tener acceso de escritura delegado solo en el atributo msdsKeyCredentialLink. El grupo se destina a su uso en escenarios donde autoridades externas de confianza (por ejemplo, los servicios de federación de Active Directory) son responsables de modificar este atributo. Solo se deben incluir como miembros de este grupo a administradores de confianza.
S-1-5-21dominio-553 Servidores RAS e IAS grupo local de dominio. De forma predeterminada, este grupo no tiene miembros. Los servidores de este grupo tienen acceso con restricciones de lectura de cuentas y de la información de inicio de sesión a objetos de usuario del grupo local de dominio de Active Directory.
S-1-5-32-544 Administradores grupo integrado. Después de la instalación inicial del sistema operativo, el único miembro del grupo es la cuenta de administrador. Cuando un equipo se une a un dominio, el grupo Admins. del dominio se agrega al grupo Administradores. Cuando un servidor se convierte en un controlador de dominio, el grupo Administradores de empresa también se agrega al grupo Administradores.
S-1-5-32-545 Users grupo integrado. Después de la instalación inicial del sistema operativo, el único miembro es el grupo Usuarios autenticados. Cuando un equipo se une a un dominio, el grupo Admins. del dominio se agrega al grupo Usuarios del equipo.
S-1-5-32-546 Guests (Invitados) grupo integrado. De forma predeterminada, el único miembro es la cuenta de invitado. El grupo Invitados permite a los usuarios ocasionales iniciar sesión con privilegios limitados en una cuenta de invitado integrada del equipo.
S-1-5-32-547 Usuarios avanzados grupo integrado. De forma predeterminada, este grupo no tiene miembros. Los usuarios avanzados crean usuarios y grupos locales, modifican y eliminan cuentas que han creado y eliminan usuarios de los grupos Usuarios avanzados, Usuarios e Invitados. Los usuarios avanzados también pueden instalar programas, crear, administrar y eliminar impresoras locales y crear y eliminar recursos compartidos de archivos.
S-1-5-32-548 Operadores de cuentas grupo integrado que existe sólo en controladores de dominio. De forma predeterminada, este grupo no tiene miembros. De forma predeterminada, los operadores de cuentas tienen permiso para crear, modificar y eliminar cuentas de usuarios, grupos y equipos de todos los contenedores y unidades organizativas de Active Directory, excepto el contenedor Builtin y las unidades organizativas de Controladores de dominio. Los Operadores de cuentas no tienen permiso para modificar los grupos Administradores y Admins. del dominio, ni para modificar las cuentas de los miembros de esos grupos.
S-1-5-32-549 Operadores de servidores grupo integrado que existe sólo en controladores de dominio. De forma predeterminada, este grupo no tiene miembros. Los Operadores de servidor pueden iniciar la sesión en un servidor de forma interactiva, crear y eliminar recursos compartidos de red, iniciar y detener servicios, hacer copia de seguridad y restaurar archivos, formatear el disco duro del equipo y apagar el equipo.
S-1-5-32-550 Operadores de impresión grupo integrado que existe sólo en controladores de dominio. De forma predeterminada, el único miembro es el grupo Usuarios del dominio. Los Operadores de impresión pueden administrar impresoras y colas de documentos.
S-1-5-32-551 Operadores de copia de seguridad grupo integrado. De forma predeterminada, este grupo no tiene miembros. Los Operadores de copia de seguridad pueden realizar copias de seguridad y recuperar todos los archivos de un equipo, con independencia de los permisos que protejan esos archivos. Los operadores de copia de seguridad también pueden iniciar sesión en el equipo y apagarlo.
S-1-5-32-552 Replicadores grupo integrado que utiliza el servicio de replicación de archivos en los controladores de dominio. De forma predeterminada, este grupo no tiene miembros. No agregue usuarios a este grupo.
S-1-5-32-582 Administradores de réplicas de almacenamiento Un grupo integrado que concede acceso completo y sin restricciones a todas las características de réplica de almacenamiento.
S-1-5-64-10 Autenticación NTLM SID que se utiliza cuando el paquete de autenticación NTLM autentica al cliente.
S-1-5-64-14 Autenticación SChannel SID que se utiliza cuando el paquete de autenticación SChannel autentica al cliente.
S-1-5-64-21 Autenticación de texto implícita SID que se utiliza cuando el paquete de autenticación Digest autentica al cliente.
S-1-5-80 Servicio NT Un prefijo de cuenta de servicio de NT.

SID agregados por Windows Server 2003 y versiones posteriores


Cuando se agrega a un dominio un controlador de dominio que se ejecute en Windows Server 2003 o en una versión posterior, Active Directory agrega las entidades de seguridad de la tabla siguiente.

SID

Nombre

Descripción

S-1-3-2 Creator Owner Server este SID no se utiliza en Windows 2000.
S-1-3-3 Creator Group Server este SID no se utiliza en Windows 2000.
S-1-5-8 Proxy este SID no se utiliza en Windows 2000.
S-1-5-15 Esta organización grupo que incluye todos los usuarios de la misma organización. Sólo se incluye con las cuentas de Active Directory y sólo se agrega con Windows Server 2003 o un controlador de dominio posterior.
S-1-5-32-554 Builtin\Acceso compatible con versiones previas a Windows 2000 un alias que agrega Windows 2000. Grupo de compatibilidad con versiones anteriores que permite acceso de lectura en todos los usuarios y grupos del dominio.
S-1-5-32-555 Builtin\Usuarios de escritorio remoto un alias. A los miembros de este grupo se les concede el derecho de iniciar sesión de forma remota.
S-1-5-32-556 Builtin\Operadores de configuración de red un alias. Los miembros de este grupo pueden tener algunos privilegios administrativos para administrar la configuración de características de red.
S-1-5-32-557 Builtin\Creadores de confianza de bosque entrante un alias. Los miembros de este grupo pueden crear confianzas entrantes, unidireccionales para este bosque.
S-1-5-32-558 Builtin\Usuarios del monitor de rendimiento un alias. Los miembros de este grupo tienen acceso remoto para supervisar este equipo.
S-1-5-32-559 Builtin\Usuarios del registro de rendimiento un alias. Los miembros de este grupo tienen acceso remoto para programar el registro de contadores de rendimiento en este equipo.
S-1-5-32-560 Builtin\Grupo de acceso de autorización de Windows un alias. Los miembros de este grupo tienen acceso al atributo tokenGroupsGlobalAndUniversal calculado en objetos de usuario.
S-1-5-32-561 Builtin\Servidores de licencias de Terminal Server un alias. grupo de servidores de licencias de Terminal Server. Cuando está instalado Windows Server 2003 Service Pack 1, se crea un nuevo grupo local.
S-1-5-32-562 Builtin\Usuarios COM distribuidos un alias. grupo para COM que proporciona controles de acceso en todo el equipo que rigen el acceso a todas las solicitudes de llamada, activación o inicio en el equipo.

SID agregados por Windows Server 2008 y versiones posteriores


Cuando se agrega a un dominio un controlador de dominio que se ejecute en Windows Server 2008 o una versión posterior, Active Directory agrega las entidades de seguridad de la tabla siguiente.

SID

Nombre

Descripción

S-1-2-1 Inicio de sesión en la consola grupo que incluye los usuarios que han iniciado sesión en la consola física.

Nota:
Agregado en Windows 7 y Windows Server 2008 R2.
S-1-5-21dominio-498 Controladores de dominio de sólo lectura de empresa Un grupo universal. Los miembros de este grupo son los controladores de dominio de solo lectura en la empresa.
S-1-5-21dominio-521 Controladores de dominio de sólo lectura Un grupo global. Los miembros de este grupo son los controladores de dominio de solo lectura en el dominio.
S-1-5-21dominio-571 Grupo de replicación de contraseña RODC permitida grupo local de dominio. Los miembros de este grupo pueden replicar sus contraseñas en todos los controladores de dominio de sólo lectura del dominio.
S-1-5-21dominio-572 Grupo de replicación de contraseña RODC denegada grupo local de dominio. Los miembros de este grupo no pueden replicar sus contraseñas en ningún controlador de dominio de solo lectura del dominio.
S-1-5-32-569 Builtin\Operadores criptográficos Un grupo local integrado. Los miembros están autorizados a realizar operaciones criptográficas.
S-1-5-32-573 Builtin\Lectores del registro de eventos Un grupo local integrado. Los miembros de este grupo pueden leer registros de eventos desde el equipo local.
S-1-5-32-574 Builtin\Acceso DCOM a Serv. de certificado Un grupo local integrado. Los miembros de este grupo pueden conectarse a las entidades de certificación de la empresa.
S-1-5-80-0 Servicios NT\Todos los servicios grupo que incluye todos los procesos de servicios que están configurados en el sistema. La pertenencia es controlada por el sistema operativo.

Nota:
Agregado en Windows Server 2008 R2.
S-1-5-80-0 Todos los servicios un grupo que incluye todos los procesos de servicios configurados en el sistema. La pertenencia es controlada por el sistema operativo.

Nota:
Agregado en Windows Vista y Windows Server 2008.
S-1-5-83-0 Máquina Virtual NT\Máquinas virtuales grupo integrado. El grupo se crea cuando se instala la función Hyper-V. El servicio de administración de Hyper-V (VMMS) conserva la pertenencia del grupo. Este grupo necesita el derecho Crear vínculos simbólicos (SeCreateSymbolicLinkPrivilege) y también el derecho Iniciar sesión como servicio (SeServiceLogonRight).

Nota:
Agregado en Windows 8 y Windows Server 2012.
S-1-5-90-0 Administrador de Windows\Grupo de administradores de Windows Un grupo integrado que usa el Administrador de ventanas de escritorio (DWM). DWM es un servicio de Windows que administra la visualización de información en las aplicaciones de Windows.

Nota:
Agregado en Windows Vista.
S-1-16-0 Nivel obligatorio de no confianza nivel de integridad que no es de confianza.
Nota:
Agregado en Windows Vista y Windows Server 2008.
S-1-16-4096 Nivel obligatorio bajo nivel de integridad baja.

Nota:
Agregado en Windows Vista y Windows Server 2008.
S-1-16-8192 Nivel obligatorio medio nivel de integridad media.

Nota Agregado en Windows Vista y Windows Server 2008.
S-1-16-8448 Nivel obligatorio medio alto nivel de integridad media alta.

Nota:
Agregado en Windows Vista y Windows Server 2008.
S-1-16-12288 Nivel obligatorio alto nivel de integridad alto.

Nota:
Agregado en Windows Vista y Windows Server 2008.
S-1-16-16384 Nivel obligatorio del sistema nivel de integridad del sistema.

Nota:
Agregado en Windows Vista y Windows Server 2008.
S-1-16-20480 Nivel obligatorio de proceso protegido nivel de integridad de proceso protegido.

Nota:
Agregado en Windows Vista y Windows Server 2008.
S-1-16-28672 Nivel obligatorio de proceso seguro nivel de integridad de proceso seguro.

Nota:
Agregado en Windows Vista y Windows Server 2008.

SID agregados por Windows Server 2012 y versiones posteriores


Cuando se agrega a un dominio un controlador de dominio que se ejecute en Windows Server 2012 o en una versión posterior, Active Directory agrega las entidades de seguridad de la tabla siguiente.

SID

Nombre

Descripción

S-1-5-21-dominio-522 Controladores de dominio clonables Un grupo global. Los miembros de este grupo que son controladores de dominio pueden clonarse.
S-1-5-32-575 Builtin\Servidores de acceso remoto RDS Un grupo local integrado. Los servidores en este grupo habilitan a los usuarios de programas RemoteApp y acceso a escritorios virtuales personales a estos recursos. En implementaciones con conexión a Internet, estos servidores suelen implementarse en una red perimetral. Este grupo debe estar constituido en servidores que ejecutan Agentes de conexión a Escritorio remoto. Los servidores de puertas de enlace de Escritorio remoto y los servidores de acceso web de Escritorio remoto utilizados en la implementación deben encontrarse en este grupo.
S-1-5-32-576 Builtin\Servidores de punto de conexión RDS Un grupo local integrado. Los servidores en este grupo ejecutan máquinas virtuales y hospedan sesiones donde se ejecutan los programas RemoteApp de los usuarios y los escritorios virtuales personales. Este grupo debe estar constituido en servidores que ejecutan Agentes de conexión a Escritorio remoto. Los servidores de host de sesión de Escritorio Remoto y los servidores de host de virtualización de Escritorio Remoto utilizados en la implementación deben encontrarse en este grupo.
S-1-5-32-577 Builtin\Servidores de administración RDS Un grupo local integrado. Los servidores en este grupo pueden llevar a cabo medidas administrativas de rutina en servidores que ejecutan Servicios de Escritorio remoto. Este grupo debe estar constituido en todos los servidores en una implementación de Servicios de Escritorio remoto. Los servidores que ejecutan el servicio de Administración central de RDS deben estar incluidos en este grupo.
S-1-5-32-578 Builtin\Administradores de Hyper-V Un grupo local integrado. Los miembros de este grupo tienen acceso total e ilimitado a todas las características de Hyper-V.
S-1-5-32-579 Builtin\Operadores de asistencia de control de acceso Un grupo local integrado. Los miembros de este grupo pueden consultar de forma remota atributos y permisos de autorización para recursos en este equipo.
S-1-5-32-580 Builtin\Usuarios de administración remota Un grupo local integrado. Los miembros de este grupo pueden acceder a recursos de WMI mediante protocolos de administración (como WS-Management a través del servicio de administración remota de Windows). Esto solo se aplica a espacios de nombre WMI que conceden acceso al usuario.

Capacidad de SID


Windows 8 ha introducido los identificadores de seguridad de funcionalidades (SID). Un SID de funcionalidad identifica una funcionalidad de manera única e inmutable. Una funcionalidad representa un token de autoridad inolvidable que concede acceso a recursos (como documentos, una cámara, ubicaciones, etc.) a las aplicaciones universales de Windows. A una aplicación que "tiene" una funcionalidad se le concede acceso al recurso asociado. A una aplicación que "no tiene" una funcionalidad se le deniega el acceso al recurso.

Todos los SID de funcionalidad conocidos por el sistema operativo se almacenan en el Registro de Windows en la siguiente subclave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities

Esta subclave también contiene cualquier SID de funcionalidad agregado por las aplicaciones de origen o de terceros.

Todos los SID de funcionalidad comienzan por "S-1-15-3."