Pengidentifikasi keamanan
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016
Artikel ini menjelaskan cara kerja pengidentifikasi keamanan (SID) dengan akun dan grup dalam sistem operasi Windows Server.
Apa itu pengidentifikasi keamanan?
Pengidentifikasi keamanan digunakan untuk mengidentifikasi prinsip keamanan atau kelompok keamanan secara unik. Prinsip keamanan dapat mewakili entitas apa pun yang dapat diautentikasi oleh sistem operasi, seperti akun pengguna, akun komputer, atau utas atau proses yang berjalan dalam konteks keamanan pengguna atau akun komputer.
Setiap akun atau grup, atau setiap proses yang berjalan dalam konteks keamanan akun, memiliki SID unik yang dikeluarkan oleh otoritas, seperti pengontrol domain Windows. SID disimpan dalam database keamanan. Sistem menghasilkan SID yang mengidentifikasi akun atau grup tertentu pada saat akun atau grup dibuat. Ketika SID telah digunakan sebagai pengidentifikasi unik untuk pengguna atau grup, SID tidak pernah dapat digunakan lagi untuk mengidentifikasi pengguna atau grup lain.
Setiap kali pengguna masuk, sistem membuat token akses untuk pengguna tersebut. Token akses berisi SID, hak pengguna, dan SID pengguna untuk grup mana pun yang dimiliki pengguna. Token ini menyediakan konteks keamanan untuk tindakan apa pun yang dilakukan pengguna pada komputer tersebut.
Selain SID khusus domain yang dibuat secara unik yang ditetapkan untuk pengguna dan grup tertentu, ada SID terkenal yang mengidentifikasi grup generik dan pengguna generik. Misalnya, Semua Orang dan SID Dunia mengidentifikasi grup yang mencakup semua pengguna. SID terkenal memiliki nilai yang tetap konstan di semua sistem operasi.
SID adalah blok penyusun mendasar dari model keamanan Windows. Mereka bekerja dengan komponen tertentu dari otorisasi dan teknologi kontrol akses dalam infrastruktur keamanan sistem operasi Windows Server. Ini membantu melindungi akses ke sumber daya jaringan dan menyediakan lingkungan komputasi yang lebih aman.
Catatan
Konten ini hanya berkaitan dengan versi Windows dalam daftar "Berlaku untuk" di awal artikel.
Cara kerja pengidentifikasi keamanan
Pengguna merujuk ke akun dengan nama akun, tetapi sistem operasi secara internal mengacu pada akun dan proses yang berjalan dalam konteks keamanan akun dengan menggunakan SID mereka. Untuk akun domain, SID prinsip keamanan dibuat dengan menggabungkan SID domain dengan pengidentifikasi relatif (RID) untuk akun tersebut. SID unik dalam cakupannya (domain atau lokal), dan tidak pernah digunakan kembali.
Sistem operasi menghasilkan SID yang mengidentifikasi akun atau grup tertentu pada saat akun atau grup dibuat. SID untuk akun atau grup lokal dihasilkan oleh Otoritas Keamanan Lokal (LSA) di komputer, dan disimpan dengan informasi akun lain di area registri yang aman. SID untuk akun domain atau grup dihasilkan oleh otoritas keamanan domain, dan disimpan sebagai atribut objek Pengguna atau Grup di Active Directory Domain Services.
Untuk setiap akun dan grup lokal, SID unik untuk komputer tempatnya dibuat. Tidak ada dua akun atau grup di komputer yang pernah berbagi SID yang sama. Demikian juga, untuk setiap akun dan grup domain, SID unik dalam perusahaan. Ini berarti bahwa SID untuk akun atau grup yang dibuat dalam satu domain tidak akan pernah cocok dengan SID untuk akun atau grup yang dibuat di domain lain di perusahaan.
SID selalu tetap unik. Otoritas keamanan tidak pernah mengeluarkan SID yang sama dua kali, dan mereka tidak pernah menggunakan kembali SID untuk akun yang dihapus. Misalnya, jika pengguna dengan akun pengguna di domain Windows meninggalkan pekerjaan mereka, administrator menghapus akun Direktori Aktif mereka, termasuk SID yang mengidentifikasi akun. Jika mereka kemudian kembali ke pekerjaan yang berbeda di perusahaan yang sama, administrator membuat akun baru, dan sistem operasi Windows Server menghasilkan SID baru. SID baru tidak cocok dengan yang lama, sehingga tidak ada akses pengguna dari akun lama mereka yang ditransfer ke akun baru. Kedua akun mereka mewakili dua prinsip keamanan yang berbeda.
Arsitektur pengidentifikasi keamanan
Pengidentifikasi keamanan adalah struktur data dalam format biner yang berisi jumlah variabel nilai. Nilai pertama dalam struktur berisi informasi tentang struktur SID. Nilai yang tersisa diatur dalam hierarki (mirip dengan nomor telepon), dan mereka mengidentifikasi otoritas penerbit SID (misalnya, "Otoritas NT"), domain penerbit SID, dan prinsip keamanan atau grup tertentu. Gambar berikut mengilustrasikan struktur SID.
Nilai individual SID dijelaskan dalam tabel berikut:
| Komentar | Deskripsi |
|---|---|
| Revisi | Menunjukkan versi struktur SID yang digunakan dalam SID tertentu. |
| Otoritas pengidentifikasi | Mengidentifikasi tingkat otoritas tertinggi yang dapat mengeluarkan SID untuk jenis prinsip keamanan tertentu. Misalnya, nilai otoritas pengidentifikasi dalam SID untuk grup Semua Orang adalah 1 (Otoritas Dunia). Nilai otoritas pengidentifikasi dalam SID untuk akun atau grup Windows Server tertentu adalah 5 (Otoritas NT). |
| Subotoritas | Menyimpan informasi terpenting dalam SID, yang terkandung dalam serangkaian satu atau beberapa nilai subautoritas. Semua nilai hingga, tetapi tidak termasuk, nilai terakhir dalam seri secara kolektif mengidentifikasi domain di perusahaan. Bagian seri ini disebut pengidentifikasi domain. Nilai terakhir dalam seri, yang disebut pengidentifikasi relatif (RID), mengidentifikasi akun atau grup tertentu relatif terhadap domain. |
Komponen SID lebih mudah divisualisasikan ketika SID dikonversi dari biner ke format string dengan menggunakan notasi standar:
S-R-X-Y1-Y2-Yn-1-Yn
Dalam notasi ini, komponen SID dijelaskan dalam tabel berikut:
| Komentar | Deskripsi |
|---|---|
| S | Menunjukkan bahwa string adalah SID |
| R | Menunjukkan tingkat revisi |
| X | Menunjukkan nilai otoritas pengidentifikasi |
| Y | Mewakili serangkaian nilai subautoritas, di mana n adalah jumlah nilai |
Informasi terpenting SID terkandung dalam rangkaian nilai subautoritas. Bagian pertama dari seri (-Y1-Y2-Yn-1) adalah pengidentifikasi domain. Elemen SID ini menjadi signifikan di perusahaan dengan beberapa domain, karena pengidentifikasi domain membedakan SID yang dikeluarkan oleh satu domain dari SID yang dikeluarkan oleh semua domain lain di perusahaan. Tidak ada dua domain di perusahaan yang memiliki pengidentifikasi domain yang sama.
Item terakhir dalam rangkaian nilai subautoritas (-Yn) adalah pengidentifikasi relatif. Ini membedakan satu akun atau grup dari semua akun dan grup lain di domain. Tidak ada dua akun atau grup di domain mana pun yang memiliki pengidentifikasi relatif yang sama.
Misalnya, SID untuk grup Administrator bawaan diwakili dalam notasi SID standar sebagai string berikut:
S-1-5-32-544
SID ini memiliki empat komponen:
- Tingkat revisi (1)
- Nilai otoritas pengidentifikasi (5, Otoritas NT)
- Pengidentifikasi domain (32, Bawaan)
- Pengidentifikasi relatif (544, Administrator)
SID untuk akun dan grup bawaan selalu memiliki nilai pengidentifikasi domain yang sama, 32. Nilai ini mengidentifikasi domain, Builtin, yang ada di setiap komputer yang menjalankan versi sistem operasi Windows Server. Tidak perlu membedakan akun dan grup bawaan satu komputer dari akun dan grup bawaan komputer lain, karena mereka lokal dalam cakupan. Mereka lokal ke satu komputer atau, dalam kasus pengendali domain untuk domain jaringan, mereka lokal ke beberapa komputer yang bertindak sebagai satu.
Akun dan grup bawaan perlu dibedakan satu sama lain dalam cakupan domain Bawaan. Oleh karena itu, SID untuk setiap akun dan grup memiliki pengidentifikasi relatif yang unik. Nilai pengidentifikasi relatif 544 unik untuk grup Administrator bawaan. Tidak ada akun atau grup lain di domain Bawaan yang memiliki SID dengan nilai akhir 544.
Dalam contoh lain, pertimbangkan SID untuk grup global, Admin Domain. Setiap domain di perusahaan memiliki grup Admin Domain, dan SID untuk setiap grup berbeda. Contoh berikut mewakili SID untuk grup Admin Domain di domain Contoso, Ltd. (Contoso\Domain Admins):
S-1-5-21-1004336348-1177238915-682003330-512
SID untuk Contoso\Domain Admins memiliki:
- Tingkat revisi (1)
- Otoritas pengidentifikasi (5, Otoritas NT)
- Pengidentifikasi domain (21-1004336348-1177238915-682003330, Contoso)
- Pengidentifikasi relatif (512, Admin Domain)
SID untuk Contoso\Domain Admins dibedakan dari SID untuk grup Admin Domain lainnya di perusahaan yang sama dengan pengidentifikasi domainnya: 21-1004336348-1177238915-682003330. Tidak ada domain lain di perusahaan yang menggunakan nilai ini sebagai pengidentifikasi domainnya. SID untuk Contoso\Domain Admins dibedakan dari SID untuk akun dan grup lain yang dibuat di domain Contoso dengan pengidentifikasi relatifnya, 512. Tidak ada akun atau grup lain di domain yang memiliki SID dengan nilai akhir 512.
Alokasi pengidentifikasi relatif
Saat akun dan grup disimpan dalam database akun yang dikelola oleh Security Accounts Manager (SAM) lokal, sistem cukup mudah untuk menghasilkan pengidentifikasi relatif unik untuk setiap akun dan dalam grup yang dibuatnya di komputer mandiri. SAM pada komputer mandiri dapat melacak nilai pengidentifikasi relatif yang telah digunakan sebelumnya dan memastikan bahwa SAM tidak pernah menggunakannya lagi.
Namun, dalam domain jaringan, menghasilkan pengidentifikasi relatif unik adalah proses yang lebih kompleks. Domain jaringan Windows Server bisa memiliki beberapa pengendali domain. Setiap pengendali domain menyimpan informasi akun Direktori Aktif. Ini berarti bahwa, dalam domain jaringan, ada salinan database akun sebanyak ada pengendali domain. Selain itu, setiap salinan database akun adalah salinan master.
Akun dan grup baru dapat dibuat di pengendali domain apa pun. Perubahan yang dilakukan pada Direktori Aktif pada satu pengontrol domain direplikasi ke semua pengontrol domain lainnya di domain. Proses replikasi perubahan dalam satu salinan master database akun ke semua salinan master lainnya disebut operasi multimaster.
Proses pembuatan pengidentifikasi relatif unik adalah operasi master tunggal. Satu pengendali domain diberi peran master RID, dan mengalokasikan urutan pengidentifikasi relatif untuk setiap pengontrol domain di domain. Saat akun atau grup domain baru dibuat dalam satu replika Direktori Aktif pengendali domain, akun domain tersebut diberi SID. Pengidentifikasi relatif untuk SID baru diambil dari alokasi pengontrol domain pengidentifikasi relatif. Ketika pasokan pengidentifikasi relatifnya mulai menurun, pengendali domain meminta blok lain dari master RID.
Setiap pengontrol domain menggunakan setiap nilai dalam blok pengidentifikasi relatif hanya sekali. Master RID mengalokasikan setiap blok nilai pengidentifikasi relatif hanya sekali. Proses ini memastikan bahwa setiap akun dan grup yang dibuat di domain memiliki pengidentifikasi relatif yang unik.
Pengidentifikasi keamanan dan pengidentifikasi unik global
Saat pengguna domain atau akun grup baru dibuat, Active Directory menyimpan SID akun di ObjectSID properti objek Pengguna atau Grup. Ini juga menetapkan objek baru pengidentifikasi unik global (GUID), yang merupakan nilai 128-bit yang unik tidak hanya di perusahaan, tetapi juga di seluruh dunia. GUID ditetapkan ke setiap objek yang dibuat oleh Direktori Aktif dan tidak hanya di objek Pengguna dan Grup. GUID setiap objek disimpan dalam propertinya ObjectGUID .
Direktori Aktif menggunakan GUID secara internal untuk mengidentifikasi objek. Misalnya, GUID adalah salah satu properti objek yang diterbitkan dalam katalog global. Mencari katalog global untuk GUID objek Pengguna menghasilkan hasil jika pengguna memiliki akun di suatu tempat di perusahaan. Bahkan, mencari objek apa pun dengan ObjectGUID mungkin cara yang paling dapat diandalkan untuk menemukan objek yang ingin Anda temukan. Nilai properti objek lain dapat berubah, tetapi ObjectGUID properti tidak pernah berubah. Ketika objek diberi GUID, objek tersebut menyimpan nilai tersebut seumur hidup.
Jika pengguna berpindah dari satu domain ke domain lain, pengguna akan mendapatkan SID baru. SID untuk objek grup tidak berubah, karena grup tetap berada di domain tempat mereka dibuat. Namun, jika orang pindah, akun mereka dapat berpindah bersama mereka. Jika karyawan pindah dari Amerika Utara ke Eropa, tetapi tetap berada di perusahaan yang sama, administrator untuk perusahaan dapat memindahkan objek Pengguna karyawan dari, misalnya, Contoso\NoAm ke Contoso\Europe. Jika administrator melakukan ini, objek Pengguna untuk akun memerlukan SID baru. Bagian pengidentifikasi domain dari SID yang dikeluarkan di NoAm unik untuk NoAm, sehingga SID untuk akun pengguna di Eropa memiliki pengidentifikasi domain yang berbeda. Bagian pengidentifikasi relatif dari SID relatif unik terhadap domain, jadi jika domain berubah, pengidentifikasi relatif juga berubah.
Saat objek Pengguna berpindah dari satu domain ke domain lain, SID baru harus dibuat untuk akun pengguna dan disimpan di ObjectSID properti . Sebelum nilai baru ditulis ke properti , nilai sebelumnya disalin ke properti lain dari objek Pengguna, SIDHistory. Properti ini dapat menyimpan beberapa nilai. Setiap kali objek Pengguna berpindah ke domain lain, SID baru dihasilkan dan disimpan di ObjectSID properti , dan nilai lain ditambahkan ke daftar SID lama di SIDHistory. Saat pengguna masuk dan berhasil diautentikasi, layanan autentikasi domain meminta Active Directory untuk semua SID yang terkait dengan pengguna, termasuk SID pengguna saat ini, SID lama pengguna, dan SID untuk grup pengguna. Semua SID ini dikembalikan ke klien autentikasi, dan disertakan dalam token akses pengguna. Ketika pengguna mencoba mendapatkan akses ke sumber daya, salah satu SID dalam token akses (termasuk salah satu SID di SIDHistory), dapat mengizinkan atau menolak akses pengguna.
Jika Anda mengizinkan atau menolak akses pengguna ke sumber daya berdasarkan pekerjaan mereka, Anda harus mengizinkan atau menolak akses ke grup, bukan ke individu. Dengan begitu, ketika pengguna mengubah pekerjaan atau pindah ke departemen lain, Anda dapat dengan mudah menyesuaikan akses mereka dengan menghapusnya dari grup tertentu dan menambahkannya ke orang lain.
Namun, jika Anda mengizinkan atau menolak akses pengguna individual ke sumber daya, Anda mungkin ingin akses pengguna tersebut tetap sama tidak peduli berapa kali domain akun pengguna berubah. Properti SIDHistory memungkinkan hal ini. Saat pengguna mengubah domain, tidak perlu mengubah daftar kontrol akses (ACL) pada sumber daya apa pun. Jika ACL memiliki SID lama pengguna, tetapi bukan yang baru, SID lama masih dalam token akses pengguna. Ini tercantum di antara SID untuk grup pengguna, dan pengguna diberikan atau ditolak akses berdasarkan SID lama.
SID terkenal
Nilai SID tertentu konstan di semua sistem. Mereka dibuat saat sistem operasi atau domain diinstal. Mereka disebut SID terkenal karena mengidentifikasi pengguna generik atau grup generik.
Ada SID universal terkenal yang bermakna pada semua sistem aman yang menggunakan model keamanan ini, termasuk sistem operasi selain Windows. Selain itu, ada SID terkenal yang hanya bermakna pada sistem operasi Windows.
SID universal terkenal tercantum dalam tabel berikut:
| Nilai | SID universal yang terkenal | Mengidentifikasi |
|---|---|---|
| S-1-0-0 | Null SID | Grup tanpa anggota. Ini sering digunakan ketika nilai SID tidak diketahui. |
| S-1-1-0 | World | Grup yang menyertakan semua pengguna. |
| S-1-2-0 | Lokal | Pengguna yang masuk ke terminal yang terhubung secara lokal (fisik) ke sistem. |
| S-1-2-1 | Log Masuk Konsol | Grup yang menyertakan pengguna yang masuk ke konsol fisik. |
| S-1-3-0 | ID Pemilik Pembuat | Pengidentifikasi keamanan yang akan digantikan oleh pengidentifikasi keamanan pengguna yang membuat objek baru. SID ini digunakan dalam entri kontrol akses (ASE) yang dapat diwariskan. |
| S-1-3-1 | ID Grup Pembuat | Pengidentifikasi keamanan yang akan digantikan oleh SID grup utama pengguna yang membuat objek baru. Gunakan SID ini dalam ACE yang dapat diwariskan. |
| S-1-3-2 | Server Pemilik | Tempat penampung di ACE yang dapat diwariskan. Ketika ACE diwariskan, sistem mengganti SID ini dengan SID untuk server pemilik objek dan menyimpan informasi tentang siapa yang membuat objek atau file tertentu. |
| S-1-3-3 | Server Grup | Tempat penampung di ACE yang dapat diwariskan. Ketika ACE diwariskan, sistem mengganti SID ini dengan SID untuk server grup objek dan menyimpan informasi tentang grup yang diizinkan untuk bekerja dengan objek. |
| S-1-3-4 | Hak Pemilik | Grup yang mewakili pemilik objek saat ini. Ketika ACE yang membawa SID ini diterapkan ke objek, sistem mengabaikan izin READ_CONTROL implisit dan WRITE_DAC untuk pemilik objek. |
| S-1-4 | Otoritas non-unik | SID yang mewakili otoritas pengidentifikasi. |
| S-1-5 | Otoritas NT | SID yang mewakili otoritas pengidentifikasi. |
| S-1-5-80-0 | Semua Layanan | Grup yang mencakup semua proses layanan yang dikonfigurasi pada sistem. Keanggotaan dikendalikan oleh sistem operasi. |
Tabel berikut mencantumkan konstanta otoritas pengidentifikasi yang telah ditentukan sebelumnya. Empat nilai pertama digunakan dengan SID terkenal universal, dan nilai lainnya digunakan dengan SID terkenal di sistem operasi Windows dalam daftar "Berlaku untuk" di awal artikel.
| Otoritas pengidentifikasi | Nilai | Awalan string SID |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 | S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 | S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 | S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 | S-1-3 |
| SECURITY_NT_AUTHORITY | 5 | S-1-5 |
| SECURITY_AUTHENTICATION_AUTHORITY | 18 | S-1-18 |
Nilai RID berikut digunakan dengan SID terkenal universal. Kolom otoritas Pengidentifikasi menunjukkan awalan otoritas pengidentifikasi tempat Anda dapat menggabungkan RID untuk membuat SID universal yang terkenal.
| Otoritas pengidentifikasi relatif | Nilai | Otoritas pengidentifikasi |
|---|---|---|
| SECURITY_NULL_RID | 0 | S-1-0 |
| SECURITY_WORLD_RID | 0 | S-1-1 |
| SECURITY_LOCAL_RID | 0 | S-1-2 |
| SECURITY_CREATOR_OWNER_RID | 0 | S-1-3 |
| SECURITY_CREATOR_GROUP_RID | 1 | S-1-3 |
Otoritas pengidentifikasi SECURITY_NT_AUTHORITY (S-1-5) yang telah ditentukan sebelumnya menghasilkan SID yang tidak universal dan hanya bermakna dalam penginstalan sistem operasi Windows dalam daftar "Berlaku untuk" di awal artikel ini.
SID terkenal tercantum dalam tabel berikut:
| SID | Nama tampilan | Deskripsi |
|---|---|---|
| S-1-5-1 | Dialup | Grup yang menyertakan semua pengguna yang masuk ke sistem melalui koneksi dial-up. |
| S-1-5-113 | Akun lokal | Anda dapat menggunakan SID ini saat membatasi masuk jaringan ke akun lokal alih-alih "administrator" atau yang setara. SID ini dapat efektif dalam memblokir masuk jaringan untuk pengguna dan grup lokal berdasarkan jenis akun terlepas dari apa yang mereka beri nama. |
| S-1-5-114 | Akun lokal dan anggota grup Administrator | Anda dapat menggunakan SID ini saat membatasi masuk jaringan ke akun lokal alih-alih "administrator" atau yang setara. SID ini dapat efektif dalam memblokir masuk jaringan untuk pengguna dan grup lokal berdasarkan jenis akun terlepas dari apa yang mereka beri nama. |
| S-1-5-2 | Jaringan | Grup yang menyertakan semua pengguna yang masuk melalui koneksi jaringan. Token akses untuk pengguna interaktif tidak berisi SID Jaringan. |
| S-1-5-3 | Batch | Grup yang mencakup semua pengguna yang telah masuk melalui fasilitas antrean batch, seperti pekerjaan penjadwal tugas. |
| S-1-5-4 | Interaktif | Grup yang menyertakan semua pengguna yang masuk secara interaktif. Pengguna dapat memulai sesi masuk interaktif dengan membuka koneksi Layanan Desktop Jauh dari komputer jarak jauh, atau dengan menggunakan shell jarak jauh seperti Telnet. Dalam setiap kasus, token akses pengguna berisi SID Interaktif. Jika pengguna masuk dengan menggunakan koneksi Layanan Desktop Jarak Jauh, token akses pengguna juga berisi SID Masuk Interaktif Jarak Jauh. |
| S-1-5-5- X-Y | Sesi Masuk | Nilai X dan Y untuk SID ini secara unik mengidentifikasi sesi masuk tertentu. |
| S-1-5-6 | Layanan | Grup yang mencakup semua prinsip keamanan yang telah masuk sebagai layanan. |
| S-1-5-7 | Masuk Anonim | Pengguna yang telah tersambung ke komputer tanpa menyediakan nama pengguna dan kata sandi. Identitas Masuk Anonim berbeda dari identitas yang digunakan oleh Layanan Informasi Internet (IIS) untuk akses web anonim. IIS menggunakan akun aktual—secara default, IUSR_ComputerName, untuk akses anonim ke sumber daya di situs web. Secara ketat, akses tersebut tidak anonim, karena prinsip keamanan diketahui meskipun orang yang tidak dikenal menggunakan akun tersebut. IUSR_ComputerName (atau apa pun nama akun Anda) memiliki kata sandi, dan IIS masuk ke akun saat layanan dimulai. Akibatnya, pengguna "anonim" IIS adalah anggota Pengguna Terautentikasi tetapi Masuk Anonim tidak. |
| S-1-5-8 | Proksi | Saat ini tidak berlaku: SID ini tidak digunakan. |
| S-1-5-9 | Pengendali Domain Perusahaan | Grup yang menyertakan semua pengendali domain di forest domain. |
| S-1-5-10 | Self | Tempat penampung di ACE untuk pengguna, grup, atau objek komputer di Direktori Aktif. Saat Anda memberikan izin kepada Self, Anda memberikannya kepada perwakilan keamanan yang diwakili oleh objek . Selama pemeriksaan akses, sistem operasi menggantikan SID untuk Mandiri dengan SID untuk perwakilan keamanan yang diwakili oleh objek. |
| S-1-5-11 | Pengguna yang Diautentikasi | Grup yang menyertakan semua pengguna dan komputer dengan identitas yang telah diautentikasi. Pengguna Terautentikasi tidak menyertakan Tamu meskipun akun Tamu memiliki kata sandi. Grup ini mencakup prinsip keamanan terautentikasi dari domain tepercaya apa pun, tidak hanya domain saat ini. |
| S-1-5-12 | Kode Terbatas | Identitas yang digunakan oleh proses yang berjalan dalam konteks keamanan terbatas. Di sistem operasi Windows dan Windows Server, kebijakan pembatasan perangkat lunak dapat menetapkan salah satu dari tiga tingkat keamanan ke kode: UnrestrictedRestrictedDisallowed Saat kode berjalan pada tingkat keamanan terbatas, SID Terbatas ditambahkan ke token akses pengguna. |
| S-1-5-13 | Pengguna Server Terminal | Grup yang menyertakan semua pengguna yang masuk ke server dengan Layanan Desktop Jauh diaktifkan. |
| S-1-5-14 | Masuk Interaktif Jarak Jauh | Grup yang menyertakan semua pengguna yang masuk ke komputer dengan menggunakan koneksi desktop jarak jauh. Grup ini adalah subset dari grup Interaktif. Token akses yang berisi SID Masuk Interaktif Jarak Jauh juga berisi SID Interaktif. |
| S-1-5-15 | Organisasi ini | Grup yang menyertakan semua pengguna dari organisasi yang sama. Hanya disertakan dengan akun Direktori Aktif dan ditambahkan hanya oleh pengendali domain. |
| S-1-5-17 | IUSR | Akun yang digunakan oleh pengguna Layanan Informasi Internet (IIS) default. |
| S-1-5-18 | Sistem (atau LocalSystem) | Identitas yang digunakan secara lokal oleh sistem operasi dan oleh layanan yang dikonfigurasi untuk masuk sebagai LocalSystem. Sistem adalah anggota Administrator tersembunyi. Artinya, setiap proses yang berjalan sebagai Sistem memiliki SID untuk grup Administrator bawaan dalam token aksesnya. Saat proses yang berjalan secara lokal saat Sistem mengakses sumber daya jaringan, sistem melakukannya dengan menggunakan identitas domain komputer. Token aksesnya di komputer jarak jauh mencakup SID untuk akun domain komputer lokal ditambah SID untuk grup keamanan tempat komputer menjadi anggota, seperti Komputer Domain dan Pengguna Terautentikasi. |
| S-1-5-19 | Otoritas NT (LocalService) | Identitas yang digunakan oleh layanan yang bersifat lokal ke komputer, tidak memerlukan akses lokal yang luas, dan tidak memerlukan akses jaringan terautentikasi. Layanan yang berjalan sebagai LocalService mengakses sumber daya lokal sebagai pengguna biasa, dan mereka mengakses sumber daya jaringan sebagai pengguna anonim. Akibatnya, layanan yang berjalan sebagai LocalService memiliki otoritas yang jauh lebih sedikit daripada layanan yang berjalan sebagai LocalSystem secara lokal dan di jaringan. |
| S-1-5-20 | Layanan Jaringan | Identitas yang digunakan oleh layanan yang tidak memerlukan akses lokal yang luas tetapi memerlukan akses jaringan terautentikasi. Layanan yang berjalan sebagai NetworkService mengakses sumber daya lokal sebagai pengguna biasa dan mengakses sumber daya jaringan dengan menggunakan identitas komputer. Akibatnya, layanan yang berjalan sebagai NetworkService memiliki akses jaringan yang sama dengan layanan yang berjalan sebagai LocalSystem, tetapi telah mengurangi akses lokal secara signifikan. |
| S-1-5-domain-500 | Administrator | Akun pengguna untuk administrator sistem. Setiap komputer memiliki akun Administrator lokal dan setiap domain memiliki akun Administrator domain. Akun Administrator adalah akun pertama yang dibuat selama penginstalan sistem operasi. Akun tidak dapat dihapus, dinonaktifkan, atau dikunci, tetapi dapat diganti namanya. Secara default, akun Administrator adalah anggota grup Administrator, dan tidak dapat dihapus dari grup tersebut. |
| S-1-5-domain-501 | Tamu | Akun pengguna untuk orang yang tidak memiliki akun individual. Setiap komputer memiliki akun Tamu lokal, dan setiap domain memiliki akun Tamu domain. Secara default, Tamu adalah anggota grup Semua Orang dan Tamu. Akun Tamu domain juga merupakan anggota grup Tamu Domain dan Pengguna Domain. Tidak seperti Masuk Anonim, Tamu adalah akun nyata, dan dapat digunakan untuk masuk secara interaktif. Akun Tamu tidak memerlukan kata sandi, tetapi dapat memilikinya. |
| S-1-5-domain-502 | KRBTGT | Akun pengguna yang digunakan oleh layanan Key Distribution Center (KDC). Akun hanya ada di pengontrol domain. |
| S-1-5-domain-512 | Admin Domain | Grup global dengan anggota yang berwenang untuk mengelola domain. Secara default, grup Admin Domain adalah anggota grup Administrator di semua komputer yang telah bergabung dengan domain, termasuk pengendali domain. Admin Domain adalah pemilik default objek apa pun yang dibuat di Direktori Aktif domain oleh anggota grup mana pun. Jika anggota grup membuat objek lain, seperti file, pemilik default adalah grup Administrator. |
| S-1-5-domain-513 | Pengguna Domain | Grup global yang menyertakan semua pengguna dalam domain. Saat Anda membuat objek Pengguna baru di Direktori Aktif, pengguna secara otomatis ditambahkan ke grup ini. |
| S-1-5-domain-514 | Tamu Domain | Grup global yang, secara default, hanya memiliki satu anggota: akun Tamu bawaan domain. |
| S-1-5-domain-515 | Komputer Domain | Grup global yang mencakup semua komputer yang telah bergabung dengan domain, tidak termasuk pengontrol domain. |
| S-1-5-domain-516 | Pengendali domain | Grup global yang menyertakan semua pengendali domain di domain. Pengendali domain baru ditambahkan ke grup ini secara otomatis. |
| S-1-5-domain-517 | Penerbit Sertifikat | Grup global yang mencakup semua komputer yang menghosting otoritas sertifikasi perusahaan. Penerbit Cert berwenang untuk menerbitkan sertifikat untuk objek Pengguna di Direktori Aktif. |
| S-1-5-root domain-518 | Admin Skema | Grup yang hanya ada di domain akar forest. Ini adalah grup universal jika domain berada dalam mode asli, dan ini adalah grup global jika domain berada dalam mode campuran. Grup Admin Skema berwenang untuk membuat perubahan skema di Direktori Aktif. Secara default, satu-satunya anggota grup adalah akun Administrator untuk domain akar forest. |
| S-1-5-root domain-519 | Admin Perusahaan | Grup yang hanya ada di domain akar forest. Ini adalah grup universal jika domain berada dalam mode asli, dan ini adalah grup global jika domain berada dalam mode campuran. Grup Admin Perusahaan berwenang untuk membuat perubahan pada infrastruktur forest, seperti menambahkan domain anak, mengonfigurasi situs, mengotorisasi server DHCP, dan menginstal otoritas sertifikasi perusahaan. Secara default, satu-satunya anggota Admin Perusahaan adalah akun Administrator untuk domain akar forest. Grup adalah anggota default dari setiap grup Admin Domain di forest. |
| S-1-5-domain-520 | Pemilik Pembuat Kebijakan Grup | Grup global yang berwenang untuk membuat Objek Kebijakan Grup baru di Direktori Aktif. Secara default, satu-satunya anggota grup adalah Administrator. Objek yang dibuat oleh anggota Pemilik Pembuat Kebijakan Grup dimiliki oleh pengguna individual yang membuatnya. Dengan cara ini, grup Pemilik Pembuat Kebijakan Grup tidak seperti grup administratif lainnya (seperti Administrator dan Admin Domain). Objek yang dibuat oleh anggota grup ini dimiliki oleh grup daripada oleh individu. |
| S-1-5-domain-521 | Pengontrol Domain Baca-saja | Grup global yang menyertakan semua pengontrol domain baca-saja. |
| S-1-5-domain-522 | Pengontrol yang Dapat Dikloning | Grup global yang menyertakan semua pengendali domain di domain yang dapat dikloning. |
| S-1-5-domain-525 | Pengguna yang Dilindungi | Grup global yang mendapatkan perlindungan tambahan terhadap ancaman keamanan autentikasi. |
| S-1-5-root domain-526 | Admin Kunci | Grup ini ditujukan untuk digunakan dalam skenario di mana otoritas eksternal tepercaya bertanggung jawab untuk memodifikasi atribut ini. Hanya administrator tepercaya yang harus dijadikan anggota grup ini. |
| S-1-5-domain-527 | Admin Kunci Perusahaan | Grup ini ditujukan untuk digunakan dalam skenario di mana otoritas eksternal tepercaya bertanggung jawab untuk memodifikasi atribut ini. Hanya administrator perusahaan tepercaya yang harus dijadikan anggota grup ini. |
| S-1-5-32-544 | Administrator | Grup bawaan. Setelah penginstalan awal sistem operasi, satu-satunya anggota grup adalah akun Administrator. Saat komputer bergabung dengan domain, grup Admin Domain ditambahkan ke grup Administrator. Saat server menjadi pengontrol domain, grup Admin Perusahaan juga ditambahkan ke grup Administrator. |
| S-1-5-32-545 | Pengguna | Grup bawaan. Setelah penginstalan awal sistem operasi, satu-satunya anggota adalah grup Pengguna Terautentikasi. |
| S-1-5-32-546 | Tamu | Grup bawaan. Secara default, satu-satunya anggota adalah akun Tamu. Grup Tamu memungkinkan pengguna sesekali atau satu kali untuk masuk dengan hak istimewa terbatas ke akun Tamu bawaan komputer. |
| S-1-5-32-547 | Pengguna Power | Grup bawaan. Secara default, grup tidak memiliki anggota. Pengguna daya dapat membuat pengguna dan grup lokal; memodifikasi dan menghapus akun yang telah mereka buat; dan menghapus pengguna dari grup Pengguna, Pengguna, dan Tamu Power. Pengguna daya juga dapat menginstal program; membuat, mengelola, dan menghapus printer lokal; dan membuat dan menghapus berbagi file. |
| S-1-5-32-548 | Operator Akun | Grup bawaan yang hanya ada di pengontrol domain. Secara default, grup tidak memiliki anggota. Secara default, Operator Akun memiliki izin untuk membuat, memodifikasi, dan menghapus akun untuk pengguna, grup, dan komputer di semua kontainer dan unit organisasi Active Directory kecuali kontainer Bawaan dan OU Pengendali Domain. Operator Akun tidak memiliki izin untuk mengubah grup Admin dan Admin Domain, mereka juga tidak memiliki izin untuk mengubah akun untuk anggota grup tersebut. |
| S-1-5-32-549 | Operator Server | Deskripsi: Grup bawaan yang hanya ada di pengontrol domain. Secara default, grup tidak memiliki anggota. Operator Server dapat masuk ke server secara interaktif; membuat dan menghapus berbagi jaringan; memulai dan menghentikan layanan; mencadangkan dan memulihkan file; format hard disk komputer; dan matikan komputer. |
| S-1-5-32-550 | Operator Cetak | Grup bawaan yang hanya ada di pengontrol domain. Secara default, satu-satunya anggota adalah grup Pengguna Domain. Operator Cetak dapat mengelola pencetak dan antrean dokumen. |
| S-1-5-32-551 | Operator Azure Backup | Grup bawaan. Secara default, grup tidak memiliki anggota. Operator Cadangan dapat mencadangkan dan memulihkan semua file di komputer, terlepas dari izin yang melindungi file-file tersebut. Operator Cadangan juga dapat masuk ke komputer dan mematikannya. |
| S-1-5-32-552 | Replikator | Grup bawaan yang digunakan oleh layanan Replikasi File pada pengontrol domain. Secara default, grup tidak memiliki anggota. Jangan tambahkan pengguna ke grup ini. |
| S-1-5-domain-553 | Server RAS dan IAS | Grup domain lokal. Secara default, grup ini tidak memiliki anggota. Komputer yang menjalankan layanan Perutean dan Akses Jarak Jauh ditambahkan ke grup secara otomatis. Anggota grup ini memiliki akses ke properti objek Pengguna tertentu, seperti Pembatasan Akun Baca, Membaca Informasi Masuk, dan Membaca Informasi Akses Jarak Jauh. |
| S-1-5-32-554 | Akses Kompatibel Bawaan\Pra-Windows 2000 | Alias ditambahkan oleh Windows 2000. Grup kompatibilitas mundur yang memungkinkan akses baca pada semua pengguna dan grup di domain. |
| S-1-5-32-555 | Pengguna Desktop Jarak Jauh\Bawaan | Alias. Anggota grup ini diberikan hak untuk masuk dari jarak jauh. |
| S-1-5-32-556 | Builtin\Network Configuration Operators | Alias. Anggota grup ini dapat memiliki beberapa hak administratif untuk mengelola konfigurasi fitur jaringan. |
| S-1-5-32-557 | Builder Kepercayaan Hutan Bawaan\Incoming | Alias. Anggota grup ini dapat membuat kepercayaan satu arah yang masuk ke forest ini. |
| S-1-5-32-558 | Pengguna Builtin\Performance Monitor | Alias. Anggota grup ini memiliki akses jarak jauh untuk memantau komputer ini. |
| S-1-5-32-559 | Pengguna Log Performa\Bawaan | Alias. Anggota grup ini memiliki akses jarak jauh untuk menjadwalkan pengelogan penghitung kinerja pada komputer ini. |
| S-1-5-32-560 | Grup Akses Otorisasi Bawaan\Windows | Alias. Anggota grup ini memiliki akses ke atribut tokenGroupsGlobalAndUniversal komputasi pada objek Pengguna. |
| S-1-5-32-561 | Server Lisensi Server Builtin\Terminal | Alias. Grup untuk Server Lisensi Server Terminal. Ketika Windows Server 2003 Service Pack 1 diinstal, grup lokal baru dibuat. |
| S-1-5-32-562 | Pengguna COM Bawaan\Terdistribusi | Alias. Grup untuk COM untuk menyediakan kontrol akses di seluruh komputer yang mengatur akses ke semua permintaan panggilan, aktivasi, atau peluncuran di komputer. |
| S-1-5-32-568 | Builtin\IIS_IUSRS | Alias. Akun grup bawaan untuk pengguna IIS. |
| S-1-5-32-569 | Operator Kriptografi\Bawaan | Grup lokal bawaan. Anggota berwenang untuk melakukan operasi kriptografi. |
| S-1-5-domain-571 | Grup Replikasi Kata Sandi RODC yang Diizinkan | Anggota dalam grup ini dapat mereplikasi kata sandi mereka ke semua pengontrol domain baca-saja di domain. |
| S-1-5-domain-572 | Grup Replikasi Kata Sandi RODC Ditolak | Anggota dalam grup ini tidak dapat mereplikasi kata sandi mereka ke semua pengontrol domain baca-saja di domain. |
| S-1-5-32-573 | Pembaca Log Bawaan\Peristiwa | Grup lokal bawaan. Anggota grup ini dapat membaca log peristiwa dari komputer lokal. |
| S-1-5-32-574 | Akses DCOM Builtin\Certificate Service | Grup lokal bawaan. Anggota grup ini diizinkan untuk terhubung ke Otoritas Sertifikasi di perusahaan. |
| S-1-5-32-575 | Server Akses Jarak Jauh Builtin\RDS | Grup lokal bawaan. Server dalam grup ini memungkinkan pengguna program RemoteApp dan akses desktop virtual pribadi ke sumber daya ini. Dalam penyebaran yang menghadap internet, server ini biasanya disebarkan di jaringan tepi. Grup ini perlu diisi di server yang menjalankan RD Koneksi ion Broker. Server RD Gateway dan server RD Web Access yang digunakan dalam penyebaran harus berada dalam grup ini. |
| S-1-5-32-576 | Server Titik Akhir Builtin\RDS | Grup lokal bawaan. Server dalam grup ini menjalankan komputer virtual dan sesi host tempat pengguna program RemoteApp dan desktop virtual pribadi berjalan. Grup ini perlu diisi di server yang menjalankan RD Koneksi ion Broker. Server Host Sesi RD dan server Host Virtualisasi RD yang digunakan dalam penyebaran harus berada dalam grup ini. |
| S-1-5-32-577 | Server Manajemen Builtin\RDS | Grup lokal bawaan. Server dalam grup ini dapat melakukan tindakan administratif rutin pada server yang menjalankan Layanan Desktop Jauh. Grup ini perlu diisi di semua server dalam penyebaran Layanan Desktop Jauh. Server yang menjalankan layanan RDS Central Management harus disertakan dalam grup ini. |
| S-1-5-32-578 | Administrator Builtin\Hyper-V | Grup lokal bawaan. Anggota grup ini memiliki akses lengkap dan tidak terbatas ke semua fitur Hyper-V. |
| S-1-5-32-579 | Operator Bantuan Kontrol Akses Bawaan | Grup lokal bawaan. Anggota grup ini dapat mengkueri atribut dan izin otorisasi dari jarak jauh untuk sumber daya pada komputer ini. |
| S-1-5-32-580 | Pengguna Manajemen Jarak Jauh\Bawaan | Grup lokal bawaan. Anggota grup ini dapat mengakses sumber daya Windows Management Instrumentation (WMI) melalui protokol manajemen (seperti WS-Management melalui layanan Windows Remote Management). Ini hanya berlaku untuk namespace layanan WMI yang memberikan akses kepada pengguna. |
| S-1-5-64-10 | Autentikasi NTLM | SID yang digunakan saat paket autentikasi NTLM mengautentikasi klien. |
| S-1-5-64-14 | Autentikasi SChannel | SID yang digunakan saat paket autentikasi SChannel mengautentikasi klien. |
| S-1-5-64-21 | Autentikasi Hash | SID yang digunakan saat paket autentikasi Digest mengautentikasi klien. |
| S-1-5-80 | Layanan NT | SID yang digunakan sebagai awalan akun Layanan NT. |
| S-1-5-80-0 | Semua Layanan | Grup yang mencakup semua proses layanan yang dikonfigurasi pada sistem. Keanggotaan dikendalikan oleh sistem operasi. SID S-1-5-80-0 sama dengan NT SERVICES\ALL SERVICES. SID ini diperkenalkan di Windows Server 2008 R2. |
| S-1-5-83-0 | NT KOMPUTER VIRTUAL\Virtual Machines | Grup bawaan. Grup dibuat saat peran Hyper-V diinstal. Keanggotaan dalam grup dikelola oleh Hyper-V Management Service (VMMS). Grup ini memerlukan hak Buat Tautan Simbolis (SeCreateSymbolicLinkPrivilege) dan Hak Masuk sebagai Layanan (SeServiceLogonRight). |
RID berikut relatif terhadap setiap domain:
| RID | Nilai desimal | Mengidentifikasi |
|---|---|---|
| DOMAIN_USER_RID_ADMIN | 500 | Akun pengguna administratif di domain. |
| DOMAIN_USER_RID_GUEST | 501 | Akun pengguna tamu di domain. Pengguna yang tidak memiliki akun dapat masuk secara otomatis ke akun ini. |
| DOMAIN_GROUP_RID_USERS | 513 | Grup yang berisi semua akun pengguna dalam domain. Semua pengguna secara otomatis ditambahkan ke grup ini. |
| DOMAIN_GROUP_RID_GUESTS | 514 | Akun Tamu grup di domain. |
| DOMAIN_GROUP_RID_COMPUTERS | 515 | Grup Komputer Domain. Semua komputer dalam domain adalah anggota grup ini. |
| DOMAIN_GROUP_RID_CONTROLLERS | 516 | Grup Pengendali Domain. Semua pengendali domain di domain adalah anggota grup ini. |
| DOMAIN_GROUP_RID_CERT_ADMINS | 517 | Grup penerbit sertifikat. Komputer yang menjalankan Layanan Sertifikat Direktori Aktif adalah anggota grup ini. |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS | 518 | Grup administrator skema. Anggota grup ini dapat mengubah skema Direktori Aktif. |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS | 519 | Grup administrator perusahaan. Anggota grup ini memiliki akses penuh ke semua domain di forest Direktori Aktif. Administrator perusahaan bertanggung jawab atas operasi tingkat hutan seperti menambahkan atau menghapus domain baru. |
| DOMAIN_GROUP_RID_POLICY_ADMINS | 520 | Grup administrator kebijakan. |
Contoh RID relatif domain yang digunakan untuk membentuk SID terkenal untuk grup lokal tercantum dalam tabel berikut:
| RID | Nilai desimal | Mengidentifikasi |
|---|---|---|
| DOMAIN_ALIAS_RID_ADMINS | 544 | Administrator domain. |
| DOMAIN_ALIAS_RID_USERS | 545 | Semua pengguna di domain. |
| DOMAIN_ALIAS_RID_GUESTS | 546 | Tamu domain. |
| DOMAIN_ALIAS_RID_POWER_USERS | 547 | Pengguna atau sekumpulan pengguna yang berharap untuk memperlakukan sistem seolah-olah itu adalah komputer pribadi mereka daripada sebagai stasiun kerja untuk beberapa pengguna. |
| DOMAIN_ALIAS_RID_BACKUP_OPS | 551 | Grup lokal yang digunakan untuk mengontrol penetapan hak pengguna pencadangan dan pemulihan file. |
| DOMAIN_ALIAS_RID_REPLICATOR | 552 | Grup lokal yang bertanggung jawab untuk menyalin database keamanan dari pengendali domain utama ke pengontrol domain cadangan. Akun-akun ini hanya digunakan oleh sistem. |
| DOMAIN_ALIAS_RID_RAS_SERVERS | 553 | Grup lokal yang mewakili akses jarak jauh dan server yang menjalankan Layanan Autentikasi Internet (IAS). Grup ini mengizinkan akses ke berbagai atribut objek Pengguna. |
Perubahan fungsionalitas pengidentifikasi keamanan
Perubahan implementasi SID dalam sistem operasi Windows dijelaskan dalam tabel berikut:
| Ubah | Versi sistem operasi | Deskripsi dan sumber daya |
|---|---|---|
| Sebagian besar file sistem operasi dimiliki oleh pengidentifikasi keamanan TrustedInstaller (SID) | Windows Server 2008, Windows Vista | Tujuan dari perubahan ini adalah untuk mencegah proses yang berjalan sebagai administrator atau di bawah akun LocalSystem mengganti file sistem operasi secara otomatis. |
| Pemeriksaan SID terbatas diimplementasikan | Windows Server 2008, Windows Vista | Saat membatasi SID ada, Windows melakukan dua pemeriksaan akses. Yang pertama adalah pemeriksaan akses normal, dan yang kedua adalah pemeriksaan akses yang sama terhadap SID pembatasan dalam token. Kedua pemeriksaan akses harus diteruskan untuk memungkinkan proses mengakses objek. |
SID kemampuan
Pengidentifikasi keamanan kemampuan digunakan untuk mengidentifikasi kemampuan yang mewakili token otoritas yang tak terlupakan, yang memberikan akses ke sumber daya (misalnya, dokumen, kamera, dan lokasi) ke Aplikasi Windows Universal. Aplikasi yang memiliki kemampuan diberikan akses ke sumber daya yang dikaitkan dengan kemampuan, dan aplikasi yang tidak memiliki kemampuan ditolak akses ke sumber daya.
Semua SID kemampuan yang diketahui sistem operasi disimpan di Windows Registry di jalur 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities'. SID kemampuan apa pun yang ditambahkan ke Windows oleh aplikasi pihak pertama atau pihak ketiga ditambahkan ke lokasi ini.
Contoh kunci registri yang diambil dari Windows 10, versi 1909, edisi Enterprise 64-bit
Anda mungkin melihat kunci registri berikut di bawah AllCachedCapabilities:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
Semua SID kemampuan diawali oleh S-1-15-3.
Contoh kunci registri yang diambil dari Windows 11, versi 21H2, edisi Enterprise 64-bit
Anda mungkin melihat kunci registri berikut di bawah AllCachedCapabilities:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
Semua SID kemampuan diawali oleh S-1-15-3.