보안 식별자
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
이 문서에서는 WINDOWS Server 운영 체제의 계정 및 그룹에서 SID(보안 식별자)가 작동하는 방법을 설명합니다.
보안 식별자란?
보안 식별자는 보안 주체 또는 보안 그룹을 고유하게 식별하는 데 사용됩니다. 보안 주체는 사용자 계정, 컴퓨터 계정 또는 사용자 또는 컴퓨터 계정의 보안 컨텍스트에서 실행되는 스레드 또는 프로세스와 같이 운영 체제에서 인증할 수 있는 모든 엔터티를 나타낼 수 있습니다.
각 계정 또는 그룹 또는 계정의 보안 컨텍스트에서 실행되는 각 프로세스에는 Windows do기본 컨트롤러와 같은 기관에서 발급한 고유한 SID가 있습니다. SID는 보안 데이터베이스에 저장됩니다. 시스템은 계정 또는 그룹을 만들 때 특정 계정 또는 그룹을 식별하는 SID를 생성합니다. SID가 사용자 또는 그룹의 고유 식별자로 사용된 경우 다른 사용자 또는 그룹을 식별하는 데 다시 사용할 수 없습니다.
사용자가 로그인할 때마다 시스템은 해당 사용자에 대한 액세스 토큰을 만듭니다. 액세스 토큰에는 사용자가 속한 모든 그룹에 대한 사용자의 SID, 사용자 권한 및 SID가 포함됩니다. 이 토큰은 사용자가 해당 컴퓨터에서 수행하는 모든 작업에 대한 보안 컨텍스트를 제공합니다.
특정 사용자 및 그룹에 할당된 고유하게 생성된 do기본 특정 SID 외에도 제네릭 그룹 및 제네릭 사용자를 식별하는 잘 알려진 SID가 있습니다. 예를 들어 모든 사용자와 세계 SID는 모든 사용자를 포함하는 그룹을 식별합니다. 잘 알려진 SID에는 모든 운영 체제에서 일정하게 다시 기본 값이 있습니다.
SID는 Windows 보안 모델의 기본 구성 요소입니다. Windows Server 운영 체제의 보안 인프라에서 권한 부여 및 액세스 제어 기술의 특정 구성 요소와 함께 작동합니다. 이렇게 하면 네트워크 리소스에 대한 액세스를 보호하고 보다 안전한 컴퓨팅 환경을 제공합니다.
참고 항목
이 콘텐츠는 문서의 시작 부분에 있는 "적용 대상" 목록의 Windows 버전에만 관련됩니다.
보안 식별자의 작동 방식
사용자는 계정 이름으로 계정을 참조하지만 운영 체제는 내부적으로 해당 SID를 사용하여 계정의 보안 컨텍스트에서 실행되는 계정 및 프로세스를 참조합니다. do기본 계정의 경우 보안 주체의 SID는 do기본의 SID를 계정에 대한 RID(상대 식별자)와 연결하여 만듭니다. SID는 범위 내에서 고유하며(do기본 또는 로컬) 다시 사용되지 않습니다.
운영 체제는 계정 또는 그룹을 만들 때 특정 계정 또는 그룹을 식별하는 SID를 생성합니다. 로컬 계정 또는 그룹의 SID는 컴퓨터의 LSA(로컬 보안 기관)에 의해 생성되며 레지스트리의 보안 영역에 다른 계정 정보와 함께 저장됩니다. do기본 계정 또는 그룹에 대한 SID는 do기본 보안 기관에서 생성되며 Active Directory 도메인 Services에서 User 또는 Group 개체의 특성으로 저장됩니다.
모든 로컬 계정 및 그룹에 대해 SID는 만들어진 컴퓨터에 대해 고유합니다. 컴퓨터의 두 계정 또는 그룹이 동일한 SID를 공유하지 않습니다. 마찬가지로, 모든 할 일기본 계정 및 그룹에 대해 SID는 엔터프라이즈 내에서 고유합니다. 즉, 한 가지 작업에서 만든 계정 또는 그룹의 SID기본 엔터프라이즈의 다른 do기본에서 만든 계정 또는 그룹의 SID와 일치하지 않습니다.
SID는 항상 고유한 기본. 보안 당국은 동일한 SID를 두 번 발급하지 않으며 삭제된 계정에 대해 SID를 다시 사용하지 않습니다. 예를 들어 Windows에서 사용자 계정이 있는 사용자가 작업을 기본 경우 관리자는 계정을 식별하는 SID를 포함하여 Active Directory 계정을 삭제합니다. 나중에 같은 회사에서 다른 작업으로 돌아가면 관리자가 새 계정을 만들고 Windows Server 운영 체제에서 새 SID를 생성합니다. 새 SID는 이전 SID와 일치하지 않으므로 이전 계정에서 사용자의 액세스 권한이 새 계정으로 전송되지 않습니다. 두 계정 모두 서로 다른 두 보안 주체를 나타냅니다.
보안 식별자 아키텍처
보안 식별자는 변수 수의 값을 포함하는 이진 형식의 데이터 구조입니다. 구조체의 첫 번째 값에는 SID 구조에 대한 정보가 포함됩니다. 다시 기본 값은 계층 구조(전화 번호와 유사)로 정렬되며 SID 발급 기관(예: "NT 기관"), SID 발급 기관기본 및 특정 보안 주체 또는 그룹을 식별합니다. 다음 이미지는 SID의 구조를 보여 줍니다.
SID의 개별 값은 다음 표에 설명되어 있습니다.
| 설명 | 설명 |
|---|---|
| Revision | 특정 SID에 사용되는 SID 구조의 버전을 나타냅니다. |
| 식별자 기관 | 특정 유형의 보안 주체에 대해 SID를 발급할 수 있는 가장 높은 수준의 권한을 식별합니다. 예를 들어 모든 사용자 그룹에 대한 SID의 식별자 권한 값은 1(세계 기관)입니다. 특정 Windows Server 계정 또는 그룹에 대한 SID의 식별자 권한 값은 5(NT 기관)입니다. |
| 하위 인증 | 하나 이상의 하위 인증 값에 포함된 SID에서 가장 중요한 정보를 보유합니다. 계열의 마지막 값은 포함할 수 있지만 포함하지 않는 모든 값은 기업의 do기본 총체적으로 식별합니다. 계열의 이 부분을 do기본 식별자라고 부릅니다. RID(상대 식별자)라고 하는 계열의 마지막 값은 do기본 상대적인 특정 계정 또는 그룹을 식별합니다. |
SID의 구성 요소는 표준 표기법을 사용하여 SID를 이진 형식에서 문자열 형식으로 변환할 때 보다 쉽게 시각화할 수 있습니다.
S-R-X-Y1-Y2-Yn-1-Yn
이 표기법에서 SID의 구성 요소는 다음 표에 설명되어 있습니다.
| 설명 | 설명 |
|---|---|
| S | 문자열이 SID임을 나타냅니다. |
| R | 수정 수준을 나타냅니다. |
| X | 식별자 기관 값을 나타냅니다. |
| Y | 일련의 하위 인증 값을 나타냅니다. 여기서 n 은 값의 수입니다. |
SID의 가장 중요한 정보는 일련의 하위 인증 값에 포함됩니다. 시리즈의 첫 번째 부분(-Y1-Y2-Yn-1)은 do기본 식별자입니다. DO기본 식별자는 기업의 다른 모든 do기본에서 발급한 SID와 기본 발급되는 SID를 구분하기 때문에 SID의 이 요소는 여러 가지 do기본가 있는 기업에서 중요합니다. 엔터프라이즈의 두 기본 동일한 do기본 식별자를 공유하지 않습니다.
일련의 하위 인증 값(-Yn)의 마지막 항목은 상대 식별자입니다. do기본 다른 모든 계정 및 그룹과 하나의 계정 또는 그룹을 구분합니다. 동일한 상대 식별자를 공유하지 기본 두 개의 계정이나 그룹이 없습니다.
예를 들어 기본 제공 관리istrators 그룹의 SID는 표준화된 SID 표기법으로 다음 문자열로 표시됩니다.
S-1-5-32-544
이 SID에는 다음 네 가지 구성 요소가 있습니다.
- 수정 수준(1)
- 식별자 기관 값(5, NT 기관)
- do기본 식별자(32, Builtin)
- 상대 식별자(544, 관리이스트레이터)
기본 제공 계정 및 그룹에 대한 SID는 항상 동일한 do기본 식별자 값 32를 갖습니다. 이 값은 Windows Server 운영 체제 버전을 실행하는 모든 컴퓨터에 존재하는 do기본, Builtin을 식별합니다. 한 컴퓨터의 기본 제공 계정 및 그룹을 다른 컴퓨터의 기본 제공 계정 및 그룹과 구분할 필요는 없습니다. 범위가 로컬이기 때문입니다. 단일 컴퓨터에 로컬이거나 네트워크에 대한 컨트롤러가 기본 경우기본 하나의 역할을 하는 여러 컴퓨터에 로컬입니다.
기본 제공 계정 및 그룹은 Builtin do기본 범위 내에서 서로 구별되어야 합니다. 따라서 각 계정 및 그룹의 SID에는 고유한 상대 식별자가 있습니다. 상대 식별자 값 544는 기본 제공 관리istrators 그룹에 고유합니다. Builtin에 있는 다른 계정이나 그룹은 없습니다기본 최종 값이 544인 SID가 있습니다.
또 다른 예제에서는 전역 그룹 Do기본 관리에 대한 SID를 고려합니다. 엔터프라이즈의 모든 do기본에는 Do기본 관리s 그룹이 있고 각 그룹의 SID는 다릅니다. 다음 예제에서는 Contoso, Ltd.do기본(Contoso\Do기본 관리s)의 Do기본 관리s 그룹에 대한 SID를 나타냅니다.
S-1-5-21-1004336348-1177238915-682003330-512
Contoso\Do기본 관리용 SID에는 다음이 있습니다.
- 수정 수준(1)
- 식별자 기관(5, NT 기관)
- do기본 식별자(21-1004336348-1177238915-682003330, Contoso)
- 상대 식별자(512, Do기본 관리s)
Contoso\Do기본 관리s용 SID는 do기본 식별자(21-1004336348-1177238915-682003330)로 동일한 엔터프라이즈의 다른 Do기본 관리s 그룹에 대한 SID와 구별됩니다. 엔터프라이즈의 다른 기본 이 값을 기본 식별자로 사용하지 않습니다. Contoso\Do기본 관리s용 SID는 Contoso do에서 만든 다른 계정 및 그룹의 SID와 구별되며기본 상대 식별자 512로 구분됩니다. do기본 최종 값이 512인 SID가 있는 다른 계정이나 그룹은 없습니다.
상대 식별자 할당
SAM(로컬 보안 계정 관리자)에서 관리하는 계정 데이터베이스에 계정 및 그룹을 저장하면 시스템에서 독립 실행형 컴퓨터에서 만드는 그룹 및 각 계정에 대해 고유한 상대 식별자를 쉽게 생성할 수 있습니다. 독립 실행형 컴퓨터의 SAM은 이전에 사용한 상대 식별자 값을 추적하고 다시는 사용하지 않도록 할 수 있습니다.
그러나 네트워크에서는 기본 고유한 상대 식별자를 생성하는 것이 더 복잡한 프로세스입니다. Windows Server 네트워크에는 기본 여러 가지 할 일기본 컨트롤러가 있을 수 있습니다. 각 do기본 컨트롤러는 Active Directory 계정 정보를 저장합니다. 즉, 네트워크에서는 기본 계정 데이터베이스의 복사본이 있는 것처럼 기본 컨트롤러가 있습니다. 또한 계정 데이터베이스의 모든 복사본은 마스터 복사본입니다.
모든 할 일기본 컨트롤러에서 새 계정 및 그룹을 만들 수 있습니다. 한 가지 기본 컨트롤러에서 Active Directory에 적용된 변경 내용은 do기본 다른 모든 do기본 컨트롤러에 복제본(replica)ted됩니다. 계정 데이터베이스의 한 마스터 복사본에서 변경 내용을 다른 모든 마스터 복사본으로 복제본(replica) 프로세스를 멀티마스터 작업이라고 합니다.
고유한 상대 식별자를 생성하는 프로세스는 단일 마스터 작업입니다. 하나의 do기본 컨트롤러는 RID 마스터의 역할을 할당하고 do기본 각 do기본 컨트롤러에 상대 식별자 시퀀스를 할당합니다. 새 do기본 계정 또는 그룹이 한 기본 컨트롤러의 Active Directory 복제본(replica) 만들어지면 SID가 할당됩니다. 새 SID의 상대 식별자는 do기본 컨트롤러의 상대 식별자 할당에서 가져옵니다. 상대 식별자 공급이 낮게 실행되기 시작하면 do기본 컨트롤러는 RID 마스터에서 다른 블록을 요청합니다.
각 do기본 컨트롤러는 상대 식별자 블록의 각 값을 한 번만 사용합니다. RID 마스터는 상대 식별자 값의 각 블록을 한 번만 할당합니다. 이 프로세스는 do기본 만든 모든 계정과 그룹에 고유한 상대 식별자가 있음을 보장합니다.
보안 식별자 및 전역적으로 고유한 식별자
새 do기본 사용자 또는 그룹 계정이 만들어지면 Active Directory는 사용자 또는 그룹 개체의 속성에 ObjectSID 계정의 SID를 저장합니다. 또한 새 개체에 엔터프라이즈뿐만 아니라 전 세계에서 고유한 128비트 값인 GUID(Globally Unique Identifier)를 할당합니다. GUID는 사용자 및 그룹 개체뿐만 아니라 Active Directory에서 만든 모든 개체에 할당됩니다. 각 개체의 GUID는 해당 ObjectGUID 속성에 저장됩니다.
Active Directory는 GUID를 내부적으로 사용하여 개체를 식별합니다. 예를 들어 GUID는 전역 카탈로그에 게시된 개체의 속성 중 하나입니다. 사용자 개체 GUID에 대한 글로벌 카탈로그를 검색하면 사용자에게 엔터프라이즈 내 계정이 있는 경우 결과가 생성됩니다. 실제로 개체를 검색하는 것이 찾으려는 개체 ObjectGUID 를 찾는 가장 신뢰할 수 있는 방법일 수 있습니다. 다른 개체 속성의 값은 변경할 수 있지만 속성은 ObjectGUID 변경되지 않습니다. 개체에 GUID가 할당되면 해당 값이 평생 유지됩니다.
사용자가 한 작업에서 다른 기본 이동하는 경우 사용자는 새 SID를 가져옵니다. 그룹이 만들어진 do기본 유지되므로 그룹 개체의 SID는 변경되지 않습니다. 그러나 사용자가 이동하면 계정이 함께 이동할 수 있습니다. 직원이 북아메리카 유럽으로 이동하지만 동일한 회사에 머무르는 경우 엔터프라이즈 관리자는 Contoso\NoAm과 같은 직원의 User 개체를 Contoso\NoAm에서 Contoso\Europe로 이동할 수 있습니다. 관리자가 이 작업을 수행하는 경우 계정에 대한 User 개체에 새 SID가 필요합니다. NoAm에서 발급된 SID의 do기본 식별자 부분은 NoAm에 고유하므로 유럽의 사용자 계정에 대한 SID에는 다른 do기본 식별자가 있습니다. SID의 상대 식별자 부분은 do기본 상대적인 고유하므로 do기본 변경되면 상대 식별자도 변경됩니다.
User 개체가 한 개체에서기본 다른 개체로 이동하면 사용자 계정에 대해 새 SID가 생성되고 속성에 ObjectSID 저장되어야 합니다. 새 값이 속성에 기록되기 전에 이전 값이 User 개체 SIDHistory의 다른 속성에 복사됩니다. 이 속성은 여러 값을 보유할 수 있습니다. User 개체가 다른 do기본로 이동할 때마다 새 SID가 생성되어 속성에 ObjectSID 저장되고 다른 값이 이전 SID SIDHistory목록에 추가됩니다. 사용자가 로그인하여 성공적으로 인증되면 do기본 인증 서비스는 사용자의 현재 SID, 사용자의 이전 SID 및 사용자 그룹의 SID를 포함하여 사용자와 연결된 모든 SID에 대해 Active Directory를 쿼리합니다. 이러한 모든 SID는 인증 클라이언트에 반환되며 사용자의 액세스 토큰에 포함됩니다. 사용자가 리소스에 액세스하려고 하면 액세스 토큰의 SID 중 하나(있는 SID SIDHistory중 하나 포함)가 사용자 액세스를 허용하거나 거부할 수 있습니다.
사용자가 자신의 작업에 따라 리소스에 대한 액세스를 허용하거나 거부하는 경우 개인이 아닌 그룹에 대한 액세스를 허용하거나 거부해야 합니다. 이렇게 하면 사용자가 작업을 변경하거나 다른 부서로 이동할 때 특정 그룹에서 작업을 제거하고 다른 그룹에 추가하여 액세스를 쉽게 조정할 수 있습니다.
그러나 리소스에 대한 개별 사용자 액세스를 허용하거나 거부하는 경우 사용자의 계정 변경 횟수에 관계없이 해당 사용자의 액세스 권한을 다시 기본 기본. 이 SIDHistory 속성을 사용하면 이 작업을 수행할 수 있습니다. 사용자가 변경하면 기본 리소스에서 ACL(액세스 제어 목록)을 변경할 필요가 없습니다. ACL에 사용자의 이전 SID가 있지만 새 SID가 아닌 경우 이전 SID는 여전히 사용자의 액세스 토큰에 있습니다. 사용자 그룹에 대한 SID 사이에 나열되며 사용자는 이전 SID에 따라 액세스 권한을 부여하거나 거부합니다.
잘 알려진 SID
특정 SID의 값은 모든 시스템에서 일정합니다. 운영 체제를 설치하거나 설치할 때 만들어집니다기본. 일반 사용자 또는 제네릭 그룹을 식별하기 때문에 잘 알려진 SID라고 합니다.
Windows 이외의 운영 체제를 포함하여 이 보안 모델을 사용하는 모든 보안 시스템에 의미 있는 범용 잘 알려진 SID가 있습니다. 또한 Windows 운영 체제에서만 의미 있는 잘 알려진 SID가 있습니다.
다음 표에는 잘 알려진 범용 SID가 나열되어 있습니다.
| 값 | 범용 잘 알려진 SID | 식별 |
|---|---|---|
| S-1-0-0 | Null SID | 구성원이 없는 그룹입니다. SID 값을 알 수 없는 경우에 자주 사용됩니다. |
| S-1-1-0 | 전 세계 | 모든 사용자를 포함하는 그룹입니다. |
| S-1-2-0 | 로컬 | 로컬(물리적으로) 시스템에 연결된 터미널에 로그인하는 사용자입니다. |
| S-1-2-1 | 콘솔 로그온 | 실제 콘솔에 로그인한 사용자를 포함하는 그룹입니다. |
| S-1-3-0 | 작성자 소유자 ID | 새 개체를 만든 사용자의 보안 식별자로 대체될 보안 식별자입니다. 이 SID는 상속 가능한 ACE(액세스 제어 항목)에 사용됩니다. |
| S-1-3-1 | 작성자 그룹 ID | 새 개체를 만든 사용자의 기본 그룹 SID로 대체될 보안 식별자입니다. 상속 가능한 ACE에서 이 SID를 사용합니다. |
| S-1-3-2 | 소유자 서버 | 상속 가능한 ACE의 자리 표시자입니다. ACE가 상속되면 시스템은 이 SID를 개체의 소유자 서버에 대한 SID로 바꾸고 지정된 개체 또는 파일을 만든 사람에 대한 정보를 저장합니다. |
| S-1-3-3 | 그룹 서버 | 상속 가능한 ACE의 자리 표시자입니다. ACE가 상속되면 시스템은 이 SID를 개체의 그룹 서버에 대한 SID로 바꾸고 개체로 작업할 수 있는 그룹에 대한 정보를 저장합니다. |
| S-1-3-4 | 소유자 권한 | 개체의 현재 소유자를 나타내는 그룹입니다. 이 SID를 전달하는 ACE가 개체에 적용되면 시스템은 개체 소유자에 대한 암시적 READ_CONTROL 및 WRITE_DAC 권한을 무시합니다. |
| S-1-4 | 고유하지 않은 기관 | 식별자 기관을 나타내는 SID입니다. |
| S-1-5 | NT Authority (NT AUTHORITY) | 식별자 기관을 나타내는 SID입니다. |
| S-1-5-80-0 | 모든 서비스 | 시스템에 구성된 모든 서비스 프로세스를 포함하는 그룹입니다. 멤버 자격은 운영 체제에 의해 제어됩니다. |
다음 표에는 미리 정의된 식별자 기관 상수가 나와 있습니다. 처음 네 개의 값은 범용 잘 알려진 SID와 함께 사용되며, 나머지 값은 문서의 시작 부분에 있는 "적용 대상" 목록의 Windows 운영 체제에서 잘 알려진 SID와 함께 사용됩니다.
| 식별자 기관 | 값 | SID 문자열 접두사 |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 | S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 | S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 | S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 | S-1-3 |
| SECURITY_NT_AUTHORITY | 5 | S-1-5 |
| SECURITY_AUTHENTICATION_AUTHORITY | 18 | S-1-18 |
다음 RID 값은 범용 잘 알려진 SID와 함께 사용됩니다. 식별자 기관 열에는 RID를 결합하여 범용 잘 알려진 SID를 만들 수 있는 식별자 권한의 접두사를 표시합니다.
| 상대 식별자 기관 | 값 | 식별자 기관 |
|---|---|---|
| SECURITY_NULL_RID | 0 | S-1-0 |
| SECURITY_WORLD_RID | 0 | S-1-1 |
| SECURITY_LOCAL_RID | 0 | S-1-2 |
| SECURITY_CREATOR_OWNER_RID | 0 | S-1-3 |
| SECURITY_CREATOR_GROUP_RID | 1 | S-1-3 |
SECURITY_NT_AUTHORITY(S-1-5) 미리 정의된 식별자 기관은 유니버설이 아니며 이 문서의 시작 부분에 있는 "적용 대상" 목록의 Windows 운영 체제 설치에서만 의미 있는 SID를 생성합니다.
잘 알려진 SID는 다음 표에 나와 있습니다.
| SID | 표시 이름 | 설명 |
|---|---|---|
| S-1-5-1 | Dialup (DIALUP) | 전화 접속 연결을 통해 시스템에 로그인한 모든 사용자를 포함하는 그룹입니다. |
| S-1-5-113 | 로컬 계정 | 네트워크 로그인을 "관리자" 또는 이와 동등한 계정 대신 로컬 계정으로 제한할 때 이 SID를 사용할 수 있습니다. 이 SID는 이름에 관계없이 계정 유형별로 로컬 사용자 및 그룹에 대한 네트워크 로그인을 차단하는 데 효과적일 수 있습니다. |
| S-1-5-114 | 관리istrators 그룹의 로컬 계정 및 멤버 | 네트워크 로그인을 "관리자" 또는 이와 동등한 계정 대신 로컬 계정으로 제한할 때 이 SID를 사용할 수 있습니다. 이 SID는 이름에 관계없이 계정 유형별로 로컬 사용자 및 그룹에 대한 네트워크 로그인을 차단하는 데 효과적일 수 있습니다. |
| S-1-5-2 | 네트워크 | 네트워크 연결을 통해 로그인한 모든 사용자를 포함하는 그룹입니다. 대화형 사용자에 대한 액세스 토큰에는 네트워크 SID가 포함되지 않습니다. |
| S-1-5-3 | Batch | 작업 스케줄러 작업과 같은 일괄 처리 큐 기능을 통해 로그인한 모든 사용자를 포함하는 그룹입니다. |
| S-1-5-4 | 대화형 | 대화형으로 로그인하는 모든 사용자를 포함하는 그룹입니다. 사용자는 원격 컴퓨터에서 원격 데스크톱 서비스 연결을 열거나 텔넷과 같은 원격 셸을 사용하여 대화형 로그인 세션을 시작할 수 있습니다. 각 경우에 사용자의 액세스 토큰에는 대화형 SID가 포함됩니다. 사용자가 원격 데스크톱 서비스 연결을 사용하여 로그인하는 경우 사용자의 액세스 토큰에는 원격 대화형 로그온 SID도 포함됩니다. |
| S-1-5-5- X-Y | 로그온 세션 | 이러한 SID의 X 및 Y 값은 특정 로그인 세션을 고유하게 식별합니다. |
| S-1-5-6 | 서비스 | 서비스로 로그인한 모든 보안 주체를 포함하는 그룹입니다. |
| S-1-5-7 | Anonymous Logon | 사용자 이름과 암호를 제공하지 않고 컴퓨터에 연결한 사용자입니다. 익명 로그온 ID는 익명 웹 액세스를 위해 IIS(인터넷 정보 서비스)에서 사용하는 ID와 다릅니다. IIS는 웹 사이트의 리소스에 대한 익명 액세스를 위해 실제 계정(기본적으로 IUSR_ComputerName)을 사용합니다. 엄밀히 말하면, 식별되지 않은 사람들이 계정을 사용하더라도 보안 주체가 알려져 있기 때문에 이러한 액세스는 익명이 아닙니다. IUSR_ComputerName(또는 계정 이름을 지정하는 모든 항목)에는 암호가 있으며 서비스가 시작될 때 IIS가 계정에 로그인합니다. 따라서 IIS "익명" 사용자는 인증된 사용자의 구성원이지만 익명 로그온은 그렇지 않습니다. |
| S-1-5-8 | 프록시 | 현재 적용되지 않습니다. 이 SID는 사용되지 않습니다. |
| S-1-5-9 | Enterprise Domain Controllers | do기본 포리스트에 있는 모든 할 일기본 컨트롤러를 포함하는 그룹입니다. |
| S-1-5-10 | 셀프 | Active Directory의 사용자, 그룹 또는 컴퓨터 개체에 대한 ACE의 자리 표시자입니다. Self에 권한을 부여하면 개체가 나타내는 보안 주체에게 권한을 부여합니다. 액세스 검사 동안 운영 체제는 자체용 SID를 개체가 나타내는 보안 주체의 SID로 바꿉니다. |
| S-1-5-11 | 인증된 사용자 | 인증된 ID가 있는 모든 사용자 및 컴퓨터를 포함하는 그룹입니다. 인증된 사용자는 게스트 계정에 암호가 있더라도 게스트를 포함하지 않습니다. 이 그룹에는 신뢰할 수 있는 작업기본 인증된 보안 주체가 포함되며 현재 보안 주체도 포함됩니다기본. |
| S-1-5-12 | 제한된 코드 | 제한된 보안 컨텍스트에서 실행되는 프로세스에서 사용하는 ID입니다. Windows 및 Windows Server 운영 체제에서 소프트웨어 제한 정책은 다음 세 가지 보안 수준 중 하나를 코드에 할당할 수 있습니다. UnrestrictedRestrictedDisallowed 코드가 제한된 보안 수준에서 실행되면 제한된 SID가 사용자의 액세스 토큰에 추가됩니다. |
| S-1-5-13 | 터미널 서버 사용자 | 원격 데스크톱 서비스를 사용하도록 설정된 서버에 로그인하는 모든 사용자를 포함하는 그룹입니다. |
| S-1-5-14 | 원격 대화형 로그온 | 원격 데스크톱 연결을 사용하여 컴퓨터에 로그인하는 모든 사용자를 포함하는 그룹입니다. 이 그룹은 대화형 그룹의 하위 집합입니다. 원격 대화형 로그온 SID를 포함하는 액세스 토큰에는 대화형 SID도 포함됩니다. |
| S-1-5-15 | This Organization | 동일한 조직의 모든 사용자를 포함하는 그룹입니다. Active Directory 계정에만 포함되고 do기본 컨트롤러에서만 추가됩니다. |
| S-1-5-17 | Iusr | 기본 IIS(인터넷 정보 서비스) 사용자가 사용하는 계정입니다. |
| S-1-5-18 | 시스템(또는 LocalSystem) | LocalSystem으로 로그인하도록 구성된 운영 체제 및 서비스에서 로컬로 사용하는 ID입니다. 시스템은 관리주의자의 숨겨진 멤버입니다. 즉, System으로 실행되는 모든 프로세스에는 액세스 토큰의 기본 제공 관리istrators 그룹에 대한 SID가 있습니다. 시스템이 네트워크 리소스에 액세스할 때 로컬로 실행되는 프로세스는 컴퓨터의 do기본 ID를 사용하여 실행합니다. 원격 컴퓨터의 액세스 토큰에는 로컬 컴퓨터의 do기본 계정에 대한 SID와 컴퓨터가 구성원인 보안 그룹의 SID(예: Do기본 컴퓨터 및 인증된 사용자)가 포함됩니다. |
| S-1-5-19 | NT 기관(LocalService) | 컴퓨터에 로컬인 서비스에서 사용하는 ID는 광범위한 로컬 액세스가 필요하지 않으며 인증된 네트워크 액세스가 필요하지 않습니다. LocalService로 실행되는 서비스는 일반 사용자로 로컬 리소스에 액세스하고 익명 사용자로 네트워크 리소스에 액세스합니다. 결과적으로 LocalService로 실행되는 서비스는 로컬 및 네트워크에서 LocalSystem으로 실행되는 서비스보다 권한이 훨씬 적습니다. |
| S-1-5-20 | 네트워크 서비스 | 광범위한 로컬 액세스가 필요하지 않지만 인증된 네트워크 액세스가 필요한 서비스에서 사용되는 ID입니다. NetworkService로 실행되는 서비스는 일반 사용자로 로컬 리소스에 액세스하고 컴퓨터의 ID를 사용하여 네트워크 리소스에 액세스합니다. 결과적으로 NetworkService로 실행되는 서비스는 LocalSystem으로 실행되는 서비스와 동일한 네트워크 액세스 권한을 가지지만 로컬 액세스가 크게 감소했습니다. |
| S-1-5-do기본-500 | 관리자 | 시스템 관리자의 사용자 계정입니다. 모든 컴퓨터에는 로컬 관리istrator 계정이 있으며 모든 컴퓨터에는 할 일기본 할 일기본 관리이 있습니다. 관리istrator 계정은 운영 체제를 설치하는 동안 만들어진 첫 번째 계정입니다. 계정을 삭제하거나 사용하지 않도록 설정하거나 잠글 수는 없지만 이름을 바꿀 수 있습니다. 기본적으로 관리istrator 계정은 관리istrators 그룹의 구성원이며 해당 그룹에서 제거할 수 없습니다. |
| S-1-5-do기본-501 | 게스트 | 개별 계정이 없는 사용자를 위한 사용자 계정입니다. 모든 컴퓨터에는 로컬 게스트 계정이 있으며, 모든 컴퓨터에는 할 일기본 기본 게스트 계정이 있습니다. 기본적으로 게스트는 모든 사용자 및 게스트 그룹의 구성원입니다. do기본 게스트 계정은 Do기본 Guests and Do기본 Users 그룹의 구성원이기도 합니다. 익명 로그온과 달리 게스트는 실제 계정이며 대화형으로 로그인하는 데 사용할 수 있습니다. 게스트 계정에는 암호가 필요하지 않지만 암호가 있을 수 있습니다. |
| S-1-5-do기본-502 | Krbtgt | KDC(키 배포 센터) 서비스에서 사용하는 사용자 계정입니다. 계정은 do기본 컨트롤러에만 존재합니다. |
| S-1-5-do기본-512 | Domain Admins | do기본 관리할 권한이 있는 멤버가 있는 전역 그룹입니다. 기본적으로 Do기본 관리s 그룹은 do기본 컨트롤러를 포함하여 do기본 조인한 모든 컴퓨터에서기본 관리istrators 그룹의 구성원입니다. Do기본 관리s는 그룹의 구성원이 do기본 Active Directory에서 만든 개체의 기본 소유자입니다. 그룹 구성원이 파일과 같은 다른 개체를 만드는 경우 기본 소유자는 관리istrators 그룹입니다. |
| S-1-5-do기본-513 | 도메인 사용자 | 할 일기본 모든 사용자를 포함하는 전역 그룹입니다. Active Directory에서 새 User 개체를 만들면 사용자가 이 그룹에 자동으로 추가됩니다. |
| S-1-5-do기본-514 | 도메인 게스트 | 기본적으로 do기본 기본 제공 게스트 계정의 멤버가 하나만 있는 전역 그룹입니다. |
| S-1-5-do기본-515 | 도메인 컴퓨터 | do기본 조인한 모든 컴퓨터(do기본 컨트롤러 제외)를 포함하는 전역 그룹입니다. |
| S-1-5-do기본-516 | 도메인 컨트롤러 하나 이상 | do기본 모든 할 일기본 컨트롤러를 포함하는 전역 그룹입니다. 새 do기본 컨트롤러가 이 그룹에 자동으로 추가됩니다. |
| S-1-5-do기본-517 | Cert Publishers | 엔터프라이즈 인증 기관을 호스트하는 모든 컴퓨터를 포함하는 전역 그룹입니다. 인증서 게시자는 Active Directory에서 사용자 개체에 대한 인증서를 게시할 권한이 있습니다. |
| S-1-5-root do기본-518 | Schema Admins | 포리스트 루트에만 존재하는 그룹은 기본. do기본가 기본 모드인 경우 유니버설 그룹이며, do기본 혼합 모드인 경우 전역 그룹입니다. 스키마 관리 그룹은 Active Directory에서 스키마를 변경할 권한이 있습니다. 기본적으로 그룹의 유일한 멤버는 포리스트 루트에 대한 관리istrator 계정기본. |
| S-1-5-root do기본-519 | Enterprise Admins | 포리스트 루트에만 존재하는 그룹은 기본. do기본가 기본 모드인 경우 유니버설 그룹이며, do기본 혼합 모드인 경우 전역 그룹입니다. 엔터프라이즈 관리 그룹은 자식 작업 추가, 사이트 구성기본, DHCP 서버 권한 부여 및 엔터프라이즈 인증 기관 설치와 같은 포리스트 인프라를 변경할 권한이 있습니다. 기본적으로 Enterprise 관리 유일한 멤버는 관리 포리스트 루트에 대한 이스트레이터 계정입니다기본. 그룹은 포리스트에 있는 모든 Do기본 관리s 그룹의 기본 멤버입니다. |
| S-1-5-do기본-520 | Group Policy Creator Owners | Active Directory에서 새 그룹 정책 개체를 만들 권한이 있는 전역 그룹입니다. 기본적으로 그룹의 유일한 멤버는 관리istrator입니다. 그룹 정책 작성자 소유자의 구성원이 만든 개체는 해당 개체를 만드는 개별 사용자가 소유합니다. 이러한 방식으로 그룹 정책 작성자 소유자 그룹은 다른 관리 그룹(예: 관리istrators 및 Do기본 관리s)과 다릅니다. 이러한 그룹의 멤버가 만든 개체는 개인이 아닌 그룹이 소유합니다. |
| S-1-5-do기본-521 | Read-only Domain Controllers | 모든 읽기 전용 do기본 컨트롤러를 포함하는 전역 그룹입니다. |
| S-1-5-do기본-522 | 복제 가능한 컨트롤러 | 복제할 수 있는 do기본의 모든 할 일기본 컨트롤러를 포함하는 전역 그룹입니다. |
| S-1-5-do기본-525 | 보호된 사용자 | 인증 보안 위협에 대한 추가 보호를 제공하는 글로벌 그룹입니다. |
| S-1-5-root do기본-526 | 키 관리자 | 이 그룹은 신뢰할 수 있는 외부 기관이 이 특성을 수정할 책임이 있는 시나리오에서 사용하기 위한 것입니다. 신뢰할 수 있는 관리자만 이 그룹의 구성원으로 만들어야 합니다. |
| S-1-5-do기본-527 | 엔터프라이즈 키 관리자 | 이 그룹은 신뢰할 수 있는 외부 기관이 이 특성을 수정할 책임이 있는 시나리오에서 사용하기 위한 것입니다. 신뢰할 수 있는 엔터프라이즈 관리자만 이 그룹의 구성원으로 만들어야 합니다. |
| S-1-5-32-544 | 관리자 | 기본 제공 그룹입니다. 운영 체제를 처음 설치한 후 그룹의 유일한 멤버는 관리istrator 계정입니다. 컴퓨터가 do기본 조인하면 do기본 관리s 그룹이 관리istrators 그룹에 추가됩니다. 서버가 do기본 컨트롤러가 되면 Enterprise 관리 그룹도 관리istrators 그룹에 추가됩니다. |
| S-1-5-32-545 | 사용자 | 기본 제공 그룹입니다. 운영 체제를 처음 설치한 후 유일한 멤버는 인증된 사용자 그룹입니다. |
| S-1-5-32-546 | 게스트 | 기본 제공 그룹입니다. 기본적으로 유일한 멤버는 게스트 계정입니다. 게스트 그룹을 사용하면 가끔 또는 한 번 사용자가 컴퓨터의 기본 제공 게스트 계정에 제한된 권한으로 로그인할 수 있습니다. |
| S-1-5-32-547 | 고급 사용자 | 기본 제공 그룹입니다. 기본적으로 그룹에는 멤버가 없습니다. 전원 사용자는 로컬 사용자 및 그룹을 만들 수 있습니다. 만든 계정을 수정하고 삭제합니다. 및 Power Users, Users 및 Guests 그룹에서 사용자를 제거합니다. 전원 사용자는 프로그램을 설치할 수도 있습니다. 로컬 프린터 만들기, 관리 및 삭제 파일 공유를 만들고 삭제합니다. |
| S-1-5-32-548 | Account Operators | do기본 컨트롤러에만 존재하는 기본 제공 그룹입니다. 기본적으로 그룹에는 멤버가 없습니다. 기본적으로 계정 운영자는 기본 제공 컨테이너 및 Do기본 컨트롤러 OU를 제외한 Active Directory의 모든 컨테이너 및 조직 단위에 있는 사용자, 그룹 및 컴퓨터에 대한 계정을 만들고, 수정하고, 삭제할 수 있는 권한이 있습니다. 계정 운영자는 관리istrators 및 Do기본 관리s 그룹을 수정할 수 있는 권한이 없으며 해당 그룹의 멤버에 대한 계정을 수정할 수 있는 권한도 없습니다. |
| S-1-5-32-549 | Server Operators | 설명: 할 일기본 컨트롤러에만 존재하는 기본 제공 그룹입니다. 기본적으로 그룹에는 멤버가 없습니다. 서버 운영자는 대화형으로 서버에 로그인할 수 있습니다. 네트워크 공유 만들기 및 삭제 서비스 시작 및 중지; 파일을 백업 및 복원합니다. 컴퓨터의 하드 디스크 서식을 지정합니다. 컴퓨터를 종료합니다. |
| S-1-5-32-550 | Print Operators | do기본 컨트롤러에만 존재하는 기본 제공 그룹입니다. 기본적으로 유일한 멤버는 Do기본 사용자 그룹입니다. 인쇄 연산자는 프린터 및 문서 큐를 관리할 수 있습니다. |
| S-1-5-32-551 | Backup Operators | 기본 제공 그룹입니다. 기본적으로 그룹에는 멤버가 없습니다. 백업 연산자는 해당 파일을 보호하는 사용 권한에 관계없이 컴퓨터의 모든 파일을 백업하고 복원할 수 있습니다. 백업 운영자는 컴퓨터에 로그인하여 종료할 수도 있습니다. |
| S-1-5-32-552 | Replicators | 할 일기본 컨트롤러의 파일 복제 서비스에서 사용하는 기본 제공 그룹입니다. 기본적으로 그룹에는 멤버가 없습니다. 이 그룹에 사용자를 추가하지 마세요 . |
| S-1-5-do기본-553 | RAS 및 IAS Servers | 로컬 do기본 그룹입니다. 기본적으로 이 그룹에는 멤버가 없습니다. 라우팅 및 원격 액세스 서비스를 실행하는 컴퓨터가 그룹에 자동으로 추가됩니다. 이 그룹의 구성원은 읽기 계정 제한, 로그온 정보 읽기 및 원격 액세스 정보 읽기와 같은 사용자 개체의 특정 속성에 액세스할 수 있습니다. |
| S-1-5-32-554 | Builtin\Pre-Windows 2000 Compatible Access | Windows 2000에서 추가한 별칭입니다. do기본의 모든 사용자 및 그룹에 대한 읽기 액세스를 허용하는 이전 버전과의 호환성 그룹입니다. |
| S-1-5-32-555 | Builtin\Remote Desktop Users | 별칭입니다. 이 그룹의 구성원에게 원격으로 로그인할 수 있는 권한이 부여됩니다. |
| S-1-5-32-556 | Builtin\Network 구성 연산자 | 별칭입니다. 이 그룹의 구성원은 네트워킹 기능의 구성을 관리하는 몇 가지 관리 권한을 가질 수 있습니다. |
| S-1-5-32-557 | Builtin\Incoming Forest Trust Builders | 별칭입니다. 이 그룹의 멤버는 이 포리스트에 들어오는 단방향 트러스트를 만들 수 있습니다. |
| S-1-5-32-558 | Builtin\성능 모니터 Users | 별칭입니다. 이 그룹의 구성원은 이 컴퓨터를 모니터링할 수 있는 원격 액세스 권한이 있습니다. |
| S-1-5-32-559 | Builtin\Performance Log Users | 별칭입니다. 이 그룹의 구성원은 이 컴퓨터에서 성능 카운터의 로깅을 예약할 수 있는 원격 액세스 권한이 있습니다. |
| S-1-5-32-560 | Builtin\Windows 권한 부여 액세스 그룹 | 별칭입니다. 이 그룹의 멤버는 사용자 개체에서 계산된 tokenGroupsGlobalAndUniversal 특성에 액세스할 수 있습니다. |
| S-1-5-32-561 | Builtin\Terminal Server 라이선스 서버 | 별칭입니다. 터미널 서버 라이선스 서버에 대한 그룹입니다. Windows Server 2003 서비스 팩 1이 설치되면 새 로컬 그룹이 만들어집니다. |
| S-1-5-32-562 | Builtin\Distributed COM 사용자 | 별칭입니다. 컴퓨터의 모든 호출, 활성화 또는 시작 요청에 대한 액세스를 제어하는 컴퓨터 차원의 액세스 제어를 제공하는 COM 그룹입니다. |
| S-1-5-32-568 | Builtin\IIS_IUSRS | 별칭입니다. IIS 사용자를 위한 기본 제공 그룹 계정입니다. |
| S-1-5-32-569 | Builtin\Cryptographic 연산자 | 기본 제공 로컬 그룹입니다. 암호화 작업을 수행 하는 멤버가 있는 합니다. |
| S-1-5-do기본-571 | 허용 된 RODC 암호 복제 그룹 | 이 그룹의 멤버에에서는 도메인의 모든 읽기 전용 도메인 컨트롤러에 복제 암호를 가질 수 있습니다. |
| S-1-5-do기본-572 | 거부 된 RODC 암호 복제 그룹 | 이 그룹의 구성원은 do기본 모든 읽기 전용 do기본 컨트롤러에 복제본(replica) 암호를 사용할 수 없습니다. |
| S-1-5-32-573 | Builtin\이벤트 로그 판독기 | 기본 제공 로컬 그룹입니다. 이 그룹의 구성원은 로컬 컴퓨터에서 이벤트 로그를 읽을 수 있습니다. |
| S-1-5-32-574 | Builtin\Certificate Service DCOM 액세스 | 기본 제공 로컬 그룹입니다. 이 그룹의 구성원은 엔터프라이즈의 인증 기관에 연결할 수 있습니다. |
| S-1-5-32-575 | Builtin\RDS 원격 액세스 서버 | 기본 제공 로컬 그룹입니다. 이 그룹의 서버를 사용하면 RemoteApp 프로그램 및 개인 가상 데스크톱 사용자가 이러한 리소스에 액세스할 수 있습니다. 인터넷 연결 배포에서 이러한 서버는 일반적으로 에지 네트워크에 배포됩니다. RD 커넥트ion Broker를 실행하는 서버에서 이 그룹을 채워야 합니다. RD 게이트웨이 서버 및 RD 웹 액세스 서버 배포에 사용이 그룹에 포함 되도록 해야 합니다. |
| S-1-5-32-576 | Builtin\RDS 엔드포인트 서버 | 기본 제공 로컬 그룹입니다. 이 그룹의 서버는 사용자 RemoteApp 프로그램 및 개인 가상 데스크톱이 실행되는 가상 머신 및 호스트 세션을 실행합니다. 이 그룹 RD 연결 브로커를 실행 하는 서버에 채울 수 있어야 합니다. RD 세션 호스트 서버 및 RD 가상화 호스트 서버 배포에 사용이 그룹에 포함 되도록 해야 합니다. |
| S-1-5-32-577 | Builtin\RDS 관리 서버 | 기본 제공 로컬 그룹입니다. 이 그룹의 서버는 원격 데스크톱 서비스를 실행하는 서버에서 일상적인 관리 작업을 수행할 수 있습니다. 이 그룹을 원격 데스크톱 서비스 배포의 모든 서버에서 입력 하도록 해야 합니다. RDS 중앙 관리 서비스를 실행 하는 서버는이 그룹에 포함 되어야 합니다. |
| S-1-5-32-578 | Builtin\Hyper-V 관리istrators | 기본 제공 로컬 그룹입니다. 이 그룹의 구성원은 Hyper-V의 모든 기능에 대한 무제한의 모든 액세스 권한을 갖습니다. |
| S-1-5-32-579 | Builtin\Access Control 지원 연산자 | 기본 제공 로컬 그룹입니다. 이 그룹의 멤버는이 컴퓨터의 리소스에 대 한 사용 권한과 권한 부여 특성에 원격으로 쿼리할 수 있습니다. |
| S-1-5-32-580 | Builtin\Remote Management Users | 기본 제공 로컬 그룹입니다. 이 그룹의 구성원은 관리 프로토콜(예: Windows 원격 관리 서비스를 통한 WS-Management)을 통해 WMI(Windows Management Instrumentation) 리소스에 액세스할 수 있습니다. 이 사용자에 게 액세스 권한을 부여 하는 WMI 네임 스페이스에만 적용 됩니다. |
| S-1-5-64-10 | NTLM 인증 | NTLM 인증 패키지가 클라이언트를 인증할 때 사용되는 SID입니다. |
| S-1-5-64-14 | SChannel 인증 | SChannel 인증 패키지가 클라이언트를 인증할 때 사용되는 SID입니다. |
| S-1-5-64-21 | 다이제스트 인증 | 다이제스트 인증 패키지가 클라이언트를 인증할 때 사용되는 SID입니다. |
| S-1-5-80 | NT 서비스 | NT 서비스 계정 접두사로 사용되는 SID입니다. |
| S-1-5-80-0 | 모든 서비스 | 시스템에 구성된 모든 서비스 프로세스를 포함하는 그룹입니다. 멤버 자격은 운영 체제에 의해 제어됩니다. SID S-1-5-80-0은 NT SERVICES\ALL SERVICES와 같습니다. 이 SID는 Windows Server 2008 R2에서 도입되었습니다. |
| S-1-5-83-0 | NT VIRTUAL MACHINE\Virtual Machines | 기본 제공 그룹입니다. Hyper-V 역할이 설치될 때 그룹이 만들어집니다. 그룹의 멤버 자격은 기본 VMMS(Hyper-V 관리 서비스)에 의해 포함됩니다. 이 그룹에는 바로 가기 링크 만들기 권한(SeCreateSymbolicLinkPrivilege) 및 서비스 권한으로 로그온(SeServiceLogonRight)이 필요합니다. |
다음 RID는 각 작업을 기준으로 합니다기본.
| RID | 10진수 값 | 식별 |
|---|---|---|
| DOMAIN_USER_RID_ADMIN | 500 | 할 일기본 관리 사용자 계정입니다. |
| DOMAIN_USER_RID_GUEST | 501 | 할 일의 게스트 사용자 계정입니다기본. 계정이 없는 사용자는 이 계정에 자동으로 로그인할 수 있습니다. |
| DOMAIN_GROUP_RID_USERS | 513 | 할 일기본 모든 사용자 계정을 포함하는 그룹입니다. 모든 사용자가 이 그룹에 자동으로 추가됩니다. |
| DOMAIN_GROUP_RID_GUESTS | 514 | 할 일의 그룹 게스트 계정기본. |
| DOMAIN_GROUP_RID_COMPUTERS | 515 | Do기본 컴퓨터 그룹입니다. do기본의 모든 컴퓨터는 이 그룹의 구성원입니다. |
| DOMAIN_GROUP_RID_CONTROLLERS | 516 | Do기본 컨트롤러 그룹입니다. do기본의 모든 do기본 컨트롤러는 이 그룹의 구성원입니다. |
| DOMAIN_GROUP_RID_CERT_ADMINS | 517 | 인증서 게시자 그룹입니다. Active Directory 인증서 서비스를 실행하는 컴퓨터는 이 그룹의 구성원입니다. |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS | 518 | 스키마 관리자 그룹입니다. 이 그룹의 멤버는 Active Directory 스키마를 수정할 수 있습니다. |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS | 519 | 엔터프라이즈 관리자 그룹입니다. 이 그룹의 구성원은 Active Directory 포리스트의 모든 할 일기본 대한 모든 권한에 액세스할 수 있습니다. 엔터프라이즈 관리자는 새 do기본 추가 또는 제거와 같은 포리스트 수준 작업을 담당합니다. |
| DOMAIN_GROUP_RID_POLICY_ADMINS | 520 | 정책 관리자 그룹입니다. |
로컬 그룹에 대해 잘 알려진 SID를 형성하는 데 사용되는 do기본 상대 RID의 예는 다음 표에 나와 있습니다.
| RID | 10진수 값 | 식별 |
|---|---|---|
| DOMAIN_ALIAS_RID_ADMINS | 544 | 관리 할 일의 주체기본. |
| DOMAIN_ALIAS_RID_USERS | 545 | 할 일의 모든 사용자기본. |
| DOMAIN_ALIAS_RID_GUESTS | 546 | 할 일의 손님기본. |
| DOMAIN_ALIAS_RID_POWER_USERS | 547 | 시스템을 여러 사용자에 대한 워크스테이션이 아닌 개인용 컴퓨터처럼 취급해야 하는 사용자 또는 사용자 집합입니다. |
| DOMAIN_ALIAS_RID_BACKUP_OPS | 551 | 파일 백업 및 복원 사용자 권한 할당을 제어하는 데 사용되는 로컬 그룹입니다. |
| DOMAIN_ALIAS_RID_REPLICATOR | 552 | 보안 데이터베이스를 주 do기본 컨트롤러에서 백업 할기본 컨트롤러로 복사하는 로컬 그룹입니다. 이러한 계정은 시스템에서만 사용됩니다. |
| DOMAIN_ALIAS_RID_RAS_SERVERS | 553 | IAS(인터넷 인증 서비스)를 실행하는 원격 액세스 및 서버를 나타내는 로컬 그룹입니다. 이 그룹은 사용자 개체의 다양한 특성에 대한 액세스를 허용합니다. |
보안 식별자 기능의 변경 내용
Windows 운영 체제의 SID 구현 변경 내용은 다음 표에 설명되어 있습니다.
| 변경 | 운영 체제 버전 | 설명 및 리소스 |
|---|---|---|
| 대부분의 운영 체제 파일은 TRUSTedInstaller SID(보안 식별자)가 소유합니다. | Windows Server 2008, Windows Vista | 이 변경의 목적은 관리자 또는 LocalSystem 계정에서 실행되는 프로세스가 운영 체제 파일을 자동으로 대체하지 못하도록 하는 것입니다. |
| 제한된 SID 검사 구현됨 | Windows Server 2008, Windows Vista | SID를 제한하는 경우 Windows는 두 개의 액세스 검사 수행합니다. 첫 번째는 일반 액세스 검사, 두 번째는 토큰의 제한 SID에 대해 검사 동일한 액세스입니다. 두 액세스 검사 모두 프로세스가 개체에 액세스할 수 있도록 통과해야 합니다. |
기능 SID
기능 보안 식별자는 유니버설 Windows 애플리케이션에 리소스(예: 문서, 카메라 및 위치)에 대한 액세스 권한을 부여하는 권한의 잊을 수 없는 토큰을 나타내는 기능을 고유하고 불변하게 식별하는 데 사용됩니다. 기능이 있는 앱에는 기능이 연결된 리소스에 대한 액세스 권한이 부여되며 , 기능이 없는 앱은 리소스에 대한 액세스가 거부됩니다.
운영 체제에서 인식하는 모든 기능 SID는 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities' 경로의 Windows 레지스트리에 저장됩니다. 자사 또는 타사 애플리케이션이 Windows에 추가한 모든 기능 SID가 이 위치에 추가됩니다.
Windows 10 버전 1909, 64비트 Enterprise 버전에서 가져온 레지스트리 키의 예
AllCachedCapabilities 아래에 다음 레지스트리 키가 표시될 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
모든 기능 SID의 접두 사는 S-1-15-3입니다.
Windows 11 버전 21H2, 64비트 Enterprise 버전에서 가져온 레지스트리 키의 예
AllCachedCapabilities 아래에 다음 레지스트리 키가 표시될 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
모든 기능 SID의 접두 사는 S-1-15-3입니다.