Dobrze znane identyfikatory zabezpieczeń w systemach operacyjnych Windows

Dotyczy: Windows Server, version 1909, all editionsWindows Server, version 1903, all editionsWindows Server version 1809

Podsumowanie


Identyfikator zabezpieczeń (SID) to unikatowa wartość o zmiennej długości, która jest używana do identyfikowania podmiotu zabezpieczeń (na przykład grupy zabezpieczeń) w systemach operacyjnych Windows. Identyfikatory SID, które identyfikują użytkowników rodzajowy lub grupy rodzajowe jest szczególnie dobrze znane. Ich wartości pozostają stałe we wszystkich systemach operacyjnych.

Te informacje są przydatne do rozwiązywania problemów, które dotyczą zabezpieczeń. Jest również przydatna do rozwiązywania problemów z wyświetlaniem w edytorze listy kontroli dostępu (ACL) systemu Windows. System Windows śledzi podmiot zabezpieczeń przez jego identyfikator SID. Aby wyświetlić podmiot zabezpieczeń w edytorze listy ACL, system Windows rozpoznaje identyfikator SID jego nazwy głównej zabezpieczeń skojarzone.

Z biegiem czasu, ten zestaw dobrze znanych identyfikatorów SID wzrosła. Tabele w tym artykule porządkują te identyfikatory SID zgodnie z wprowadzoną wersją systemu Windows.

Dobrze znane identyfikatory SID (wszystkie wersje systemu Windows)


Wszystkie wersje systemu Windows używają następujących dobrze znanych identyfikatorów SID.

Sid

Nazwa

Opis

S-1-0 Urząd null Identyfikator urzędu.
S-1-0-0 Nikt nie Brak podmiotu zabezpieczeń.
S-1-1 Światowy autorytet Identyfikator urzędu.
S-1-1-0 Wszyscy Grupa, która obejmuje wszystkich użytkowników, nawet anonimowych użytkowników i Gości. Członkostwo jest kontrolowane przez system operacyjny. Uwaga Domyślnie grupa Wszyscy nie zawiera już anonimowych użytkowników na komputerze z systemem Windows XP z dodatkiem Service Pack 2 (SP2).
S-1-2 Władze lokalne Identyfikator urzędu.
S-1-2-0 Lokalnych Grupa, która zawiera wszystkich użytkowników, którzy zalogowali się lokalnie.
S-1-3 Autorytet twórców Identyfikator urzędu.
S-1-3-0 Twórca-właściciel Symbol zastępczy w dziedziczalny wpis kontroli dostępu (ACE). Po odziedziczeniu wpisu ACE system zamienia ten identyfikator SID na identyfikator SID dla twórcy obiektu.
S-1-3-1 Grupa twórców Symbol zastępczy w dziedziczalnego wpisu ACE. Po odziedziczeniu wpisu ACE system zamienia ten identyfikator SID na identyfikator SID dla grupy podstawowej twórcy obiektu. Grupa podstawowa jest używana tylko przez podsystem POSIX.
S-1-3-4 Prawa właściciela Grupa reprezentująca bieżącego właściciela obiektu. Gdy ACE, która przenosi ten identyfikator SID jest stosowany do obiektu, system ignoruje niejawne uprawnienia READ_CONTROL i WRITE_DAC dla właściciela obiektu.
S-1-4 Nieunikatowa władza Identyfikator urzędu.
S-1-5 Urząd NT Identyfikator urzędu.
S-1-5-1 Dialup Grupa, która zawiera wszystkich użytkowników, którzy zalogowali się za pośrednictwem połączenia telefonicznego. Członkostwo jest kontrolowane przez system operacyjny.
S-1-5-2 Sieci Grupa, która zawiera wszystkich użytkowników, którzy zalogowali się za pośrednictwem połączenia sieciowego. Członkostwo jest kontrolowane przez system operacyjny.
S-1-5-3 Partii Grupa, która zawiera wszystkich użytkowników, którzy zalogowali się za pośrednictwem obiektu kolejki wsadowej. Członkostwo jest kontrolowane przez system operacyjny.
S-1-5-4 Interaktywne Grupa, która zawiera wszystkich użytkowników, którzy zalogowali się interaktywnie. Członkostwo jest kontrolowane przez system operacyjny.
S-1-5-5-X-Y Sesja logowania Sesja logowania. Wartości X i Y dla tych identyfikatorów SID są różne dla każdej sesji.
S-1-5-6 Usługi Grupa, która zawiera wszystkie podmioty zabezpieczeń, które zalogował się jako usługa. Członkostwo jest kontrolowane przez system operacyjny.
S-1-5-7 Anonimowy Grupa, która zawiera wszystkich użytkowników, którzy zalogowali się anonimowo. Członkostwo jest kontrolowane przez system operacyjny.
S-1-5-9 Kontrolery domeny przedsiębiorstwa Grupa, która zawiera wszystkie kontrolery domeny w lesie, który korzysta z usługi katalogowej Active Directory. Członkostwo jest kontrolowane przez system operacyjny.
S-1-5-10 Kapitał własny Symbol zastępczy w dziedziczowym ACE na obiekt konta lub obiekt grupy w usłudze Active Directory. Po odziedziczeniu wpisu ACE system zamienia ten identyfikator SID na identyfikator SID podmiotu zabezpieczeń, który przechowuje konto.
S-1-5-11 Użytkownicy uwierzytelnieni Grupa, która zawiera wszystkich użytkowników, których tożsamości zostały uwierzytelnione po zalogowaniu. Członkostwo jest kontrolowane przez system operacyjny.
S-1-5-12 Kod z ograniczeniami Ten identyfikator SID jest zarezerwowana do użytku w przyszłości.
S-1-5-13 Użytkownicy serwera terminali Grupa, która zawiera wszystkich użytkowników, którzy zalogowali się na serwerze usług terminalowych. Członkostwo jest kontrolowane przez system operacyjny.
S-1-5-14 Zdalne logowanie interakcyjne Grupa, która zawiera wszystkich użytkowników, którzy zalogowali się za pośrednictwem logowania usług terminalowych.
S-1-5-17 Organizacja ta Konto używane przez domyślnego użytkownika internetowych usług informacyjnych (IIS).
S-1-5-18 System lokalny Konto usługi, który jest używany przez system operacyjny.
S-1-5-19 Urząd NT Usługi lokalne
S-1-5-20 Urząd NT Usługa sieciowa
S-1-5-21domain-500 Administratora Konto użytkownika dla administratora systemu. Domyślnie jest to jedyne konto użytkownika, które otrzymuje pełną kontrolę nad systemem.
S-1-5-21domain-501 Opinie gości Konto użytkownika dla osób, które nie mają indywidualnych kont. To konto użytkownika nie wymaga podania hasła. Domyślnie konto Gość jest wyłączone.
S-1-5-21domain-502 Krbtgt Konto usługi używane przez usługę centrum dystrybucji kluczy (KDC).
S-1-5-21domain-512 Administratorzy domeny Grupa globalna, której członkowie są uprawnieni do administrowania domeną. Domyślnie grupa Administratorzy domeny jest członkiem grupy Administratorzy na wszystkich komputerach, które dołączyły do domeny, łącznie z kontrolerami domeny. Administratorzy domeny jest domyślnym właścicielem dowolnego obiektu, który jest tworzony przez dowolnego członka grupy.
S-1-5-21domain-513 Użytkownicy domeny Grupa globalna, która domyślnie zawiera wszystkie konta użytkowników w domenie. Podczas tworzenia konta użytkownika w domenie jest ona domyślnie dodawana do tej grupy.
S-1-5-21domain-514 Goście domeny Grupa globalna, która domyślnie ma tylko jednego członka, wbudowanego konta gościa w domenie.
S-1-5-21domain-515 Komputery domeny Grupa globalna, która obejmuje wszystkich klientów i serwery, które dołączyły do domeny.
S-1-5-21domain-516 Kontrolery domeny Grupa globalna, która zawiera wszystkie kontrolery domeny w domenie. Nowe kontrolery domeny są domyślnie dodawane do tej grupy.
S-1-5-21domain-517 Wydawcy certyfikatów Grupa globalna, która obejmuje wszystkie komputery z uruchomionym urzędem certyfikacji przedsiębiorstwa. Wydawcy certyfikatów są upoważnieni do publikowania świadectw dla obiektów użytkownika w usłudze Active Directory.
S-1-5-21root domain-518 Administratorzy schematu Grupa uniwersalna w domenie trybu macierzystego; grupy globalnej w domenie trybu mieszanego. Grupa jest autoryzowana do wprowadzania zmian schematu w usłudze Active Directory. Domyślnie jedynym członkiem grupy jest konto administratora domeny głównej lasu.
S-1-5-21root domain-519 Administratorzy przedsiębiorstwa Grupa uniwersalna w domenie trybu macierzystego; grupy globalnej w domenie trybu mieszanego. Grupa jest uprawniona do wprowadzania zmian w całym lesie w usłudze Active Directory, takich jak Dodawanie domen podrzędnych. Domyślnie jedynym członkiem grupy jest konto administratora domeny głównej lasu.
S-1-5-21domain-520 Twórcy-właściciele zasad grupy Grupa globalna, która jest autoryzowana do tworzenia nowych obiektów zasad grupy w usłudze Active Directory. Domyślnie jedynym członkiem grupy jest administrator.
S-1-5-21domain-526 Kluczowi Administratorzy Grupa zabezpieczeń. Zamiarem tej grupy jest mieć delegowany dostęp do zapisu na Msdskeycredentiallink tylko atrybut. Grupa jest przeznaczona do użycia w scenariuszach, w których zaufane organy zewnętrzne (na przykład usługi Active Directory Federated Services) są odpowiedzialne za modyfikowanie tego atrybutu. Tylko zaufani Administratorzy powinni być członkiem tej grupy.
S-1-5-21domain-527 Administratorzy klucza przedsiębiorstwa Grupa zabezpieczeń. Zamiarem tej grupy jest mieć delegowany dostęp do zapisu na Msdskeycredentiallink tylko atrybut. Grupa jest przeznaczona do użycia w scenariuszach, w których zaufane organy zewnętrzne (na przykład usługi Active Directory Federated Services) są odpowiedzialne za modyfikowanie tego atrybutu. Tylko zaufani Administratorzy powinni być członkiem tej grupy.
S-1-5-21domain-553 Serwery RAS i IAS Grupa lokalna domeny. Domyślnie ta grupa nie ma członków. Serwery w tej grupie mają dostęp do odczytu ograniczeń konta i odczyt informacji logowania do obiektów użytkownika w grupie lokalnej domeny usługi Active Directory.
S-1-5-32-544 Administratorzy Wbudowana grupa. Po wstępnej instalacji systemu operacyjnego jedynym członkiem grupy jest konto Administrator. Gdy komputer jest przyłączany do domeny, Grupa Administratorzy domeny jest dodawana do grupy Administratorzy. Gdy serwer staje się kontrolerem domeny, Grupa Administratorzy przedsiębiorstwa jest również dodawana do grupy Administratorzy.
S-1-5-32-545 Użytkowników Wbudowana grupa. Po wstępnej instalacji systemu operacyjnego jedynym członkiem jest Grupa Użytkownicy uwierzytelnieni. Gdy komputer dołącza do domeny, Grupa Użytkownicy domeny jest dodawana do grupy Użytkownicy na komputerze.
S-1-5-32-546 Zatrzymali Wbudowana grupa. Domyślnie jedynym członkiem jest konto Gość. Grupa Goście zezwala okazjonalnie lub jednorazowo użytkownikom na logowanie się z ograniczonymi uprawnieniami do wbudowanego konta gościa komputera.
S-1-5-32-547 Użytkownicy energii Wbudowana grupa. Domyślnie grupa nie ma członków. Użytkownicy energii mogą tworzyć użytkowników i grupy lokalne; modyfikować i usuwać utworzone przez siebie konta; i usuwać użytkowników z grup Użytkownicy, użytkownicy i Goście. Użytkownicy energii mogą również instalować programy; Tworzenie, zarządzanie i usuwanie drukarek lokalnych; i tworzenie i usuwanie udziałów plików.
S-1-5-32-548 Operatorzy kont Wbudowana grupa, która istnieje tylko na kontrolerach domeny. Domyślnie grupa nie ma członków. Domyślnie Operatorzy kont mają uprawnienia do tworzenia, modyfikowania i usuwania kont dla użytkowników, grup i komputerów we wszystkich kontenerach i jednostkach organizacyjnych usługi Active Directory, z wyjątkiem kontenera wbudowanego i jednostki organizacyjnej kontrolery domeny . Operatorzy kont nie mają uprawnień do modyfikowania grup Administratorzy i Administratorzy domeny ani nie mają uprawnień do modyfikowania kont dla członków tych grup.
S-1-5-32-549 Operatorzy serwerów Wbudowana grupa, która istnieje tylko na kontrolerach domeny. Domyślnie grupa nie ma członków. Operatorzy serwerów mogą interakcyjnie logować się na serwerze; Tworzenie i usuwanie udziałów sieciowych; Uruchamianie i zatrzymywanie usług; kopii zapasowych i przywracania plików; sformatować dysk twardy komputera; i Wyłącz komputer.
S-1-5-32-550 Operatorzy druku Wbudowana grupa, która istnieje tylko na kontrolerach domeny. Domyślnie jedynym członkiem jest Grupa Użytkownicy domeny. Operatorzy drukowania mogą zarządzać drukarkami i kolejami dokumentów.
S-1-5-32-551 Operatorzy kopii zapasowych Wbudowana grupa. Domyślnie grupa nie ma członków. Operatorzy kopii zapasowych mogą tworzyć kopie zapasowe i przywracać wszystkie pliki na komputerze, niezależnie od uprawnień chroniących te pliki. Operatorzy kopii zapasowych mogą również logować się do komputera i zamykać je.
S-1-5-32-552 Replikatory Wbudowana grupa, która jest używana przez usługę replikacji plików na kontrolerach domeny. Domyślnie grupa nie ma członków. Nie dodawaj użytkowników do tej grupy.
S-1-5-32-582 Administratorzy repliki magazynu Wbudowana grupa, która udziela pełnego i nieograniczony dostęp do wszystkich funkcji repliki magazynu.
S-1-5-64-10 Uwierzytelnianie NTLM Identyfikator SID, który jest używany, gdy pakiet uwierzytelniania NTLM uwierzytelniony klienta.
S-1-5-64-14 Uwierzytelnianie SChannel Identyfikator SID, który jest używany, gdy pakiet uwierzytelniania SChannel uwierzytelnił klienta.
S-1-5-64-21 Uwierzytelnianie szyfrowane Identyfikator SID, który jest używany, gdy pakiet uwierzytelniania szyfrowanego uwierzytelnił klienta.
S-1-5-80 Usługa NT Prefiks konta usługi NT.

Identyfikatory SID dodane przez system Windows Server 2003 i nowsze wersje


Po dodaniu kontrolera domeny z systemem Windows Server 2003 lub nowszej wersji do domeny usługi Active Directory dodaje podmioty zabezpieczeń w poniższej tabeli.

Sid

Nazwa

Opis

S-1-3-2 Twórca-właściciel serwera Ten identyfikator SID nie jest używany w systemie Windows 2000.
S-1-3-3 Serwer grupy twórców Ten identyfikator SID nie jest używany w systemie Windows 2000.
S-1-5-8 Serwera proxy Ten identyfikator SID nie jest używany w systemie Windows 2000.
S-1-5-15 Organizacja ta Grupa, która zawiera wszystkich użytkowników z tej samej organizacji. Dołączone tylko do kont usługi AD i dodawane tylko przez system Windows Server 2003 lub nowszy kontroler domeny.
S-1-5-32-554 Builtin\Pre-Windows 2000 kompatybilny dostęp Alias dodany przez system Windows 2000. Grupa zgodności z poprzednimi wersjami, która zezwala na dostęp do odczytu dla wszystkich użytkowników i grup w domenie.
S-1-5-32-555 Builtin\użytkownicy pulpitu zdalnego Alias. Członkom tej grupy przysługuje prawo do zdalnego logowania.
S-1-5-32-556 Builtin\operatorzy konfiguracji sieci Alias. Członkowie tej grupy mogą mieć pewne uprawnienia administracyjne do zarządzania konfiguracją funkcji sieciowych.
S-1-5-32-557 Builtin\przychodzące konstruktorzy zaufania lasu Alias. Członkowie tej grupy mogą tworzyć przychodzące, jednokierunkowe zaufania do tego lasu.
S-1-5-32-558 Użytkownicy Builtin\Performance monitor Alias. Członkowie tej grupy mają zdalny dostęp do monitorowania tego komputera.
S-1-5-32-559 Użytkownicy dzienników Builtin\Performance Alias. Członkowie tej grupy mają zdalny dostęp do harmonogramu rejestrowania liczników wydajności na tym komputerze.
S-1-5-32-560 Grupa dostępu autoryzacji Builtin\Windows Alias. Członkowie tej grupy mają dostęp do obliczonego atrybutu tokenGroupsGlobalAndUniversal obiektów użytkownika.
S-1-5-32-561 Builtin\serwery licencji serwera terminali Alias. Grupa serwerów licencji serwera terminali. Po zainstalowaniu dodatku Service Pack 1 dla systemu Windows Server 2003 jest tworzona nowa grupa lokalna.
S-1-5-32-562 Builtin\Distributed użytkowników COM Alias. Grupa dla modelu COM, która zapewnia komputerowym kontrolom dostępu, które regulują dostęp do wszystkich wywołań, aktywacji lub uruchamiania żądań na komputerze.

Identyfikatory SID dodane przez system Windows Server 2008 i nowsze wersje


Po dodaniu kontrolera domeny z systemem Windows Server 2008 lub nowszej wersji do domeny usługi Active Directory dodaje podmioty zabezpieczeń w poniższej tabeli.

Sid

Nazwa

Opis

S-1-2-1 Logowanie do konsoli Grupa, która zawiera użytkowników, którzy są zalogowani do konsoli fizycznej. Uwaga Dodano w systemach Windows 7 i Windows Server 2008 R2.
S-1-5-21domain-498 Kontrolery domeny tylko do odczytu w przedsiębiorstwie Grupa uniwersalna. Członkowie tej grupy są kontrolerami domeny tylko do odczytu w przedsiębiorstwie.
S-1-5-21domain-521 Kontrolery domeny tylko do odczytu Grupa globalna. Członkowie tej grupy są kontrolerami domeny tylko do odczytu w domenie.
S-1-5-21domain-571 Dozwolona grupa replikacji haseł kontrolera RODC Grupa lokalna domeny. Członkowie tej grupy mogą mieć swoje hasła replikowane do wszystkich kontrolerów domeny tylko do odczytu w domenie.
S-1-5-21domain-572 Odmowa grupy replikacji haseł kontrolera RODC Grupa lokalna domeny. Członkowie tej grupy nie mogą mieć haseł replikowanych na wszystkie kontrolery domeny tylko do odczytu w domenie.
S-1-5-32-569 Operatory Builtin\Cryptographic Wbudowana grupa lokalna. Członkowie są uprawnieni do wykonywania operacji kryptograficznych.
S-1-5-32-573 Czytniki dziennika Builtin\Event Wbudowana grupa lokalna. Członkowie tej grupy mogą odczytywać dzienniki zdarzeń z komputera lokalnego.
S-1-5-32-574 Builtin\Certificate usługi dostępu DCOM Wbudowana grupa lokalna. Członkowie tej grupy mogą łączyć się z urzędami certyfikacji w przedsiębiorstwie.
S-1-5-80-0 NT Services\wszystkie usługi Grupa, która zawiera wszystkie procesy usługi, które są skonfigurowane w systemie. Członkostwo jest kontrolowane przez system operacyjny. Uwaga Dodano w systemie Windows Server 2008 R2.
S-1-5-80-0 Wszystkie usługi Grupa, która zawiera wszystkie procesy usługi skonfigurowane w systemie. Członkostwo jest kontrolowane przez system operacyjny. Uwaga Dodano w systemie Windows Vista i Windows Server 2008.
S-1-5-83-0 NT Virtual Machine\maszyny wirtualne Wbudowana grupa. Grupa jest tworzona po zainstalowaniu roli Hyper-V. Członkostwo w grupie jest utrzymywane przez usługę zarządzania funkcją Hyper-V (VMMS). Ta grupa wymaga Tworzenie dowiązania symboliczne prawo (SEcreatesymboliclinkprivilege), a także Logowanie jako prawo usługi (SeServiceLogonRight). Uwaga Dodano w systemie Windows 8 i Windows Server 2012.
S-1-5-90-0 Grupa Menedżera Windows Manager\Windows Wbudowana grupa, która jest używana przez Menedżera okien pulpitu (DWM). DWM to usługa systemu Windows, która zarządza wyświetlaniem informacji dla aplikacji systemu Windows. Uwaga Dodano w systemie Windows Vista.
S-1-16-0 Niezaufany poziom obowiązkowy Poziom integralności niezaufanych. Uwaga Dodano w systemie Windows Vista i Windows Server 2008.
S-1-16-4096 Niski poziom obowiązkowy Niski poziom integralności. Uwaga Dodano w systemie Windows Vista i Windows Server 2008.
S-1-16-8192 Średni poziom obowiązkowy Średni poziom integralności. Uwaga Dodano w systemie Windows Vista i Windows Server 2008.
S-1-16-8448 Poziom obowiązkowy medium Plus Średni Plus poziom integralności. Uwaga Dodano w systemie Windows Vista i Windows Server 2008.
S-1-16-12288 Wysoki poziom obowiązkowy Wysoki poziom integralności. Uwaga Dodano w systemie Windows Vista i Windows Server 2008.
S-1-16-16384 Poziom obowiązkowy systemu Poziom integralności systemu. Uwaga Dodano w systemie Windows Vista i Windows Server 2008.
S-1-16-20480 Poziom obowiązkowy procesu chronionego Poziom integralności procesu chronionego. Uwaga Dodano w systemie Windows Vista i Windows Server 2008.
S-1-16-28672 Poziom obowiązkowy procesu bezpiecznego Bezpieczny poziom integralności procesu. Uwaga Dodano w systemie Windows Vista i Windows Server 2008.

Identyfikatory SID dodane przez system Windows Server 2012 i nowsze wersje


Po dodaniu kontrolera domeny z systemem Windows Server 2012 lub nowszej wersji do domeny usługi Active Directory dodaje podmioty zabezpieczeń w poniższej tabeli.

Sid

Nazwa

Opis

S-1-5-21-domain-522 Klonowalne kontrolery domeny Grupa globalna. Członkowie tej grupy, które są kontrolerami domeny, mogą być klonowane.
S-1-5-32-575 Serwery dostępu zdalnego Builtin\RDS Wbudowana grupa lokalna. Serwery w tej grupie umożliwiają dostęp do tych zasobów użytkownikom programów RemoteApp i osobistych pulpitów wirtualnych. W przypadku wdrożeń z Internetu te serwery są zazwyczaj wdrażane w sieci brzegowej. Ta grupa musi być wypełniona na serwerach z uruchomionym brokerem połączeń usług pulpitu zdalnego. Serwery usługi Brama usług pulpitu zdalnego i serwery dostępu w sieci Web do usług pulpitu zdalnego używane we wdrożeniu muszą znajdować się w tej grupie.
S-1-5-32-576 Serwery punktu końcowego Builtin\RDS Wbudowana grupa lokalna. Serwery w tej grupie uruchamiaj maszyny wirtualne i sesje hosta, gdzie użytkownicy programów trybu RemoteApp i osobistych pulpitów wirtualnych uruchomić. Ta grupa musi być wypełniona na serwerach z uruchomionym brokerem połączeń usług pulpitu zdalnego. Serwery Host sesji usług pulpitu zdalnego i serwery hosta wirtualizacji pulpitu zdalnego używane podczas wdrażania muszą znajdować się w tej grupie.
S-1-5-32-577 Serwery zarządzania Builtin\RDS Wbudowane grupy lokalnej. Serwery w tej grupie mogą wykonywać rutynowe czynności administracyjne na serwerach z uruchomioną usługami pulpitu zdalnego. Ta grupa musi zostać wypełniona na wszystkich serwerach we wdrożeniu usług pulpitu zdalnego. Serwery z uruchomioną usługą RDS Central Management muszą być uwzględnione w tej grupie.
S-1-5-32-578 Administratorzy Builtin\Hyper-V Wbudowana grupa lokalna. Członkowie tej grupy mają pełny i nieograniczony dostęp do wszystkich funkcji funkcji Hyper-V.
S-1-5-32-579 BUILTIN \ operatorzy pomocy kontroli dostępu Wbudowana grupa lokalna. Członkowie tej grupy mogą zdalnie wysyłać zapytania do atrybutów autoryzacji i uprawnień dla zasobów na tym komputerze.
S-1-5-32-580 BUILTIN \ użytkownicy zdalnego zarządzania Wbudowana grupa lokalna. Członkowie tej grupy mogą uzyskiwać dostęp do zasobów usługi WMI za pośrednictwem protokołów zarządzania (takich jak Usługa WS-Management za pośrednictwem usługi Windows Remote Management). Dotyczy to tylko przestrzenie nazw usługi WMI, które udzielić dostępu do użytkownika.

Identyfikatory SID funkcji


Windows 8 wprowadzono identyfikatory zabezpieczeń zdolności (SID). Funkcja SID identyfikuje możliwości w sposób unikatowy i niezmienne. Zdolność reprezentuje niefortunny token urzędu, który udziela dostępu do zasobów (takich jak dokumenty, aparat fotograficzny, lokalizacje i tak dalej) do uniwersalnych aplikacji systemu Windows. Aplikacja, która "ma" możliwości jest przyznawana dostęp do zasobu skojarzonego. Aplikacja, która "nie ma" możliwości jest odmowa dostępu do zasobu.

Wszystkie identyfikatory SID funkcji, które system operacyjny jest świadomy są przechowywane w rejestrze systemu Windows w następującym podkluczu:HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities

Ten podklucz zawiera również dowolny identyfikator SID funkcji, który jest dodawany przez aplikacje pierwszej lub innej firmy.

Wszystkie SIDs możliwości zaczynają się od "S-1-15-3."