Les SID (Security Identifier) de Windows et Active Directory

Dans Windows, les SID (Security Identifier) sont des identifiants uniques alphanumériques qui identifient chaque système, utilisateur ou objet (groupe) dans un réseau ou sur un PC.
Certains SID sont identiques sur tous les systèmes (voir table ci dessous), dans la Base de Registre les profils utilisateurs sont identifiés par leur SID.

Les SID commencent tous par “S-1-“

e5e5e46b-8e96-4a6b-814a-a5a7de766dbb

SID

Display Name

Description

S-1-1 World Authority Tout le monde
S-1-1-0 Everyone Sous Windows XP, le groupe Everyone inclus les utilisateurs authentifiés et Guest. Avant il incluait aussi les utilisateurs anonymes.
S-1-2-0 Local Les utilisateurs authentifiés localement. Un membre du groupe S-1-2-0 ne peut être membre de S-1-5-2 (Network).
S-1-3 Creator Authority  
S-1-5 NT Authority  
S-1-5-1 Dialup Ce groupe inclus tous les utilisateurs qui sont connectés à l’aide d’une connexion à distance.
S-1-5-2 Network Ce groupe inclus tous les utilisateurs connectés par le réseau.
S-1-5-3 Batch Liste des utilisateurs connectés par un batch (les tâches planifiées par exemple).
S-1-5-4 Interactive Utilisateurs connectés localement (loggés, connexion a distance au bureau, ou telnet)
S-1-5-5-XY Logon Session Session de connexion, X et Y sont uniques.
S-1-5-6 Service Tous les services connectés.
S-1-5-7 Anonymous Logon Utilisateurs non authentifiés (ne pas confondre avec les connexions anonymes de IIS qui utilisent un compte nommé IUST_nomdepc.
S-1-5-9 Enterprise Domain Controllers Groupe des contrôleurs de domaine.
S-1-5-18 System (or LocalSystem) Identité utilisée par le système ou les services.
S-1-5-19 LocalService Identité utilisée par le système ou les services locaux (ne possède pas de droits réseau)
S-1-5-20 NetworkService Identité utilisée par les services réseaux (ne possède pas de droits locaux).
S-1-5-domain-500 Administrator Premier compte créé à l’installation. Chaque système possède un administrateur, chaque domaine possède un compte administrateur.

 

Un compte administrateur ne peut être bloqué ou supprimé mais peut être renommé.
Le compte administrateur fait partie du groupe administrateurs et ne peut en être enlevé.

  • Active Directory

Le principe est assez similaire dans AD tous les objets disposent d’un SID unique. Le SID est composé d’un security principal domain SID comme préfixe et d’un RID (Relative Identifier) comme suffixe.

Les RIDs sont gérés dans chaque domaine Active Directory par le maître RID. Il s’agit d’un Contrôleur de Domaine qui alloue une plage de RIDs pour chaque contrôleur de domaine se trouvant dans le même domaine Active Directory. Par défaut, une plage RID attribuée contient 500 RIDs.

Afin de faciliter les migration on peut aussi attribuer les anciens SIDs (SID History) pour garder les accès aux anciennes ressources durant la transition. Ceci est effectué par l’outil ADMT (Active Directory Migration tool).

  • Où sont stockés les SIDs dans Active Directory?

Les SIDs sont stockés dans deux attributs:

  • objectSid: Ceci est le security Principal SID qui est généré pendant la création de l’objet
  • sIDHistory: Ces SIDs sont ceux migrés des anciens domaines (SID History)

Important :

Renommer un compte ne change pas son SID,

Recréer un compte utilisateur avec le même nom ne reprendra pas le même SID !!

Pour plus de détails, consultez la liste des SID connus :

https://msdn.microsoft.com/en-us/library/cc980032.aspx

Structure des SID :

https://msdn.microsoft.com/en-us/library/cc246018.aspx

Wiki :

https://social.technet.microsoft.com/wiki/contents/articles/38107.la-gestion-des-sids-dans-active-directory-fr-fr.aspx 

Azure AD : les comptes dans Azure Ad ne sont pas caractérisés par un SID, mais un GUID

Pas de commentaires. - Comments are closed.