Dans Windows, les SID (Security Identifier) sont des identifiants uniques alphanumériques qui identifient chaque système, utilisateur ou objet (groupe) dans un réseau ou sur un PC.
Certains SID sont identiques sur tous les systèmes (voir table ci dessous), dans la Base de Registre les profils utilisateurs sont identifiés par leur SID.
Les SID commencent tous par “S-1-“
SID |
Display Name |
Description |
S-1-1 | World Authority | Tout le monde |
S-1-1-0 | Everyone | Sous Windows XP, le groupe Everyone inclus les utilisateurs authentifiés et Guest. Avant il incluait aussi les utilisateurs anonymes. |
S-1-2-0 | Local | Les utilisateurs authentifiés localement. Un membre du groupe S-1-2-0 ne peut être membre de S-1-5-2 (Network). |
S-1-3 | Creator Authority | |
S-1-5 | NT Authority | |
S-1-5-1 | Dialup | Ce groupe inclus tous les utilisateurs qui sont connectés à l’aide d’une connexion à distance. |
S-1-5-2 | Network | Ce groupe inclus tous les utilisateurs connectés par le réseau. |
S-1-5-3 | Batch | Liste des utilisateurs connectés par un batch (les tâches planifiées par exemple). |
S-1-5-4 | Interactive | Utilisateurs connectés localement (loggés, connexion a distance au bureau, ou telnet) |
S-1-5-5-X–Y | Logon Session | Session de connexion, X et Y sont uniques. |
S-1-5-6 | Service | Tous les services connectés. |
S-1-5-7 | Anonymous Logon | Utilisateurs non authentifiés (ne pas confondre avec les connexions anonymes de IIS qui utilisent un compte nommé IUST_nomdepc. |
S-1-5-9 | Enterprise Domain Controllers | Groupe des contrôleurs de domaine. |
S-1-5-18 | System (or LocalSystem) | Identité utilisée par le système ou les services. |
S-1-5-19 | LocalService | Identité utilisée par le système ou les services locaux (ne possède pas de droits réseau) |
S-1-5-20 | NetworkService | Identité utilisée par les services réseaux (ne possède pas de droits locaux). |
S-1-5-domain-500 | Administrator | Premier compte créé à l’installation. Chaque système possède un administrateur, chaque domaine possède un compte administrateur.
Un compte administrateur ne peut être bloqué ou supprimé mais peut être renommé. |
- Active Directory
Le principe est assez similaire dans AD tous les objets disposent d’un SID unique. Le SID est composé d’un security principal domain SID comme préfixe et d’un RID (Relative Identifier) comme suffixe.
Les RIDs sont gérés dans chaque domaine Active Directory par le maître RID. Il s’agit d’un Contrôleur de Domaine qui alloue une plage de RIDs pour chaque contrôleur de domaine se trouvant dans le même domaine Active Directory. Par défaut, une plage RID attribuée contient 500 RIDs.
Afin de faciliter les migration on peut aussi attribuer les anciens SIDs (SID History) pour garder les accès aux anciennes ressources durant la transition. Ceci est effectué par l’outil ADMT (Active Directory Migration tool).
- Où sont stockés les SIDs dans Active Directory?
Les SIDs sont stockés dans deux attributs:
- objectSid: Ceci est le security Principal SID qui est généré pendant la création de l’objet
- sIDHistory: Ces SIDs sont ceux migrés des anciens domaines (SID History)
Important :
Renommer un compte ne change pas son SID,
Recréer un compte utilisateur avec le même nom ne reprendra pas le même SID !!
Pour plus de détails, consultez la liste des SID connus :
https://msdn.microsoft.com/en-us/library/cc980032.aspx
Structure des SID :
https://msdn.microsoft.com/en-us/library/cc246018.aspx
Wiki :
Azure AD : les comptes dans Azure Ad ne sont pas caractérisés par un SID, mais un GUID