Security Identifier


Security Identifier

Ein Security Identifier, kurz SID, ist ein Sicherheits-Identifikator, den Microsoft Windows NT automatisch vergibt, um jedes System, jeden Benutzer und jede Gruppe dauerhaft zu identifizieren.

Inhaltsverzeichnis

Zweck

An die SID sind die in Access Control Lists festgelegten Zugriffsrechte gebunden. Wenn die Namen von Systemen, Benutzern oder Gruppen geändert werden, bleiben deren SID unverändert. Deshalb bleiben ihnen alle Zugriffsrechte erhalten. SID ermöglichen also, die Namensgebung problemlos zu ändern.

Vergabe

Während der Installation des Betriebssystems erhält das System selbst seinen SID durch einen Zufallszahlengenerator. Dies ist erforderlich, damit eine eindeutige Kennzeichnung im Netzwerk gewährleistet ist. Anschließend werden sogenannte well-known SID vergeben, die auf jedem System gleich sind. Zum Beispiel für die Gruppe Administratoren.

Der SID eines Benutzers wird automatisch erstellt, wenn dieser angelegt wird. Der SID eines lokal angelegten Benutzers basiert auf dem SID des Systems. Der SID eines in einer Domäne angelegten Benutzers ändert sich, wenn er von einer Domäne in eine andere verschoben wird, da im SID auch die Domäne des Benutzers hinterlegt wird.

Aufbau

Beispiel:

S-1-5-21-7623811015-3361044348-030300820-1013

Erläuterung:

S – Kurzzeichen für SID
1 – Revisionsnummer
5 – Identifier Authority
21-7623811015-3361044348-030300820 – Domäne oder lokales System
1013 – Benutzernummer (Relative ID, RID, die bei normalen Accounts mit 1000 beginnend hochgezählt wird)

Probleme

Wenn man von einem fertig installierten System ein Speicherabbild der Festplatte erstellt, werden darin die SID mit abgespeichert. Wenn man andere Computer mit diesem Abbild bestückt, haben mehrere Systeme identische SID. Hiervon wurde in der Vergangenheit dringend abgeraten, da andernfalls Probleme auftreten könnten. Microsoft warnt insbesondere davor, dass andernfalls ein Zugriff auf ein Wechselmedium möglich sein kann, der ausdrücklich verwehrt sein soll. Mittlerweile wurde diese Ansicht jedoch von einem Microsoft-Mitarbeiter relativiert.[1]

Microsoft unterstützt solche Verwendungen von Speicherabbildern nur, wenn das Programm Sysprep angewendet wird. Es bewirkt, dass beim nächsten Systemstart das Setup ohne erneute Installation nochmals durchlaufen wird und u.a. neue SID vergeben werden.

Das von Winternals entwickelte Programm PsGetSid ermöglicht es, die SID lokal oder übers Netzwerk auszulesen. Bis November 2009 wurde mit NewSID auch ein Programm angeboten, mit dem die SID eines Systems auf eine zufällige SID geändert werden konnte. Der Rückzug des Programms wurde damit begründet, doppelt vergebene SIDs für unterschiedliche Computer seien gar nicht so problematisch wie zuvor angenommen und ein Programm wie NewSID somit überflüssig.[2]

Durch Löschen von Benutzern oder Deinstallieren von Systemen verloren gegangene SID können nur mit hohem administrativem Aufwand wiederhergestellt werden, da das Erstellen eines neuen Objekts mit gleichem Namen zu einer anderen SID führt. Jedoch ist das Ändern einer SID per ADSIEdit möglich. Auch unterstützen Domain Controller unter Windows 2008 das Wiederherstellen von AD-Objekten aus einer Shadow Copy.

Weblinks

Einzelnachweise

  1. Blog-Eintrag von Mark Russinovich [1]
  2. Im zuvor aufgeführten Blog-Eintrag wird nurmehr davor gewarnt, ein bereits in einer Domäne angemeldetes System ohne Sysprep zu klonen

Wikimedia Foundation.

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Security IDentifier — Au lieu d’utiliser des noms (non unique), Windows utilise des SID pour identifier les entités effectuant des actions. Ce sont des identifiants uniques de sécurité alphanumériques assigné par un contrôleur de domaine qui identifient chaque système …   Wikipédia en Français

  • Security Identifier — In the context of the Microsoft Windows NT line of operating systems, a Security Identifier (commonly abbreviated SID) is a unique name (an alphanumeric character string) which is assigned by a Windows Domain controller during the log on process… …   Wikipedia

  • Security Identifier — Au lieu d’utiliser des noms (non unique), le système d’exploitation Windows utilise des SID (Security Identifiers) pour identifier les entités effectuant des actions. Ce sont des identifiants uniques de sécurité alphanumériques assignés par un… …   Wikipédia en Français

  • security identifier —    Abbreviated security ID or SID. In Microsoft Windows NT, a unique name that identifies a logged on user to the internal security system.    A SID contains a complete set of permissions and can apply to a single user or to a group.    See also… …   Dictionary of networking

  • Security and safety features new to Windows Vista — There are a number of security and safety features new to Windows Vista, most of which are not available in any prior Microsoft Windows operating system release.Beginning in early 2002 with Microsoft s announcement of their Trustworthy Computing… …   Wikipedia

  • security balance — It is the level at which positioning will occur. In other words, the security balance records several attributes ( i.e. security identifier, balance type, registration forms and sub balance pool identifier) in order to identify the assets held.… …   Financial and business terms

  • security balance — It is the level at which positioning will occur. In other words, the security balance records several attributes (i.e. security identifier, balance type, registration forms and sub balance pool identifier) in order to identify the assets held …   Euroclear glossary

  • Security Accounts Manager —    Abbreviated SAM. In Microsoft Windows NT, the security system that manages and provides access to the account or SAM database. SAM authenticates a user name and password against information contained in the database and creates an access token …   Dictionary of networking

  • security ID —    See security identifier …   Dictionary of networking

  • Security Assertion Markup Language — (SAML) is an XML based standard for exchanging authentication and authorization data between security domains, that is, between an identity provider (a producer of assertions) and a service provider (a consumer of assertions). SAML is a product… …   Wikipedia