Идентификатор безопасности имеет неверную структуру

Идентификатор безопасности

Идентификатор безопасности (англ. Security Identifier (SID)) — структура данных переменной длины, которая идентифицирует учётную запись пользователя, группы, службы, домена или компьютера (в Windows на базе технологии NT (NT4, 2000, XP, 2003, Vista,7,8,10)). SID ставится в соответствие каждой учетной записи в момент её создания. Система оперирует с SID’ами учетных записей, а не их именами. В контроле доступа пользователей к защищаемым объектам (файлам, ключам реестра и т.п.) участвуют также только SID’ы.

Идентификатор SID состоит из нескольких частей. Пример такого идентификатора S-1-5-21-1507001333-1204550764-1011284298-1003.

Формат идентификатора безопасности такой: S-R-IA-SA-SA-RID.

Описание каждой части SID:

  • S — идентификатор SID. Этот идентификатор служит признаком того, что следующее число является идентификатором безопасности, а не простым большим загадочным числом.
  • R — первое число является номером редакции (revision). Все идентификаторы безопасности, сгенерированные операционной системой Windows, используют номер редакции 1.
  • IA — источник выдачи (issuing authority). Практически все идентификаторы безопасности в операционной системе Windows указывают NT Authority номер 5. Исключением являются широкоизвестные (well-known) учетные записи групп и пользователей.
  • SA — уполномоченный центр (sub-authority). Этот идентификатор определяет специальные группы и функции. Например, число 21 указывает, что идентификатор безопасности был выдан контроллером домена или изолированным компьютером. Три длинные последовательности цифр 1507001333-1204550764-1011284298 определяют конкретный домен или компьютер, выдавший идентификатор. Эти числа генерируются случайным образом при инсталляции ОС на компьютер. Таким образом обеспечивается уникальность идентификаторов безопасности.
  • RID — относительный идентификатор (Relative Identifier). Это уникальное порядковое число, присвоенное учетной записи (пользователя, компьютера или группы) уполномоченным центром SA (в нашем примере его значение равно 1003).

Следует отметить, что относительные идентификаторы RID для встроенных учётных записей пользователей (например, Администратор или Гость) одинаковы для всех компьютеров и доменов. RID для встроенной учетной записи Administrator всегда имеет значение 500, а RID для учетной записи Гость имеет значение 501.

Для создаваемых администратором учетных записей RID начинается со значения 1000 и увеличивается на 1 для каждой новой учетной записи.

Кроме этого, в каждой Windows имеется несколько встроенных широкоизвестных (well-known) учетных записей групп и пользователей. К ним относятся группы Все, ИНТЕРАКТИВНЫЕ, Прошедшие проверку и т.д. Для представления широкоизвестных учетных записей в Windows определен ряд локальных и доменных SID. В отличие от SID обычных пользователей, эти SID-идентификаторы являются предопределенными и имеют одинаковые значения на каждой системе Windows и не зависят от её версии (будь то Windows 2000, Windows Vista или Windows 10). Это позволяет администраторам сетей применять шаблоны безопасности и политики безопасности, а также управлять доступом удаленных пользователей в сетях без доменов.

Например, файл, доступный членам группы Все на той системе, где он был создан, также будет доступен группе Все на любой другой системе или домене. Разумеется, пользователи должны пройти аутентификацию в этой системе, перед тем как стать членами группы Все.

> См. также

  • Security Account Manager

Как стать владельцем раздела реестра и получить права полного доступа

Как стать владельцем раздела реестра и получить права полного доступа

 В этой статье показаны действия, с помощью которых вы сможете стать владельцем раздела реестра и получить права полного доступа, а также как вернуть исходные права и восстановить исходного владельца.
 Некоторые разделы системного реестра Windows не доступны для редактирования, даже если ваша учётная запись относится к группе «Администраторы». Это обычно происходит из-за того что у группы «Администраторы» нет соответствующих разрешений (прав) на запись в этот раздел реестра. Есть несколько причин, почему вы не можете редактировать раздел реестра:
 ■ Группа «Администраторы» является владельцем раздела, но не имеет полных прав на него. В этом случае достаточно просто выдать группе «Администраторы» полные права.
 ■ Владельцем раздела является системная служба TrustedInstaller. В этом случае нужно сначала стать владельцем раздела, а затем выдать своей группе полные права, как раз в этой статье и будет рассмотрен такой пример.
 ■ Владельцем раздела является системная учетная запись «Система». В этом случае действия будут такими же, как и с TrustedInstaller.
 Далее в статье будет описано, как внести изменения в реестр при отсутствии соответствующих разрешений, а также как восстановить исходные разрешения, и для чего это нужно делать. Перед тем как редактировать системный реестр, рекомендуется создать точку восстановления системы
 При изменении какого-либо параметра в реестре, если у вас недостаточно прав, то вы получите сообщение об ошибке.

 ► Рассмотрим первый пример, когда группа «Администраторы» является владельцем раздела, но не имеет полных прав на него:
 1. Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения…
 2. Выделите группу «Администраторы»:
 • Если доступен флажок Полный доступ, установите его и нажмите кнопку ОК. Этого может оказаться достаточно, если группа является владельцем раздела.

 • Если флажок недоступен или вы видите сообщение об ошибке как на скриншоте ниже, то переходим к второму примеру.

 ► Второй пример, когда владельцем раздела является системная служба TrustedInstaller
 • В окне Разрешения для группы нажмите кнопку Дополнительно

 • В следующем окне Дополнительные параметры безопасности нажмите ссылку Изменить вверху окна, и в появившемся диалоговом окне Выбор: «Пользователь» или «Группа» введите имя локальной учетной записи или адрес электронной почты учетной записи Microsoft, проверьте имя и нажмите кнопку ОК

 • Установите флажок Заменить владельца подконтейнеров и объектов вверху окна и нажмите кнопку ОК

 • Выделите группу «Администраторы», установите флажок Полный доступ, нажмите кнопку OK

 Теперь у вас есть полный доступ к разделу реестра и вы можете редактировать все его параметры.
 ► Третий пример, когда владельцем раздела является системная учетная запись «Система». В этом случае действия будут такими же, как и с TrustedInstaller.
Возвращение исходных прав и восстановление владельца В целях безопасности системы, после редактирования необходимых параметров раздела реестра, нужно возвратить исходные права доступа и восстановить в качестве владельца раздела системную учётную запись TrustedInstaller.
 1. Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения…
 2. В окне Разрешения для группы нажмите кнопку Дополнительно

 3. В следующем окне Дополнительные параметры безопасности нажмите ссылку Изменить вверху окна, и в появившемся диалоговом окне Выбор: «Пользователь» или «Группа» введите имя учетной записи:
NT Service\TrustedInstaller  Нажмите кнопку OK

 4. Далее установите флажок Заменить владельца подконтейнеров и объектов вверху окна и нажмите кнопку ОК

 5. В окне Разрешения для группы выделите группу «Администраторы», снимите флажок Полный доступ, нажмите кнопку OK

 Исходные права и владелец раздела реестра восстановлены.
 ■ Если владельцем раздела являлась учетная запись Система (в английской варианте System), то вместо
 NT Service\TrustedInstaller введите Система (в английской варианте System).
 • Данная инструкция применима для операционных систем Windows 8, Windows 8.1, Windows 10
Администраторы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *