Security Identifier
aus Wikipedia, der freien Enzyklopädie
Ein Security Identifier, kurz SID, ist ein Sicherheits-Identifikator, den Microsoft Windows NT automatisch vergibt, um jedes System, jeden Benutzer und jede Gruppe dauerhaft zu identifizieren.
Inhaltsverzeichnis |
[Bearbeiten] Zweck
An die SID sind die in Access Control Lists festgelegten Zugriffsrechte gebunden. Wenn die Namen von Systemen, Benutzern oder Gruppen geändert werden, bleiben deren SID unverändert. Deshalb bleiben ihnen alle Zugriffsrechte erhalten. SID ermöglichen also, die Namensgebung problemlos zu ändern.
[Bearbeiten] Vergabe
Während der Installation des Betriebssystems erhält das System selbst seinen SID durch einen Zufallszahlengenerator. Dies ist erforderlich, damit eine eindeutige Kennzeichnung im Netzwerk gewährleistet ist. Anschließend werden sogenannte well-known SID vergeben, die auf jedem System gleich sind. Zum Beispiel für die Gruppe Administratoren.
Der SID eines Benutzers wird automatisch erstellt, wenn dieser angelegt wird. Der SID eines lokal angelegten Benutzers basiert auf dem SID des Systems. Der SID eines in einer Domäne angelegten Benutzers ändert sich, wenn er von einer Domäne in eine andere verschoben wird, da im SID auch die Domäne des Benutzers hinterlegt wird.
[Bearbeiten] Aufbau
Beispiel:
- S-1-5-21-7623811015-3361044348-030300820-1013
Erläuterung:
- S – Kurzzeichen für SID
- 1 – Revisionsnummer
- 5 – Identifier Authority
- 21-7623811015-3361044348-030300820 – Domäne oder lokales System
- 1013 – Benutzer
[Bearbeiten] Probleme
Wenn man von einem fertig installierten System ein Speicherabbild der Festplatte erstellt, werden darin die SID mit abgespeichert. Wenn man andere Computer mit diesem Abbild bestückt, haben mehrere Systeme identische SID. Dies sollte unbedingt vermieden werden, da andernfalls Probleme auftreten können. Microsoft warnt insbesondere davor, dass andernfalls ein Zugriff auf ein Wechselmedium möglich sein kann, der ausdrücklich verwehrt sein soll.
Microsoft unterstützt solche Verwendungen von Speicherabbildern nur, wenn das Programm Sysprep angewendet wird. Es bewirkt, dass beim nächsten Systemstart das Setup ohne erneute Installation nochmals durchlaufen wird und neue SID vergeben werden.
Die von Winternals entwickelten Programme PsGetSid und NewSID ermöglichen, SID lokal oder übers Netzwerk auszulesen, beziehungsweise zufällige SID zu erzeugen und SID zu ändern. Obwohl Microsoft das Unternehmen im Juli 2006 aufgekauft hat und die Programme nun auf der eigenen Website anbietet, gewährt Microsoft für NewSID ausdrücklich keine Unterstützung oder Garantie.
Durch Löschen von Benutzern oder Deinstallieren von Systemen verlorene SID können mit keinem Programm wiederhergestellt werden. Es können nur neue SID vergeben werden.
