https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Security_IdentifierSecurity Identifier - Versionsgeschichte2026-05-22T19:43:27ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Security_Identifier&diff=923774&oldid=previmported>Invisigoth67: BKL aufgelöst; form2024-03-19T14:28:30Z<p>BKL aufgelöst; form</p>
<p><b>Neue Seite</b></p><div>Ein '''Security Identifier''', kurz SID, ist ein eindeutiger Sicherheits-[[Identifikator]], den [[Microsoft Windows NT]] automatisch vergibt, um jedes System, jeden Benutzer und jede Gruppe dauerhaft zu identifizieren. <br />
<br />
== Zweck ==<br />
An die SID sind die in [[Access Control List]]s festgelegten [[Zugriffsrecht]]e gebunden. Wenn die Namen von Systemen, Benutzern oder Gruppen geändert werden, bleiben deren SID unverändert. Deshalb bleiben ihnen alle Zugriffsrechte erhalten. SID ermöglichen also, die Namensgebung problemlos zu ändern. <br />
<br />
== Vergabe ==<br />
Während der Installation des Betriebssystems erhält das System selbst seinen SID durch einen [[Zufallszahlengenerator]]. Dies ist erforderlich, damit eine eindeutige Kennzeichnung im Netzwerk gewährleistet ist. Anschließend werden sogenannte ''well-known SID'' vergeben, die auf jedem System gleich sind. Zum Beispiel für die Gruppe ''Administratoren''. <br />
<br />
Der SID eines Benutzers wird automatisch erstellt, wenn dieser angelegt wird. Der SID eines lokal angelegten Benutzers basiert auf dem SID des Systems. Der SID eines in einer [[Domain Controller|Domäne]] angelegten Benutzers ändert sich, wenn er von einer Domäne in eine andere verschoben wird, da im SID auch die Domäne des Benutzers hinterlegt wird.<br />
<br />
== Aufbau ==<br />
Beispiel:<br />
:'''S-1-5-21-7623811015-3361044348-030300820-1013'''<br />
<br />
Erläuterung:<br />
:'''S''' – Kurzzeichen für ''SID''<br />
:'''1''' – Revisionsnummer<br />
:'''5''' – Identifier Authority<br />
:'''21-7623811015-3361044348-030300820''' – Domäne oder lokales System<br />
:'''1013''' – Benutzernummer (Relative ID, RID, die bei normalen Accounts mit 1000 beginnend hochgezählt wird)<br />
<br />
Erlaubte Werte von 'Identifier Authority':<ref>Die sechs Identifier-Authorities von NT (NT defines 6 IdentifierAuthorities) [http://blogs.msdn.com/b/larryosterman/archive/2004/09/01/224051.aspx]</ref><br />
: '''0''' Null-account Authority<br />
: '''1''' World Authority<br />
: '''2''' Local Authority<br />
: '''3''' Creator Authority<br />
: '''4''' Non-unique Authority<br />
: '''5''' NT Authority<br />
: '''9''' Resource Manager Authority<br />
: '''16''' Mandatory Level<br />
<br />
== Probleme ==<br />
Wenn man von einem fertig installierten System ein [[Image-Datei|Speicherabbild]] der Festplatte erstellt, werden darin die SID mit abgespeichert. Wenn man andere Computer mit diesem Abbild bestückt, haben mehrere Systeme identische SID. Hiervon wurde in der Vergangenheit dringend abgeraten, da andernfalls Probleme auftreten könnten. Microsoft warnt insbesondere davor, dass andernfalls ein Zugriff auf ein [[Wechselmedium]] möglich sein kann, der ausdrücklich verwehrt sein soll. Mittlerweile wurde diese Ansicht jedoch von einem Microsoft-Mitarbeiter relativiert.<ref>Blog-Eintrag von Mark Russinovich [https://docs.microsoft.com/en-us/archive/blogs/markrussinovich/the-machine-sid-duplication-myth-and-why-sysprep-matters]</ref><br />
<br />
Microsoft unterstützt solche Verwendungen von Speicherabbildern nur, wenn das Programm [[Sysprep]] angewendet wird. Es bewirkt, dass beim nächsten Systemstart das Setup ohne erneute Installation nochmals durchlaufen wird und u.&nbsp;a. neue SID vergeben werden. <br />
<br />
Das von [[Windows Sysinternals|Winternals]] entwickelte Programm PsGetSid ermöglicht es, die SID lokal oder übers Netzwerk auszulesen. Bis November 2009 wurde mit NewSID auch ein Programm angeboten, mit dem die SID eines Systems auf eine zufällige SID geändert werden konnte. Der Rückzug des Programms wurde damit begründet, doppelt vergebene SIDs für unterschiedliche Computer seien gar nicht so problematisch wie zuvor angenommen und ein Programm wie NewSID somit überflüssig.<ref>Im zuvor aufgeführten [https://docs.microsoft.com/en-us/archive/blogs/markrussinovich/the-machine-sid-duplication-myth-and-why-sysprep-matters Blog-Eintrag] wird nurmehr davor gewarnt, ein bereits in einer Domäne angemeldetes System ohne Sysprep zu klonen</ref><br />
<br />
Durch Löschen von Benutzern oder Deinstallieren von Systemen verloren gegangene SID können nur mit hohem administrativem Aufwand wiederhergestellt werden, da das Erstellen eines neuen Objekts mit gleichem Namen zu einer anderen SID führt. Jedoch ist das Ändern einer SID per [[ADSIEdit]] möglich. Auch unterstützen [[Domain Controller]] unter [[Microsoft Windows Server 2008|Windows 2008]] und höher das Wiederherstellen von AD-Objekten aus einer [[Volume Shadow Copy Service|Shadow Copy]], wenn sich das [[Domain Functional Level]] auf Windows Server 2008 oder höher befindet.<br />
<br />
== Weblinks ==<br />
*[http://support.microsoft.com/kb/243330 Bekannte Sicherheits-IDs in Windows-Betriebssystemen]<br />
*[http://www.presentel.com/sid-reader.php SID auslesen mit Presentel SID Reader]<br />
*[https://docs.microsoft.com/en-us/sysinternals/downloads/psgetsid SID anzeigen mit PsGetSid]<br />
*[http://www.selfadsi.de/deep-inside/microsoft-sid-attributes.htm Microsoft Security Descriptor (SID) Attribute: Tutorial Artikel für SID Handling in Scripts]<br />
<br />
== Einzelnachweise ==<br />
<br />
<references/><br />
<br />
<br />
[[Kategorie:Microsoft Windows]]<br />
[[Kategorie:Benutzerverwaltung]]<br />
[[Kategorie:Identifikator]]</div>imported>Invisigoth67