До настоящего времени мы говорили об элементах системы безопасности, пользуясь Их "общими" названиям, такими как администратор или группа администраторов домена Domain Admins. Но внутри систем семейства Windows NT каждый из этих объектов представлен гло¬бально уникальным 48-разрядным числом, которое называется идентификатором системы за¬щиты или SID (Security Identifier). Такой подход позволяет системе различать, например, локальную учетную запись Administrator компьютера А и одноименную локальную учетную запись Administrator компьютера.
В идентификатор SID состоит из нескольких частей. Рассмотрим пример такого идентификатора.
S-1-5-21-1507001333-1204550764-1011284298-500
Перед идентификатором SID ставится буква S, а его части разделяются дефисами. Первое число (в данном случае 1) является номером редакции, второе — значение полномочий идентификатора (для Windows Server 2003 это всегда 5). Далее следуют четыре значения под полномочий (в рассматриваемом примере это 21 и три длинные последовательности цифр), а последним указывается относительный идентификатор (RID — Relative Identifier) (в нашем примере его значение равно 500).
Идентификатор SID может показаться слишком сложным, но важно понять, что одна его часть уникальна для инсталляции или домена, а другая — общая для всех инсталляций и ваменов (относительный идентификатор R1D). После установки Windows Server 2003 локальный компьютер случайным образом выбирает SID. То же самое происходит и при создании домена под Windows Server 2003 — он также получает уникальный идентификатор SID. Таким образом, для любого компьютера или домена под управлением Windows Server 2003 значения под полномочий всегда будут уникальными (если только их не подделывали и не дублировали, как это происходит при некоторых видах низкоуровневого копирования дисков).
В любом случае, значение R1D является постоянным для всех компьютеров и доменов. Например, идентификатор SID, у которого значение RiD равно 500, всегда принадлежит учетной записи Administrator локальной машины. RID 501 используется для учетной записи Guest. Для домена RID начинается со значения 1001 и показывает количество учетных записей пользователей (например, RID 1015 получит пятнадцатый пользователь домена). Достаточно сказать, что переименование учетной записи никак не влияет на соответствующий ей S1D, поэтому учетная запись всегда будет идентифицирована.
Переименовав учетную запись Administrator, вы лишь измените ее имя, система Windows Server 2003 (или злоумышленник, использующий специальные средства) всегда определит се по значению R1D 500.
|