Beveiligings-id's
Een beveiligings-id (SID) is een unieke waarde van variabele lengte die wordt gebruikt om een beheerderte identificeren. Elk account heeft een unieke SID die is uitgegeven door een instantie, zoals een Windows-domeincontroller, en die is opgeslagen in een beveiligingsdatabase. Telkens wanneer een gebruiker zich aanmeldt, haalt het systeem de SID voor die gebruiker op uit de database en plaatst deze in het toegangstoken voor die gebruiker. Het systeem gebruikt de SID in het toegangstoken om de gebruiker te identificeren in alle volgende interacties met Windows-beveiliging. Wanneer een SID is gebruikt als de unieke id voor een gebruiker of groep, kan deze nooit meer worden gebruikt om een andere gebruiker of groep te identificeren.
Windows-beveiliging maakt gebruik van SID's in de volgende beveiligingselementen:
- In beveiligingsdescriptors om de eigenaar van een object en primaire groep te identificeren
- In vermeldingen voor toegangsbeheer, om de beheerder te identificeren voor wie toegang is toegestaan, geweigerd of gecontroleerd
- In toegangstokens, om de gebruiker en de groepen waartoe de gebruiker behoort te identificeren
Naast de uniek gemaakte domeinspecifieke SID's die zijn toegewezen aan specifieke gebruikers en groepen, zijn er bekende SID's waarmee algemene groepen en algemene gebruikers worden geïdentificeerd. De bekende SID's, Iedereen en Wereld, identificeren bijvoorbeeld een groep die alle gebruikers bevat.
De meeste toepassingen hoeven nooit met SID's te werken. Omdat de namen van bekende SID's kunnen variëren, moet u de functies gebruiken om de SID te bouwen op basis van vooraf gedefinieerde constanten in plaats van de naam van de bekende SID te gebruiken. De Engelse versie van het Windows-besturingssysteem heeft bijvoorbeeld een bekende SID met de naam 'BUILTIN\Administrators' die mogelijk een andere naam heeft voor internationale versies van het systeem. Zie Zoeken naar een SID in een toegangstoken in C++voor een voorbeeld waarmee een bekende SID wordt gemaakt.
Als u wel met SID's moet werken, moet u ze niet rechtstreeks manipuleren. Gebruik in plaats daarvan de volgende functies.
| Functie | Beschrijving |
|---|---|
| AllocateAndInitializeSid | Wijst een SID toe en initialiseert deze met het opgegeven aantal subauthoriteiten. |
| ConvertSidToStringSid | Converteert een SID naar een tekenreeksindeling die geschikt is voor weergave, opslag of transport. |
| ConvertStringSidToSid | Converteert een tekenreeksindeling-SID naar een geldige, functionele SID. |
| CopySid- | Kopieert een bron-SID naar een buffer. |
| EqualPrefixSid | Test twee SID-voorvoegselwaarden voor gelijkheid. Een SID-voorvoegsel is de volledige SID, met uitzondering van de laatste subauthoriteitswaarde. |
| EqualSid- | Test twee SID's voor gelijkheid. Ze moeten exact overeenkomen om als gelijk te worden beschouwd. |
| FreeSid- | Hiermee maakt u een eerder toegewezen SID vrij met behulp van de functie AllocateAndInitializeSid. |
| GetLengthSid | Haalt de lengte van een SID op. |
| GetSidIdentifierAuthority- | Hiermee wordt een aanwijzer opgehaald naar de id-instantie voor een SID. |
| GetSidLengthRequired | Haalt de grootte van de buffer op die is vereist voor het opslaan van een SID met een opgegeven aantal subauthoriteiten. |
| GetSidSubAuthority- | Hiermee wordt een aanwijzer opgehaald naar een opgegeven subauthoriteit in een SID. |
| GetSidSubAuthorityCount | Hiermee wordt het aantal subauthoriteiten in een SID opgehaald. |
| InitializeSid | Initialiseert een SID- structuur. |
| IsValidSid- | Test de geldigheid van een SID door te controleren of het revisienummer binnen een bekend bereik valt en of het aantal subauthoriteiten kleiner is dan het maximum. |
| LookupAccountName- | Haalt de SID op die overeenkomt met een opgegeven accountnaam. |
| LookupAccountSid- | Haalt de accountnaam op die overeenkomt met een opgegeven SID. |