March 21, 2012

SID?!?

Constantemente escuchamos términos curiosos en esto de la informática e inclusive inventamos palabras o verbos. Hoy vamos a ver un poco eso de los SID (Como me gustaría a mi ser un Lord Sid)..
Antes que nada hablemos un poco de los “security principals”. En un entorno Windows esto es una entidad que se puede identificar de manera única y que necesitan acceso a algún recurso regido por una autoridad de seguridad (en este caso los controladores de domino o el SAM).
Perfecto, ahora bien cada security principal tiene un identificador alfanumérico único, llamado SID (Security IDentifier). Estos identificadores son utilizados por los mecanismos de seguridad del sistema, no son “amistosos” como el UPN o sAMAccountName.
También son únicos en el espacio y tiempo, con esto me refiero que aunque elimines y luego recrees un objeto con el mismo nombre este no tendrá el mismo identificador.

Un SID esta compuesto de la siguiente manera:

S            Letra S básicamente define que este objeto es un SID.
1            El nivel de revisión de la estructura del SID (por ahora únicamente versión 1 es posible).
5            Identificador de la autoridad de mayor nivel que emite el SID.*
21           Número variable que identifica las sub autoridades.
##-##-##     Identificador de la sub autoridad de dominio, compuesto por 3 grupos de 32bits.
###          El RID del objeto en cuestión.

*SID de las autoridades de máximo nivel.

0            SID_IDENTIFIER_AUTHORITY
1            SECURITY_WORLD_SID_AUTHORITY [Contiene el grupoEveryone (S-1-1-0)]
2            SECURITY_LOCAL_SID_AUTHORITY
3            SECURITY_CREATOR_SID_AUTHORITY [Contiene los grupos Creator Owner, Creator Group, Creator Owner Server, Creator Group Server (S-1-3-0 thru S-1-3-5)]
4            SECURITY_NON_UNIQUE_AUTHORITY
5            SECURITY_NT_AUTHORITY [Contiene los demás well-known security principals (S-1-5-xxx), usuarios, grupos, etc…]
9            SECURITY_RESOURCE_MANAGER_AUTHORITY

**RIDs van desde 1000 hasta to 1 o 2 billones.
-Las cuentas Built-In de domino siempre inician con S-1-5-32.
-Ya sea en un ámbito local o de domino, la cuenta de un usuario regular inicia siempre con S-1-5-21.
Bueno espero esto les sea útil.
Hasta pronto!
Posted by at
Labels: , , , ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)