Was ist eine SID? (Security Identifier)

Die Abkรผrzung SID steht fรผrย Security Identifier, eine einzigartige Zeichenfolge, die Windows Server automatisch jedem Computer, jedem Benutzer und jeder Gruppe zuweist, um das jeweilige Objekt eindeutig zu identifizieren. Die SID ist unverรคnderlich und bleibt auch gleich, wenn das Objekt selbst (also zum Beispiel der Benutzer) umbenannt wird.

Die SID wird beispielsweise in der ACL eingetragen, um den berechtigten Benutzer oder die berechtigte Gruppe eindeutig zu identifizieren. Wird ein Benutzer nunmehr umbenannt, so bleiben dessen Berechtigungen erhalten, weil die SID sowohl beim Benutzer selbst, als auch in der ACL von der Namensรคnderung nicht betroffen ist.

Format einer Windows SID

Eine SID hat immer den folgenden Aufbau, mit Zahlenwerten die von Bindestrichen unterbrochen werden:

  • S: Der Buchstabe S zeigt an, dass es sich bei der Zeichenfolge um eine SID handelt.
  • 1: Die zweite Stelle gibt die Revisionsnummer an, also die spezifische Version dieser SID. Der Wert von 1 wurde bei Windows Systemen noch nie geรคndert.
  • 5: An der dritten Position findet sich die Identifer Authority. Bei Windows Server Systemen liegt der Wert bei 5 (NT Authority).
  • Domรคnen-ID: Dieser 48-Bit-String identifiziert den Computer bzw. die Domรคne, die diese SID angelegt hat.
  • Relative ID (RID): Die relative ID bzw. RID setzt sich aus vier Zahlen zusammen und dient der genauen Identifikation des Objekts als Sicherheitsprinzipal in der lokalen Domรคne. Beim Anlegen von RIDs zรคhlt Windows von 1000 an aufwรคrts.

Fรผgt man all diese Elemente zusammen, kรถnnte ein Beispiel fรผr eine SID etwa so aussehen:

S-1-5-43-4342332-4365423-981231-1015

Erstellung der SID

Im Falle eines Domรคnenbenutzers oder einen Domรคnengruppe beinhaltet die SID den Domain-Identifier. Dieser wird bei der Erstellung der Domรคne per Zufallswert festgelegt. Bei der Erstellung eines Benutzer- oder Gruppenobjekts wird von Windows deren Relative-ID (RID) festgelegt. Im Falle eines lokalen Computerkontos enthรคlt die SID eines Benutzers den Local-Computer-Identifier des Computers, welcher wiederum bei der Installation von Windows vergeben wurde.

ร„nderung der SID

Eine ร„nderung der SID รผber Standardmethoden ist nicht mรถglich. Eine ร„nderung ist jedoch unter Verwendung der Software adsiedit mรถglich. Zu einer ร„nderung der SID kommt es darรผber hinaus, wenn ein Objekt in einer Domรคne angelegt wurde (und somit der Domain-Identifier Teil der SID des Objekts wurde) und dieses Objekt in eine andere Domรคne migriert wird. Es wird dabei eine neue SID erzeugt, allerdings wird die bisherige SID in Active Directory in der sogenannten SID-History gespeichert.

Die Eintrรคge in der SID-History werden bei Berechtigungsprรผfungen ebenfalls herangezogen, womit es dem Benutzer nach der Migration des Kontos noch mรถglich ist, auf die Ressourcen in der alten Domรคne zuzugreifen, da die Prรผfung (auch) mit der alten SID erfolgt.

Was ist eine verwaiste SID?

Eine SID gilt dann als verwaist, wenn sie in der Access Control List eines Objekts verwendet wird, das zugehรถrige Objekt (also der jeweilige Computer, Benutzer oder Gruppe) aber nicht mehr vorhanden ist.

Verwaiste SIDs sind in Windows daran erkennbar, dass der Eintrag statt dem Namen des Objekts “Unbekanntes Konto (S-1-5- usw.)” anzeigt. In der Regel stellen verwaiste SIDs kein groรŸes Problem dar, sie schaden jedoch der รœbersicht im Active Directory.

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthรคlt eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Verfasst von: Helmut Semmelmayer

Helmut Semmelmayer ist seit 2012 als VP Revenue Operations beim Software-Hersteller tenfold tรคtig. Er ist damit fรผr den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmรครŸig themenbezogene Beitrรคge aus dem Bereich Identity & Access Management.