Was ist eine SID? (Security Identifier)

Die SID wird beispielsweise in der ACL eingetragen, um den berechtigten Benutzer oder die berechtigte Gruppe eindeutig zu identifizieren. Wird ein Benutzer nunmehr umbenannt, so bleiben dessen Berechtigungen erhalten, weil die SID sowohl beim Benutzer selbst, als auch in der ACL von der Namensänderung nicht betroffen ist.

Eine SID hat immer den folgenden Aufbau, mit Zahlenwerten die von Bindestrichen unterbrochen werden:

• S: Der Buchstabe S zeigt an, dass es sich bei der Zeichenfolge um eine SID handelt.
• 1: Die zweite Stelle gibt die Revisionsnummer an, also die spezifische Version dieser SID. Der Wert von 1 wurde bei Windows Systemen noch nie geändert.
• 5: An der dritten Position findet sich die Identifer Authority. Bei Windows Server Systemen liegt der Wert bei 5 (NT Authority).
• Domänen-ID: Dieser 48-Bit-String identifiziert den Computer bzw. die Domäne, die diese SID angelegt hat.
• Relative ID (RID): Die relative ID bzw. RID setzt sich aus vier Zahlen zusammen und dient der genauen Identifikation des Objekts als Sicherheitsprinzipal in der lokalen Domäne. Beim Anlegen von RIDs zählt Windows von 1000 an aufwärts.

Im Falle eines Domänenbenutzers oder einen Domänengruppe beinhaltet die SID den Domain-Identifier. Dieser wird bei der Erstellung der Domäne per Zufallswert festgelegt. Bei der Erstellung eines Benutzer- oder Gruppenobjekts wird von Windows deren Relative-ID (RID) festgelegt. Im Falle eines lokalen Computerkontos enthält die SID eines Benutzers den Local-Computer-Identifier des Computers, welcher wiederum bei der Installation von Windows vergeben wurde.

Eine Änderung der SID über Standardmethoden ist nicht möglich. Eine Änderung ist jedoch unter Verwendung der Software adsiedit möglich. Zu einer Änderung der SID kommt es darüber hinaus, wenn ein Objekt in einer Domäne angelegt wurde (und somit der Domain-Identifier Teil der SID des Objekts wurde) und dieses Objekt in eine andere Domäne migriert wird. Es wird dabei eine neue SID erzeugt, allerdings wird die bisherige SID in Active Directory in der sogenannten SID-History gespeichert.

Die Einträge in der SID-History werden bei Berechtigungsprüfungen ebenfalls herangezogen, womit es dem Benutzer nach der Migration des Kontos noch möglich ist, auf die Ressourcen in der alten Domäne zuzugreifen, da die Prüfung (auch) mit der alten SID erfolgt.

Eine SID gilt dann als verwaist, wenn sie in der Access Control List eines Objekts verwendet wird, das zugehörige Objekt (also der jeweilige Computer, Benutzer oder Gruppe) aber nicht mehr vorhanden ist.

Verwaiste SIDs sind in Windows daran erkennbar, dass der Eintrag statt dem Namen des Objekts “Unbekanntes Konto (S-1-5- usw.)” anzeigt. In der Regel stellen verwaiste SIDs kein großes Problem dar, sie schaden jedoch der Übersicht im Active Directory.