安全標識符

一種不同長度的數據結構，用來識別用户、組和計算機賬户。網絡上每一個初次創建的賬户都會收到一個唯一的 SID。Windows 中的內部進程將引用賬户的 SID 而不是賬户的用户名或組名。

這個安全標識符可以這樣給你講，它是一串特殊的字符串，在你這台電腦如果有和它相同的東西，但不會和他一樣的，而這個字串是電腦內部用到的，用户接觸不到的。一般這種安全標識符是指當你新建一個用户後，電腦就會為這個用户生成一個特殊的安全標識符 (SID)，如果新建一個用户組（當然很少用到這個，多是在用到類局域網的域才用到），也會如此；當你把這個用户或組刪了後，再以同樣用户名新建一個用户，而你之前建的那個用户名和你這個用户名就不是一回事了，其區別就是系統為他們關聯了各自的安全標識符 (SID)！

最明顯的例子就是，先建一個用户，然後共享一文件夾，為文件夾設置一個高一點的網絡訪問權限。在另一台局域網中電腦用這個用户訪問並根據權限用其最大可操作的操作它，如讀、寫、刪除、新建等。然後把它刪了，再以同樣名新建它。你再在局域網中那台電腦訪問這個文件夾，你就會發現問題了！

用户通過驗證後，登陸進程會給用户一個訪問令牌，該令牌相當於用户訪問系統資源的票證，當用户試圖訪問系統資源時，將訪問令牌提供給 Windows NT，然後 Windows NT 檢查用户試圖訪問對象上的訪問控制列表。如果用户被允許訪問該對象，Windows NT將會分配給用户適當的訪問權限。 　訪問令牌是用户在通過驗證的時候有登陸進程所提供的，所以改變用户的權限需要註銷後重新登陸，重新獲取訪問令牌。

如果存在兩個同樣SID的用户，這兩個賬户將被鑑別為同一個賬户，原理上如果賬户無限制增加的時候，會產生同樣的SID，在通常的情況下SID是唯一的，他由計算機名、當前時間、當前用户態線程的CPU耗費時間的總和三個參數決定以保證它的唯一性。 　一個完整的SID包括： 　· 用户和組的安全描述 　· 48-bit的ID authority 　· 修訂版本 　· 可變的驗證值Variable sub-authority values 　例：S-1-5-21-31044058 8- 2 500 36847- 5 803 895 05-500 　我們來先分析這個重要的SID。第一項S表示該字符串是SID；第二項是SID的版本號，對於2000來説，這個就是1；然後是標誌符的頒發機構（identifier authority），對於2000內的賬户，頒發機構就是NT，值是5。然後表示一系列的子頒發機構，前面幾項是標誌域的，最後一個標誌着域內的賬户和組。

開始－運行－regedit32－HKEY_LOCAL_MACHINESAMSAMDomainsBuiltinAliasesMembers，找到本地的域的代碼，展開後，得到的就是本地賬號的所有SID列表。 　其中很多值都是固定的，比如第一個000001F4（16進制），換算成十進制是500，説明是系統建立的內置管理員賬號administrator，000001F5換算成10進制是501，也就是GUEST賬號了，詳細的參照後面的列表。 　這一項默認是system可以完全控制，這也就是為什麼要獲得這個需要一個System的Cmd的Shell的原因了，當然如果權限足夠的話你可以把你要添加的賬號添加進去。 　或者使用Support Tools的Reg工具： 　reg query HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList 　還有一種方法可以獲得SID和用户名稱的對應關係： 　1. Regedit32: 　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion ProfileList 　2. 這個時候可以在左側的窗口看到SID的值，可以在右側的窗口中ProfileImagePath看到不同的SID關聯的用户名， 　比如%SystemDrive%Documents and SettingsAdministrator.momo這個對應的就是本地機器的管理員SID 　%SystemDrive%Documents and SettingsAdministrator.domain這個就是對應域的管理員的賬户 　另外微軟的ResourceKit裏面也提供了工具getsid，sysinternals的工具包裏面也有Psgetsid，其實感覺原理都是讀取註冊表的值罷了，就是省了一些事情。

安裝NT/2000系統的時候，產生了一個唯一的SID，但是當你使用類似Ghost的軟件克隆機器的時候，就會產生不同的機器使用一個SID的問題。產生了很嚴重的安全問題。 　同樣，如果是重複的SID對於對等網來説也會產生很多安全方面的問題。在對等網中賬號的基礎是SID加上一個相關的標識符（RID），如果所有的工作站都擁有一樣的SID，每個工作站上產生的第一個賬號都是一樣的，這樣就對用户本身的文件夾和文件的安全產生了隱患。 　這個時候某個人在自己的NTFS分區建立了共享，並且設置了自己可以訪問，但是實際上另外一台機器的SID號碼和這個一樣的用户此時也是可以訪問這個共享的。

下面的幾個試驗帶有高危險性，慎用，我已經付出了慘痛的代價！ 　微軟在ResourceKit裏面提供了一個工具，叫做SYSPREP,這個可以用在克隆一台工作站以前產生一個新的SID號碼。他的參數 　這個工具在DC上是不能運行這個命令的，否則會提示 　但是這個工具並不是把所有的賬户完全的產生新的SID，而是針對兩個主要的賬户Administrator和Guest，其他的賬號仍然使用原有的SID。 　下面做一個試驗，先獲得賬號的SID： S-1-5-21-2000478354 - 688 78 9 844 - 839 522 115 　然後運行Sysprep，出現提示窗口： 　確定以後需要重啓，然後安裝程序需要重新設置計算機名稱、管理員口令等，但是登陸的時候還是需要輸入原賬號的口令。 　進入2000以後，再次查詢SID，得到： 　S-1-5-21-759461550-1 453 070 86-51 579 9519，發現SID號已經得到了改變，查詢註冊表，發現註冊表已經全部修改了，當然全部修改了。 　另外sysinternals公司也提供了類似的工具NTSID，這個到後來才發現是針對NT4的產品，界面如下： 　他可不會提示什麼再DC上不能用，接受了就開始，結果導致我的一台DC崩潰，重啓後提示“安全賬號管理器初始化失敗，提供給識別代號頒發機構的值為無效值，錯誤狀態0XC0000084，請按確定，重啓到目錄服務還原模式...”，即使切換到目錄服務還原模式也再也進不去了！ 　想想自己膽子也夠大的啊，好在是一台額外DC，但是自己用的機器，導致重裝系統半天，重裝軟件N天，所以再次提醒大家，做以上試驗的時候一定要慎重，最好在一台無關緊要的機器上試驗，否則出現問題我不負責哦。另外在Ghost的新版企業版本中的控制枱已經加入了修改SID的功能，自己還沒有嘗試，有興趣的朋友可以自己試驗一下，不過從原理上應該都是一樣的。 　文章發表之前，又發現了微軟自己提供的一個工具“Riprep”，這個工具主要用做在遠程安裝的過程中，想要同時安裝上應用程序。管理員安裝了一個標準的公司桌面操作系統，並配置好應用軟件和一些桌面設置之後，可以使用Riprep從這個標準的公司桌面系統製作一個Image文件。這個Image文件既包括了客户化的應用軟件，又把每個桌面系統必須獨佔的安全ID、計算機賬號等刪除了。管理員可以它放到遠程安裝服務器上，供客户端遠程啓動進行安裝時選用。但是要注意的是這個工具只能在單硬盤、單分區而且是Professional的機器上面用。