Un identificador de seguridad (SID) es un valor único de longitud variable que se utiliza para identificar un principal de seguridad o un grupo de seguridad en sistemas operativos Windows. Los SID conocidos son un grupo de SID que identifican usuarios o grupos genéricos. Sus valores permanecen constantes en todos los sistemas operativos.
Esta información es útil para solucionar problemas relacionados con la seguridad. También es útil para posibles problemas de visualización que pueden aparecer en el editor de ACL. Un SID puede mostrarse en el editor de ACL en lugar del usuario o el nombre de grupo.
Más información
Los siguientes son SID bien conocidos:
- SID: S-1-0
Nombre : Entidad nula
Descripción: entidad de identificador.
- SID: S-1-0-0
Nombre : Nadie
Descripción: ningún principal de seguridad.
- SID: S-1-1
Nombre : Entidad mundial
Descripción: entidad de identificador.
- SID: S-1-1-0
Nombre : Todos
Descripción: grupo que incluye todos los usuarios, incluso los anónimos e invitados. Los miembros son controlados por el sistema operativo.
Nota De forma predeterminada, el grupo Todos ya no incluye a los usuarios anónimos de un equipo que ejecuta Windows XP Service Pack 2 (SP2).
- SID: S-1-2
Nombre : Entidad local
Descripción: entidad de identificador.
- SID: S-1-2-0
Nombre : Local
Descripción: grupo que incluye todos los usuarios que han iniciado la sesión localmente.
- SID: S-1-2-1
Nombre : Inicio de sesión en la consola
Descripción: grupo que incluye los usuarios que han iniciado sesión en la consola física.
Nota Agregado en Windows 7 y Windows Server 2008 R2.
- SID: S-1-3
Nombre : Creator Authority
Descripción: entidad de identificador.
- SID: S-1-3-0
Nombre : Creator Owner
Descripción: marcador de posición en una entrada de control de acceso heredable (ACE). Cuando la ACE se hereda, el sistema sustituye este SID por el SID del creador del objeto.
- SID: S-1-3-1
Nombre : Creator Group
Descripción: marcador de posición en una ACE heredable. Cuando la ACE se hereda, el sistema sustituye este SID por el SID del grupo principal del creador del objeto. El grupo principal sólo lo utiliza el subsistema POSIX.
- SID: S-1-3-2
Nombre : Creator Owner Server
Descripción: este SID no se utiliza en Windows 2000.
- SID: S-1-3-3
Nombre : Creator Group Server
Descripción: este SID no se utiliza en Windows 2000.
- SID: nombre de S-1-3-4: Derechos de propietario
Descripción: grupo que representa al propietario actual del objeto. Cuando una ACE que lleva el SID se aplica a un objeto, el sistema omite los permisos implícitos READ_CONTROL y WRITE_DAC del propietario del objeto.
- SID: S-1-5-80-0
Nombre : Todos los servicios
Descripción: un grupo que incluye todos los procesos de servicios configurados en el sistema. La pertenencia es controlada por el sistema operativo.
Nota Agregado en Windows Vista y Windows Server 2008.
- SID: S-1-4
Nombre : Entidad no única
Descripción: entidad de identificador.
- SID: S-1-5
Nombre : NT Authority
Descripción: entidad de identificador.
- SID: S-1-5-1
Nombre : Acceso telefónico
Descripción: grupo que incluye todos los usuarios que han iniciado la sesión a través de una conexión de acceso telefónico. Los miembros son controlados por el sistema operativo.
- SID: S-1-5-2
Nombre : Red
Descripción: grupo que incluye todos los usuarios que han iniciado sesión a través de una conexión de red. Los miembros son controlados por el sistema operativo.
- SID: S-1-5-3
Nombre : Lote
Descripción: grupo que incluye todos los usuarios que han iniciado sesión a través de un sistema de cola de procesamiento por lotes. La pertenencia es controlada por el sistema operativo.
- SID: S-1-5-4
Nombre : Interactivo
Descripción: grupo que incluye todos los usuarios que han iniciado sesión interactivamente. Los miembros son controlados por el sistema operativo.
- SID: S-1-5-5-X-Y
Nombre : Sesión de inicio
Descripción: sesión de inicio. Los valores X e Y de estos SID son diferentes para cada sesión.
- SID: S-1-5-6
Nombre : Servicio
Descripción: grupo que incluye todos los principales de seguridad que han iniciado la sesión como un servicio. Los miembros son controlados por el sistema operativo.
- SID: S-1-5-7
Nombre : Anónimo
Descripción: grupo que incluye todos los usuarios que han iniciado sesión anónimamente. Los miembros son controlados por el sistema operativo.
- SID: S-1-5-8
Nombre : Proxy
Descripción: este SID no se utiliza en Windows 2000.
- SID: S-1-5-9
Nombre : Controladores de dominio empresariales
Descripción: grupo que incluye todos los controladores de dominio de un bosque que utilizan un servicio de directorio de Active Directory. Los miembros son controlados por el sistema operativo.
- SID: S-1-5-10
Nombre : Self principal
Descripción: marcador de posición en una ACE heredable en un objeto de cuenta u de grupo en Active Directory. Cuando la ACE se hereda, el sistema sustituye este SID por el SID del principal de seguridad que posee la cuenta.
- SID: S-1-5-11
Nombre : Usuarios autenticados
Descripción: grupo que incluye todos los usuarios cuyas identidades se autenticaron cuando iniciaron la sesión. Los miembros son controlados por el sistema operativo.
- SID: S-1-5-12
Nombre : Código restringido
Descripción: este SID está reservado para uso futuro.
- SID: S-1-5-13
Nombre : Usuarios de Terminal Server
Descripción: grupo que incluye todos los usuarios que han iniciado sesión en un servidor de servicios de Terminal Server. Los miembros son controlados por el sistema operativo.
- SID: S-1-5-14
Nombre : Inicio de sesión interactivo remoto
Descripción: grupo que incluye todos los usuarios que han iniciado la sesión a través de un inicio de sesión de servicios de Terminal Server.
- SID: S-1-5-15
Nombre : Esta organización
Descripción: grupo que incluye todos los usuarios de la misma organización. Sólo se incluye con las cuentas de Active Directory y sólo se agrega con Windows Server 2003 o un controlador de dominio posterior.
- SID: S-1-5-17
Nombre : Esta organización
Descripción: cuenta utilizada por el usuario predeterminado de servicios de Internet Information Server (IIS).
- SID: S-1-5-18
Nombre : Sistema local
Descripción: cuenta de servicio utilizada por el sistema operativo.
- SID: S-1-5-19
Nombre : NT Authority
Descripción: Servicio local
- SID: S-1-5-20
Nombre : NT Authority
Descripción: Servicio de red
- SID: S-1-5-21dominio-500
Nombre : Administrador
Descripción: cuenta de usuario del administrador del sistema. De forma predeterminada, es la única cuenta de usuario a la que se le da control total sobre el sistema.
- SID: S-1-5-21dominio-501
Nombre : Invitado
Descripción: cuenta de usuario para las personas que no tienen cuentas individuales. Esta cuenta de usuario no requiere una contraseña. De forma predeterminada, la cuenta de invitado está deshabilitada.
- SID: S-1-5-21dominio-502
Nombre : KRBTGT
Descripción: cuenta de servicio que utiliza el servicio de centro de distribución de claves (KDC).
- SID: S-1-5-21dominio-512
Nombre : Administradores de dominio
Descripción: grupo global cuyos miembros están autorizados para administrar el dominio. De forma predeterminada, el grupo Admins. del dominio es miembro del grupo Administradores en todos los equipos que se han unido a un dominio, incluidos los controladores de dominio. Admins. del dominio es el propietario predeterminado de cualquier objeto creado por cualquier miembro del grupo.
- SID: S-1-5-21dominio-513
Nombre : Usuarios del dominio
Descripción: grupo global que, de forma predeterminada, incluye todas las cuentas de usuario de un dominio. Cuando crea una cuenta de usuario en un dominio, se agrega de forma predeterminada a este grupo.
- SID: S-1-5-21dominio-514
Nombre : Invitados de dominio
Descripción: grupo global que, de forma predeterminada, tiene sólo un miembro, la cuenta de invitado integrada del dominio.
- SID: S-1-5-21dominio-515
Nombre : Equipos de dominio
Descripción: grupo global que incluye todos los clientes y servidores se han unido al dominio.
- SID: S-1-5-21dominio-516
Nombre : Controladores de dominio
Descripción: grupo global que incluye todos los controladores de dominio del dominio. De forma predeterminada, se agregan nuevos controladores de dominio a este grupo.
- SID: S-1-5-21dominio-517
Nombre : Publicadores de certificados
Descripción: grupo global que incluye todos los equipos que ejecutan una entidad de certificación de empresa. Los publicadores de certificados están autorizados para publicar certificados para objetos de usuario en Active Directory.
- SID: S-1-5-21dominio raíz-518
Nombre : Administradores de esquema
Descripción: grupo universal de un dominio en modo nativo; un grupo global de un dominio en modo mixto. El grupo está autorizado para realizar cambios de esquema en Active Directory. De forma predeterminada, el único miembro del grupo es la cuenta Administrador en el dominio raíz del bosque.
- SID: S-1-5-21dominio raíz-519
Nombre : Administradores de organización
Descripción: grupo universal de un dominio en modo nativo; un grupo global de un dominio en modo mixto. El grupo está autorizado para realizar cambios en todo el bosque en Active Directory, como agregar dominios secundarios. De forma predeterminada, el único miembro del grupo es la cuenta Administrador en el dominio raíz del bosque.
- SID: S-1-5-21dominio-520
Nombre : Propietarios del creador de directivas de grupo
Descripción: grupo global que está autorizado para crear nuevos objetos de directiva de grupo en Active Directory. De forma predeterminada, el único miembro del grupo es Administrador.
- SID: S-1-5-21dominio-526
Nombre: Administradores clave
Descripción: un grupo de seguridad. La intención para este grupo es tener acceso de escritura delegado solo en el atributo msdsKeyCredentialLink. El grupo se destina a su uso en escenarios donde autoridades externas de confianza (por ejemplo, el servicio de federación de Active Directory) son responsables de modificar este atributo. Solo los administradores de confianza deberían ser miembros de este grupo.
- SID: S-1-5-21dominio-527
Nombre: Administradores de empresa clave
Descripción: un grupo de seguridad. La intención para este grupo es tener acceso de escritura delegado solo en el atributo msdsKeyCredentialLink. El grupo se destina a su uso en escenarios donde autoridades externas de confianza (por ejemplo, el servicio de federación de Active Directory) son responsables de modificar este atributo. Solo los administradores de confianza deberían ser miembros de este grupo.
- SID: S-1-5-21dominio-553
Nombre : Servidores RAS e IAS
Descripción: grupo local de dominio. De forma predeterminada, este grupo no tiene miembros. Los servidores de este grupo tienen acceso con restricciones de lectura de cuentas y de la información de inicio de sesión a objetos de usuario del grupo local de dominio de Active Directory.
- SID: S-1-5-32-544
Nombre : Administradores
Descripción: grupo integrado. Después de la instalación inicial del sistema operativo, el único miembro del grupo es la cuenta de administrador. Cuando un equipo se une a un dominio, el grupo Admins. del dominio se agrega al grupo Administradores. Cuando un servidor se convierte en un controlador de dominio, el grupo Administradores de empresa también se agrega al grupo Administradores.
- SID: S-1-5-32-545
Nombre : Users
Descripción: grupo integrado. Después de la instalación inicial del sistema operativo, el único miembro es el grupo Usuarios autenticados. Cuando un equipo se une a un dominio, el grupo Admins. del dominio se agrega al grupo Usuarios del equipo.
- SID: S-1-5-32-546
Nombre : Guests (Invitados)
Descripción: grupo integrado. De forma predeterminada, el único miembro es la cuenta de invitado. El grupo Invitados permite a los usuarios ocasionales iniciar sesión con privilegios limitados en una cuenta de invitado integrada del equipo.
- SID: S-1-5-32-547
Nombre : Usuarios avanzados
Descripción: grupo integrado. De forma predeterminada, este grupo no tiene miembros. Los usuarios avanzados crean usuarios y grupos locales, modifican y eliminan cuentas que han creado y eliminan usuarios de los grupos Usuarios avanzados, Usuarios e Invitados. Los usuarios avanzados también pueden instalar programas, crear, administrar y eliminar impresoras locales y crear y eliminar recursos compartidos de archivos.
- SID: S-1-5-32-548
Nombre : Operadores de cuentas
Descripción: grupo integrado que existe sólo en controladores de dominio. De forma predeterminada, este grupo no tiene miembros. De forma predeterminada, los Operadores de cuentas tienen permiso para crear, modificar y eliminar cuentas de usuarios, grupos y equipos de todos los contenedores y unidades organizativas de Active Directory, excepto del contenedor Builtin y de las unidades organizativas de controladores de dominio. Los Operadores de cuentas no tienen permiso para modificar los grupos Administradores y Admins. del dominio, ni para modificar las cuentas de los miembros de esos grupos.
- SID: S-1-5-32-549
Nombre : Operadores de servidores
Descripción: grupo integrado que existe sólo en controladores de dominio. De forma predeterminada, este grupo no tiene miembros. Los Operadores de servidor pueden iniciar la sesión en un servidor de forma interactiva, crear y eliminar recursos compartidos de red, iniciar y detener servicios, hacer copia de seguridad y restaurar archivos, formatear el disco duro del equipo y apagar el equipo.
- SID: S-1-5-32-550
Nombre : Operadores de impresión
Descripción: grupo integrado que existe sólo en controladores de dominio. De forma predeterminada, el único miembro es el grupo Usuarios del dominio. Los Operadores de impresión pueden administrar impresoras y colas de documentos.
- SID: S-1-5-32-551
Nombre : Operadores de copia de seguridad
Descripción: grupo integrado. De forma predeterminada, este grupo no tiene miembros. Los Operadores de copia de seguridad pueden realizar copias de seguridad y recuperar todos los archivos de un equipo, con independencia de los permisos que protejan esos archivos. Los operadores de copia de seguridad también pueden iniciar sesión en el equipo y apagarlo.
- SID: S-1-5-32-552
Nombre : Replicadores
Descripción: grupo integrado que utiliza el servicio de replicación de archivos en los controladores de dominio. De forma predeterminada, este grupo no tiene miembros. No agregue usuarios a este grupo.
- SID: S-1-5-64-10
Nombre : Autenticación NTLM
Descripción: SID que se utiliza cuando el paquete de autenticación NTLM autentica el cliente
- SID: S-1-5-64-14
Nombre : Autenticación SChannel
Descripción: SID que se utiliza cuando el paquete de autenticación SChannel autentica el cliente
- SID: S-1-5-64-21
Nombre : Autenticación de texto implícita
Descripción: SID que se utiliza cuando el paquete de autenticación Digest autentica el cliente
- SID: S-1-5-80
Nombre : Servicio NT
Descripción: prefijo de cuenta de servicio de NT
- SID: S-1-5-80-0
SID S-1-5-80-0 = SERVICIOS NT\TODOS LOS SERVICIOS
Nombre: Todos los servicios
Descripción: grupo que incluye todos los procesos de servicios que están configurados en el sistema. La pertenencia es controlada por el sistema operativo.
Nota Agregado en Windows Server 2008 R2.
- SID: S-1-5-83-0
Nombre : MÁQUINA VIRTUAL NT/Máquinas virtuales
Descripción: grupo integrado. El grupo se crea cuando se instala la función Hyper-V. El servicio de administración de Hyper-V (VMMS) conserva la pertenencia del grupo. Este grupo requiere el derecho de “Crear vínculos simbólicos” (SeCreateSymbolicLinkPrivilege) y también el derecho de “Iniciar sesión como un servicio” (SeServiceLogonRight).
Nota Agregado en Windows 8 y Windows Server 2012.
- SID: S-1-16-0
Nombre : Nivel obligatorio de no confianza
Descripción: nivel de integridad que no es de confianza. Nota: agregado en Windows Vista y Windows Server 2008
Nota Agregado en Windows Vista y Windows Server 2008.
- SID: S-1-16-4096
Nombre : Nivel obligatorio bajo
Descripción: nivel de integridad baja.
Nota Agregado en Windows Vista y Windows Server 2008.
- SID: S-1-16-8192
Nombre : Nivel obligatorio medio
Descripción: nivel de integridad media.
Nota Agregado en Windows Vista y Windows Server 2008.
- SID: S-1-16-8448
Nombre : Nivel obligatorio medio alto
Descripción: nivel de integridad media alta.
Nota Agregado en Windows Vista y Windows Server 2008.
- SID: S-1-16-12288
Nombre : Nivel obligatorio alto
Descripción: nivel de integridad alto.
Nota Agregado en Windows Vista y Windows Server 2008.
- SID: S-1-16-16384
Nombre : Nivel obligatorio del sistema
Descripción: nivel de integridad del sistema.
Nota Agregado en Windows Vista y Windows Server 2008.
- SID: S-1-16-20480
Nombre : Nivel obligatorio de proceso protegido
Descripción: nivel de integridad de proceso protegido.
Nota Agregado en Windows Vista y Windows Server 2008.
- SID: S-1-16-28672
Nombre : Nivel obligatorio de proceso seguro
Descripción: nivel de integridad de proceso seguro.
Nota Agregado en Windows Vista y Windows Server 2008.
Los siguientes grupos aparecen como SID hasta que un controlador de dominio de Windows Server 2003 se convierte en el titular de la función de maestro de operaciones del controlador de dominio principal (PDC). El “maestro de operaciones” también se conoce como operaciones de maestro único flexible (FSMO). Los siguientes grupos integrados adicionales se crean cuando se agrega un controlador de dominio de Windows Server 2003 al dominio:
- SID: S-1-5-32-554
Nombre : BUILTIN\\Acceso compatible con versiones previas a Windows 2000
Descripción: un alias que agrega Windows 2000. Grupo de compatibilidad con versiones anteriores que permite acceso de lectura en todos los usuarios y grupos del dominio.
- SID: S-1-5-32-555
Nombre : BUILTIN\\Usuarios de escritorio remoto
Descripción: un alias. A los miembros de este grupo se les concede el derecho de inicio de sesión de forma remota.
- SID: S-1-5-32-556
Nombre : BUILTIN\Operadores de configuración de red
Descripción: un alias. Los miembros de este grupo pueden tener algunos privilegios administrativos para administrar la configuración de características de red.
- SID: S-1-5-32-557
Nombre : BUILTIN\\Creadores de confianza de bosque entrante
Descripción: un alias. Los miembros de este grupo pueden crear confianzas entrantes, unidireccionales para este bosque.
- SID: S-1-5-32-558
Nombre : BUILTIN\Usuarios del monitor de sistema
Descripción: un alias. Los miembros de este grupo tienen acceso remoto para supervisar este equipo.
- SID: S-1-5-32-559
Nombre : BUILTIN\Usuarios del registro de rendimiento
Descripción: un alias. Los miembros de este grupo tienen acceso remoto para programar el registro de contadores de rendimiento en este equipo.
- SID: S-1-5-32-560
Nombre : BUILTIN\\Grupo de acceso de autorización de Windows
Descripción: un alias. Los miembros de este grupo tienen acceso al atributo tokenGroupsGlobalAndUniversal calculado en objetos de usuario.
- SID: S-1-5-32-561
Nombre : BUILTIN\\Servidores de licencias de Terminal Server
Descripción: un alias. grupo de servidores de licencias de Terminal Server. Cuando está instalado Windows Server 2003 Service Pack 1, se crea un nuevo grupo local.
- SID: S-1-5-32-562
Nombre : BUILTIN\Usuarios COM distribuidos
Descripción: un alias. grupo para COM que proporciona controles de acceso en todo el equipo que rigen el acceso a todas las solicitudes de llamada, activación o inicio en el equipo.
Los siguientes grupos aparecen como SID hasta que un controlador de dominio de Windows Server 2008 o Windows Server 2008 R2 se convierte en el titular de la función de maestro de operaciones del controlador de dominio principal (PDC). El “maestro de operaciones” también se conoce como operaciones de maestro único flexible (FSMO). Los siguientes grupos integrados adicionales se crean cuando se agrega un controlador de dominio de Windows Server 2008 o Windows Server 2008 R2 al dominio:
- SID: S-1-5- 21dominio-498
Nombre : Controladores de dominio de sólo lectura de empresa
Descripción: grupo universal. Los miembros de este grupo son los controladores de dominio de sólo lectura en la empresa
- SID: S-1-5- 21dominio -521
Nombre : Controladores de dominio de sólo lectura
Descripción: grupo global. Los miembros de este grupo son los controladores de dominio de sólo lectura en el dominio
- SID: S-1-5-32-569
Nombre : BUILTIN\Operadores criptográficos
Descripción: grupo local integrado. Los miembros están autorizados a realizar operaciones criptográficas.
- SID: S-1-5-21 dominio -571
Nombre : Grupo de replicación de contraseña RODC permitida
Descripción: grupo local de dominio. Los miembros de este grupo pueden replicar sus contraseñas en todos los controladores de dominio de sólo lectura del dominio.
- SID: S-1-5- 21dominio-572
Nombre : Grupo de replicación de contraseña RODC denegada
Descripción: grupo local de dominio. Los miembros de este grupo no pueden replicar sus contraseñas en ningún controlador de dominio de sólo lectura del dominio.
- SID: S-1-5-32-573
Nombre : BUILTIN\Lectores del registro de eventos
Descripción: grupo local integrado. Los miembros de este grupo pueden leer registros de eventos desde el equipo local.
- SID: S-1-5-32-574
Nombre : BUILTIN\Acceso DCOM a Serv. de certif.
Descripción: grupo local integrado. Los miembros de este grupo pueden conectarse a las entidades de certificación de la empresa.
Los siguientes grupos aparecen como SID hasta que un controlador de dominio de Windows Server 2012 se convierte en el titular de la función de maestro de operaciones del controlador de dominio principal (PDC). El “maestro de operaciones” también se conoce como operaciones de maestro único flexible (FSMO). Los siguientes grupos integrados adicionales se crean cuando se agrega un controlador de dominio de Windows Server 2012 al dominio:
- SID: S-1-5-21-dominio-522
Nombre: Controladores de dominio clonables
Descripción: grupo global. Los miembros de este grupo que son controladores de dominio pueden clonarse.
- SID: S-1-5-32-575
Nombre : BUILTIN/Servidores de acceso remoto RDS
Descripción: grupo local integrado. Los servidores en este grupo habilitan a los usuarios de programas RemoteApp y acceso a escritorios virtuales personales a estos recursos. En implementaciones con conexión a Internet, estos servidores suelen implementarse en una red perimetral. Este grupo debe estar constituido en servidores que ejecutan Agentes de conexión a Escritorio remoto. Los servidores de puertas de enlace de Escritorio remoto y los servidores de acceso web de Escritorio remoto utilizados en la implementación deben encontrarse en este grupo.
- SID: S-1-5-32-576
Nombre : BUILTIN/Servidores de extremo RDS
Descripción: grupo local integrado. Los servidores en este grupo ejecutan máquinas virtuales y hospedan sesiones donde se ejecutan los programas RemoteApp de los usuarios y los escritorios virtuales personales. Este grupo debe estar constituido en servidores que ejecutan Agentes de conexión a Escritorio remoto. Los servidores de host de sesión de Escritorio Remoto y los servidores de host de virtualización de Escritorio Remoto utilizados en la implementación deben encontrarse en este grupo.
- SID: S-1-5-32-577
Nombre : BUILTIN/Servidores de administración RDS
Descripción: grupo local integrado. Los servidores en este grupo pueden llevar a cabo medidas administrativas de rutina en servidores que ejecutan Servicios de Escritorio remoto. Este grupo debe estar constituido en todos los servidores en una implementación de Servicios de Escritorio remoto. Los servidores que ejecutan el servicio de Administración central de RDS deben estar incluidos en este grupo.
- SID: S-1-5-32-578
Nombre : BUILTIN/Administradores de Hyper-V
Descripción: grupo local integrado. Los miembros de este grupo tienen acceso total e ilimitado a todas las características de Hyper-V.
- SID: S-1-5-32-579
Nombre : BUILTIN/Operadores de asistencia de control de acceso
Descripción: grupo local integrado. Los miembros de este grupo pueden consultar de forma remota atributos y permisos de autorización para recursos en este equipo.
- SID: S-1-5-32-580
Nombre : BUILTIN\Usuarios de administración remota
Descripción: grupo local integrado. Los miembros de este grupo pueden acceder a recursos de WMI mediante protocolos de administración (como WS-Management a través del servicio de administración remota de Windows). Esto solo se aplica a espacios de nombre WMI que conceden acceso al usuario.
