Jedem Benutzerkonto auf Ihrem System wird automatisch eine Windows SID (Security Identifier) ​​zugewiesen. SIDs werden für alle Entitäten verwendet, die innerhalb des Computersystems verwendet werden, d. H. Eine SID wird dem Computer, den Domänenkonten, Benutzern und Sicherheitsgruppen zugewiesen. Die für Menschen lesbaren Namen, die SIDs entsprechen, sollen die Systemadministration vereinfachen. Sie können beispielsweise den Namen eines Benutzers ändern, die SID ändert sich jedoch nicht. Daher müssen Sie sich nicht um die verschiedenen Zugriffssteuerungslisten kümmern, um sie für den neuen Namen zu aktualisieren, da sich die zugrunde liegende SID nicht geändert hat.

SIDs sind numerische Werte unterschiedlicher Länge. Sie bestehen aus einer Strukturrevisionsnummer, einem Identifizierungsberechtigungswert und einer variablen Anzahl von Unterautoritätswerten. Die Unterautoritätswerte bieten die Möglichkeit, mit der Windows eindeutige SIDs basierend auf einer gemeinsamen Basis-SID erstellen kann.

Es gibt ein nettes kostenloses Tool von Sysinternals namens PsGetSid, das auf dieser Site erhältlich ist:

http://technet.microsoft.com/en-us/sysinternals/bb897417.aspx

Wenn Sie PsGetSid ohne Parameter ausführen, erhalten Sie die SID des aktuellen Computers:

C:\>PsGetSid

PsGetSid v1.44 - Translates SIDs to names and vice versa Copyright (C) 1999-2008 Mark Russinovich Sysinternals - www.sysinternals.com

SID for \\DYSERT-PC:

S-1-5-21-205299875-3125232665-432278398

Anhand der angezeigten Nummer können Sie die verschiedenen Teile der SID bestimmen. Sie sind durch Bindestriche getrennt. In diesem Fall beginnt die SID mit „S-1-5“, das die Strukturversionsnummer (1) und den Identifizierungsberechtigungswert (5) angibt. Die verbleibenden Zahlen – wiederum jeweils durch Bindestriche getrennt – sind die Unterautoritätswerte.

Windows wird mit einigen integrierten Konten ausgeliefert, sodass diesen bereits SIDs zugewiesen wurden, bevor ein Benutzerkonto hinzugefügt wird. Zu den integrierten Konten gehören Konten für Administrator und Gast. Wenn Sie PsGetSid für jede dieser Funktionen ausführen, werden die folgenden Zuweisungen angezeigt:

C:\>PsGetSid Administrator

PsGetSid v1.44 - Translates SIDs to names and vice versa Copyright (C) 1999-2008 Mark Russinovich Sysinternals - www.sysinternals.com

SID for Dysert-PC\Administrator:

S-1-5-21-205299875-3125232665-432278398-500

C:\>PsGetSid Guest

PsGetSid v1.44 - Translates SIDs to names and vice versa Copyright (C) 1999-2008 Mark Russinovich Sysinternals - www.sysinternals.com

SID for Dysert-PC\Guest:

S-1-5-21-205299875-3125232665-432278398-501

Wie Sie sehen können, hat Windows jeder SID des Kontos (500 und 501) eine Nummer hinzugefügt, um deren Eindeutigkeit sicherzustellen. Diese eindeutigen Suffixe werden als Relative Identifiers (RIDs) bezeichnet. Wenn neue Konten hinzugefügt werden, beginnen die RIDs bei 1000 und werden nach Bedarf erhöht. Wenn Sie also PsGetSid auf dem Konto „Dysert“ ausführen, erhalten Sie Folgendes:

C:\>PsGetSid Dysert

PsGetSid v1.44 - Translates SIDs to names and vice versa
Copyright (C) 1999-2008 Mark Russinovich Sysinternals - www.sysinternals.com

SID for Dysert-PC\Dysert:

S-1-5-21-205299875-3125232665-432278398-1000

Um zu überprüfen, ob diese SID mit meiner Anmeldung verknüpft ist, kann ich ein anderes Sysinternals-Tool namens LogonSession verwenden, das hier verfügbar ist:

http://technet.microsoft.com/en-us/sysinternals/bb896769.aspx

Hier ist die vom Tool erzeugte Ausgabe:

C:\LogonSessions

Logonsesions v1.21 Copyright (C) 2004-2010 Bryce Cogswell and Mark Russinovich Sysinternals - wwww.sysinternals.com

[6] Logon session 00000000:00468835:

User name:    Dysert-PC\Dysert     Auth package: NTLM     Logon type:   Interactive     Session:      1     Sid:          S-1-5-21-205299875-3125232665-432278398-1000     Logon time:   4/11/2014 3:20:29 AM     Logon server: DYSERT-PC     DNS Domain:

UPN:

SIDs werden auch Gruppen zugewiesen. Die der Gruppe Administratoren zugewiesene SID kann folgendermaßen abgerufen werden:

C:\>PsGetSid \Administrators

PsGetSid v1.44 - Translates SIDs to names and vice versa Copyright (C) 1999-2008 Mark Russinovich Sysinternals - www.sysinternals.com

SID for \Administrators:

S-1-5-32-544

Wenn Sie das PsGetSid-Tool aus irgendeinem Grund nicht verwenden möchten, können Sie dennoch SID-Informationen vom integrierten Dienstprogramm wmic abrufen. Geben Sie in der Befehlszeile „wmic useraccount get name, sid“ ein (ohne Anführungszeichen). Die folgende Ausgabe wird angezeigt:

C:\wmic useraccount get name,sid Name           SID Administrator  S-1-5-21-205299875-3125232665-432278398-500 ASPNET         S-1-5-21-205299875-3125232665-432278398-1003 Dysert         S-1-5-21-205299875-3125232665-432278398-1000 Guest          S-1-5-21-205299875-3125232665-432278398-501 SQLDebugger    S-1-5-21-205299875-3125232665-432278398-1007

Dieser Tipp (13106) gilt für Windows 7, 8 und 10.