Chaque compte utilisateur de votre système a un Windows SID (Security Identifier) ​​qui lui est automatiquement attribué. Les SID sont utilisés pour toutes les entités utilisées dans le système informatique, c’est-à-dire qu’un SID est attribué à la machine, aux comptes de domaine, aux utilisateurs et aux groupes de sécurité. Les noms lisibles par l’homme qui correspondent aux SID sont là pour faciliter les choses en matière d’administration système. Par exemple, vous pouvez modifier le nom d’un utilisateur, mais le SID ne change pas. Par conséquent, vous n’avez pas à vous soucier de parcourir les différentes listes de contrôle d’accès pour les mettre à jour pour le nouveau nom, car le SID sous-jacent n’a pas changé.

Les SID sont des valeurs numériques de longueurs variables. Ils se composent d’un numéro de révision de structure, d’une valeur d’autorité d’identificateur et d’un nombre variable de valeurs de sous-autorité. Les valeurs de sous-autorité fournissent les moyens par lesquels Windows peut créer des SID uniques basés sur un SID de base commun.

Il existe un bel outil gratuit de Sysinternals appelé PsGetSid, qui peut être obtenu sur ce site:

http://technet.microsoft.com/en-us/sysinternals/bb897417.aspx

Lorsque vous exécutez PsGetSid sans paramètres, vous obtiendrez le SID de l’ordinateur actuel:

C:\>PsGetSid

PsGetSid v1.44 - Translates SIDs to names and vice versa Copyright (C) 1999-2008 Mark Russinovich Sysinternals - www.sysinternals.com

SID for \\DYSERT-PC:

S-1-5-21-205299875-3125232665-432278398

A partir du nombre affiché, vous pouvez déterminer les différentes parties du SID; ils sont séparés par des tirets. Dans ce cas, le SID commence par « S-1-5 », qui indique le numéro de révision de la structure (1) et la valeur d’autorité de l’identificateur (5). Les nombres restants – encore une fois séparés par des tirets – sont les valeurs de sous-autorité.

Windows est livré avec certains comptes intégrés, de sorte que des SID leur sont déjà attribués avant qu’un compte utilisateur ne soit ajouté. Parmi les comptes intégrés figurent ceux pour l’administrateur et l’invité. L’exécution de PsGetSid sur chacun de ces éléments révèle les affectations suivantes:

C:\>PsGetSid Administrator

PsGetSid v1.44 - Translates SIDs to names and vice versa Copyright (C) 1999-2008 Mark Russinovich Sysinternals - www.sysinternals.com

SID for Dysert-PC\Administrator:

S-1-5-21-205299875-3125232665-432278398-500

C:\>PsGetSid Guest

PsGetSid v1.44 - Translates SIDs to names and vice versa Copyright (C) 1999-2008 Mark Russinovich Sysinternals - www.sysinternals.com

SID for Dysert-PC\Guest:

S-1-5-21-205299875-3125232665-432278398-501

Comme vous pouvez le voir, Windows a ajouté un numéro à chacun des SID du compte (500 et 501) pour garantir leur unicité. Ces suffixes uniques sont appelés identificateurs relatifs (RID). À mesure que de nouveaux comptes sont ajoutés, les RID commencent à 1 000 et sont incrémentés au besoin. Donc, exécuter PsGetSid sur le compte « Dysert » donne ceci:

C:\>PsGetSid Dysert

PsGetSid v1.44 - Translates SIDs to names and vice versa
Copyright (C) 1999-2008 Mark Russinovich Sysinternals - www.sysinternals.com

SID for Dysert-PC\Dysert:

S-1-5-21-205299875-3125232665-432278398-1000

Pour vérifier que ce SID est associé à ma connexion, je peux utiliser un autre outil Sysinternals appelé LogonSession, disponible ici:

http://technet.microsoft.com/en-us/sysinternals/bb896769.aspx

Voici la sortie produite par l’outil:

C:\LogonSessions

Logonsesions v1.21 Copyright (C) 2004-2010 Bryce Cogswell and Mark Russinovich Sysinternals - wwww.sysinternals.com

[6] Logon session 00000000:00468835:

User name:    Dysert-PC\Dysert     Auth package: NTLM     Logon type:   Interactive     Session:      1     Sid:          S-1-5-21-205299875-3125232665-432278398-1000     Logon time:   4/11/2014 3:20:29 AM     Logon server: DYSERT-PC     DNS Domain:

UPN:

Les SID sont également attribués à des groupes. Le SID attribué au groupe Administrateurs peut être obtenu de cette manière:

C:\>PsGetSid \Administrators

PsGetSid v1.44 - Translates SIDs to names and vice versa Copyright (C) 1999-2008 Mark Russinovich Sysinternals - www.sysinternals.com

SID for \Administrators:

S-1-5-32-544

Si, pour une raison quelconque, vous ne souhaitez pas utiliser l’outil PsGetSid, vous pouvez toujours obtenir des informations SID à partir de l’utilitaire intégré, wmic. À partir de la ligne de commande, saisissez « wmic useraccount get name, sid » (sans les guillemets). La sortie suivante apparaîtra:

C:\wmic useraccount get name,sid Name           SID Administrator  S-1-5-21-205299875-3125232665-432278398-500 ASPNET         S-1-5-21-205299875-3125232665-432278398-1003 Dysert         S-1-5-21-205299875-3125232665-432278398-1000 Guest          S-1-5-21-205299875-3125232665-432278398-501 SQLDebugger    S-1-5-21-205299875-3125232665-432278398-1007

Cette astuce (13106) s’applique à Windows 7, 8 et 10.