Идентификаторы безопасности. Принципалы безопасности, такие как пользователи и компьютеры, представлены в системе идентификаторами безопасности security identifier, SID . SID уникально идентифицирует принципала безопасности для всех компьютеров домена.
При создании учетной записи при помощи оснастки Local Users and Groups Локальные пользователи и группы, всегда создается новый SID, даже если используется такие же имя учетной записи и пароль, как в удаленной учетной записи.
SID будет оставаться с учетной записью в течение всего времени ее существования. Можно поменять любой другой атрибут учетной записи, включая имя пользователя и пароль, но в обычных обстоятельствах нельзя изменить SID, поскольку при этом создается новая учетная запись. Групповые учетные записи также имеют SID, уникальный идентификатор, создающийся при создании группы.
Для идентификаторов SID, групп действуют те же правила, что и для SID учетных записей. Процесс WinLogon часть процесса Local Security Authority проверяет имя пользователя и пароль или смарт-карту при соответствующей конфигурации, чтобы определить, можно ли разрешить доступ к компьютеру. Если указанный в диалоговом окне входа в систему домен является именем локального компьютера, LSA проверит учетную запись в соответствии с локальным SAM, хранимым в реестре.
В ином случае LSA установит связь с контроллером домена и воспользуется для проверки подлинности данных пользователя аутентификацией Kerberos в случае Windows 2000 или NLTM в случае всех остальных версий Windows, включая Windows 2000 в режиме Mixed Mode, в зависимости от операционной системы клиента. Если имя учетной записи и пароль правильны, процесс WinLogon coздаст токен доступа.
Токен доступа Acess Token образуется из SIDучетной записи пользователя, SID групп, к которым принадлежит, учетная запись, и Locally Unique Identifier локально уникальный идентификатор, LUID , который определяет права пользователя и конкретный сеанс входа в систему. Токен доступа создается при каждом вашем входе в Windows 2000. Существуют особые идентификаторы SID. System SID зарезервирован для системных служб, содержащие System SID токены доступа могут, обходить все ограничения безопасности, основанные на учетных записях. SID дает системным службам разрешение на осуществление тех действий, которые обычная учетная запись пользователя даже учетная запись Administrator Администратор делать не может.
Службы операционной системы запускаются ядром Windows 2000, а не процессом WinLogon, и эти службы получают System SID от ядра при своем запуске. 4.2.