A Số nhận dạng bảo mật (SID) là một giá trị duy nhất có độ dài thay đổi được sử dụng để xác định nguyên tắc bảo mật (chẳng hạn như nhóm bảo mật) trong hệ điều hành Windows. SID xác định người dùng chung hoặc nhóm chung đặc biệt nổi tiếng. Giá trị của chúng không đổi trên tất cả các hệ điều hành. Trong bài đăng này, chúng tôi sẽ cố gắng tìm hiểu lý do tại sao một số SID không phân giải thành tên thân thiện và sau đó đề xuất những gì có thể được thực hiện để giải quyết bất kỳ SID nào thành tên thân thiện nếu có thể.
Thông tin này hữu ích để khắc phục sự cố liên quan đến bảo mật. Nó cũng hữu ích để khắc phục sự cố hiển thị trong trình chỉnh sửa danh sách kiểm soát truy cập (ACL) của Windows. Windows theo dõi hiệu trưởng bảo mật bằng SID của nó. Để hiển thị nguyên tắc bảo mật trong trình chỉnh sửa ACL, Windows phân giải SID thành tên chính bảo mật liên quan của nó.
Ở một số vị trí trong giao diện người dùng Windows, như trong hình trên. bạn thấy số nhận dạng bảo mật tài khoản Windows (SIDS) không phân giải thành tên thân thiện. Những nơi này bao gồm những thứ sau:
- Trình khám phá tệp
- Báo cáo Kiểm tra Bảo mật
- Trình chỉnh sửa danh sách kiểm soát truy cập (ACL) trong Registry Editor
Các SID chưa được giải quyết này là như vậy bởi vì Windows Server 2012 và Windows 8 đã giới thiệu một loại SID được gọi là SID khả năng . Theo thiết kế, một SID khả năng không phân giải thành một tên thân thiện.
Khả năng được sử dụng phổ biến nhất SID như sau:
S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681
Windows 10, phiên bản 1809 sử dụng hơn 300 SID khả năng.
SID hiển thị thay vì Tên người dùng
Khi bạn đang khắc phục sự cố SID không giải quyết được tên thân thiện, hãy đảm bảo rằng đó không phải là SID khả năng.
Thận trọng: KHÔNG XÓA các SID khả năng từ Quyền đăng ký hoặc hệ thống tệp. Loại bỏ SID khả năng khỏi quyền hệ thống tệp hoặc quyền đăng ký có thể khiến một tính năng hoặc ứng dụng hoạt động không chính xác. Sau khi xóa SID khả năng, bạn không thể sử dụng giao diện người dùng để thêm lại nó.
Để nhận danh sách tất cả các SID khả năng mà Windows có bản ghi, hãy làm theo các bước sau:
Nhấn phím Windows + R.
Trong hộp thoại Chạy, nhập regedit và nhấn Enter để mở Registry Editor.
Điều hướng hoặc chuyển đến đường dẫn khóa đăng ký bên dưới:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\
Trên ngăn bên phải, nhấp đúp vào AllCachedCapabilities mục nhập.
Sao chép tất cả dữ liệu trong Dữ liệu giá trị và dán nó vào một trình soạn thảo văn bản mà bạn chọn, nơi bạn có thể tìm kiếm dữ liệu.
Giá trị này có thể không bao gồm tất cả các SID khả năng mà các ứng dụng của bên thứ ba sử dụng.
Tìm kiếm dữ liệu cho SID mà bạn đang khắc phục sự cố.
Nếu bạn tìm thấy SID trong dữ liệu đăng ký, thì đó là SID khả năng. Theo thiết kế, nó sẽ không phân giải thành một tên thân thiện. Nếu bạn không tìm thấy SID trong dữ liệu đăng ký, thì đó không phải là SID khả năng đã biết. Bạn có thể tiếp tục khắc phục sự cố như một SID bình thường chưa được giải quyết. Hãy nhớ rằng có một khả năng nhỏ là SID có thể là SID khả năng của bên thứ ba, trong trường hợp đó, nó sẽ không phân giải thành một tên thân thiện.
SID khả năng
Khả năng SID xác định các khả năng duy nhất và không thay đổi. Trong ngữ cảnh này, một khả năng là mã thông báo quyền hạn không thể giả mạo cấp cho một thành phần Windows hoặc Ứng dụng Windows phổ biến quyền truy cập vào các tài nguyên như tài liệu, máy ảnh, vị trí, v.v. Ứng dụng “có” một khả năng được cấp quyền truy cập vào tài nguyên được liên kết với khả năng. Ứng dụng “không có” khả năng bị từ chối quyền truy cập vào tài nguyên được liên kết.