Was ist eine Security ID?

Erstellt am 10. April 2000 von Rainer Gerhards.

Security IDs (SID) werden von Windows 2000 intern zur Identifikation von Benutzern und Gruppen verwendet. Die SID stammt noch aus alten NT-Manager Zeiten (also NT 4.0 und Vorläufer).

Wann immer Rechte unter Windows NT / 2000 vergeben werden, wird nicht der Name des Benutzers verwendet, sondern dessen ID. Die SID wird bei Anlegen des Benutzers erstellt. Wird der Benutzer gelöscht, so wird auch auch die SID gelöscht. Wird anschließend ein Benutzer mit gleichem Namen angelegt, so erhält er dennoch eine neue SID. Mit der Löschung eines Benutzer gehen dessen Rechte also unwiederbringlich verloren

SIDs werden nicht  nur im NTFS verwendet, sondern auch von Applikationen. Ein prominentes Beispiel dafür ist Microsoft Exchange Server. Auch dort wird das Postfach nicht mittels des Benutzernamens, sondern mittels der SID zugeordnet. Auch hier ist der Verlust der SID mit Verlust der Zugriffsrechte verbunden.

Für Active Directory ist wichtig zu wissen, dass die SID einen Bestandteil enthält, der die Domäne identifiziert (weitere Informationen zum Aufbau einer SID finden Sie hier). Wird ein Benutzer innerhalb des Active Directory in eine andere Domäne verschoben (und nur dann!) muss sich daher zwangsläufig auch dessen SID ändern. Wenn die entsprechenden Domänen im "native Mode" betrieben werden, kann das System intern für eine entsprechende Rechteanpassung sorgen. Falls nicht, sind allerdings Schwierigkeiten vorprogrammiert. Das Verschieben eines Benutzers in eine andere Domäne sollte also gut überlegt sein.

Wichtig: Wird ein Benutzer innerhalb eine Domäne von einer OU in eine andere verschoben, ändert sicht die SID nicht! 

Bücher zu Active Directory