Security Identifier atau sering disebut dengan SID merupakan angka-angka internal yang terdapat dalam Security Account Manager (SAM) dalam keluarga sistem operasi Microsoft Windows NT. SID dapat secara unik mengidentifikasi seorang pengguna (dalam Windows: "user"), grup pengguna (dalam sistem Windows: "group"), atau akun komputer dalam sebuah domain. SID digunakan secara internal oleh Windows NT dan Windows 2000 untuk menyediakan akses kepada pengguna terhadap sumber daya jaringan atau fungsi access control.
Ketika seorang pengguna masuk log ke sebuah komputer, access token akan dibuat oleh Windows, yang akan mengandung SID milik pengguna dan group di mana pengguna itu berada, serta level hak akses yang dimiliki oleh pengguna tersebut. Ketika pengguna tersebut melakukan request terhadap sebuah sumber daya, access token akan dicek oleh Access Control List (ACL) untuk mengizinkan atau menolak apa yang dilakukan oleh pengguna tersebut terhadap sebuah objek tertentu.
Para desainer Windows NT membuat SID agar bersifat unik, karena SID dibuat dengan menggunakan kombinasi antara informasi pengguna, informasi domain, serta waktu kapan akun tersebut dibuat. Format yang umum digunakan oleh SID adalah kumpulan angka desimal yang dipisahkan dengan menggunakan tanda strip (-), dengan format seperti:
S-1-X-Y1-Y2-Yn...RID
di mana:
- S merupakan tanda bahwa hal tersebut merupakan struktur data SID.
- angka 1, merupakan revisi SID tersebut. S-1 berarti SID revisi 1.
- X merupakan nilai Identifier Authority
- Y1, Y2, hingga Yn merupakan nilai Identifier subauthority. Nilai ini berisi informasi nama domain, dan informasi lainnya.
- RID merupakan nilai Relative Identifier
Pada contoh SID S-1-5-21-3071428036-2802733959-4154675707-1008
, dapat diambil kesimpulan bahwa:
- Revisi:
1
- Identifier Authority:
5
- Identifier Subauthority:
21-3071428036-2802733959-4154675707
. Nilai ini merupakan nilai yang dibentuk oleh domain atau komputer yang bersangkutan.
- RID: 1008; Untuk setiap pengguna yang ditambahkan oleh Administrator, RID yang akan dibuat adalah 1000 dan seterusnya (1001, 1002 dan seterusnya.). Nilai 1008 berarti akun pengguna tersebut merupakan akun yang ke 9 dari domain/komputer yang memiliki nomor tanda pengenal
21-3071428036-2802733959-4154675707
.
SID sangatlah berguna untuk melakukan troubleshooting terhadap masalah yang berkaitan dengan pengauditan keamanan serta migrasi domain Windows Server.
Mengubah nama pengguna, nama komputer, atau nama domain tidak akan mengubah angka SID untuk akun tersebut. Administrator juga tidak dapat memodifikasi SID secara langsung, dan umumnya seorang administrator tidak perlu mengetahui mengenai informasi SID yang diberikan kepada akun tertentu. Untuk dapat melihat informasi SID, gunakan utilitas PsGetSID
buatan Mark Russinovich, yang dapat diperoleh dari situs SysInternals atau dari situs Microsoft Technet: Sysinternals.
Well known SID
Ada beberapa SID yang memiliki nilai yang sama di semua instalasi sistem operasi Windows ataupun domain berbasis Windows Server, yang disebut sebagai Well known Security Identifier. Mereka itu adalah:
- SID:
S-1-5-18
Merupakan SID yang dimiliki oleh akun NT AUTHORITY\LOCAL SYSTEM
, sebuah akun yang digunakan oleh sistem operasi Windows. Jika disamakan dengan keluarga sistem operasi UNIX, akun ini sama dengan root
.
- SID:
S-1-5-19
Merupakan SID yang dimiliki oleh akun NT AUTHORITY\LOCAL SERVICE
. Jika disamakan dengan sistem operasi UNIX, akun ini sama dengan daemon
.
- SID:
S-1-5-20
Merupakan SID yang dimiliki oleh akun NT AUTHORITY\NETWORK SERVICE
. Jika disamakan dengan sistem operasi UNIX, akun ini sama dengan daemon
.
- SID:
S-1-5-21-domain-500
Merupakan SID yang dimiliki oleh akun Administrator Windows. Secara default, akun inilah yang diberi kekuasaan penuh untuk menangani sistem yang bersangkutan. Administrator Windows tidak sama dengan root
, karena beberapa hak/privilese tidak ia miliki, seperti halnya membuat object token.[1]
- SID:
S-1-5-21-domain-501
Merupakan SID yang dimiliki oleh akun "Guest", yakni para pengguna yang tidak memiliki akun secara individual, tapi menghendaki akses ke sebuah sistem, meski secara anonim. Akun pengguna ini tidak membutuhkan password, dan secara default, akun ini dimatikan oleh Windows, dan adalah tugas seorang Administrator untuk mengaktifkannya bila diperlukan.
- SID:
S-1-5-21-domain-512
Merupakan SID yang dimiliki oleh group Domain Admins
, yakni sebuah grup global yang memiliki anggota yang diberi hak untuk mengatur sebuah domain. Secara default, group ini adalah anggota dari group Administrators yang terdapat dalam semua komputer yang tergabung ke dalam sebuah domain, termasuk di antaranya adalah domain controller. Domain Admins merupakan pemilik objek default dari semua objek yang dibuat oleh anggota lainnya dalam group tersebut.
- SID:
S-1-5-21-domain-514
Merupakan SID yang dimiliki oleh group Domain Guests, yakni sebuah grup global yang secara default memiliki satu orang anggota, yakni akun Guest milik domain yang bersangkutan.
Catatan kaki
- ^ Inside Windows NT, Second Edition oleh David Solomon terbitan Microsoft Press 1998