Перенос профиля пользователя и SIDы

Решил дописать, в виду частой проблемной ситуации связанной с переносом профилей пользователей посредством перемещения папки пользователя и изменением директории «ProfileImagePath» в системном реестре.
Симптомы проблемы: вроде бы всё правильно сделано, НО — при входе перенесённого пользователя, в папке пользователей («Documents and Settings» или «Users» , в зависимости от версии системы) создаётся новая папка либо с тем же именем, либо «тожеимя.имякомпа» , либо вообще «TEMP» — в данном случае проблема в отсутствии прав на перенесённую папку пользователя, т.е. если он не администратор компьютера,а вы же переносите от админа — соответственно права на запись и изменение на данную папку будут только для админов, а для обычных юзеров их нужно назначать через закладку «Безопасность» свойств папки — «Изменить*» — «Добавить» — «Размещение**» — «Дополнительно» — «Поиск» — находим нужного — соглашаемся везде кроме закладки «Безопасность» , выделяем нужного юзера и ниже ставим «Полный доступ» — теперь можем жать «ОК» .
* — Vista и выше
** — если компьютер в домене — убедиться что выбран нужный вариант

Идентификаторы SID в системном реестре:
SID: S-1-0

Название: Пустой администратор
Описание: Администратор идентификатора.
SID: S-1-0-0

Название: Никто
Описание: Нет участника безопасности.
SID: S-1-1

Название: Международный администратор
Описание: Администратор идентификатора.
SID: S-1-1-0

Название: Все
Описание: Группа, в которую входят все пользователи, даже анонимные пользователи и гости. Принадлежность контролируется операционной системой.

Примечание. По умолчанию в группу «Все» более не входят анонимные пользователи на компьютере, работающем под управлением Windows XP с пакетом обновления 2 (SP2).
SID: S-1-2 

Название: Местный администратор
Описание: Администратор идентификатора.
SID: S-1-2-0

Название: Локальное хранилище
Описание: Группа, включающая всех пользователей, вошедших в систему локально.
SID: S-1-2-1

Название: Консольный вход
Описание: Группа, включающая пользователей, вошедших в физическую консоль.

Примечание. Этот идентификатор безопасности добавлен в системах Windows 7 и Windows Server 2008 R2.
SID: S-1-3 

Название: Администратор-создатель
Описание: Администратор идентификатора.
SID: S-1-3-0

Название: Создатель-владелец
Описание: Замещающий элемент в наследуемой записи управления доступом (ACE). При наследовании ACE система замещает этот SID идентификатором SID создателя объекта.
SID: S-1-3-1 

Название: Группа-создатель
Описание: Замещающий элемент в наследуемой записи управления доступом (ACE). При наследовании ACE система замещает этот SID идентификатором SID основной группы создателя объекта. Основная группа используется только подсистемой POSIX.
SID: S-1-3-2
Название: Создатель-владелец сервер
Описание: Этот SID не используется в операционной системе Windows 2000.
SID: S-1-3-3
Название: Группа-создатель сервер
Описание: Этот SID не используется в операционной системе Windows 2000.
SID: S-1-3-4

Название: Права владельца
Описание: Группа, представляющая текущего владельца объекта. Когда элемент управления доступом, несущий данный SID, применяется к объекту, система игнорирует подразумеваемые разрешения READ_CONTROL и WRITE_DAC для владельца объекта.
SID: S-1-5-80-0
Имя: Все службы
Описание. Группа, в которую входят все процессы служб, настроенных в системе. Принадлежность контролируется операционной системой.

Примечание. Этот идентификатор безопасности добавлен в системах Windows Vista и Windows Server 2008.
SID: S-1-4
Название: Неуникальный администратор
Описание: Администратор идентификатора.
SID: S-1-5
Название: Администратор NT
Описание: Администратор идентификатора.
SID: S-1-5-1
Название: Удаленный доступ
Описание: Группа, в которую входят все пользователи, вошедшие в систему с использованием удаленного доступа. Принадлежность контролируется операционной системой.
SID: S-1-5-2
Название: Сеть
Описание: Группа, в которую входят все пользователи, вошедшие в систему с использованием сетевого подключения. Принадлежность контролируется операционной системой.
SID: S-1-5-3
Название: Партия
Описание: Группа, в которую входят все пользователи, вошедшие в систему с использованием средства пакетной очереди. Принадлежность контролируется операционной системой.
SID: S-1-5-4
Название: Интерактивные
Описание: Группа, в которую входят все пользователи, вошедшие в систему с использованием интерактивного входа. Принадлежность контролируется операционной системой.
SID: S-1-5-5-X-Y
Название: Сеанс входа в систему
Описание: Сеанс входа в систему. Значения X и Y для этих идентификаторов SID меняются в каждом сеансе.
SID: S-1-5-6
Название: Служба
Описание: Группа, в которую входят все участники безопасности, вошедшие в систему в качестве службы. Принадлежность контролируется операционной системой.
SID: S-1-5-7
Название: Анонимный
Описание: Группа, в которую входят все пользователи, вошедшие в систему анонимно. Принадлежность контролируется операционной системой.
SID: S-1-5-8
Название: Прокси
Описание: Этот SID не используется в операционной системе Windows 2000.

SID: S-1-5-9
Название: Контроллеры домена предприятия
Описание: В эту группу входят все контроллеры доменов в лесу, в котором используется служба каталога Active Directory. Принадлежность контролируется операционной системой.

SID: S-1-5-10
Название: Self участника
Описание: Замещающий элемент в наследуемом элементе управления доступом (ACE) на объекте учетной записи или объекте группы в Active Directory. При наследовании ACE система замещает этот SID идентификатором SID участника безопасности, владеющего данной учетной записью.

SID: S-1-5-11
Название: Прошедшие проверку
Описание: Группа, в которую входят все пользователи, идентификаторы которых были проверены при входе в систему. Принадлежность контролируется операционной системой.

SID: S-1-5-12
Название: Запрещенный код
Описание: Данный SID зарезервирован для использования в будущем.

SID: S-1-5-13
Название: Пользователи сервера терминалов
Описание: В эту группу входят все пользователи, вошедшие в систему сервера служб терминалов. Принадлежность контролируется операционной системой.

SID: S-1-5-14 Название: Удаленный интерактивный вход
Описание: Группа, которая включает всех пользователей, вошедших в систему с помощью служб терминалов.

SID: S-1-5-15
Название: Эта организация
Описание: Группа, включающая всех пользователей одной организации. Содержит только учетные записи AD и добавляется только контроллером домена с системой Windows Server 2003 или более поздней версии.

SID: S-1-5-17
Название: Эта организация
Описание: Учетная запись, используемая пользователем служб IIS по умолчанию.

SID: S-1-5-18
Название: Локальная система
Описание: Учетная запись службы, используемая операционной системой.

SID: S-1-5-19
Название: Администратор NT
Описание: Локальная служба

SID: S-1-5-20
Название: Администратор NT
Описание: Сетевая служба

SID: S-1-5-21домен-500
Название: Администратор
Описание: Учетная запись администратора системы. По умолчанию только эта запись обеспечивает полный контроль системы.

SID: S-1-5-21домен-501
Название: Гость
Описание: Учетная запись для лиц, не имеющих индивидуальной учетной записи. Для данной учетной записи пароль не требуется. По умолчанию учетная запись «Гость» отключена.

SID: S-1-5-21домен-502
Название: KRBTGT
Описание: Учетная запись, используемая службой «Центр распространения ключей» (KDC).

SID: S-1-5-21домен-512
Название: Администраторы домена
Описание: Глобальная группа, членам которой разрешено управлять доменом. По умолчанию группа «Администраторы домена» является членом группы «Администраторы» на всех компьютерах, входящих в домен, включая контроллеры доменов. Группа «Администраторы домена» по умолчанию является владельцем любого объекта, созданного любым членом группы.

SID: S-1-5-21домен-513
Название: Пользователи домена
Описание: Глобальная группа, в которую по умолчанию входят все учетные записи домена. При создании учетной записи в домене она по умолчанию добавляется в эту группу.

SID: S-1-5-21домен-514
Название: Гости домена
Описание: Глобальная группа, в которую по умолчанию входит только один член — встроенная учетная запись гостя, соответствующая данному домену.

SID: S-1-5-21домен-515
Название: Компьютеры домена
Описание: Глобальная группа, в которую входят все клиенты и серверы, входящие в домен.

SID: S-1-5-21домен-516
Название: Контроллеры домена
Описание: Глобальная группа, в которую входят все контроллеры данного домена. По умолчанию новые контроллеры домена добавляются в эту группу.

SID: S-1-5-21домен-517
Название: Издатели сертификатов
Описание: Глобальная группа, в которую входят все компьютеры, на которых работает центр сертификации предприятия. Издателям сертификатов разрешено публиковать сертификаты для объектов пользователей в Active Directory.

SID: S-1-5-21корневой домен-518
Название: Администраторы схемы
Описание: Универсальная группа в домене с основным режимом; глобальная группа в домене со смешанным режимом. Данной группе разрешено вносить изменения в схему в Active Directory. По умолчанию единственным членом группы является учетная запись «Администратор» для корневого домена леса.

SID: S-1-5-21корневой домен-519
Название: Администраторы предприятия
Описание: Универсальная группа в домене с основным режимом; глобальная группа в домене со смешанным режимом. Данной группе разрешено вносить изменения на уровне леса в Active Directory, например добавлять дочерний домен. По умолчанию единственным членом группы является учетная запись «Администратор» для корневого домена леса.

SID: S-1-5-21домен-520
Название: Владельцы-создатели групповой политики
Описание: Глобальная группа, которой разрешено создавать новые объекты групповой политики в Active Directory. По умолчанию единственным членом группы является «Администратор».

SID: S-1-5-21домен-553
Название: Серверы RAS и IAS
Описание: Локальная группа домена. По умолчанию в этой группе нет членов. Серверы этой группы имеют ограничения на чтение учетных записей и доступ к чтению информации о входе в систему для объектов «Пользователь» в локальной группе домена Active Directory.

SID: S-1-5-32-544
Название: Администраторы
Описание: Встроенная группа. После первоначальной установки операционной системы единственным членом этой группы является учетная запись «Администратор». Когда компьютер присоединяется к домену, группа «Администраторы домена» добавляется к группе «Администраторы». Когда сервер становится контроллером домена, группа «Администраторы предприятия» также добавляется к группе «Администраторы».

SID: S-1-5-32-545
Название: Пользователи
Описание: Встроенная группа. После первоначальной установки операционной системы единственным членом этой группы является группа «Прошедшие проверку». Когда компьютер присоединяется к домену, группа «Пользователи домена» добавляется к группе «Пользователи» на этом компьютере.

SID: S-1-5-32-546
Название: Гости
Описание: Встроенная группа. По умолчанию единственным членом группы является учетная запись «Гость». Группа «Гости» предоставляет возможность периодическим или однократным пользователям входить в систему с ограниченными правами встроенной в компьютер учетной записи «Гость».

SID: S-1-5-32-547
Название: Опытные пользователи
Описание: Встроенная группа. По умолчанию в этой группе нет членов. Членам группы «Опытные пользователи» разрешено создавать локальных пользователей и группы; изменять и удалять созданные ими учетные записи; удалять пользователей из групп «Опытные пользователи», «Пользователи» и «Гости». Также членам группы «Опытные пользователи» разрешается устанавливать программы; создавать, удалять локальные принтеры и управлять ими; создавать и удалять общие файловые ресурсы.

SID: S-1-5-32-548
Название: Операторы учета
Описание: Встроенная группа, существующая только на контроллерах доменов. По умолчанию в этой группе нет членов. По умолчанию членам группы «Операторы учетных записей» разрешено создавать, изменять и удалять учетные записи пользователей, групп и компьютеров во всех контейнерах и подразделениях Active Directory, за исключением контейнера Builtin и подразделения «Контроллеры домена». Членам группы «Операторы учета» не разрешено ни вносить изменения в группы «Администраторы» и «Администраторы домена», ни изменять учетные записи членов этих групп.

SID: S-1-5-32-549
Название: Операторы сервера
Описание: Встроенная группа, существующая только на контроллерах доменов. По умолчанию в этой группе нет членов. Членам группы «Операторы сервера» разрешается входить на сервер в интерактивном режиме; создавать и удалять общие сетевые ресурсы; запускать и останавливать службы; делать резервные копии файлов и восстанавливать их; форматировать жесткий диск компьютера; завершать работу компьютера.

SID: S-1-5-32-550
Название: Операторы печати
Описание: Встроенная группа, существующая только на контроллерах доменов. По умолчанию единственным членом является группа «Пользователи домена». Членам группы «Операторы печати» разрешено управлять принтерами и очередями документов.

SID: S-1-5-32-551
Название: Операторы архива
Описание: Встроенная группа. По умолчанию в этой группе нет членов. Членам группы «Операторы архива» разрешено делать резервные копии всех файлов на компьютере и восстанавливать их независимо от разрешений, защищающих эти файлы. Также членам группы «Операторы архива» разрешается входить в систему и завершать работу компьютера.

SID: S-1-5-32-552
Название: Репликаторы
Описание: Встроенная группа, использующаяся службой репликации файлов на контроллерах доменов. По умолчанию в этой группе нет членов. Запрещается добавлять пользователей в эту группу.

SID: S-1-5-64-10
Название: Проверка подлинности NTLM
Описание: Идентификатор SID, используемый при проверке подлинности клиента пакетом NTLM.

SID: S-1-5-64-14
Название: Проверка подлинности SChannel
Описание: Идентификатор SID, используемый при проверке подлинности клиента пакетом SChannel.

SID: S-1-5-64-21
Название: Дайджест-проверка подлинности
Описание: Идентификатор SID, используемый при проверке подлинности клиента пакетом дайджест-проверки подлинности.

SID: S-1-5-80
Название: Служба NT
Описание: Префикс учетной записи службы NT.

SID S-1-5-80-0 = СЛУЖБЫ NT\ВСЕ СЛУЖБЫ
Имя: Все службы
Описание. Группа, в которую входят все процессы служб, настроенных в системе. Принадлежность контролируется операционной системой.

Примечание. Добавлено в Windows Server 2008 R2

SID: S-1-5-83-0
Имя: ВИРТУАЛЬНАЯ МАШИНА NT\Виртуальные машины
Описание. Встроенная группа. Группа создается во время установки роли Hyper-V. Членство в группе поддерживается службой управления Hyper-V (VMMS). Эта группа требует наличия таких прав: «Создание символических ссылок» (SeCreateSymbolicLinkPrivilege) и «Вход в качестве службы» (SeServiceLogonRight).

Примечание. Добавлен в Windows 8 и Windows Server 2012.

SID: S-1-16-0
Название: Ненадежный обязательный уровень
Описание: Ненадежный уровень целостности. Примечание. Этот идентификатор безопасности добавлен в системах Windows Vista и Windows Server 2008.

Примечание. Этот идентификатор безопасности добавлен в системах Windows Vista и Windows Server 2008.

SID: S-1-16-4096
Название: Низкий обязательный уровень
Описание: Низкий уровень целостности.

Примечание. Этот идентификатор безопасности добавлен в системах Windows Vista и Windows Server 2008.

SID: S-1-16-8192
Название: Средний обязательный уровень
Описание: Средний уровень целостности.

Примечание. Этот идентификатор безопасности добавлен в системах Windows Vista и Windows Server 2008.

SID: S-1-16-8448
Название: Обязательный уровень выше среднего
Описание: Уровень целостности выше среднего.

Примечание. Этот идентификатор безопасности добавлен в системах Windows Vista и Windows Server 2008.
SID: S-1-16-12288
Название: Высокий обязательный уровень
Описание: Высокий уровень целостности.

Примечание. Этот идентификатор безопасности добавлен в системах Windows Vista и Windows Server 2008.

SID: S-1-16-16384
Название: Системный обязательный уровень
Описание: Системный уровень целостности.

Примечание. Этот идентификатор безопасности добавлен в системах Windows Vista и Windows Server 2008.

SID: S-1-16-20480
Название: Обязательный уровень защищенного процесса
Описание: Уровень целостности защищенного процесса.

Примечание. Этот идентификатор безопасности добавлен в системах Windows Vista и Windows Server 2008.

SID: S-1-16-28672
Название: Обязательный уровень безопасного процесса
Описание: Уровень целостности безопасного процесса.

Примечание. Этот идентификатор безопасности добавлен в системах Windows Vista и Windows Server 2008.
Следующие группы отображаются как идентификаторы SID до тех пор, пока контроллер домена Windows Server 2003 не получит роль хозяина операций основного контроллера домена (PDC). Роль «хозяин операций» называют также ролью FSMO (Flexible Single Master Operations). При добавлении к домену контроллера домена Windows Server 2003 создаются следующие дополнительные встроенные группы:

SID: S-1-5-32-554
Название: BUILTIN\Пред-Windows 2000 доступ
Описание: Псевдоним, добавленный операционной системой Windows 2000. Группа обратной совместимости, предоставляющая право чтения информации обо всех пользователях и группах домена.

SID: S-1-5-32-555
Название: BUILTIN\Пользователи удаленного рабочего стола
Описание: Псевдоним. Членам этой группы обеспечивается право входа в систему в удаленном режиме.

SID: S-1-5-32-556
Название: BUILTIN\Операторы настройки сети
Описание: Псевдоним. Члены этой группы могут иметь некоторые привилегии администратора для управления настройкой возможностей работы в сети.

SID: S-1-5-32-557
Название: BUILTIN\Построители доверия входящих лесов
Описание: Псевдоним. Членам этой группы разрешается создавать входящие доверительные отношения в этом лесу.

SID: S-1-5-32-558
Название: BUILTIN\Пользователи системного монитора
Описание: Псевдоним. У членов этой группы имеется удаленный доступ к монитору данного компьютера.

SID: S-1-5-32-559
Название: BUILTIN\Пользователи журналов производительности
Описание: Псевдоним. У членов этой группы имеется удаленный доступ к планированию регистрации в журналах данных счетчиков производительности на этом компьютере.

SID: S-1-5-32-560
Название: BUILTIN\Группа авторизации доступа Windows
Описание: Псевдоним. У членов этой группы имеется доступ к вычисленному атрибуту tokenGroupsGlobalAndUniversal на объектах «Пользователь».

SID: S-1-5-32-561
Название: BUILTIN\Серверы лицензирования серверов терминалов
Описание: Псевдоним. Группа для серверов лицензирования серверов терминалов. При установке пакета обновления 1 для Windows Server 2003 создается новая локальная группа.

SID: S-1-5-32-562
Название: BUILTIN\Пользователи DCOM
Описание: Псевдоним. Группа COM для предоставления элементов управления доступом в пределах компьютера, которая обслуживает все запросы вызова, активации или запуска на компьютере.

Указанные ниже группы отображаются в качестве идентификаторов SID до тех пор, пока контроллер домена Windows Server 2008 или Windows Server 2008 R2 не получит роль хозяина операций основного контроллера домена (PDC). Роль «хозяин операций» называют также ролью FSMO (Flexible Single Master Operations). При добавлении к домену контроллера домена Windows Server 2008 или Windows Server 2008 R2 создаются следующие дополнительные встроенные группы:

SID: S-1-5- 21домен -498
Название: Контроллеры домена предприятия — только чтение
Описание: Универсальная группа. Участники этой группы являются контроллерами домена с доступом только для чтения в предприятии.

SID: S-1-5- 21домен -521
Название: Контроллеры домена — только чтение
Описание: Глобальная группа. Участники этой группы являются контроллерами домена с доступом только для чтения в домене.

SID: S-1-5-32-569
Название: BUILTIN\Криптографические операторы
Описание: Встроенная локальная группа. Участники этой группы могут выполнять криптографические операции.

SID: S-1-5-21домен-571
Название: Группа с разрешением репликации паролей RODC
Описание: Локальная группа домена. Участники этой группы могут реплицировать свои пароли на все контроллеры домена с доступом только для чтения в домене.

SID: S-1-5- 21домен -572
Название: Группа с запрещением репликации паролей RODC
Описание: Локальная группа домена. Участники этой группы не могут реплицировать свои пароли на контроллеры домена с доступом только для чтения в домене.

SID: S-1-5-32-573
Название: BUILTIN\Читатели журнала событий
Описание: Встроенная локальная группа. Участники этой группы могут читать журналы событий с локального компьютера.

SID: S-1-5-32-574
Название: BUILTIN\Доступ DCOM службы сертификации
Описание: Встроенная локальная группа. Участникам этой группы разрешено подключаться к центрам сертификации предприятия.

Следующие группы отображаются как идентификаторы SID до тех пор, пока контроллер домена Windows Server 2012 не получит роль хозяина операций основного контроллера домена (PDC). Роль «хозяин операций» называют также ролью FSMO (Flexible Single Master Operations). При добавлении к домену контроллера домена Windows Server 2012 создаются следующие дополнительные встроенные группы:

SID: S-1-5-21-домен-522
Имя: клонируемые контроллеры домена
Описание: глобальная группа. Члены этой группы, которые являются контроллерами домена, могут быть клонированы.

SID: S-1-5-32-575
Имя: серверы удаленного доступа BUILTIN\RDS.
Описание: встроенная локальная группа. Серверы в этой группе позволяют пользователям программ RemoteApp и персональных виртуальных рабочих столов получать доступ к этим ресурсам. При развертывании выхода в Интернет эти серверы, как правило, развертываются в границах сети. Эту группу необходимо заполнить на серверах, работающих с использованием посредника подключений к удаленному рабочему столу. В этой группе необходимо присутствие используемых в развертывании серверов шлюза удаленных рабочих столов и серверов веб-доступа к удаленным рабочим столам.

SID: S-1-5-32-576
Имя: серверы конечной точки BUILTIN\RDS.
Описание: встроенная локальная группа. Серверы в этой группе запускают виртуальные машины и сессии, в которых работают пользователи программ RemoteApp и персональные виртуальные рабочие столы. Эту группу необходимо заполнить на серверах, работающих с использованием посредника подключений к удаленному рабочему столу. В этой группе необходимо присутствие используемых в развертывании серверов узлов сеансов удаленных рабочих столов и серверов узлов виртуализации удаленных рабочих столов.

SID: S-1-5-32-577
Имя: серверы управления BUILTIN\RDS.
Описание: встроенная локальная группа. Серверы в этой группе могут выполнять стандартные административные действия на серверах, работающих со службами удаленного рабочего стола. Эту группу необходимо заполнить на всех серверах при развертывании служб удаленного рабочего стола. В нее должны быть включены серверы, использующие службу централизованного управления RDS.

SID: S-1-5-32-578
Имя: администраторы BUILTIN\Hyper-V.
Описание: встроенная локальная группа. У членов этой группы имеется полный и неограниченный доступ ко всем функциям Hyper-V.

SID: S-1-5-32-579
Имя: операторы поддержки управления BUILTIN\Access.
Описание: встроенная локальная группа. Членам этой группы разрешается удаленно делать запросы на получение атрибутов авторизации и разрешений для ресурсов на этом компьютере.

SID: S-1-5-32-580
Имя: BUILTIN\пользователи удаленного управления.
Описание: встроенная локальная группа. Члены этой группы могут иметь доступ к инструментарию WMI через протоколы управления (например, WS-Management с использованием службы удаленного управления Windows). Это применимо только к пространствам имен WMI, которые предоставляют доступ пользователю.

 

источник microsoft.com

Добавить комментарий

Ваш e-mail не будет опубликован или использован в иных целях.
Your email address will not be published.