Windows 操作系统中已知的安全标识符
适用于: Windows Server, version 1909Windows Server, version 1903Windows Server version 1809 详细
重要提示:本文章是 Microsoft 软件自动翻译的结果,而非专业译者翻译的结果。 Microsoft 提供专业人员翻译的文章、由自动翻译生成的文章以及来自 Microsoft 社区的文章翻译,因此你能够以自己的语言阅读所有知识库文章。 需要注意的是,由自动翻译生成的文章(包括 Microsoft 社区审阅的文章)可能包含词汇、句法或语法错误。 对于因不正确的内容翻译或使用不正确的内容翻译而造成的不准确或错误或任何损害,Microsoft 概不负责。
查看原始英文文章:243330
摘要
安全标识符 (SID) 是可变长度的唯一值,用于标识 Windows 操作系统中的安全主体(如安全组)。标识通用用户或通用组的 SI 特别广为人知。它们的值在所有操作系统中保持不变。
此信息可用于排除涉及安全性的问题。它还可用于解决 Windows 访问控制列表 (ACL) 编辑器中的显示问题。Windows 通过其 SID 跟踪安全主体。要在 ACL 编辑器中显示安全主体,Windows 会将 SID 解析为其关联的安全主体名称。
注意
本文介绍了 ACL 编辑器显示安全主体 SID 而不是安全主体名称的情况。
随着时间的推移,这套著名的 SID 已经成长起来。本文中的表根据 Windows 的哪个版本来组织这些 SID。
- 著名的 SID(所有版本的 Windows)
- 由 Windows 服务器 2003 和更高版本添加的 SID
- 由 Windows 服务器 2008 和更高版本添加的 SID
- 由 Windows 服务器 2012 及更高版本添加的 SID
- 功能扫描
- 参考
著名的 SID(所有版本的 Windows)
所有版本的 Windows 都使用以下众所周知的 SID。
| 希 | 名称 | 说明 |
| S-1-0 | 空权限 | 标识符权限。 |
| S-1-0-0 | 没 | 没有安全主体。 |
| S-1-1 | 世界管理局 | 标识符权限。 |
| S-1-1-0 | 每个人 都 | 包含所有用户,甚至匿名用户和来宾的组。成员资格由操作系统控制。 备注 默认情况下,"所有人"组不再包括运行 Windows XP 服务包 2 (SP2) 的计算机上的匿名用户。 |
| S-1-2 | 地方当局 | 标识符权限。 |
| S-1-2-0 | 当地 | 包含本地登录的所有用户的组。 |
| S-1-3 | 创造者授权 | 标识符权限。 |
| S-1-3-0 | 创建者所有者 | 可继承的访问控制条目 (ACE) 中的占位符。继承 ACE 时,系统将此 SID 替换为对象的创建者的 SID。 |
| S-1-3-1 | 创建者组 | 可继承的 ACE 中的占位符。继承 ACE 时,系统将此 SID 替换为对象创建者的主组的 SID。主组仅由 POSIX 子系统使用。 |
| S-1-3-4 | 所有者权利 | 表示对象的当前所有者的组。当携带此 SID 的 ACE 应用于对象时,系统将忽略对象所有者的隐式READ_CONTROL和WRITE_DAC权限。 |
| S-1-4 | 非唯一授权 | 标识符权限。 |
| S-1-5 | NT 管理局 | 标识符权限。 |
| S-1-5-1 | 拨号 | 包含通过拨号连接登录的所有用户的组。成员资格由操作系统控制。 |
| S-1-5-2 | 网络 | 包含通过网络连接登录的所有用户的组。成员资格由操作系统控制。 |
| S-1-5-3 | 批 | 包含通过批处理队列设施登录的所有用户的组。成员资格由操作系统控制。 |
| S-1-5-4 | 互动 | 包含以交互方式登录的所有用户的组。成员资格由操作系统控制。 |
| S-1-5-5-X-Y | 登录会话 | 登录会话。这些 SID 的 X 和 Y 值对于每个会话都不同。 |
| S-1-5-6 | 服务 | 包含已作为服务登录的所有安全主体的组。成员资格由操作系统控制。 |
| S-1-5-7 | 匿名 | 包含匿名登录的所有用户的组。成员资格由操作系统控制。 |
| S-1-5-9 | 企业域控制器 | 包含使用活动目录目录服务的林中的所有域控制器的组。成员资格由操作系统控制。 |
| S-1-5-10 | 主体自我 | 活动目录中的帐户对象或组对象上可继承的 ACE 中的占位符。继承 ACE 时,系统将此 SID 替换为持有帐户的安全主体的 SID。 |
| S-1-5-11 | 已验证的用户 | 包含其登录时已验证其身份的所有用户的组。成员资格由操作系统控制。 |
| S-1-5-12 | 受限代码 | 此 SID 保留供将来使用。 |
| S-1-5-13 | 终端服务器用户 | 包含已登录到终端服务服务器的所有用户的组。成员资格由操作系统控制。 |
| S-1-5-14 | 远程交互式登录 | 包含通过终端服务登录登录的所有用户的组。 |
| S-1-5-17 | 本组织 | 默认互联网信息服务 (IIS) 用户使用的帐户。 |
| S-1-5-18 | 本地系统 | 操作系统使用的服务帐户。 |
| S-1-5-19 | NT 管理局 | 本地服务 |
| S-1-5-20 | NT 管理局 | 网络服务 |
| S-1-5-21domain-500 | 管理员 | 系统管理员的用户帐户。默认情况下,它是授予对系统完全控制权的唯一用户帐户。 |
| S-1-5-21domain-501 | 客人 | 没有个人帐户的用户的用户帐户。此用户帐户不需要密码。默认情况下,来宾帐户被禁用。 |
| S-1-5-21domain-502 | KRBTGT | 密钥分发中心 (KDC) 服务使用的服务帐户。 |
| S-1-5-21domain-512 | 域管理员 | 其成员有权管理域的全局组。默认情况下,域管理员组是已加入域(包括域控制器)的所有计算机上的管理员组的成员。域管理员是组的任何成员创建的任何对象的默认所有者。 |
| S-1-5-21domain-513 | 域用户 | 默认情况下包含域中的所有用户帐户的全局组。在域中创建用户帐户时,默认情况下会将其添加到此组。 |
| S-1-5-21domain-514 | 域来宾 | 默认情况下只有一个成员的全局组,即域的内置来宾帐户。 |
| S-1-5-21domain-515 | 域计算机 | 包含已加入域的所有客户端和服务器的全局组。 |
| S-1-5-21domain-516 | 域控制器 | 包含域中所有域控制器的全局组。默认情况下,新域控制器将添加到此组。 |
| S-1-5-21domain-517 | 证书发布者 | 包含运行企业证书颁发机构的所有计算机的全局组。证书发布者有权发布活动目录中用户对象的证书。 |
| S-1-5-21root domain-518 | 架构管理员 | 本机模式域中的通用组;混合模式域中的全局组。该组有权在活动目录中进行架构更改。默认情况下,组的唯一成员是林根域的管理员帐户。 |
| S-1-5-21root domain-519 | 企业管理员 | 本机模式域中的通用组;混合模式域中的全局组。该组有权在活动目录中进行林范围的更改,例如添加子域。默认情况下,组的唯一成员是林根域的管理员帐户。 |
| S-1-5-21domain-520 | 组策略创建者所有者 | 授权在活动目录中创建新的组策略对象的全局组。默认情况下,组的唯一成员是管理员。 |
| S-1-5-21domain-526 | 密钥管理员 | 安全组。此组的目的是仅在msdsKeyCredentialLink属性上委派写入访问权限。该组用于受信任的外部机构(例如,活动目录联合服务)负责修改此属性的情况。只有受信任的管理员才应成为此组的成员。 |
| S-1-5-21domain-527 | 企业密钥管理员 | 安全组。此组的目的是仅在msdsKeyCredentialLink属性上委派写入访问权限。该组用于受信任的外部机构(例如,活动目录联合服务)负责修改此属性的情况。只有受信任的管理员才应成为此组的成员。 |
| S-1-5-21domain-553 | RAS 和 IAS 服务器 | 域本地组。默认情况下,此组没有成员。此组中的服务器具有对活动目录域本地组中的用户对象的读取帐户限制和读取登录信息访问权限。 |
| S-1-5-32-544 | 管理员 | 内置组。首次安装操作系统后,该组的唯一成员是管理员帐户。当计算机加入域时,域管理员组将添加到管理员组。当服务器成为域控制器时,企业管理员组也会添加到管理员组。 |
| S-1-5-32-545 | 用户 | 内置组。首次安装操作系统后,唯一的成员是"经过身份验证的用户"组。当计算机加入域时,域用户组将添加到计算机上的"用户"组。 |
| S-1-5-32-546 | 客人 | 内置组。默认情况下,唯一的成员是来宾帐户。来宾组允许偶尔或一次性用户以有限权限登录到计算机的内置来宾帐户。 |
| S-1-5-32-547 | 超级用户 | 内置组。默认情况下,组没有成员。超级用户可以创建本地用户和组;修改和删除他们创建的帐户;并从"超级用户、用户和来宾"组中删除用户。超级用户也可以安装程序;创建、管理和删除本地打印机;以及创建和删除文件共享。 |
| S-1-5-32-548 | 帐户操作员 | 仅存在于域控制器上的内置组。默认情况下,组没有成员。默认情况下,帐户操作员有权创建、修改和删除活动目录的所有容器和组织单位中的用户、组和计算机的帐户,但内置容器和域控制器OU 除外。帐户操作员没有修改管理员和域管理员组的权限,也没有修改这些组成员帐户的权限。 |
| S-1-5-32-549 | 服务器操作员 | 仅存在于域控制器上的内置组。默认情况下,组没有成员。服务器操作员可以以交互方式登录到服务器;创建和删除网络共享;启动和停止服务;备份和还原文件;格式化计算机的硬盘;并关闭计算机。 |
| S-1-5-32-550 | 打印操作员 | 仅存在于域控制器上的内置组。默认情况下,唯一的成员是域用户组。打印操作员可以管理打印机和文档队列。 |
| S-1-5-32-551 | 备份操作员 | 内置组。默认情况下,组没有成员。备份操作员可以备份和还原计算机上的所有文件,而不考虑保护这些文件的权限。备份操作员还可以登录到计算机并关闭计算机。 |
| S-1-5-32-552 | 复制 | 域控制器上的文件复制服务使用的内置组。默认情况下,组没有成员。不要将用户添加到此组。 |
| S-1-5-32-582 | 存储副本管理员 | 授予对存储副本的所有功能的完整和无限制访问权限的内置组。 |
| S-1-5-64-10 | NTLM 身份验证 | 在 NTLM 身份验证包对客户端进行身份验证时使用的 SID。 |
| S-1-5-64-14 | S通道身份验证 | 在 SChannel 身份验证包对客户端进行身份验证时使用的 SID。 |
| S-1-5-64-21 | 摘要式身份验证 | 摘要式身份验证包对客户端进行身份验证时使用的 SID。 |
| S-1-5-80 | NT 服务 | NT 服务帐户前缀。 |
由 Windows 服务器 2003 和更高版本添加的 SID
将运行 Windows Server 2003 或更高版本的域控制器添加到域时,Active Directory 会在下表中添加安全主体。
注意
Windows ACL 编辑器可能不会按名称显示这些安全原则。在主域控制器 (PDC) 仿真器灵活的单操作主机 (FSMO) 角色传输到运行 Windows Server 2003 或更高版本的域控制器或被其扣押之前,Active Directory 不会将这些特定数据(这些 SID)解析为相应的名称。
| 希 | 名称 | 说明 |
| S-1-3-2 | 创建者所有者服务器 | 此 SID 不在 Windows 2000 中使用。 |
| S-1-3-3 | 创建者组服务器 | 此 SID 不在 Windows 2000 中使用。 |
| S-1-5-8 | 代理 | 此 SID 不在 Windows 2000 中使用。 |
| S-1-5-15 | 本组织 | 包含来自同一组织的所有用户的组。仅包含在 AD 帐户中,并且仅由 Windows Server 2003 或更高版本的域控制器添加。 |
| S-1-5-32-554 | 内置_Windows 前 2000 兼容访问 | 由 Windows 2000 添加的别名。允许对域中的所有用户和组进行读取访问的向后兼容性组。 |
| S-1-5-32-555 | 内置_远程桌面用户 | 别名。此组中的成员被授予远程登录的权利。 |
| S-1-5-32-556 | 内置_网络配置运算符 | 别名。此组中的成员可以具有一些管理权限来管理网络功能的配置。 |
| S-1-5-32-557 | 内置_传入林信任生成器 | 别名。此组的成员可以创建对此林的传入单向信任。 |
| S-1-5-32-558 | 内置_性能监视器用户 | 别名。此组的成员具有远程访问来监视此计算机。 |
| S-1-5-32-559 | 内置_性能日志用户 | 别名。此组的成员可以远程访问计划记录此计算机上的性能计数器。 |
| S-1-5-32-560 | 内置_Windows授权访问组 | 别名。此组的成员有权访问用户对象上计算的令牌组全局和通用属性。 |
| S-1-5-32-561 | 内置\终端服务器许可证服务器服务器 | 别名。终端服务器许可证服务器的组。安装 Windows Server 2003 服务包 1 时,将创建新的本地组。 |
| S-1-5-32-562 | 内置_分布式 COM 用户 | 别名。COM 的组,用于提供计算机范围的访问控制,用于控制对计算机上的所有呼叫、激活或启动请求的访问。 |
由 Windows 服务器 2008 和更高版本添加的 SID
将运行 Windows Server 2008 或更高版本的域控制器添加到域时,Active Directory 会在下表中添加安全主体。
注意
Windows ACL 编辑器可能不会按名称显示这些安全原则。在 PDC 仿真器 FSMO 角色传输到运行 Windows Server 2008 或更高版本的域控制器或被其扣押之前,Active Directory 不会将这些 SID 解析为相应的名称。
| 希 | 名称 | 说明 |
| S-1-2-1 | 控制台登录 | 包含登录到物理控制台的用户的组。 备注 在 Windows 7 和 Windows 服务器 2008 R2 中添加。 |
| S-1-5-21domain-498 | 企业只读域控制器 | 通用组。此组的成员是企业中的只读域控制器。 |
| S-1-5-21domain-521 | 只读域控制器 | 全局组。此组的成员是域中的只读域控制器。 |
| S-1-5-21domain-571 | 允许的 RODC 密码复制组 | 域本地组。此组中的成员可以将其密码复制到域中的所有只读域控制器。 |
| S-1-5-21domain-572 | 拒绝 RODC 密码复制组 | 域本地组。此组中的成员不能将其密码复制到域中的任何只读域控制器。 |
| S-1-5-32-569 | 内置_加密运算符 | 内置本地组。成员有权执行加密操作。 |
| S-1-5-32-573 | 内置_事件日志读取器 | 内置本地组。此组的成员可以从本地计算机读取事件日志。 |
| S-1-5-32-574 | 内置_证书服务 DCOM 访问 | 内置本地组。允许此组的成员连接到企业中的证书颁发机构。 |
| S-1-5-80-0 | NT 服务_所有服务 | 包含系统上配置的所有服务进程的组。成员资格由操作系统控制。 备注 在 Windows 服务器 2008 R2 中添加。 |
| S-1-5-80-0 | 所有服务 | 包含系统上配置的所有服务进程的组。成员资格由操作系统控制。 备注 在 Windows Vista 和 Windows 服务器 2008 中添加。 |
| S-1-5-83-0 | NT 虚拟机_虚拟机 | 内置组。安装 Hyper-V 角色时将创建组。组的成员身份由 Hyper-V 管理服务 (VMMS) 维护。此组需要创建符号链接权限(SeCreateSymbolicLinkPrivilege)以及"作为服务权限登录"(SeServiceLogonright )。备注 在 Windows 8 和 Windows 服务器 2012 中添加。 |
| S-1-5-90-0 | Windows 管理器_Windows 管理器组 | 桌面窗口管理器 (DWM) 使用的内置组。DWM 是一种 Windows 服务,用于管理 Windows 应用程序的信息显示。 备注 在 Windows Vista 中添加。 |
| S-1-16-0 | 不受信任的强制级别 | 不受信任的完整性级别。 备注 在 Windows Vista 和 Windows 服务器 2008 中添加。 |
| S-1-16-4096 | 低强制性级别 | 完整性低。 备注 在 Windows Vista 和 Windows 服务器 2008 中添加。 |
| S-1-16-8192 | 中等强制性级别 | 中等完整性级别。 备注在 Windows Vista 和 Windows 服务器 2008 中添加。 |
| S-1-16-8448 | 中等加必修级别 | 中等加完整性级别。 备注 在 Windows Vista 和 Windows 服务器 2008 中添加。 |
| S-1-16-12288 | 高强制性级别 | 高度完整性级别。 备注 在 Windows Vista 和 Windows 服务器 2008 中添加。 |
| S-1-16-16384 | 系统强制级别 | 系统完整性级别。 备注 在 Windows Vista 和 Windows 服务器 2008 中添加。 |
| S-1-16-20480 | 受保护的流程强制级别 | 受保护的进程完整性级别。 备注 在 Windows Vista 和 Windows 服务器 2008 中添加。 |
| S-1-16-28672 | 安全流程强制级别 | 安全的过程完整性级别。 备注 在 Windows Vista 和 Windows 服务器 2008 中添加。 |
由 Windows 服务器 2012 及更高版本添加的 SID
将运行 Windows Server 2012 或更高版本的域控制器添加到域时,Active Directory 会在下表中添加安全主体。
注意
Windows ACL 编辑器可能不会按名称显示这些安全原则。在 PDC 仿真器 FSMO 角色传输到运行 Windows Server 2012 或更高版本的域控制器或被其扣押之前,Active Directory 不会将这些特定数据(SID)解析为相应的名称。
| 希 | 名称 | 说明 |
| S-1-5-21-domain-522 | 可克隆域控制器 | 全局组。可以克隆此组作为域控制器的成员。 |
| S-1-5-32-575 | 内置\RDS 远程访问服务器 | 内置本地组。此组中的服务器使 RemoteApp 程序和个人虚拟桌面的用户能够访问这些资源。在面向 Internet 的部署中,这些服务器通常部署在边缘网络中。此组需要填充在运行 RD 连接代理的服务器上。部署中使用的 RD 网关服务器和 RD Web 访问服务器需要在此组中。 |
| S-1-5-32-576 | 内置\RDS 端点服务器 | 内置本地组。此组中的服务器运行虚拟机并托管用户远程应用程序程序和个人虚拟桌面运行的会话。此组需要填充在运行 RD 连接代理的服务器上。部署中使用的 RD 会话主机服务器和 RD 虚拟化主机服务器需要在此组中。 |
| S-1-5-32-577 | 内置\RDS管理服务器 | 内置本地组。此组中的服务器可以在运行远程桌面服务的服务器上执行例行管理操作。此组需要填充在远程桌面服务部署中的所有服务器上。运行 RDS 中央管理服务的服务器必须包含在此组中。 |
| S-1-5-32-578 | 内置_Hyper-V管理员 | 内置本地组。此组的成员可以完全和不受限制地访问 Hyper-V 的所有功能。 |
| S-1-5-32-579 | 内置_访问控制协助操作 | 内置本地组。此组的成员可以远程查询此计算机上的资源的授权属性和权限。 |
| S-1-5-32-580 | 内置_远程管理用户 | 内置本地组。此组的成员可以通过管理协议(如通过 Windows 远程管理服务)访问 WMI 资源。这仅适用于向用户授予访问权限的 WMI 命名空间。 |
功能扫描
Windows 8 引入了功能安全标识符 (SID)。功能 SID 以独特且不可变的方式标识功能。功能表示一个令人难忘的授权令牌,将资源(如文档、照相机、位置等)的访问权限授予通用 Windows 应用程序。授予"具有"功能的应用对关联资源的访问权限。"没有"功能的应用将被拒绝访问资源。
操作系统知道的所有功能 ID 都存储在以下子项中的 Windows 注册表中: HKEY_LOCAL_MACHINE\软件\微软\安全管理器\能力类\所有缓存功能
此子项还包含由第一方或第三方应用程序添加的任何功能 SID。
所有功能诊断从"S-1-15-3"开始。
重要说明
活动目录不会将功能 SID 解析为名称。此行为是设计使然。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
