概要
安全标识符 (SID) 是长度可变的唯一值,用来标识 Windows 操作系统中的安全主体或安全组。常见 SID 是标识一般用户或一般组的一组 SID。它们的...
安全标识符 (SID) 是长度可变的唯一值,用来标识 Windows 操作系统中的安全主体或安全组。常见 SID 是标识一般用户或一般组的一组 SID。它们的值在所有操作系统中都相同。
此信息可用于解决安全方面的问题,还可用于解决 ACL 编辑器中可能出现的潜在显示问题。在 ACL 编辑器中,可能显示 SID 而不是用户或组名。
此信息可用于解决安全方面的问题,还可用于解决 ACL 编辑器中可能出现的潜在显示问题。在 ACL 编辑器中,可能显示 SID 而不是用户或组名。
更多信息
常见 SID:SID:S-1-0 名称:Null Authority 描述:标识符颁发机构。SID:S-1-0-0 名称:Nobody 描述:无安全主体。SI...
常见 SID:
下 列组在某个 Windows Server 2008 或 Windows Server 2008 R2 域控制器被指定担任主域控制器 (PDC) 操作主机角色之前,将一直显示为 SID。(“操作主机”也称作灵活的单主机操作或 FSMO。)在将 Windows Server 2008 或 Windows Server 2008 R2 域控制器添加到域时,新建的其他内置组有:
- SID:S-1-0
名称:Null Authority
描述:标识符颁发机构。 - SID:S-1-0-0
名称:Nobody
描述:无安全主体。 - SID:S-1-1
名称:World Authority
描述:标识符颁发机构。 - SID:S-1-1-0
名称:Everyone
描述:包括所有用户(甚至匿名用户和来宾)的组。成员身份由操作系统控制。
注意:默认情况下,在运行 Windows XP Service Pack 2 (SP2) 的计算机上,Everyone 组不再包括匿名用户。 - SID:S-1-2
名称:Local Authority
描述:标识符颁发机构。 - SID:S-1-2-0
名称:Local
描述:一个包括所有以本地方式登录的用户的组。 - SID:S-1-2-1
名称:Console Logon
描述:一个包括登录到物理控制台的用户的组。
注意 在 Windows 7 和 Windows Server 2008 R2 中已添加 - SID:S-1-3
名称:Creator Authority
描述:标识符颁发机构。 - SID:S-1-3-0
名称:Creator Owner
描述:可继承访问控制项 (ACE) 中的占位符。当 ACE 被继承时,系统用对象创建者的 SID 替换此 SID。 - SID:S-1-3-1
名称:Creator Group
描述:可继承 ACE 中的占位符。当 ACE 被继承时,系统用对象创建者的主要组的 SID 替换此 SID。主要组仅供 POSIX 子系统使用。 - SID:S-1-3-2
名称:Creator Owner Server
描述:Windows 2000 中不使用此 SID。 - SID:S-1-3-3
名称:Creator Group Server
描述:Windows 2000 中不使用此 SID。 - SID:S-1-3-4 名称:Owner Rights
描述:代表对象的当前所有者的组。当包含此 SID 的 ACE 应用到某对象时,系统将忽视对象所有者的隐式的 READ_CONTROL 和 WRITE_DAC 权限。
注意 在 Windows Vista 和 Windows Server 2008 中已添加 - SID:S-1-4
名称:Non-unique Authority
描述:标识符颁发机构。 - SID:S-1-5
名称:NT Authority
描述:标识符颁发机构。 - SID:S-1-5-1
名称:Dialup
描述:一个包括所有通过拨号连接登录的用户的组。成员身份由操作系统控制。 - SID:S-1-5-2
名称:Network
描述:一个包括所有通过网络连接登录的用户的组。成员身份由操作系统控制。 - SID:S-1-5-3
名称:Batch
描述:一个包括所有通过批队列功能登录的用户的组。成员身份由操作系统控制。 - SID:S-1-5-4
名称:Interactive
描述:一个包括所有以交互方式登录的用户的组。成员身份由操作系统控制。 - SID:S-1-5-5-X-Y
名称:Logon Session
描述:登录会话。这些 SID 的 X 和 Y 值因会话而异。 - SID:S-1-5-6
名称:Service
描述:一个包括所有作为服务登录的安全主体的组。成员身份由操作系统控制。 - SID:S-1-5-7
名称:Anonymous
描述:一个包括所有以匿名方式登录的用户的组。成员身份由操作系统控制。 - SID:S-1-5-8
名称:Proxy
描述:Windows 2000 中不使用此 SID。 - SID:S-1-5-9
名称:Enterprise Domain Controllers
描述:一个由使用 Active Directory 目录服务的林中的所有域控制器组成的组。成员身份由操作系统控制。 - SID:S-1-5-10
名称:Principal Self
描述:Active Directory 中的帐户对象或组对象上可继承 ACE 中的一个占位符。当 ACE 被继承时,系统用持有此帐户的安全主体的 SID 替换此 SID。 - SID:S-1-5-11
名称:Authenticated Users
描述:一个包括所有登录时已经过身份验证的用户的组。成员身份由操作系统控制。 - SID:S-1-5-12
名称:Restricted Code
描述:此 SID 保留供以后使用。 - SID:S-1-5-13
名称:Terminal Server Users
描述:一个包括所有登录到终端服务服务器的用户的组。成员身份由操作系统控制。 - SID:S-1-5-14
名称:Remote Interactive Logon
描述:一个包括所有以终端服务登录方式登录的用户的组。 - SID:S-1-5-15
名称:This Organization
描述:一个包括相同组织的所有用户的组。只附带于 AD 帐户并且只通过 Windows Server 2003 或更高版本的域控制器添加。 - SID:S-1-5-17
名称:This Organization
描述:一个由默认 Internet Information Services (IIS) 用户使用的帐户。 - SID:S-1-5-18
名称:Local System
描述:操作系统使用的服务帐户。 - SID:S-1-5-19
名称:NT Authority
描述:本地服务 - SID:S-1-5-20
名称:NT Authority
描述:网络服务 - SID:S-1-5-21domain-500
名称:Administrator
描述:系统管理员的用户帐户。默认情况下,它是唯一能够完全控制系统的用户帐户。 - SID:S-1-5-21domain-501
名称:Guest
描述:无个人帐户的人员的用户帐户。此用户帐户不需要密码。默认情况下,Guest 帐户被禁用。 - SID:S-1-5-21domain-502
名称:KRBTGT
描述:密钥分发中心 (KDC) 服务使用的服务帐户。 - SID:S-1-5-21domain-512
名称:Domain Admins
描述:一个全局组,其成员被授权管理该域。默认情况下,Domain Admins 组属于所有加入域的计算机(包括域控制器)上的 Administrators 组。Domain Admins 是该组的任何成员创建的任何对象的默认所有者。 - SID:S-1-5-21domain-513
名称:Domain Users
描述:一个全局组,默认情况下它包括域中的所有用户帐户。在域中创建用户帐户时,默认情况下,帐户将添加到该组中。 - SID:S-1-5-21domain-514
名称:Domain Guests
描述:一个全局组,默认情况下它只有一个成员,即域的内置 Guest 帐户。 - SID:S-1-5-21domain-515
名称:Domain Computers
描述:一个包括加入域的所有客户端和服务器的全局组。 - SID:S-1-5-21domain-516
名称:Domain Controllers
描述:一个包括域中所有域控制器的全局组。默认情况下,新的域控制器将添加到该组中。 - SID:S-1-5-21domain-517
名称:Cert Publishers
描述:一个包括所有运行企业证书颁发机构的计算机的全局组。Cert Publishers 被授权为 Active Directory 中的 User 对象发布证书。 - SID:S-1-5-21root domain-518
名称:Schema Admins
描述:纯模式域中的通用组;混合模式域中的全局组。该组被授权在 Active Directory 中更改架构。默认情况下,该组的唯一成员是林根域的 Administrator 帐户。 - SID:S-1-5-21root domain-519
名称:Enterprise Admins
描述:纯模式域中的通用组;混合模式域中的全局组。该组被授权在 Active Directory 中进行目录林范围的更改,例如添加子域。默认情况下,该组的唯一成员是林根域的 Administrator 帐户。 - SID:S-1-5-21domain-520
名称:Group Policy Creator Owners
描述:一个被授权在 Active Directory 中新建组策略对象的全局组。默认情况下,该组的唯一成员是 Administrator。 - SID:S-1-5-21domain-553
名称:RAS and IAS Servers
描述:域本地组。默认情况下,该组没有成员。该组中的服务器对 Active Directory 域本地组中的 User 对象具有“读取帐户限制”和“读取登录信息”访问权限。 - SID:S-1-5-32-544
名称:Administrators
描述:内置组。初次安装操作系统后,该组的唯一成员是 Administrator 帐户。当计算机加入域时,Domain Admins 组将被添加到 Administrators 组中。当服务器成为域控制器时,Enterprise Admins 组也被添加到 Administrators 组中。 - SID:S-1-5-32-545
名称:Users
描述:内置组。初次安装操作系统后,该组的唯一成员是 Authenticated Users 组。当计算机加入域时,Domain Users 组将被添加到计算机上的 Users 组中。 - SID:S-1-5-32-546
名称:Guests
描述:内置组。默认情况下,该组的唯一成员是 Guest 帐户。Guests 组允许临时或一次性用户使用有限权限登录到计算机的内置 Guest 帐户。 - SID:S-1-5-32-547
名称:Power Users
描述:内置组。默认情况下,该组没有成员。Power Users 可以创建本地用户和组,修改和删除以前创建的帐户,删除 Power Users、Users 和 Guests 组中的用户。Power Users 还可以安装程序,创建、管理和删除本地打印机以及创建和删除文件共享。 - SID:S-1-5-32-548
名称:Account Operators
描述:一种只存在于域控制器上的内置组。默认情况下,该组没有成员。默认情况下,Account Operators 有权为 Active Directory 的所有容器和组织单位中的用户、组和计算机创建、修改和删除帐户,Builtin 容器和 Domain Controllers OU 除外。Account Operators 无权修改 Administrators 和 Domain Admins 组,也无权为那些组的成员修改帐户。 - SID:S-1-5-32-549
名称:Server Operators
描述:一种只存在于域控制器上的内置组。默认情况下,该组没有成员。Server Operators 可以以交互方式登录到服务器,创建和删除网络共享,启动和停止服务,备份和还原文件,格式化计算机的硬盘以及关闭计算机。 - SID:S-1-5-32-550
名称:Print Operators
描述:一种只存在于域控制器上的内置组。默认情况下,该组的唯一成员是 Domain Users 组。Print Operators 可以管理打印机和文档队列。 - SID:S-1-5-32-551
名称:Backup Operators
描述:内置组。默认情况下,该组没有成员。Backup Operators 可以备份和还原计算机上的所有文件,无论那些文件受哪些权限保护均如此。Backup Operators 也可以登录和关闭计算机。 - SID:S-1-5-32-552
名称:Replicators
描述:一个由域控制器上的文件复制服务使用的内置组。默认情况下,该组没有成员。不要向该组中添加用户。 - SID:S-1-5-64-10
名称:NTLM Authentication
描述:当 NTLM 身份验证包对客户端进行身份验证时使用的 SID - SID:S-1-5-64-14
名称:SChannel Authentication
描述:当 SChannel 身份验证包对客户端进行身份验证时使用的 SID - SID:S-1-5-64-21
名称:Digest Authentication
描述:当 Digest 身份验证包对客户端进行身份验证时使用的 SID - SID:S-1-5-80
名称:NT Service
描述:NT 服务帐户前缀 - SID:S-1-16-0
名称:Untrusted Mandatory Level
描述:一个不受信任的完整性级别。注意 在 Windows Vista 和 Windows Server 2008 中已添加
注意 在 Windows Vista 和 Windows Server 2008 中已添加 - SID:S-1-16-4096
名称:Low Mandatory Level
描述:较低的完整性级别。
注意 在 Windows Vista 和 Windows Server 2008 中已添加 - SID:S-1-16-8192
名称:Medium Mandatory Level
描述:中级完整性级别。
注意 在 Windows Vista 和 Windows Server 2008 中已添加 - SID:S-1-16-8448
名称:Medium Plus Mandatory Level
描述:中高级完整性级别。
注意 在 Windows Vista 和 Windows Server 2008 中已添加 - SID:S-1-16-12288
名称:High Mandatory Level
描述:高级完整性级别。
注意 在 Windows Vista 和 Windows Server 2008 中已添加 - SID:S-1-16-16384
名称:System Mandatory Level
描述:系统完整性级别。
注意 在 Windows Vista 和 Windows Server 2008 中已添加 - SID:S-1-16-20480
名称:Protected Process Mandatory Level
描述:受保护进程的完整性级别。
注意 在 Windows Vista 和 Windows Server 2008 中已添加 - SID:S-1-16-28672
名称:Secure Process Mandatory Level
描述:安全进程完整性级别。
注意 在 Windows Vista 和 Windows Server 2008 中已添加
- SID:S-1-5-32-554
名称:BUILTIN\Pre-Windows 2000 Compatible Access
描述:Windows 2000 添加的别名。一个允许对域中的所有用户和组进行读访问的向后兼容组。 - SID:S-1-5-32-555
名称:BUILTIN\Remote Desktop Users
描述:一个别名。该组的成员被授予远程登录权限。 - SID:S-1-5-32-556
名称:BUILTIN\Network Configuration Operators
描述:一个别名。该组的成员拥有管理网络功能配置的部分权限。 - SID:S-1-5-32-557
名称:BUILTIN\Incoming Forest Trust Builders
描述:一个别名。该组的成员可以创建到该林的传入的单向信任。 - SID:S-1-5-32-558
名称:BUILTIN\Performance Monitor Users
描述:一个别名。该组的成员可以进行远程访问以监视此计算机。 - SID:S-1-5-32-559
名称:BUILTIN\Performance Log Users
描述:一个别名。该组的成员可以进行远程访问,以便预定此计算机上性能计数器的日志。 - SID:S-1-5-32-560
名称:BUILTIN\Windows Authorization Access Group
描述:一个别名。该组的成员可以访问 User 对象上的计算的 tokenGroupsGlobalAndUniversal 属性。 - SID:S-1-5-32-561
名称:BUILTIN\Terminal Server License Servers
描述:一个别名。终端服务器许可证服务器组。安装 Windows Server 2003 Service Pack 1 时,将创建新的本地组。 - SID:S-1-5-32-562
名称:BUILTIN\Distributed COM Users
描述:一个别名。COM 使用这个组提供计算机范围的访问控制,以管理对计算机上所有调用、激活、发起请求的访问。
下 列组在某个 Windows Server 2008 或 Windows Server 2008 R2 域控制器被指定担任主域控制器 (PDC) 操作主机角色之前,将一直显示为 SID。(“操作主机”也称作灵活的单主机操作或 FSMO。)在将 Windows Server 2008 或 Windows Server 2008 R2 域控制器添加到域时,新建的其他内置组有:
- SID:S-1-5- 21domain -498
名称:Enterprise Read-only Domain Controllers
描述:一个通用组。该组中的成员都是企业的只读域控制器 - SID:S-1-5- 21domain -521
名称:Read-only Domain Controllers
描述:一个全局组。该组中的成员都是域中的只读域控制器 - SID:S-1-5-32-569
名称:BUILTIN\Cryptographic Operator
描述:一个内置本地组。成员都被授予了执行加密操作的权限。 - SID:S-1-5-21 domain -571
名称:Allowed RODC Password Replication Group
描述:域本地组。该组中的成员可以将他们的密码复制到域中所有的只读域控制器。 - SID:S-1-5- 21domain -572
名称:Denied RODC Password Replication Group
描述:域本地组。该组中的成员不能将他们的密码复制到域中任何只读域控制器。 - SID:S-1-5-32-573
名称:BUILTIN\Event Log Reader
描述:内置本地组。该组中的成员可以从本地计算机读取事件日志。 - SID:S-1-5-32-574
名称:BUILTIN\Certificate Service DCOM Access
描述:内置本地组。该组中的成员都能够连接到企业中的证书颁发机构。
转载于:https://blog.51cto.com/leoxu1998/447361