此信息可用于故障排除涉及安全问题。它也是有用的 ACL 编辑器中可能出现的潜在显示问题。ACL 编辑器的用户名或组名而不是可能会显示一个 SID。
SID的作用
用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给 Windows NT,然后 Windows NT 检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象,Windows NT将会分配给用户适当的访问权限。
访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌。
SID号码的组成
如果存在两个同样SID的用户,这两个帐户将被鉴别为同一个帐户,原理上如果帐户无限制增加的时候,会产生同样的SID,在通常的情况下SID是唯一的,他由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。
一个完整的SID包括:
• 用户和组的安全描述
• 48-bit的ID authority
• 修订版本
• 可变的验证值Variable sub-authority values
例:S-1-5-21-310440588-250036847-580389505-500
我们来先分析这个重要的SID。第一项S表示该字符串是SID;第二项是SID的版本号,对于2000来说,这个就是1;然后是标志符的颁发机构(identifier authority),对于2000内的帐户,颁发机构就是NT,值是5。然后表示一系列的子颁发机构,前面几项是标志域的,最后一个标志着域内的帐户和组。
常用 Sid:
- SID: S-1-0
名称: 空颁发机构
说明: 标识符颁发机构。 - SID: S-1-0-0
名称: 没有人
说明: 没有安全主体。 - SID: S-1-1
名称: 世界颁发机构
说明: 标识符颁发机构。 - SID: S-1-1-0
名称: 每个人
说明: 包括所有甚至匿名用户和来宾用户组。成员资格是由操作系统控制的。
请注意 默认情况下,通过 Everyone 组不再包括匿名用户在运行 Windows XP Service Pack 2 (SP2) 的计算机上。 - SID: S-1-2
名称: 本地机构
说明: 标识符颁发机构。 - SID: S-1-2 0
名称: 本地
说明: 一组,包括所有本地登录的用户。 - SID: S-1-2-1
名称: 控制台登录
说明: 一组,包括用户登录到物理控制台。
请注意 添加在 Windows 7 和 Windows Server 2008 R2 - SID: S-1-3
名称: 创建者颁发机构
说明: 标识符颁发机构。 - SID: S-1-3-0
名称: 创建者所有者
说明: 父系的可继承的访问控制项 (ACE) 中的占位符。ACE 继承时,系统会将此 SID 替换对象的创建者的 SID。 - SID: S-1-3-1
创建者组名称:
说明: 父系的可继承 ACE 中的占位符。当继承的 ACE 时,系统替换此 SID SID 的对象的创建者的主要组。仅由 POSIX 子系统使用的主要组。 - SID: S-1-3-2
名称: 创建者所有者服务器
说明: 在 Windows 2000 中不使用此 SID。 - SID: S-1-3-3
创建者组服务器名称:
说明: 在 Windows 2000 中不使用此 SID。 - SID: S-1-3-4 名称: 所有者权限
说明: 一组表示当前对象的所有者。当执行此 SID 的 ACE 应用于对象时,系统将忽略对象的所有者的隐式 READ_CONTROL 和 WRITE_DAC 权限。
请注意 Windows Vista 和 Windows Server 2008 中添加 - SID: S-1-4
名称: 非唯一颁发机构
说明: 标识符颁发机构。 - SID: S-1-5
名称: NT 颁发机构
说明: 标识符颁发机构。 - SID: S-1-5-1
名称: 拨号
说明: 一组,包括通过拨号连接登录的所有用户。成员资格是由操作系统控制的。 - SID: S-1-5-2
名称: 网络
说明: 包括所有已通过网络连接登录的用户组。成员资格是由操作系统控制的。 - SID: S-1-5-3
名称: 批处理
说明: 包括所有用户通过批处理队列工具登录的一组。成员资格是由操作系统控制的。 - SID: S-1-5-4
名称: 交互式
说明: 包括所有用户以交互方式登录的一组。成员资格是由操作系统控制的。 - SID: S-1-5-5-X-Y
名称: 登录会话
描述: 登录会话。为每个会话,这些 Sid 的 X 和 Y 值是不同的。 - SID: S-1-5-6
名称: 服务
说明: 一组,包括所有已作为服务登录的安全原则。成员资格是由操作系统控制的。 - SID: S-1-5-7
名称: 匿名
说明: 一组,包括所有的用户是匿名登录的。成员资格是由操作系统控制的。 - SID: S-1-5-8
名称: 代理
说明: 在 Windows 2000 中不使用此 SID。 - SID: S-1-5-9
名称: 企业域控制器
说明: 在使用 Active Directory 目录服务的目录林中包含的所有域控制器的组。成员资格是由操作系统控制的。 - SID: S-1-5-10
名称: 主体自身
说明: 帐户对象或组在 Active Directory 中的对象可继承的 ACE 中的占位符。ACE 继承时,系统会将此 SID 替换拥有帐户的安全主体的 SID。 - SID: S-1-5 11
名称: 身份验证的用户
说明: 一组包括所有用户登录时,其身份的验证身份。成员资格是由操作系统控制的。 - SID: S-1-5-12
名称: 受限制的代码
说明: 此 SID 是保留以供将来使用。 - SID: S-1-5-13
终端服务器用户名称:
说明: 包括所有用户已登录到终端服务服务器的一组。成员资格是由操作系统控制的。 - SID: S-1-5-14
名称: 远程交互式登录
说明: 一组,包括通过终端服务登录登录的所有用户。 - SID: S-1-5-15
该组织的名称:
说明: 一组,包括从同一个组织中的所有用户。仅随 AD 帐户,而且只添加的 Windows Server 2003 或更高版本的域控制器。 - SID: S-1-5-17
该组织的名称:
说明: 所使用的默认 Internet Information Services (IIS) 用户帐户。 - SID: S-1-5-18
名称: 本地系统
说明: 一种服务帐户所使用的操作系统。 - SID: S-1-5 19
名称: NT 颁发机构
说明: 本地服务 - SID: S-1-5-20
名称: NT 颁发机构
说明: 网络服务 - SID: S-1-5-21域-500
名称: 管理员
说明: 系统管理员用户帐户。默认情况下它是唯一的用户帐户授予对系统的完全控制的。 - SID: S-1-5-21域-501
名称: 来宾
说明: 一个用户帐户,没有单独的帐户的人。此用户帐户不需要密码。默认情况下被禁用来宾帐户。 - SID: S-1-5-21域-502
名称: KRBTGT
描述: 密钥分发中心 (KDC) 服务所使用的服务帐户。 - SID: S-1-5-21域-512
名称: 域管理员
说明: 一个其成员有权管理域全局组。默认情况下,通过域管理员组是所有已加入某个域,包括域控制器的计算机上管理员组的成员。域管理员组的任何成员在创建的任何对象的默认所有者。 - SID: S-1-5-21域-513
名称: 域用户
说明: 一个全局组,默认情况下包括在域中的所有用户帐户。当您在域中创建用户帐户时,默认情况下将其添加到此组。 - SID: S-1-5-21域-514
名称: 域来宾
说明: 一个全局组,默认情况下都有一个成员,将域的内置来宾帐户。 - SID: S-1-5-21域-515
域计算机名称:
说明: 一个全局组,包括所有客户端和服务器已加入域。 - SID: S-1-5-21域-516
域控制器名称:
说明: 一个全局组,包括在域中的所有域控制器。默认情况下,新的域控制器都添加到此组。 - SID: S-1-5-21域-517
名称: 证书发行者
说明: 一个全局组,包括运行企业证书颁发机构的所有计算机。证书的发布者有权在 Active Directory 中发布证书的用户对象。 - SID: S-1-5-21根域-518
名称: 架构管理员
说明: 在本机模式域; 通用组在混合模式域中的全局组。组有权在 Active Directory 中进行架构更改。默认情况下的组的唯一成员是林根域的管理员帐户。 - SID: S-1-5-21根域-519
名称: 企业管理员
说明: 在本机模式域; 通用组在混合模式域中的全局组。组有权在 Active Directory 中进行目录林范围的更改,如添加子域。默认情况下的组的唯一成员是林根域的管理员帐户。 - SID: S-1-5-21域-520
名称: 组策略创建者所有者
说明: 一个全局组有权在 Active Directory 中创建新的组策略对象。默认情况下的组的唯一成员是管理员。 - SID: S-1-5-21域-553
名称: RAS 和 IAS 服务器
说明: 域本地组。默认情况下此组没有任何成员。此组中的服务器具有读取帐户限制和对用户对象的读取登录信息访问 Active Directory 域本地组中。 - SID: S-1-5-32-544
名称: 管理员
说明: 内置组。初始安装后的操作系统,该组的唯一成员是管理员帐户。当计算机加入域时,域管理员组添加到管理员组。当一个服务器变成域控制器时,企业管理员组也被添加到管理员组中。 - SID: S-1-5-32-545
名称: 用户
说明: 内置组。初始安装后的操作系统,唯一的成员是经过验证的用户组。当计算机加入域时,域用户组添加到计算机上的用户组中。 - SID: S-1-5-32-546
名称: 客人
说明: 内置组。默认情况下的唯一成员是 Guest 帐户。来宾组允许偶尔或一次性登录到计算机的内置来宾帐户的有限权限的用户。 - SID: S-1-5-32-547
名称: 超级用户
说明: 内置组。默认情况下,通过组没有任何成员。超级用户可以创建本地用户和组。修改和删除帐户创建它们。和高级用户、 用户和来宾组中删除用户。高级用户还可以安装程序。创建、 管理和删除本地打印机。创建和删除文件共享。 - SID: S-1-5-32-548
名称: 帐户操作员
说明: 内置组仅在域控制器上存在的。默认情况下,通过组没有任何成员。默认情况下帐户操作员有权创建、 修改和删除帐户的用户、 组和计算机中所有容器和组织单位的 Active Directory 容器和域控制器 OU 除外。帐户操作员没有权限修改管理员和域管理员组中,他们也没有修改的那些组的成员的帐户的权限。 - SID: S-1-5-32-549
名称: 服务器操作员
说明: 内置组仅在域控制器上存在的。默认情况下,通过组没有任何成员。服务器操作员可以登录到服务器上以交互方式。创建和删除网络共享。启动和停止服务。备份和还原文件;格式化硬盘的计算机。然后关闭计算机。 - SID: S-1-5-32-550
名称: 打印操作员
说明: 内置组仅在域控制器上存在的。默认情况下的唯一成员是域用户组。打印操作员可以管理打印机和文档队列。 - SID: S-1-5-32-551
名称: 备份操作员
说明: 内置组。默认情况下,通过组没有任何成员。备份操作员可以备份和还原所有文件的计算机上,不管保护这些文件的权限。备份操作员还可以登录到计算机上,并将其关闭。 - SID: S-1-5-32-552
名称: 复制器
说明: 内置组所使用的域控制器上的文件复制服务。默认情况下,通过组没有任何成员。不要将用户添加到该组。 - SID: S-1-5-64-10
名称: NTLM 身份验证
说明: 一个 SID NTLM 身份验证包通过客户端身份验证时使用 - SID: S-1-5-64-14
名称: SChannel 身份验证
描述: SChannel 身份验证包通过客户端身份验证时,将使用 SID。 - SID: S-1-5-64-21
名称: 摘要式身份验证
描述: 摘要式身份验证包通过客户端身份验证时,将使用 SID。 - SID: S-1-5-80
NT 服务名称:
说明: 一个 NT 服务帐户前缀 - SID: S-1-16 0
名称: 不受信任的强制性级别
说明: 级别不受信任的完整性。在 Windows Vista 和 Windows Server 2008 中已添加的注释
请注意 Windows Vista 和 Windows Server 2008 中添加 - SID: S-1-16 4096
名称: 低强制性级别
说明: 级别较低的完整性。
请注意 Windows Vista 和 Windows Server 2008 中添加 - SID: S-1-16 8192
名称: 中等强制性级别
说明: 中等完整性级别。
请注意 Windows Vista 和 Windows Server 2008 中添加 - SID: S-1-16 8448
名称: 中加上强制性级别
说明: 一种媒体以及完整性级别。
请注意 Windows Vista 和 Windows Server 2008 中添加 - SID: S-1-16 12288
名称: 高强制性级别
说明: 一种高完整性级别。
请注意 Windows Vista 和 Windows Server 2008 中添加 - SID: S-1-16 16384
名称: 系统强制性级别
说明: 系统完整性级别。
请注意 Windows Vista 和 Windows Server 2008 中添加 - SID: S-1-16 20480
名称: 保护过程强制性级别
说明: 一个受保护的进程的完整性级别。
请注意 Windows Vista 和 Windows Server 2008 中添加 - SID: S-1-16 28672
名称: 安全过程强制性级别
说明: 安全进程完整性级别。
请注意 Windows Vista 和 Windows Server 2008 中添加 - SID: S-1-5-80-0
SID S-1-5-80-0 = NT SERVICES\ALL 服务
名称: 所有服务
说明: 一组包含在系统配置的所有服务流程。成员资格是由操作系统控制的。
请注意 在 Windows Server 2008 R2 中添加
- SID: S-1-5-32-554
名称: BUILTIN\Pre-Windows 2000 以前版本兼容访问
描述: 由 Windows 2000 中添加一个别名。向后兼容性组,它允许读取访问权限的所有用户和组的域中。 - SID: S-1-5-32-555
名称: BUILTIN\Remote 桌面机用户
描述: 别名。此组中的成员被授予远程登录的权限。 - SID: S-1-5-32-556
名称: BUILTIN\Network 配置操作员
描述: 别名。此组中的成员可以有部分管理权限来管理网络功能的配置。 - SID: S-1-5-32-557
名称: BUILTIN\Incoming 林信任构建器
描述: 别名。此组的成员可以创建到此目录林的传入、 单向信任。 - SID: S-1-5-32-558
名称: BUILTIN\Performance 监视器用户
描述: 别名。此组的成员具有监视此计算机的远程访问权限。 - SID: S-1-5-32-559
名称: BUILTIN\Performance 日志用户
描述: 别名。此组的成员具有远程访问,以便预定此计算机上的性能计数器的日志。 - SID: S-1-5-32-560
名称: BUILTIN\Windows 授权访问组
描述: 别名。此组的成员有权访问计算所得的 tokenGroupsGlobalAndUniversal 属性在用户对象上。 - SID: S-1-5-32-561
名称: BUILTIN\Terminal 服务器许可证服务器
描述: 别名。终端服务器许可证服务器的一组。安装 Windows 服务器 2003 Service Pack 1 后,将创建一个新的本地组。 - SID: S-1-5-32-562
名称: BUILTIN\Distributed COM 用户
描述: 别名。COM 提供访问控制功能,控制访问所有的计算机范围的一组调用时,激活,或启动的计算机上的请求。
下面的组将显示为 Sid,直到 Windows Server 2008 或 Windows Server 2008 R2 的域控制器是主域控制器 (PDC) 操作主机角色担任者。(操作主机是也称为灵活单主机操作或 FSMO)。其他 Windows Server 2008 或 Windows Server 2008 R2 的域控制器添加到域时,会创建新内置组分别是:
- SID: S-1-5-21域 -498
名称: 企业只读域控制器
说明: 通用组。此组的成员都在企业中的只读域控制器 - SID: S-1-5-21域 -521
名称: 只读域控制器
说明: 一个全局组。此组的成员是在域中的只读域控制器 - SID: S-1-5-32-569
名称: BUILTIN\Cryptographic 运算符
说明: 内建局部组。成员有权执行加密操作。 - SID: S-1-5-21 域 -571
名称: 允许 RODC 密码复制组
说明: 域本地组。此组中的成员可具有的密码复制到域中的所有只读域控制器。 - SID: S-1-5-21 域 -572
名称: 拒绝 RODC 密码复制组
说明: 域本地组。此组中的成员不能有的密码复制到域中的任何只读域控制器 - SID: S-1-5-32-573
名称: BUILTIN\Event 日志读取器
说明: 内建局部组。此组的成员可以从本地计算机中读取事件日志。 - SID: S-1-5-32-574
名称: BUILTIN\Certificate 服务 DCOM 访问
说明: 内建局部组。此组的成员可以在企业中连接到证书颁发机构。