常见SID安全标识符的含义(克隆系统修改SID加入域)

常见SID安全标识符的含义(克隆系统修改SID加入域)

2009-06-13 15:48

如何修改镜像操作系统的SID SID也就是安全标识符（Security Identifiers），是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时，将给网络上的每一个帐户发布一个唯一的 SID。Windows 2000 中的内部进程将引用帐户的 SID 而不是帐户的用户或组名。如果创建帐户，再删除帐户，然后使用相同的用户名创建另一个帐户，则新帐户将不具有授权给前一个帐户的权力或权限，原因是该帐户具有不同的 SID 号。安全标识符也被称为安全 ID 或 SID。如果我们要想查看我们的SID有很多方法可以看见比如通过注册表就可以找到,另外我们也可以通过CMD中的命令来查看SID,如图一用令“whoami /user”来查看用户的SID的 SID我们也看见了，那到底该如何来修改操作系统SID呢？其实很简单，这里依windows server 2003操作系统为例，在windows server 2003操作系统的安装盘中有一个SUPPORT文件夹打开该文件夹找到TOOLS子文件夹,然后找到DEPLOY.CAB文件包进行解压, 解压完成之后，直接点击sysprep.exe文件会出现图二窗口，点击“工厂”按钮，计算机会自动关闭，然后打开计算机，再查看SID就可以看见SID已经被修改了。 图二 常见 SID：• SID：S-1-0 名称：Null Authority 说明：标识符颁发机构。 • SID：S-1-0-0 名称：Nobody 说明：无安全主体。 • SID：S-1-1 名称：World Authority 说明：标识符颁发机构。 • SID：S-1-1-0 名称：Everyone 说明：包括所有用户（甚至匿名用户和来宾）的组。成员身份由操作系统控制。 注意：默认情况下，在运行 Windows XP Service Pack 2 (SP2) 的计算机上，Everyone 组不再包括匿名用户。 • SID：S-1-2 名称：Local Authority 说明：标识符颁发机构。 • SID：S-1-3 名称：Creator Authority 说明：标识符颁发机构。 • SID：S-1-3-0 名称：Creator Owner 说明：可继承访问控制项 (ACE) 中的占位符。当 ACE 被继承时，系统用对象创建者的 SID 替换此 SID。 • SID：S-1-3-1 名称：Creator Group 说明：可继承 ACE 中的占位符。当 ACE 被继承时，系统用对象创建者的主要组的 SID 替换此 SID。主要组仅供 POSIX 子系统使用。 • SID：S-1-3-2 名称：Creator Owner Server 说明：Windows 2000 中不使用此 SID。 • SID：S-1-3-3 名称：Creator Group Server 说明：Windows 2000 中不使用此 SID。 • SID：S-1-4 名称：Non-unique Authority 说明：标识符颁发机构。 • SID：S-1-5 名称：NT Authority 说明：标识符颁发机构。 • SID：S-1-5-1 名称：Dialup 说明：一个包括所有通过拨号连接登录的用户的组。成员身份由操作系统控制。 • SID：S-1-5-2 名称：Network 说明：一个包括所有通过网络连接登录的用户的组。成员身份由操作系统控制。 • SID：S-1-5-3 名称：Batch 说明：一个包括所有通过批队列功能登录的用户的组。成员身份由操作系统控制。 • SID：S-1-5-4 名称：Interactive 说明：一个包括所有以交互方式登录的用户的组。成员身份由操作系统控制。 • SID：S-1-5-5-X-Y 名称：Logon Session 说明：登录会话。这些 SID 的 X 和 Y 值因会话而异。 • SID：S-1-5-6 名称：Service 说明：一个包括所有作为服务登录的安全主体的组。成员身份由操作系统控制。 • SID：S-1-5-7 名称：Anonymous 说明：一个包括所有以匿名方式登录的用户的组。成员身份由操作系统控制。 • SID：S-1-5-8 名称：Proxy 说明：Windows 2000 中不使用此 SID。 • SID：S-1-5-9 名称：Enterprise Domain Controllers 说明：一个由使用 Active Directory 目录服务的林中的所有域控制器组成的组。成员身份由操作系统控制。 • SID：S-1-5-10 名称：Principal Self 说明：Active Directory 中的帐户对象或组对象上可继承 ACE 中的一个占位符。当 ACE 被继承时，系统用持有此帐户的安全主体的 SID 替换此 SID。 • SID：S-1-5-11 名称：Authenticated Users 说明：一个包括所有登录时已经过身份验证的用户的组。成员身份由操作系统控制。 • SID：S-1-5-12 名称：Restricted Code 说明：此 SID 保留供以后使用。 • SID：S-1-5-13 名称：Terminal Server Users 说明：一个包括所有登录到终端服务服务器的用户的组。成员身份由操作系统控制。 • SID：S-1-5-18 名称：Local System 说明：操作系统使用的服务帐户。 • SID：S-1-5-19 名称：NT Authority 说明：本地服务 • SID：S-1-5-20 名称：NT Authority 说明：网络服务 • SID：S-1-5-domain-500 名称：Administrator 说明：系统管理员的用户帐户。默认情况下，它是唯一能够完全控制系统的用户帐户。 • SID：S-1-5-domain-501 名称：Guest 说明：无个人帐户的人员的用户帐户。此用户帐户不需要密码。默认情况下，Guest 帐户被禁用。 • SID：S-1-5-domain-502 名称：KRBTGT 说明：密钥分发中心 (KDC) 服务使用的服务帐户。 • SID：S-1-5-domain-512 名称：Domain Admins 说明：一个全局组，其成员被授权管理该域。默认情况下，Domain Admins 组属于所有加入域的计算机（包括域控制器）上的 Administrators 组。Domain Admins 是该组的任何成员创建的任何对象的默认所有者。 • SID：S-1-5-domain-513 名称：Domain Users 说明：一个全局组，默认情况下它包括域中的所有用户帐户。在域中创建用户帐户时，默认情况下，帐户将添加到该组中。 • SID：S-1-5-domain-514 名称：Domain Guests 说明：一个全局组，默认情况下它只有一个成员，即域的内置 Guest 帐户。 • SID：S-1-5-domain-515 名称：Domain Computers 说明：一个包括加入域的所有客户端和服务器的全局组。 • SID：S-1-5-domain-516 名称：Domain Controllers 说明：一个包括域中所有域控制器的全局组。默认情况下，新的域控制器将添加到该组中。 • SID：S-1-5-domain-517 名称：Cert Publishers 说明：一个包括所有运行企业证书颁发机构的计算机的全局组。Cert Publishers 被授权为 Active Directory 中的 User 对象发布证书。 • SID：S-1-5-root domain-518 名称：Schema Admins 说明：纯模式域中的通用组；混合模式域中的全局组。该组被授权在 Active Directory 中更改架构。默认情况下，该组的唯一成员是林根域的 Administrator 帐户。 • SID：S-1-5-root domain-519 名称：Enterprise Admins 说明：纯模式域中的通用组；混合模式域中的全局组。该组被授权在 Active Directory 中进行目录林范围的更改，例如添加子域。默认情况下，该组的唯一成员是林根域的 Administrator 帐户。 • SID：S-1-5-domain-520 名称：Group Policy Creator Owners 说明：一个被授权在 Active Directory 中新建组策略对象的全局组。默认情况下，该组的唯一成员是 Administrator。 • SID：S-1-5-domain-533 名称：RAS and IAS Servers 说明：域本地组。默认情况下，该组没有成员。该组中的服务器对 Active Directory 域本地组中的 User 对象具有“读取帐户限制”和“读取登录信息”访问权限。默认情况下，该组没有成员。该组中的服务器对 Active Directory 中的 User 对象具有“读取帐户限制”和“读取登录信息”访问权限。 • SID：S-1-5-32-544 名称：Administrators 说明：内置组。初次安装操作系统后，该组的唯一成员是 Administrator 帐户。当计算机加入域时，Domain Admins 组将被添加到 Administrators 组中。当服务器成为域控制器时，Enterprise Admins 组也被添加到 Administrators 组中。 • SID：S-1-5-32-545 名称：Users 说明：内置组。初次安装操作系统后，该组的唯一成员是 Authenticated Users 组。当计算机加入域时，Domain Users 组将被添加到计算机上的 Users 组中。 • SID：S-1-5-32-546 名称：Guests 说明：内置组。默认情况下，该组的唯一成员是 Guest 帐户。Guests 组允许临时或一次性用户使用有限权限登录到计算机的内置 Guest 帐户。 • SID：S-1-5-32-547 名称：Power Users 说明：内置组。默认情况下，该组没有成员。Power Users 可以创建本地用户和组，修改和删除以前创建的帐户，删除 Power Users、Users 和 Guests 组中的用户。Power Users 还可以安装程序，创建、管理和删除本地打印机以及创建和删除文件共享。 • SID：S-1-5-32-548 名称：Account Operators 说明：一种只存在于域控制器上的内置组。默认情况下，该组没有成员。默认情况下，Account Operators 有权为 Active Directory 的所有容器和组织单位中的用户、组和计算机创建、修改和删除帐户，Builtin 容器和 Domain Controllers OU 除外。Account Operators 无权修改 Administrators 和 Domain Admins 组，也无权为那些组的成员修改帐户。 • SID：S-1-5-32-549 名称：Server Operators 说明：一种只存在于域控制器上的内置组。默认情况下，该组没有成员。Server Operators 可以以交互方式登录到服务器，创建和删除网络共享，启动和停止服务，备份和还原文件，格式化计算机的硬盘以及关闭计算机。 • SID：S-1-5-32-550 名称：Print Operators 说明：一种只存在于域控制器上的内置组。默认情况下，该组的唯一成员是 Domain Users 组。Print Operators 可以管理打印机和文档队列。 • SID：S-1-5-32-551 名称：Backup Operators 说明：内置组。默认情况下，该组没有成员。Backup Operators 可以备份和还原计算机上的所有文件，无论那些文件受哪些权限保护均如此。Backup Operators 也可以登录和关闭计算机。 • SID：S-1-5-32-552 名称：Replicators 说明：一个由域控制器上的文件复制服务使用的内置组。默认情况下，该组没有成员。不要向该组中添加用户。 下列各组在某台 Windows Server 2003 域控制器被指定担任主域控制器 (PDC) 操作主机角色之前，将一直显示为 SID。（“操作主机”也称作灵活的单主机操作或 FSMO。）在将 Windows Server 2003 域控制器添加到域中时，新建的其他内置组有：• SID：S-1-5-32-554 名称：BUILTIN/Pre-Windows 2000 Compatible Access 说明：Windows 2000 添加的别名。一个允许对域中的所有用户和组进行读访问的向后兼容组。 • SID：S-1-5-32-555 名称：BUILTIN/Remote Desktop Users 说明：一个别名。该组的成员被授予远程登录权限。 • SID：S-1-5-32-556 名称：BUILTIN/Network Configuration Operators 说明：一个别名。该组的成员拥有管理网络功能配置的部分权限。 • SID：S-1-5-32-557 名称：BUILTIN/Incoming Forest Trust Builders 说明：一个别名。该组的成员可以创建到该林的传入的单向信任。 • SID：S-1-5-32-557 名称：BUILTIN/Incoming Forest Trust Builders 说明：一个别名。该组的成员可以创建到该林的传入的单向信任。 • SID：S-1-5-32-558 名称：BUILTIN/Performance Monitor Users 说明：一个别名。该组的成员可以进行远程访问以监视此计算机。 • SID：S-1-5-32-559 名称：BUILTIN/Performance Log Users 说明：一个别名。该组的成员可以进行远程访问，以便预定此计算机上性能计数器的日志。 • SID：S-1-5-32-560 名称：BUILTIN/Windows Authorization Access Group 说明：一个别名。该组的成员可以访问 User 对象上的计算的 tokenGroupsGlobalAndUniversal 属性。 • SID：S-1-5-32-561 名称：BUILTIN/Terminal Server License Servers 说明：一个别名。终端服务器许可证服务器组。

http://hi.baidu.com/longge0000/blog/item/b8fa5b73387fb2158701b0a9.html