Pengidentifikasi terkenal keamanan dalam sistem operasi Windows

Pengenal keamanan (SID) adalah nilai yang unik dari panjang variabel yang digunakan untuk mengidentifikasi kepala keamanan atau grup keamanan dalam sistem operasi Windows. SIDs terkenal adalah sekelompok SIDs yang mengidentifikasi pengguna generik atau kelompok generik. Nilai-nilai mereka tetap konstan di semua sistem operasi.

Informasi ini sangat berguna untuk pemecahan masalah yang melibatkan keamanan. Hal ini juga berguna untuk potensi masalah tampilan yang dapat dilihat di ACL editor. SID akan ditampilkan dalam editor ACL bukan pengguna atau nama grup.

SIDs terkenal:

• SID: S-1-0
  Nama: Null otoritas
  Keterangan: Pengenal otoritas.
• SID: S-1-0-0
  Nama: tidak ada
  Keterangan: Tidak ada keamanan kepala.
• SID: S-1-1
  Nama: Dunia otoritas
  Keterangan: Pengenal otoritas.
• SID: S-1-1-0
  Nama: semua orang
  Keterangan: Sebuah kelompok yang mencakup semua pengguna, pengguna bahkan anonim dan tamu. Keanggotaan dikendalikan oleh sistem operasi.
  
  Catatan Secara default, semua orang kelompok tidak lagi berisi pengguna anonim pada komputer yang menjalankan Windows XP Paket Layanan 2 (SP2).
• SID: S-1-2
  Nama: Otoritas lokal
  Keterangan: Pengenal otoritas.
• SID: S-1-2-0
  Nama: lokal
  Keterangan: Sebuah kelompok yang mencakup semua pengguna yang memiliki logon secara lokal.
• SID: S-1-2-1
  Nama: Konsol Logon
  Keterangan: Grup yang termasuk pengguna yang logon ke konsol fisik.
  
  Catatan Ditambahkan di Windows 7 dan Windows Server 2008 R2
• SID: S-1-3
  Nama: Pencipta otoritas
  Keterangan: Pengenal otoritas.
• SID: S-1-3-0
  Nama: Pencipta pemilik
  Keterangan: Sebuah tempat dalam entri kontrol akses yang diwariskan (ACE). Ketika ACE mewarisi, sistem menggantikan SID ini dengan SID untuk objek pencipta.
• SID: S-1-3-1
  Nama: Pencipta kelompok
  Keterangan: Sebuah tempat di ACE diwariskan. Ketika ACE mewarisi, sistem menggantikan SID ini dengan SID untuk kelompok utama objek pencipta. Kelompok utama yang digunakan hanya oleh subsistem POSIX.
• SID: S-1-3-2
  Nama: Pencipta pemilik Server
  Keterangan: SID ini tidak digunakan dalam Windows 2000.
• SID: S-1-3-3
  Nama: Pencipta kelompok Server
  Keterangan: SID ini tidak digunakan dalam Windows 2000.
• SID: S-1-3-4 nama: hak-hak pemilik
  Keterangan: Sebuah kelompok yang mewakili pemilik saat ini objek. Ketika ACE yang membawa SID ini diterapkan ke objek, sistem mengabaikan READ_CONTROL dan WRITE_DAC izin untuk pemilik objek implisit.
• SID: S-1-5-80-0
  Nama: Semua layanan
  Keterangan: Sebuah kelompok yang mencakup semua proses layanan yang dikonfigurasi pada sistem. Keanggotaan dikendalikan oleh sistem operasi.
  
  Catatan Ditambahkan pada Windows Vista dan Windows Server 2008
• SID: S-1-4
  Nama: Non-unik otoritas
  Keterangan: Pengenal otoritas.
• SID: S-1-5
  Nama: NT Authority
  Keterangan: Pengenal otoritas.
• SID: S-1-5-1
  Nama: Dialup
  Keterangan: Sebuah kelompok yang mencakup semua pengguna yang logon melalui sambungan dial-up. Keanggotaan dikendalikan oleh sistem operasi.
• SID: S-1-5-2
  Nama: jaringan
  Keterangan: Sebuah kelompok yang mencakup semua pengguna yang logon melalui sambungan jaringan. Keanggotaan dikendalikan oleh sistem operasi.
• SID: S-1-5-3
  Nama: Batch
  Keterangan: Sebuah kelompok yang mencakup semua pengguna yang logon melalui fasilitas antrian batch. Keanggotaan dikendalikan oleh sistem operasi.
• SID: S-1-5-4
  Nama: interaktif
  Keterangan: Sebuah kelompok yang mencakup semua pengguna yang memiliki logon secara interaktif. Keanggotaan dikendalikan oleh sistem operasi.
• SID: S-1-5-5-X-Y
  Nama: Sesi Logon
  Keterangan: Sesi masuk. Nilai x dan Y SIDs ini berbeda untuk setiap sesi.
• SID: S-1-5-6
  Nama: layanan
  Keterangan: Sebuah kelompok yang mencakup semua pelaku keamanan yang masuk sebagai layanan. Keanggotaan dikendalikan oleh sistem operasi.
• SID: S-1-5-7
  Nama: anonim
  Keterangan: Sebuah kelompok yang mencakup semua pengguna yang memiliki logon secara anonim. Keanggotaan dikendalikan oleh sistem operasi.
• SID: S-1-5-8
  Nama: Proxy
  Keterangan: SID ini tidak digunakan dalam Windows 2000.
• SID: S-1-5-9
  Nama: Enterprise pengontrol Domain
  Keterangan: Sebuah kelompok yang mencakup semua pengontrol domain di hutan yang menggunakan layanan direktori Active Directory. Keanggotaan dikendalikan oleh sistem operasi.
• SID: S-1-5-10
  Nama: Kepala sekolah diri
  Keterangan: Sebuah tempat di ACE diwariskan pada rekening obyek atau kelompok objek di Active Directory. Ketika ACE mewarisi, sistem menggantikan SID ini dengan SID untuk keamanan utama yang memegang account.
• SID: S-1-5-11
  Nama: Dikonfirmasi pengguna
  Keterangan: Sebuah kelompok yang mencakup semua pengguna identitas yang dikonfirmasi ketika mereka login. Keanggotaan dikendalikan oleh sistem operasi.
• SID: S-1-5-12
  Nama: Terbatas kode
  Keterangan: SID ini disediakan untuk penggunaan masa depan.
• SID: S-1-5-13
  Nama: Terminal Server pengguna
  Keterangan: Sebuah kelompok yang mencakup semua pengguna yang logon ke server Layanan Terminal. Keanggotaan dikendalikan oleh sistem operasi.
• SID: S-1-5-14
  Nama: Remote interaktif Logon
  Keterangan: Sebuah kelompok yang mencakup semua pengguna yang logon melalui layanan terminal logon.
• SID: S-1-5-15
  Nama: Organisasi ini
  Keterangan: Sebuah kelompok yang mencakup semua pengguna dari organisasi yang sama. Hanya disertakan dengan account AD dan hanya ditambahkan oleh Windows Server 2003 atau kemudian kontroler domain.
• SID: S-1-5-17
  Nama: Organisasi ini
  Keterangan: Account yang digunakan oleh pengguna Internet Information Services (IIS) default.
• SID: S-1-5-18
  Nama: Sistem lokal
  Keterangan: Account layanan yang digunakan oleh sistem operasi.
• SID: S-1-5-19
  Nama: NT Authority
  Keterangan: Layanan lokal
• SID: S-1-5-20
  Nama: NT Authority
  Keterangan: Layanan jaringan
• SID: S-1-5-21domainseri -500
  Nama: Administrator
  Keterangan: Account pengguna untuk administrator sistem. Secara default, ini adalah account hanya pengguna yang diberikan kendali penuh atas sistem.
• SID: S-1-5-21domain-501
  Nama: tamu
  Keterangan: Account pengguna untuk orang-orang yang tidak memiliki account perorangan. Akun pengguna ini tidak memerlukan sandi. Secara default, account Tamu dinonaktifkan.
• SID: S-1-5-21domain-502
  Nama: KRBTGT
  Keterangan: Account layanan yang digunakan oleh Dinas kunci distribusi Center (KDC).
• SID: S-1-5-21domain-512
  Nama: Admin Domain
  Keterangan: Global kelompok anggota yang berwenang untuk mengelola domain. Secara default, Grup Admin Domain adalah anggota dari grup Administrator pada semua komputer yang telah bergabung dengan domain, termasuk kontroler domain. Admin domain adalah pemilik default dari objek yang dibuat oleh setiap anggota kelompok.
• SID: S-1-5-21domain-513
  Nama: Domain pengguna
  Keterangan: Global grup yang, secara default, termasuk semua account pengguna di domain. Bila Anda membuat account pengguna di domain, itu ditambahkan ke grup ini secara default.
• SID: S-1-5-21domain-514
  Nama: Domain tamu
  Keterangan: Global group yang, secara default, hanya satu anggota, account Tamu built-in domain.
• SID: S-1-5-21domain-515
  Nama: Domain komputer
  Keterangan: Global grup yang mencakup semua klien dan server yang telah bergabung dengan domain.
• SID: S-1-5-21domain-516
  Nama: Kontroler Domain
  Keterangan: Global grup yang mencakup semua pengontrol domain di domain. Kontroler domain baru ditambahkan ke grup ini secara default.
• SID: S-1-5-21domain-517
  Nama: Cert penerbit
  Keterangan: Global grup yang mencakup semua komputer yang menjalankan otoritas sertifikasi perusahaan. Cert penerbit berwenang untuk menerbitkan sertifikat untuk pengguna objek di Active Directory.
• SID: S-1-5-21akar domain-518
  Nama: Skema admin
  Keterangan: Universal group domain asli-modus; sebuah kelompok global dalam modus campuran domain. Kelompok berwenang untuk membuat skema perubahan dalam Active Directory. Secara default, satu-satunya anggota dari kelompok ini adalah account Administrator domain akar hutan.
• SID: S-1-5-21akar domain-519
  Nama: Admin perusahaan
  Keterangan: Universal group domain asli-modus; sebuah kelompok global dalam modus campuran domain. Kelompok berwenang untuk membuat perubahan di seluruh hutan di Active Directory, seperti menambahkan anak domain. Secara default, satu-satunya anggota dari kelompok ini adalah account Administrator domain akar hutan.
• SID: S-1-5-21domain-520
  Nama: Pemilik pembuat kebijakan grup
  Keterangan: Global group yang berwenang untuk membuat objek kebijakan grup baru di Active Directory. Secara default, satu-satunya anggota kelompok adalah Administrator.
• SID: S-1-5-21domain-553
  Nama: RAS dan IAS server
  Keterangan: Domain lokal group. Secara default, grup ini tidak memiliki anggota. Server dalam kelompok ini memiliki pembatasan Account membaca dan membaca informasi Logon akses ke objek pengguna dalam grup lokal domain direktori aktif.
• SID: S-1-5-32-544
  Nama: administrator
  Keterangan: Sebuah kelompok built-in. Setelah instalasi awal dari sistem operasi, satu-satunya anggota dari kelompok ini adalah Administrator account. Ketika komputer bergabung dengan domain, admin Domain ditambahkan ke grup Administrators. Ketika server menjadi pengontrol domain, grup admin perusahaan juga ditambahkan ke grup Administrators.
• SID: S-1-5-32-545
  Nama: pengguna
  Keterangan: Sebuah kelompok built-in. Setelah instalasi awal dari sistem operasi, satu-satunya anggota adalah grup dikonfirmasi pengguna. Ketika komputer bergabung dengan domain, Domain pengguna ditambahkan ke grup pengguna pada komputer.
• SID: S-1-5-32-546
  Nama: tamu
  Keterangan: Sebuah kelompok built-in. Secara default, satu-satunya anggota adalah account tamu. Grup Tamu memungkinkan pengguna sesekali atau satu kali untuk logon dengan privileges yang terbatas untuk account Tamu built-in komputer.
• SID: S-1-5-32-547
  Nama: Power User
  Keterangan: Sebuah kelompok built-in. Secara default, kelompok tidak memiliki anggota. Power User dapat membuat pengguna lokal dan grup; memodifikasi dan menghapus account yang mereka dibuat; dan menghapus pengguna dari grup Power User, pengguna dan tamu. Power User juga dapat menginstal program; membuat, mengelola, dan menghapus printer lokal; membuat dan menghapus berkas saham.
• SID: S-1-5-32-548
  Nama: Account operator
  Keterangan: Built-in grup yang ada hanya pada pengontrol domain. Secara default, kelompok tidak memiliki anggota. Secara default, Account operator memiliki izin untuk membuat, memodifikasi dan menghapus account bagi pengguna, grup, dan komputer di semua wadah dan unit organisasi Active Directory kecuali Builtin wadah dan OU kontroler Domain. Rekening operator tidak memiliki izin untuk mengubah grup Administrator dan admin Domain, juga tidak memiliki izin untuk mengubah account untuk anggota kelompok-kelompok.
• SID: S-1-5-32-549
  Nama: Server operator
  Keterangan: Built-in grup yang ada hanya pada pengontrol domain. Secara default, kelompok tidak memiliki anggota. Server operator dapat log on ke server interaktif; membuat dan menghapus jaringan saham; mulai dan berhenti layanan; membuat cadangan dan memulihkan file; memformat hard disk komputer; dan mematikan komputer.
• SID: S-1-5-32-550
  Nama: Cetak operator
  Keterangan: Built-in grup yang ada hanya pada pengontrol domain. Secara default, satu-satunya anggota adalah grup Domain pengguna. Cetak operator dapat mengatur printer dan dokumen antrian.
• SID: S-1-5-32-551
  Nama: Cadangan operator
  Keterangan: Sebuah kelompok built-in. Secara default, kelompok tidak memiliki anggota. Operator cadangan dapat membuat cadangan dan memulihkan semua file pada komputer, terlepas dari izin yang melindungi file-file tersebut. Operator cadangan juga dapat log on ke komputer dan menutupnya.
• SID: S-1-5-32-552
  Nama: Replicators
  Keterangan: Built-in kelompok yang digunakan oleh Layanan Replikasi File pada pengontrol domain. Secara default, kelompok tidak memiliki anggota. Tidak menambahkan pengguna ke grup ini.
• SID: S-1-5-64-10
  Nama: Otentikasi NTLM
  Keterangan: SID yang digunakan ketika paket otentikasi NTLM dikonfirmasi klien
• SID: S-1-5-64-14
  Nama: SChannel otentikasi
  Keterangan: SID yang digunakan ketika dikonfirmasi SChannel paket otentikasi klien.
• SID: S-1-5-64-21
  Nama: Digest otentikasi
  Keterangan: SID yang digunakan ketika paket otentikasi Digest dikonfirmasi klien.
• SID: S-1-5-80
  Nama: Layanan NT
  Keterangan: Layanan NT account awalan
• SID: S-1-16-0
  Nama: Tidak terpercaya tingkat wajib
  Keterangan: Integritas tidak terpercaya tingkat. Catatan yang ditambahkan pada Windows Vista dan Windows Server 2008
  
  Catatan Ditambahkan pada Windows Vista dan Windows Server 2008
• SID: S-1-16-4096
  Nama: Wajib tingkat rendah
  Keterangan: Integritas rendah tingkat.
  
  Catatan Ditambahkan pada Windows Vista dan Windows Server 2008
• SID: S-1-16-8192
  Nama: Menengah tingkat wajib
  Keterangan: Integritas menengah tingkat.
  
  Catatan Ditambahkan pada Windows Vista dan Windows Server 2008
• SID: S-1-16-8448
  Nama: Menengah ditambah wajib tingkat
  Keterangan: Menengah ditambah integritas tingkat.
  
  Catatan Ditambahkan pada Windows Vista dan Windows Server 2008
• SID: S-1-16-12288
  Nama: Wajib tingkat tinggi
  Keterangan: Integritas yang tinggi tingkat.
  
  Catatan Ditambahkan pada Windows Vista dan Windows Server 2008
• SID: S-1-16-16384
  Nama: Sistem wajib tingkat
  Keterangan: Integritas tingkat sistem.
  
  Catatan Ditambahkan pada Windows Vista dan Windows Server 2008
• SID: S-1-16-20480
  Nama: Dilindungi tingkat wajib proses
  Keterangan: Proses dilindungi integritas tingkat.
  
  Catatan Ditambahkan pada Windows Vista dan Windows Server 2008
• SID: S-1-16-28672
  Nama: Aman proses wajib tingkat
  Keterangan: Aman integritas tingkat proses.
  
  Catatan Ditambahkan pada Windows Vista dan Windows Server 2008
• SID: S-1-5-80-0
  SID S-1-5-80-0 = NT SERVICES\ALL LAYANAN
  Nama: Semua layanan
  Keterangan: Sebuah kelompok yang mencakup semua proses layanan yang dikonfigurasi pada sistem. Keanggotaan dikendalikan oleh sistem operasi.
  
  Catatan Ditambahkan pada Windows Server 2008 R2

Kelompok berikut akan menunjukkan sebagai SIDs sampai pengontrol domain Windows Server 2003 dibuat kontroler domain utama (PDC) operasi pemegang peran master skema. "Master operasi" ini juga dikenal sebagai operasi master tunggal fleksibel atau FSMO. Tambahan baru built-in kelompok yang dibuat ketika pengontrol domain Windows Server 2003 yang ditambahkan ke domain adalah:

• SID: S-1-5-32-554
  Nama: BUILTIN\Pre-Windows 2000 kompatibel akses
  Keterangan: Alias ditambahkan oleh Windows 2000. Grup kompatibilitas yang memungkinkan akses baca pada semua pengguna dan grup dalam domain.
• SID: S-1-5-32-555
  Nama: BUILTIN\Remote Desktop pengguna
  Keterangan: Alias. Anggota dalam kelompok ini diberikan hak untuk logon jarak jauh.
• SID: S-1-5-32-556
  Nama: BUILTIN\Network konfigurasi operator
  Keterangan: Alias. Anggota dalam kelompok ini dapat memiliki beberapa hak administratif untuk mengelola konfigurasi jaringan fitur.
• SID: S-1-5-32-557
  Nama: BUILTIN\Incoming hutan kepercayaan pembangun
  Keterangan: Alias. Anggota dari kelompok ini dapat membuat masuk, satu arah Trust untuk hutan ini.
• SID: S-1-5-32-558
  Nama: BUILTIN\Performance Monitor pengguna
  Keterangan: Alias. Anggota dari kelompok ini memiliki akses remote untuk memantau komputer ini.
• SID: S-1-5-32-559
  Nama: BUILTIN\Performance Log pengguna
  Keterangan: Alias. Anggota dari kelompok ini memiliki remote akses ke jadwal penebangan penghitung kinerja di komputer ini.
• SID: S-1-5-32-560
  Nama: BUILTIN\Windows otorisasi akses Group
  Keterangan: Alias. Anggota dari kelompok ini memiliki akses ke tokenGroupsGlobalAndUniversal dihitung atribut pada objek pengguna.
• SID: S-1-5-32-561
  Nama: BUILTIN\Terminal Server lisensi Server
  Keterangan: Alias. Sebuah kelompok untuk Terminal Server lisensi server. Ketika Windows Server 2003 Paket Layanan 1 telah diinstal, grup lokal yang baru dibuat.
• SID: S-1-5-32-562
  Nama: BUILTIN\Distributed COM pengguna
  Keterangan: Alias. Sebuah kelompok COM untuk memberikan computerwide kontrol akses yang mengatur akses ke semua panggilan, aktivasi, atau memulai permintaan pada komputer.

Kelompok berikut akan menunjukkan sebagai SIDs sampai pengontrol domain Windows Server 2008 atau Windows Server 2008 R2 dibuat kontroler domain utama (PDC) operasi pemegang peran master skema. "Master operasi" ini juga dikenal sebagai operasi master tunggal fleksibel atau FSMO. Tambahan baru built-in kelompok yang dibuat ketika pengontrol domain Windows Server 2008 atau Windows Server 2008 R2 ditambahkan ke domain adalah:

• SID: S-1-5-21domain -498
  Nama: Enterprise pengontrol Domain hanya-baca
  Keterangan: Universal group. Anggota dari kelompok ini adalah Read-Only pengontrol Domain di perusahaan
• SID: S-1-5-21domain -521
  Nama: Read-only pengontrol Domain
  Keterangan: Sebuah kelompok Global. Anggota dari kelompok ini adalah Read-Only pengontrol Domain domain
• SID: S-1-5-32-569
  Nama: BUILTIN\Cryptographic operator
  Keterangan: Lokal Builtin kelompok. Anggota berwenang untuk melakukan operasi kriptografi.
• SID: S-1-5-21 domain -571
  Nama: Diperbolehkan RODC Password replikasi Group
  Keterangan: Sebuah kelompok Domain lokal. Anggota dalam kelompok ini dapat memiliki password mereka direplikasi ke semua pengontrol domain hanya-baca di domain.
• SID: S-1-5-21 domain -572
  Nama: Ditolak RODC Password replikasi Group
  Keterangan: Sebuah kelompok Domain lokal. Anggota dalam kelompok ini tidak memiliki password mereka direplikasi ke kontroler domain hanya-baca apapun dalam domain
• SID: S-1-5-32-573
  Nama: BUILTIN\Event Log pembaca
  Keterangan: Lokal Builtin kelompok. Anggota dari kelompok ini dapat membaca log peristiwa dari komputer lokal.
• SID: S-1-5-32-574
  Nama: BUILTIN\Certificate Service DCOM akses
  Keterangan: Lokal Builtin kelompok. Anggota dari kelompok ini diperbolehkan untuk menghubungkan ke sertifikasi otoritas di perusahaan.

Kelompok berikut akan menunjukkan sebagai SIDs sampai pengontrol domain Windows Server "8" Beta dibuat kontroler domain utama (PDC) operasi pemegang peran master skema. "Master operasi" ini juga dikenal sebagai operasi master tunggal fleksibel atau FSMO. Tambahan baru built-in kelompok yang dibuat ketika pengontrol domain Windows Server "8" Beta ditambahkan ke domain adalah:

• SID: S-1-5-21 -domain-522
  Nama: Cloneable pengontrol Domain
  Keterangan: Sebuah kelompok Global. Anggota dari kelompok ini yang pengontrol domain mungkin akan di kloning.
• SID: S-1-5-32-575
  Nama: BUILTIN\RDS Remote akses server
  Keterangan: Lokal Builtin kelompok. Server dalam kelompok ini memungkinkan pengguna program RemoteApp dan pribadi virtual desktop akses ke sumber daya tersebut. Di Internet-menghadap penyebaran, server ini biasanya digunakan dalam jaringan edge. Kelompok ini perlu diisi di server menjalankan RD koneksi Broker. Server RD Gateway dan RD Web Access server yang digunakan dalam penyebaran harus dalam kelompok ini.
• SID: S-1-5-32-576
  Nama: BUILTIN\RDS Endpoint server
  Keterangan: Lokal Builtin kelompok. Server dalam kelompok ini menjalankan mesin virtual dan tuan rumah sesi di mana pengguna RemoteApp program dan pribadi virtual desktop menjalankan. Kelompok ini perlu diisi di server menjalankan RD koneksi Broker. RD sesi Host server dan server RD virtualisasi Host yang digunakan dalam penyebaran harus dalam kelompok ini.
• SID: S-1-5-32-577
  Nama: BUILTIN\RDS manajemen server
  Keterangan: Lokal Builtin kelompok. Server dalam kelompok ini dapat melakukan tindakan administratif rutin pada server yang menjalankan layanan Desktop jauh. Kelompok ini perlu diisi pada semua server dalam penyebaran layanan Desktop jauh. Server yang menjalankan layanan manajemen pusat RDS harus dimasukkan ke dalam kelompok ini.
• SID: S-1-5-32-578
  Nama: BUILTIN\Hyper-V administrator
  Keterangan: Lokal Builtin kelompok. Anggota dari kelompok ini memiliki lengkap dan akses tidak terbatas untuk semua fitur dari Hyper-V.
• SID: S-1-5-32-579
  Nama: BUILTIN\Access kontrol bantuan operator
  Keterangan: Lokal Builtin kelompok. Anggota dari kelompok ini dapat secara remote permintaan otorisasi atribut dan izin untuk sumber daya di komputer ini.
• SID: S-1-5-32-580
  Nama: BUILTIN\Remote manajemen pengguna
  Keterangan: Lokal Builtin kelompok. Anggota dari kelompok ini dapat mengakses sumber daya WMI melalui protokol manajemen (seperti WS-Management melalui layanan Windows Remote Management). Ini hanya berlaku untuk WMI namespaces yang memberikan akses kepada pengguna.