在 Windows 操作系统中的已知安全标识符

文章翻译 文章翻译
文章编号: 243330 - 查看本文应用于的产品
展开全部 | 关闭全部

概要

安全标识符 (SID) 是用来标识的安全主体或在 Windows 操作系统中的安全组的可变长度的唯一值。通用组或一组标识一般用户的 Sid,都是众所周知的 Sid。在所有操作系统,其值始终保持不变。

此信息可用于解决涉及安全的问题。它也是有用的 ACL 编辑器中可能会出现的潜在显示问题。SID 可能会显示在 ACL 编辑器,而不是以用户或组的名称。

更多信息

以下是众所周知的 Sid:
  • SID: S-1-0
    空颁发机构的名称:
    说明: 标识符颁发机构。
  • SID: S-1-0-0
    名称: 没有人
    说明: 没有安全主体。
  • SID: S-1-1
    名称: 世界机构
    说明: 标识符颁发机构。
  • SID: S-1-1-0
    名称: 每个人
    说明: 包括所有用户甚至匿名用户和来宾组。成员资格是由操作系统控制的。

    注意 默认情况下,请将 Everyone 组中不再包括匿名用户正在运行 Windows XP Service Pack 2 (SP2) 的计算机上。
  • SID: S-1-2
    名称: 本地机构
    说明: 标识符颁发机构。
  • SID: S-1-2-0
    名称: 本地
    说明: 包括所有本地登录的用户组。
  • SID: S-1-2-1
    名称: 允许进行控制台登录
    说明: 包括已经登录到物理控制台的用户组。

    注意 7 和 Windows Server 2008 R2,在窗口中添加
  • SID: S-1-3
    名称: 创建者颁发机构
    说明: 标识符颁发机构。
  • SID: S-1-3-0
    名称: 创建者所有者
    说明: 父系的可继承的访问控制项 (ACE) 中的占位符。当继承的 ACE 时,系统将此 SID 替换对象的创建者的 SID。
  • SID: S-1-3-1
    名称: 创建者组
    说明: 父系的可继承 ACE 中的占位符。如果被继承的 ACE,请系统替换此 SID 的 sid 为主要对象的创建者的组。仅由 POSIX 子系统使用的主要组。
  • SID: S-1-3-2
    名称: 创建者所有者服务器
    描述: 此 SID 不在 Windows 2000 中使用。
  • SID: S-1-3-3
    创建者组服务器的名称:
    描述: 此 SID 不在 Windows 2000 中使用。
  • SID: S-1-3-4 名: 所有者权限
    说明: 一组,表示该对象的当前所有者。当执行此 SID 的 ACE 应用于某个对象时,系统将忽略隐式 READ_CONTROL 和 WRITE_DAC 的对象的所有者的权限。
  • SID: S-1-5-80-0
    所有服务的名称:
    说明: 一组包含在系统上配置的所有服务流程。成员资格是由操作系统控制的。

    注意 Windows Vista 和 Windows 服务器 2008年中添加
  • SID: S-1-4
    非唯一颁发机构的名称:
    说明: 标识符颁发机构。
  • SID: S-1-5
    名称: NT 颁发机构
    说明: 标识符颁发机构。
  • SID: S-1-5-1
    名称: 拨号
    说明: 包括通过拨号连接登录的所有用户组。成员资格是由操作系统控制的。
  • SID: S-1-5-2
    名称: 网络
    说明: 包括所有通过网络连接登录的用户组。成员资格是由操作系统控制的。
  • SID: S-1-5-3
    名称: 批处理
    说明: 包括所有通过批队列工具登录的用户组。成员资格是由操作系统控制的。
  • SID: S-1-5-4
    名称: 交互式
    说明: 包括所有以交互方式登录的用户组。成员资格是由操作系统控制的。
  • SID: S-1-5-5-X-Y
    名称: 登录会话
    说明: 登录会话。为每个会话中,这些 Sid 的 X 和 Y 值是不同的。
  • SID: S-1-5-6
    名称: 服务
    说明: 包括所有安全主体作为服务登录的一组。成员资格是由操作系统控制的。
  • SID: S-1-5-7
    名称: 匿名
    说明: 包括匿名登录的所有用户组。成员资格是由操作系统控制的。
  • SID: S-1-5-8
    名称: 代理服务器
    描述: 此 SID 不在 Windows 2000 中使用。
  • SID: S-1-5-9
    名称: 企业域控制器
    说明: 在目录林中使用 活动目录(AD) 目录服务中包括的所有域控制器组。成员资格是由操作系统控制的。
  • SID: S-1-5-10
    名称: 主体自身
    说明: 上一个帐户对象或组在 活动目录(AD) 中的对象可继承的 ACE 中的占位符。ACE 继承时,系统将此 SID 替换持有帐户的安全主体的 SID。
  • SID: S-1-5-11
    名称:已验证的用户
    说明: 包括所有登录时其身份已通过身份验证的用户组。成员资格是由操作系统控制的。
  • SID: S-1-5-12
    受限制的代码名称:
    说明: 此 SID 是保留供将来使用。
  • SID: S-1-5-13
    终端服务器用户的名称:
    说明: 包括所有用户已登录到终端服务服务器的一组。成员资格是由操作系统控制的。
  • SID: S-1-5-14
    名称: 远程交互式登录
    说明: 包括那些通过终端服务登录登录的所有用户组。
  • SID: S-1-5-15
    名称:此组织
    说明: 一个组,它包括了同一个组织来的所有用户。仅随 AD 帐户,而且只由 Windows Server 2003 或更高版本的域控制器添加。
  • SID: S 1-5 月 23 日
    名称:此组织
    说明: 默认 Internet Information Services (IIS) 用户使用的帐户。
  • SID: S-1-5-18
    名称: 本地系统
    说明: 服务帐户,它由操作系统。
  • SID: S-1-5-19
    名称: NT 颁发机构
    说明: 本地服务
  • SID: S-1-5-20
    名称: NT 颁发机构
    说明: 网络服务
  • SID: S-1-5-21-500
    名称: 管理员
    描述: 系统管理员用户帐户。默认情况下,它是唯一的用户帐户,提供对系统的完全控制。
  • SID: S-1-5-21-501
    名称: 访客
    说明: 用户帐户的人不具有单独的帐户。此用户帐户不需要密码。默认情况下,Guest 帐户被禁用。
  • SID: S-1-5-21-502
    名称: KRBTGT
    说明: 密钥分发中心 (KDC) 服务使用一个服务帐户。
  • SID: S-1-5-21-512
    名称: 域管理员
    说明: 其成员被授权管理该域一个全局组。默认情况下,域管理员组是所有已加入到域中,包括域控制器的计算机上管理员组的成员。域管理员是默认所有者的任何对象创建的任何组的成员。
  • SID: S-1-5-21-513
    名称: 域用户
    说明: 全局组,默认情况下,在域中包含所有用户帐户。在域中创建用户帐户时,它会添加到此组,默认情况。
  • SID: S-1-5-21-514
    名称: 域来宾
    描述: 一个全局组,默认情况下,都有只有一个成员,则域的内置来宾帐户。
  • SID: S-1-5-21-515
    域计算机的名称:
    说明: 全局组,其中包含所有客户机和服务器已经加入到该域中。
  • SID: S-1-5-21-516
    域控制器的名称:
    说明: 全局组,其中包括在域中的所有域控制器。默认情况下,新的域控制器添加到此组。
  • SID: S-1-5-21-517
    证书发行者的名称:
    说明: 全局组,其中包括所有的计算机正在运行企业证书颁发机构。证书发布者有权在 活动目录(AD) 中发布证书的用户对象。
  • SID: S-1-5-21根域-518
    名称: 架构管理员
    说明: 在本机模式域 ; 将通用组在混合模式域的全局组。该组有权在 活动目录(AD) 中进行架构更改。默认情况下,该组的唯一成员是林根域的管理员帐户。
  • SID: S-1-5-21根域-519
    名称: 企业管理员
    说明: 在本机模式域 ; 将通用组在混合模式域的全局组。该组有权在 活动目录(AD) 中进行目录林范围的更改,如添加子域。默认情况下,该组的唯一成员是林根域的管理员帐户。
  • SID: S-1-5-21-520
    名称: 组策略创建者所有者
    说明: 全局组被授权可在活动目录中创建新的组策略对象。默认情况下,该组的唯一成员是管理员。
  • SID: S-1-5-21-553
    名称: RAS 和 IAS 服务器
    说明: 本地域组。默认情况下,此组没有任何成员。此组中的服务器具有读取帐户限制和对用户对象的读取登录信息访问 活动目录(AD) 域本地组中。
  • SID: S-1-5-32-544
    名称: 管理员
    说明: 内置组。初始安装后的操作系统,该组的唯一成员是管理员帐户。当计算机加入域时,域管理员组添加到管理员组。一台服务器的域控制器时,企业管理员组还被添加到管理员组中。
  • SID: S-1-5-32-545
    名称: 用户
    说明: 内置组。在最初安装操作系统时之后, 的唯一成员是经过身份验证的用户组。当计算机加入域时,域用户组添加到用户组中的计算机上。
  • SID: S-1-5-32-546
    名称: 客人
    说明: 内置组。默认情况下,唯一的成员是 Guest 帐户。来宾组允许偶尔或一次性要用有限的特权应用于计算机的内置来宾帐户登录的用户。
  • SID: S-1-5-32-547
    名称: 超级用户
    说明: 内置组。默认情况下,组没有任何成员。超级用户可以创建本地用户和组 ;修改和删除他们所创建的 ; 的帐户和从高级用户、 用户和来宾组中删除用户。高级用户还可以安装程序 ;创建、 管理和删除本地打印机。创建和删除文件共享。
  • SID: S-1-5-32-548
    名称: 帐户操作员
    描述: 一个内置的组,仅在域控制器上存在。默认情况下,组没有任何成员。默认情况下,帐户操作员具有创建、 修改和删除用户、 组和计算机的所有容器和 活动目录(AD) 的内置容器和域控制器 OU 之外的组织单位中的帐户的权限。帐户操作员没有权限修改管理员和域管理员组中,它们也没有修改的那些组的成员帐户的权限。
  • SID: S-1-5-32-549
    名称: 服务器操作员
    描述: 一个内置的组,仅在域控制器上存在。默认情况下,组没有任何成员。服务器操作员可以登录到服务器上以交互方式 ;创建和删除网络共享 ;启动和停止服务 ; 示例:备份和还原文件。格式化硬盘的计算机 ;然后关闭计算机。
  • SID: S-1-5-32-550
    打印操作员的名称:
    描述: 一个内置的组,仅在域控制器上存在。默认情况下,唯一的成员是域用户组。打印操作员可以管理打印机和文档队列。
  • SID: S-1-5-32-551
    名称: 备份操作员
    说明: 内置组。默认情况下,组没有任何成员。备份操作员可以备份和还原的计算机上,无论使用什么权限保护这些文件的所有文件。备份操作员还可以登录到计算机上,并将其关闭。
  • SID: S-1-5-32-552
    名称: 复制器
    说明: 内置的组,它由文件复制服务在域控制器上。默认情况下,组没有任何成员。无法将用户添加到该组中。
  • SID: S-1-5-64-10
    名称: NTLM 身份验证
    描述: 一个 SID,则使用 NTLM 身份验证包身份验证的客户端时
  • SID: S-1-5-64-14
    名称: SChannel 身份验证
    描述: 频道身份验证包进行身份验证的客户端时,使用 SID。
  • SID: S-1-5-64-21
    名称: 摘要式身份验证
    说明: 在摘要式身份验证程序包进行客户端身份验证时使用 SID。
  • SID: S-1-5-80
    名称: NT 服务
    描述: 一个 NT 服务帐户前缀
  • SID: S-1-5-80-0
    SID S-1-5-80-0 = SERVICES\ALL NT 的服务
    所有服务的名称:
    说明: 一组包含在系统配置的所有服务流程。成员资格是由操作系统控制的。

    注意 在 Windows Server 2008 R2 中添加
  • SID: S-1-5-83-0
    名称: NT 虚拟 MACHINE\Virtual 机
    说明: 内置组。安装 Hyper-V 角色时,将创建的组。在组中的成员资格会维护 Hyper-V 管理服务 (VMM)。此组所需的"创建符号链接"权限 (SeCreateSymbolicLinkPrivilege),并还"作为服务登录"鼠标右键 (SeServiceLogonRight)。

    注意 Windows 8 和 Windows Server 2012 中添加
  • SID: S-1-16-0
    名称: 不受信任的强制性级别
    说明: 级别不受信任的完整性。在 Windows Vista 和 Windows 服务器 2008年中已添加的注释

    注意 Windows Vista 和 Windows 服务器 2008年中添加
  • SID: S-1-16-4096
    名称: 低强制性级别
    说明: 级别较低的完整性。

    注意 Windows Vista 和 Windows 服务器 2008年中添加
  • SID: S-1-16-8192
    名称: 中等强制性级别
    说明: 中等完整性级别。

    注意 Windows Vista 和 Windows 服务器 2008年中添加
  • SID: S-1-16-8448
    名称: 中型加上强制性级别
    说明: 一种媒体以及完整性级别。

    注意 Windows Vista 和 Windows 服务器 2008年中添加
  • SID: S-1-16-12288
    名称: 高强制性级别
    描述: 高完整性级别。

    注意 Windows Vista 和 Windows 服务器 2008年中添加
  • SID: S-1-16-16384
    名称: 系统强制性级别
    描述: 系统完整性级别。

    注意 Windows Vista 和 Windows 服务器 2008年中添加
  • SID: S-1-16-20480
    名称: 保护过程强制性级别
    说明: 一种受保护的进程的完整性级别。

    注意 Windows Vista 和 Windows 服务器 2008年中添加
  • SID: S-1-16-28672
    名称: 安全进程强制性级别
    说明: 安全进程完整性级别。

    注意 Windows Vista 和 Windows 服务器 2008年中添加
下面的组显示为 Sid,直到 Windows Server 2003 的域控制器是主域控制器 (PDC) 操作主机角色担任者。"操作主机"也称为灵活的单主机操作 (FSMO)。Windows Server 2003 的域控制器添加到域,则会创建下列其他内置的组:
  • SID: S-1-5-32-554
    名称: BUILTIN\Pre Windows 2000 以前版本兼容访问
    描述: Windows 2000 通过添加一个别名。向后兼容性组,它允许所有用户和组的域中的读取访问权限。
  • SID: S-1-5-32-555
    桌面机用户的名称: BUILTIN\Remote
    描述: 一个别名。此组中的成员被授予远程登录的权利。
  • SID: S-1-5-32-556
    名称: BUILTIN\Network 配置操作员
    描述: 一个别名。此组中的成员可以有部分管理权限来管理网络功能的配置。
  • SID: S-1-5-32-557
    名称: BUILTIN\Incoming 林信任构建器
    描述: 一个别名。此组的成员可以创建到此目录林的传入的单向信任。
  • SID: S-1-5-32-558
    名称: BUILTIN\Performance 监视器用户
    描述: 一个别名。此组的成员可以远程访问以监视此计算机。
  • SID: S-1-5-32-559
    名称: BUILTIN\Performance 日志用户
    描述: 一个别名。此组的成员可以远程访问以计划此计算机上性能计数器的日志。
  • SID: S-1-5-32-560
    名称: BUILTIN\Windows 授权访问组
    描述: 一个别名。此组的成员可以在用户对象上的计算出的 tokenGroupsGlobalAndUniversal 属性访问。
  • SID: S-1-5-32-561
    名称: BUILTIN\Terminal 服务器许可证服务器
    描述: 一个别名。终端服务器许可证服务器的一组。安装 Windows 服务器 2003 Service Pack 1 后,创建新的本地组。
  • SID: S-1-5-32-562
    名称: BUILTIN\Distributed COM 用户
    描述: 一个别名。COM 提供访问控制功能,控制访问所有的计算机范围的一组调用时,激活,或启动该计算机上的请求。

下面的组显示为 Sid,直到 Windows Server 2008 或 Windows Server 2008 R2 的域控制器是主域控制器 (PDC) 操作主机角色担任者。"操作主机"也称为灵活的单主机操作 (FSMO)。Windows Server 2008 或 Windows Server 2008 R2 的域控制器添加到域,则会创建下列其他内置的组:
  • SID: S-1-5-21-498
    名称: 企业只读域控制器
    描述: 将通用组。此组的成员都在企业中的只读域控制器
  • SID: S-1-5-21 -521
    只读的域控制器的名称:
    描述: 一个全局组。此组的成员是域中的只读域控制器
  • SID: S-1-5-32-569
    名称: BUILTIN\Cryptographic 运算符
    说明: 内置本地组。成员有权执行加密操作。
  • SID: S-1-5-21 -571
    名称: 允许 RODC 密码复制组
    说明: 一本地域组。可以为此组中的成员的密码复制到域中的所有只读域控制器。
  • SID: S-1-5-21 -572
    名称: 拒绝 RODC 密码复制组
    说明: 一本地域组。此组中的成员不能具有的密码复制到域中的所有只读域控制器
  • SID: S-1-5-32-573
    名称: BUILTIN\Event 日志读取器
    说明: 内置本地组。此组的成员可以从本地机器读取事件日志。
  • SID: S-1-5-32-574
    名称: BUILTIN\Certificate 服务 DCOM 访问
    说明: 内置本地组。允许此组的成员连接到证书颁发机构在企业中。

下面的组显示为 Sid,直到 Windows Server 2012 域控制器是主域控制器 (PDC) 操作主机角色担任者。"操作主机"也称为灵活的单主机操作 (FSMO)。Windows Server 2012 域控制器添加到域时,会创建下列额外的内置组:
  • SID: S-1-5-21--522
    克隆的域控制器的名称:
    描述: 一个全局组。此组的成员,是的域控制器可能被克隆。
  • SID: S-1-5-32-575
    名称: BUILTIN\RDS 的远程访问服务器
    说明: 内置本地组。此组中的服务器启用 RemoteApp 程序和个人虚拟机对这些资源的访问权限的用户。在面向 Internet 的部署中,这些服务器通常部署在边缘网络中。此组需要在运行 RD 连接代理服务器上填充。RD 网关服务器,部署中所使用的远程桌面 Web 访问服务器必须在此组中。
  • SID: S-1-5-32-576
    名称: BUILTIN\RDS 终结点服务器
    说明: 内置本地组。此组中的服务器运行的虚拟机和主机会话的用户 RemoteApp 程序和个人虚拟机运行。此组需要在运行 RD 连接代理服务器上填充。RD 会话主机服务器,部署中所使用的远程桌面虚拟化主机服务器必须在此组中。
  • SID: S-1-5-32-577
    名称: BUILTIN\RDS 管理服务器
    说明: 内置本地组。此组中的服务器可以运行远程桌面服务的服务器上执行日常的管理操作。此组需要在远程桌面服务部署中的所有服务器上填充。必须在此组中包含运行的 RDS 中央管理服务的服务器。
  • SID: S-1-5-32-578
    名称: BUILTIN\Hyper V 管理员
    说明: 内置本地组。此组的成员具有 Hyper-V 的所有功能的完整且不受限制的访问权限。
  • SID: S-1-5-32-579
    名称: BUILTIN\Access 控件帮助操作员
    说明: 内置本地组。授权属性和在此计算机上的资源的权限,这个组的成员可以远程查询。
  • SID: S-1-5-32-580
    名称: BUILTIN\Remote 管理用户
    说明: 内置本地组。此组的成员可以访问 WMI 资源,通过管理协议 (如通过 Windows 远程管理服务 WS 管理)。这仅适用于向用户授予访问权限的 WMI 命名空间。

属性

文章编号: 243330 - 最后修改: 2013年5月29日 - 修订: 3.0
这篇文章中的信息适用于:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows 8
  • Windows Server 2012 Standard
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
关键字:?
kbenv kbinfo kbmt KB243330 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 243330
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com