文章編號: 243330 - 上次校閱: 2012年3月1日 - 版次: 2.2

在 Windows 作業系統中的已知安全性識別元

按一下這裡顯示機器翻譯的中英文對照

檢視機器翻譯免責聲明

檢視此文章適用的產品。

系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

全部展開 | 全部摺疊

結論

安全性識別碼 (SID) 是用來識別的安全性主體或安全性群組，在 Windows 作業系統中的可變長度的唯一值。已知的 Sid 是一群識別一般使用者的 Sid 或一般的群組。在所有平台之間，其值保持為常數。

這項資訊可以用來排除安全性的相關問題的。也很有用的潛在可能會出現在「 ACL 編輯器中的顯示問題。SID 可能會顯示在「 ACL 編輯器，而非使用者或群組名稱。

其他相關資訊

已知的 Sid：

SID: 0-S 1-
名稱: Null 授權單位
描述: 識別碼許可權。
SID: S-1-0-0
名稱：沒有人
描述: 沒有安全性原則。
SID: S-1-1
名稱: 世界授權單位
描述: 識別碼許可權。
SID: S-1-1-0
名稱：每一個人
描述: 群組，其中包含所有的使用者，甚至是匿名的使用者及來賓。成員資格是由作業系統所控制。

附註根據預設，Everyone 群組不會再包含正在執行 Windows XP Service Pack 2 (SP2) 的電腦上的匿名使用者。
SID: S-1-2
名稱: 本機授權
描述: 識別碼許可權。
SID: S-1-2-0
名稱：本機
描述: 群組，其中包含所有本機登入的使用者。
SID: S-1-2-1
名稱: 主控台登入
描述: 包括實體控制台登入的使用者群組。

附註 Windows 7 及 Windows Server 2008 R2 新增
SID: S-1-3
名稱: 建立者的授權單位
描述: 識別碼許可權。
SID: S-1-3-0
名稱: 建立者擁有者
描述: 可繼承的存取控制項目 (ACE) 中的預留位置。繼承 ACE 之後，系統會將這個 SID 取代物件的建立者的 SID。
SID: S-1-3-1
名稱: 建立者群組
描述: 可繼承 ACE 中的預留位置。當繼承 ACE 之後時，系統會將這個 SID sid 取代為物件的建立者的主要群組中。只有 POSIX 子系統會使用主要群組。
SID: S-1-3-2
名稱: 建立者擁有者伺服器
描述: 此 SID 不在 Windows 2000 中使用。
SID: S-1-3-3
名稱：建立者群組伺服器
描述: 此 SID 不在 Windows 2000 中使用。
SID: S-1-3-4 名稱：擁有者權限
描述: 群組代表目前物件的擁有者。當執行這個 SID ACE 套用到物件時，系統會忽略隱含的 READ_CONTROL 及 WRITE_DAC 權限，如物件擁有者。
SID: S-1-5-80-0
所有的服務名稱:
描述: 群組，其中包含所有在系統上的服務處理序。成員資格是由作業系統所控制。

附註 Windows Vista 及 Windows Server 2008 新增
SID: S-1-4
名稱: 非唯一的授權單位
描述: 識別碼許可權。
SID: S S-1-5
名稱: NT 授權單位
描述: 識別碼許可權。
SID: S-1-5-1
名稱：撥號
描述: 群組，其中包含所有的使用者透過撥接連線登入。成員資格是由作業系統所控制。
SID: S-1-5-2
名稱：網路
描述: 群組，其中包括所有透過網路連線登入的使用者。成員資格是由作業系統所控制。
SID: S-1-5-3
名稱: 批次
描述: 群組，其中包括所有透過批次佇列設備登入的使用者。成員資格是由作業系統所控制。
SID: S-1-5-4
名稱: 互動
描述: 群組，其中包含所有的使用者以互動方式登入。成員資格是由作業系統所控制。
SID： S-1-5-5-X-Y
名稱: 登入工作階段
描述: 工作階段。每個工作階段，x 和 y 值，這些 Sid 不相同。
SID: S-1-5-6
名稱：服務
描述: 群組，其中包含所有的安全性主體以服務登入。成員資格是由作業系統所控制。
SID: S-1-5-7
名稱：匿名
描述: 群組，其中包含所有使用者匿名登入。成員資格是由作業系統所控制。
SID: S-1-5-8
名稱: Proxy
描述: 此 SID 不在 Windows 2000 中使用。
SID: S-1-5-9
名稱：企業網域控制站
描述: 群組包含所有網域控制站在樹系中使用 Active Directory 目錄服務。成員資格是由作業系統所控制。
SID: S-1-5-10
名稱: 原則本身
描述: 帳戶物件或群組在 Active Directory 中的物件上的可繼承 ACE 中的預留位置。繼承 ACE 之後，系統會將這個 SID 取代持有帳戶的安全性原則的 SID。
SID: S-1-5-11
已驗證的使用者名稱:
描述: 群組，其中包括所有其識別元已通過驗證，當使用者登入的使用者。成員資格是由作業系統所控制。
SID: S-1-5-12
名稱: 設限的代碼
描述: 此 SID 是保留供未來使用。
SID: S-1 年 5 月 13 日
終端機伺服器使用者名稱:
描述: 群組，其中包含所有的使用者已登入終端機服務伺服器。成員資格是由作業系統所控制。
SID: S-1-5-14
名稱: 遠端互動式登入
描述: 群組，其中包括透過終端機服務登入登入的所有使用者。
SID: S-1-5-15
此組織的名稱:
描述: 群組，其中包含從同一個組織的所有使用者。只有隨附 AD 帳戶，而且只加入由 Windows Server 2003 或更新版本的網域控制站。
SID: S-1-5-17
此組織的名稱:
描述: 由預設的網際網路資訊服務 (IIS) 使用者帳戶。
SID: S-1-5-18]
本機系統的名稱:
描述: 服務帳戶所使用的作業系統。
SID: S-1-5-19
名稱: NT 授權單位
描述: 本機服務
SID: S-1-5-20
名稱: NT 授權單位
描述: 網路服務
SID: S-1-5-21網域-500
名稱：系統管理員
描述: 系統管理員的使用者帳戶。根據預設，它是唯一的使用者帳戶提供系統的完整控制權。
SID: S-1-5-21網域-501
名稱: 來賓
描述: 使用者帳戶的使用者而言並沒有個別的帳戶。這個使用者帳戶不需要密碼。根據預設，「來賓」帳戶已停用。
SID: S-1-5-21網域-502
名稱: KRBTGT
描述: 服務帳戶所使用的金鑰發行中心 (KDC) 服務。
SID: S-1-5-21網域-512
名稱: 網域系統管理員」
描述: 其成員被授權管理網域的通用群組。根據預設，網域系統管理員」群組是已經加入網域，包括網域控制站的所有電腦的系統管理員群組的成員。網域系統管理員」是所建立的任何群組成員的任何物件的預設擁有者。
SID: S-1-5-21網域-513
名稱：網域使用者
描述: 通用群組，根據預設值，其中包含所有的使用者帳戶網域中。當您建立使用者帳戶網域中時，預設情況下會將它加入至此群組。
SID: S-1-5-21網域-514
名稱: 網域來賓
描述: 全域具有的群組，根據預設，只有一個成員，網域的內建的 Guest 帳戶。
SID: S-1-5-21網域-515
名稱: 網域電腦
描述: 通用群組，其中包含所有用戶端和伺服器，它已加入網域。
SID: S-1-5-21網域-516
名稱: 網域控制站
描述: 通用群組，其中包含網域中的所有網域控制站。預設情況下，新的網域控制站會加入至這個群組。
SID: S-1-5-21網域-517
名稱: 憑證發行者
描述: 通用群組，其中包含所有正在執行「企業憑證授權單位的電腦。Cert 發行者被授權在 Active Directory 中發行憑證的使用者物件。
SID: S-1-5-21根網域-518
名稱: 架構系統管理
描述: 為萬用群組位於原生模式網域。在混合模式網域中的通用群組。群組已取得授權，才能在 Active Directory 中的結構描述變更。根據預設，唯一的群組的成員是樹系根網域的系統管理員帳戶。
SID: S-1-5-21根網域-519
名稱: 企業系統管理員
描述: 為萬用群組位於原生模式網域。在混合模式網域中的通用群組。群組有權在整個樹系中變更 Active Directory，例如新增子網域。根據預設，唯一的群組的成員是樹系根網域的系統管理員帳戶。
SID: S-1-5-21網域-520
群組原則建立者擁有者名稱:
描述: 全域群組獲得授權可在 Active Directory 中建立新的 [群組原則] 物件。根據預設，唯一的群組的成員是系統管理員。
SID: S-1-5-21網域-553
名稱: RAS 和 IAS 伺服器
描述: 網域本機群組。根據預設，這個群組並沒有成員。這個群組中的伺服器會在 Active Directory 網域本機群組中有讀取帳戶限制] 和 [讀取登入資訊的存取權的使用者物件。
SID: S-1-5-32-544
名稱：系統管理員
描述: 內建群組。在初始安裝之後的作業系統，唯一的群組的成員是系統管理員帳戶。當電腦加入網域時，網域系統管理員」群組加入到系統管理員群組。當某部伺服器成為網域控制站時，企業系統管理員群組也會加入至系統管理員群組。
SID: S-1-5-32-545
名稱: 使用者
描述: 內建群組。在初始安裝之後的作業系統，唯一的成員是已驗證的使用者群組。當電腦加入網域時，會將網域使用者群組加入電腦上的 [使用者] 群組。
SID: S-1-5-32-546
名稱: 來賓
描述: 內建群組。根據預設，唯一的成員會是「來賓」帳戶。把 Guest 群組可讓偶爾或單次登入電腦的內建的 Guest 帳戶的權限受限的使用者。
SID: S-1-5-32-547
名稱: 進階使用者
描述: 內建群組。根據預設，該群組並沒有成員。進階使用者可以建立本機使用者和群組。修改及刪除帳戶，他們已建立的。然後，從進階使用者、使用者及來賓群組移除使用者。進階使用者也可以安裝程式。建立、管理及刪除本機印表機。建立和刪除檔案共用。
為 ' 2548 SID: S-1-5-32-'
名稱: 帳戶操作員
描述: 內建存在的群組只用在網域控制站。根據預設，該群組並沒有成員。根據預設，帳戶操作員會擁有建立、修改及刪除帳戶的使用者、群組及電腦中所有的容器和 Active directory 除了 Builtin 容器和「網域控制站 OU 的組織單位的權限。帳戶操作員無此許可權修改「系統管理員」和「網域系統管理員」的群組，也不需要修改那些群組的成員之帳戶的權限。
SID: S-1-5-32-549
名稱：伺服器操作員
描述: 內建存在的群組只用在網域控制站。根據預設，該群組並沒有成員。伺服器操作員可以互動方式登入到伺服器。建立和刪除網路共用。啟動及停止服務。備份及還原檔案。格式化該硬碟的電腦。然後，將電腦關機。
SID: S-1-5-32-550
名稱: 列印操作員
描述: 內建存在的群組只用在網域控制站。根據預設，唯一的成員會是網域使用者群組。列印操作員可以管理印表機和文件佇列。
SID: S-1-5-32-551
名稱: 備份操作員
描述: 內建群組。根據預設，該群組並沒有成員。備份操作員可以備份和還原的電腦上，不論保護那些檔案的權限的所有檔案。備份操作員也可以登入電腦並將它關閉。
SID: S-1-5-32-552
名稱：可向
描述: 內建群組所使用的網域控制站上的「檔案複寫服務。根據預設，該群組並沒有成員。無法將使用者加入此群組。
SID: S-1-5-64-10
名稱: NTLM 驗證
描述: SID 是使用 NTLM 驗證封包通過驗證的用戶端時使用
SID: S-1-5-64-14
名稱: SChannel 驗證
描述: SChannel 驗證封包通過驗證的用戶端時，會使用 SID。
SID: S-1-5-64-21
名稱: 摘要式驗證
描述: 摘要式驗證封包通過驗證的用戶端時，會使用 SID。
SID: S-1-5-80
名稱: NT 服務
描述: NT 服務帳戶首碼
SID: S-1-16-0
名稱: 不受信任的強制等級
描述: 不受信任的整合層級。Windows Vista 及 Windows Server 2008 新增附註

附註 Windows Vista 及 Windows Server 2008 新增
SID: S-1-16-4096
名稱: 低強制等級
描述: 低整合性等級。

附註 Windows Vista 及 Windows Server 2008 新增
SID: S-1-16-8192
名稱: 中強制等級
描述: 中整合性等級。

附註 Windows Vista 及 Windows Server 2008 新增
SID: S-1-16-8448
名稱: 媒體加上強制等級
描述: 媒體加上整合性等級。

附註 Windows Vista 及 Windows Server 2008 新增
SID: S-1-16-12288
名稱: 高強制等級
描述: 高整合性等級。

附註 Windows Vista 及 Windows Server 2008 新增
SID: S-1-16-16384
名稱: 系統強制等級
描述: 系統整合層級。

附註 Windows Vista 及 Windows Server 2008 新增
SID: S-1-16-20480
名稱: 受保護的處理程序強制等級
描述: 受保護的程序整合等級。

附註 Windows Vista 及 Windows Server 2008 新增
SID: S-1-16-28672
名稱：安全的處理程序強制等級
描述：安全的處理程序整合層級。

附註 Windows Vista 及 Windows Server 2008 新增
SID: S-1-5-80-0
SID S-1-5-80-0 = NT SERVICES\ALL 服務
所有的服務名稱:
描述: 群組，其中包含所有系統所設定的服務程序。成員資格是由作業系統所控制。

附註在 Windows Server 2008 R2

直到 Windows Server 2003 網域控制站由網域主控站 (PDC) 操作主機角色持有者 Sid 會顯示下列的群組。「操作主機] 都是也稱為彈性單一主機操作或 FSMO。其他新的內建群組的 Windows Server 2003 網域控制站會新增到網域時所建立的是：

SID: S-1-5-32-554
名稱: BUILTIN\Pre Windows 2000 版相容性存取
描述: 新增的 Windows 2000 的別名。回溯相容性群組可讓所有使用者和群組在網域中的「讀取」權限。
SID: S-1-5-32-555
名稱: BUILTIN\Remote 桌上型電腦的使用者
描述: 別名。這個群組的成員會授與遠端登入的權限。
SID: S-1-5-32-556
名稱: BUILTIN\Network 設定檔操作員
描述: 別名。在此群組的成員可以有某些系統管理權限，來管理網路功能的設定。
SID: S-1-5-32-557
BUILTIN\Incoming 樹系信任產生器名稱:
描述: 別名。這個群組的成員可以建立到這個樹系的連入、單向信任。
SID: S-1-5-32-558
名稱: BUILTIN\Performance 監視器使用者
描述: 別名。這個群組的成員可以監視此電腦的遠端存取。
SID: S-1-5-32-559
名稱: BUILTIN\Performance 記錄檔使用者
描述: 別名。這個群組的成員可以從遠端存取的 [這台電腦上的效能計數器排程記錄。
SID: S-1-5-32-560
名稱: BUILTIN\Windows 的權限存取群組
描述: 別名。這個群組的成員會對使用者物件的存取計算的 tokenGroupsGlobalAndUniversal 屬性。
SID: S-1-5-32-561
名稱: BUILTIN\Terminal 的伺服器授權伺服器
描述: 別名。終端機伺服器授權伺服器的群組。在安裝 Windows Server 2003 的 Service Pack 1 後，會建立新的本機群組。
SID: S-1-5-32-562
名稱: BUILTIN\Distributed COM 使用者
描述: 別名。為代表群組來控制存取所有的存取控制，提供電腦的所有 COM 呼叫時，啟動過程中，或是在啟動電腦上的要求。

直到 Windows Server 2008 或 Windows Server 2008 R2 的網域控制站由網域主控站 (PDC) 操作主機角色持有者 Sid 會顯示下列的群組。「操作主機] 都是也稱為彈性單一主機操作或 FSMO。其他新的內建群組的 Windows Server 2008 或 Windows Server 2008 R2 的網域控制站會新增到網域時所建立的是：

SID: S-1-5-21網域 -498
名稱: 企業唯讀網域控制站
描述: 此萬用群組。這個群組的成員位於企業唯讀網域控制站
SID: S-1-5-21網域 -521
名稱: 唯讀網域控制站
描述: 通用群組。這個群組的成員會在網域中的 [唯讀網域控制站
SID: S-1-5-32-569
名稱: BUILTIN\Cryptographic 運算子
描述: 內建本機群組。成員被授權執行密碼編譯作業。
SID: S-1-5-21 網域 -571
名稱: 允許的 RODC 密碼複寫群組
描述: 網域區域群組。這個群組的成員可將其複寫到網域中的所有唯讀網域控制站的密碼。
SID: S-1-5-21 網域 -572
名稱: 拒絕的 RODC 密碼複寫群組
描述: 網域區域群組。這個群組的成員不能有其密碼複寫至網域中任何唯讀網域控制站
SID: S-1-5-32-573
讀取器-BUILTIN\Event 記錄檔名稱:
描述: 內建本機群組。這個群組的成員可以從本機電腦讀取事件記錄檔。
SID: S-1-5-32-574
名稱: BUILTIN\Certificate 服務 DCOM 存取
描述: 內建本機群組。這個群組的成員可以在企業中連接至憑證授權單位。

當 Sid，直到「 8 」的 Windows Server 測試版的網域控制站做了網域主控站 (PDC) 操作主機角色持有者，就會顯示下列的群組。「操作主機] 都是也稱為彈性單一主機操作或 FSMO。其他新的內建群組加入「 8 」的 Windows Server 測試版的網域控制站到網域時所建立的是：

SID: S-1-5-21-網域-522
是可複製網域控制站名稱:
描述: 通用群組。這個群組的成員，網域控制站可能會被複製。
SID: S-1-5-32-575
名稱: BUILTIN\RDS 遠端存取伺服器
描述: 內建本機群組。這個群組中的伺服器會讓 RemoteApp 程式及個人虛擬桌面存取這些資源的使用者。直接連接網際網路的狀況，這些伺服器通常會在邊緣網路部署。這個群組必須在執行 [RD 連線代理人伺服器上被填入。RD 閘道伺服器以及部署中所使用的 RD Web 存取伺服器必須是此群組中。
SID: S-1-5-32-576
名稱: BUILTIN\RDS 端點伺服器
描述: 內建本機群組。這個群組中的伺服器會執行虛擬機器和主機工作階段執行使用者 RemoteApp 程式和個人虛擬桌面。這個群組必須在執行 [RD 連線代理人伺服器上被填入。RD 工作階段主機伺服器和部署中所使用的 RD 虛擬主機伺服器必須是此群組中。
SID: S-1-5-32-577
名稱: BUILTIN\RDS 管理伺服器
描述: 內建本機群組。這個群組中的伺服器可以執行遠端桌面服務的伺服器上執行例行系統管理的動作。這個群組必須在遠端桌面服務部署的所有伺服器上被填入。執行「 RDS 中央管理服務的伺服器必須包含在此群組。
578 SID: S-1-5-32-還是
系統管理員-BUILTIN\Hyper-V 名稱:
描述: 內建本機群組。這個群組的成員有完整且無限制存取所有功能的 Hyper-V。
SID: S-1-5-32-579
名稱: BUILTIN\Access 控制項協助操作員
描述: 內建本機群組。授權屬性和這台電腦上的資源的權限，可以從遠端查詢此群組的成員。
SID: S-1-5-32-580
名稱: BUILTIN\Remote 管理使用者
描述: 內建本機群組。這個群組的成員可以存取透過管理通訊協定 (例如 WS 管理透過 Windows 遠端管理服務) 的 WMI 資源。這只適用於授與存取權給使用者的 WMI 命名空間。

這篇文章中的資訊適用於:

Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows XP Professional
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional Edition
Windows Server 2008 R2 Datacenter
Windows Server 2008 R2 Enterprise
Windows Server 2008 R2 Standard
Windows Server 2008 Datacenter
Windows Server 2008 Enterprise
Windows Server 2008 Standard

回此頁最上方

kbenv kbinfo kbmt KB243330 KbMtzh

機器翻譯

重要：本文是以 Microsoft 機器翻譯軟體翻譯而成，而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章，讓使用者可以依其使用語言使用知識庫中的所有文章。但是，機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤，就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本：243330? (http://support.microsoft.com/kb/243330/en-us/ )

回此頁最上方

Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應，不負任何擔保責任。Microsoft及(或)其供應商謹此聲明，不負任何對與此資訊有關之擔保責任，包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。