Bekannte Sicherheits-IDs in Windows-Betriebssystemen

Gilt für: Windows Server, version 1909, all editionsWindows Server, version 1903, all editionsWindows Server version 1809

Zusammenfassung


Ein Sicherheits-ID (Security Identifier = SID) ist ein eindeutiger Wert variabler Länge, mit dem ein Sicherheitsprinzipal (z. B. eine Sicherheitsgruppe) in Windows-Betriebssystemen identifiziert wird. SIDs, die generische Benutzer oder generische Gruppen identifizieren, sind besonders bekannt. Ihre Werte bleiben über alle Betriebssysteme hinweg konstant.

Diese Informationen sind nützlich für die Behebung von Sicherheitsproblemen Sie ist auch für die Fehlerbehebung von Anzeigeproblemen im Windows Access Control List (ACL)-Editor nützlich. Windows verfolgt durch seine SID einen Sicherheitsprinzipal. Um den Sicherheitsprinzipal im ACL-Editor anzuzeigen, löst Windows die SID in den zugehörigen Sicherheitsprinzipalnamen auf. 

Im Laufe der Zeit ist diese Reihe bekannter SIDs angewachsen. Die Tabellen in diesem Artikel organisieren diese SIDs entsprechend der Version von Windows, die sie eingeführt hat.

Bekannte SIDs (alle Versionen von Windows)


Alle Versionen von Windows verwenden die folgenden bekannten SIDs.

SID

Name

Beschreibung

S-1-0 Null-Autorität Bezeichnerautorität.
S-1-0-0 Niemand Kein Sicherheitsprinzipal.
S-1-1 Globale Autorität Bezeichnerautorität.
S-1-1-0 Jeder Gruppe, die alle Benutzer einschließlich der anonymen Benutzer und Gäste enthält. Die Mitgliedschaft wird vom Betriebssystem gesteuert.

Hinweis
Auf Computern mit Windows XP Service Pack 2 (SP2) sind anonyme Benutzer standardmäßig nicht mehr Mitglied der Gruppe "Jeder".
S-1-2 Lokale Autorität Bezeichnerautorität.
S-1-2-0 Lokal Gruppe, die alle Benutzer enthält, die sich lokal angemeldet haben.
S-1-3 Erstellerautorität Bezeichnerautorität.
S-1-3-0 Ersteller-Besitzer Platzhalter in einem vererbbaren ACE-Eintrag. Wenn der ACE-Eintrag geerbt wird, ersetzt das System diesen SID durch den SID des Objekterstellers.
S-1-3-1 Erstellergruppe Platzhalter in einem vererbbaren ACE-Eintrag. Wenn der ACE-Eintrag geerbt wird, ersetzt das System diesen SID durch den SID für die primäre Gruppe des Objekterstellers. Die primäre Gruppe wird nur vom POSIX-Subsystem verwendet.
S-1-3-4 Besitzerrechte Gruppe, die den aktuellen Besitzer eines Objekts angibt. Wird ein ACE mit diesem SID auf ein Objekt angewendet, ignoriert das System die impliziten READ_CONTROL- und WRITE_DAC-Berechtigungen für den Objektbesitzer.
S-1-4 Nicht eindeutige Autorität Bezeichnerautorität.
S-1-5 NT-Autorität Bezeichnerautorität.
S-1-5-1 DFÜ Gruppe, die alle Benutzer enthält, die sich über eine DFÜ-Verbindung angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
S-1-5-2 Netzwerk Gruppe, die alle Benutzer enthält, die sich über eine Netzwerkverbindung angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
S-1-5-3 Batch Gruppe, die alle Benutzer enthält, die sich über eine Batch-Warteschlangeneinrichtung angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
S-1-5-4 Interaktiv Gruppe, die alle Benutzer enthält, die sich interaktiv angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
S-1-5-5-X-Y Anmeldesitzung Eine Anmeldesitzung. Die X- und Y-Werte für diese SIDs unterscheiden sich von Sitzung zu Sitzung.
S-1-5-6 Dienst Gruppe, die alle Sicherheitsprinzipale enthält, die sich als Dienst angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
S-1-5-7 Anonym Gruppe, die alle Benutzer enthält, die sich anonym angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
S-1-5-9 Domänencontroller der Organisation Gruppe, die alle Domänencontroller in einer Gesamtstruktur enthält, die einen Verzeichnisdienst des Active Directory verwenden. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
S-1-5-10 Selbstprinzipal Platzhalter in einem vererbbaren ACE-Eintrag für ein Konto- oder Gruppenobjekt im Active Directory. Wenn der ACE-Eintrag geerbt wird, ersetzt das System diesen SID durch den SID des Sicherheitsprinzipals, dem das Konto gehört.
S-1-5-11 Authentifizierte Benutzer Gruppe, die alle Benutzer enthält, deren Identitäten bei der Anmeldung authentifiziert wurden. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
S-1-5-12 Eingeschränkter Code Dieser SID ist für eine mögliche zukünftige Verwendung reserviert.
S-1-5-13 Terminalserverbenutzer Gruppe, die alle Benutzer enthält, die sich bei einem Terminaldiensteserver angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
S-1-5-14 Interaktive Remoteanmeldung Gruppe, die alle Benutzer enthält, die sich über eine Terminaldiensteanmeldung angemeldet haben.
S-1-5-17 Diese Organisation Konto, das vom Standardbenutzer von Internetinformationsdienste (Internet Information Services, IIS) verwendet wird.
S-1-5-18 Lokales System Dienstkonto, das vom Betriebssystem genutzt wird.
S-1-5-19 NT-Autorität Lokaler Dienst
S-1-5-20 NT-Autorität Netzwerkdienst
S-1-5-21Domäne-500 Administrator Benutzerkonto für den Systemadministrator. Es handelt sich um das einzige Benutzerkonto, das standardmäßig uneingeschränkten Zugriff auf das System hat.
S-1-5-21Domäne-501 Gast Benutzerkonto für Personen, die kein Einzelkonto haben. Für dieses Benutzerkonto ist kein Kennwort erforderlich. Standardmäßig ist das Gastkonto deaktiviert.
S-1-5-21Domäne-502 KRBTGT Dienstkonto, das vom KDC-Dienst verwendet wird (KDC = Key Distribution Center = Schlüsselverteilungscenter).
S-1-5-21Domäne-512 Domänen-Admins Globale Gruppe, deren Mitglieder zur Verwaltung der Domäne berechtigt sind. Standardmäßig ist die Gruppe "Domänen-Admins" Mitglied der Administratorengruppe auf allen Computern, die der Domäne beigetreten sind, einschließlich der Domänencontroller. Die Gruppe "Domänen-Admins" ist der Standardbesitzer aller Objekte, die von einem Mitglied der Gruppe erstellt werden.
S-1-5-21Domäne-513 Domänenbenutzer Globale Gruppe, die standardmäßig alle Benutzerkonten einer Domäne enthält. Wenn Sie in einer Domäne ein Benutzerkonto erstellen, wird es dieser Gruppe standardmäßig hinzugefügt.
S-1-5-21Domäne-514 Domänengäste Globale Gruppe, die standardmäßig nur ein Mitglied hat (das in der Domäne vordefinierte Gastkonto).
S-1-5-21Domäne-515 Domänencomputer Globale Gruppe, die alle Clients und Server enthält, die der Domäne beigetreten sind.
S-1-5-21Domäne-516 Domänencontroller Globale Gruppe, die alle Domänencontroller einer Domäne enthält. Neue Domänencontroller werden dieser Gruppe standardmäßig hinzugefügt.
S-1-5-21Domäne-517 Zertifikatherausgeber Globale Gruppe, die alle Computer enthält, auf denen Organisationszertifizierungsstellen betrieben werden. Zertifikatherausgeber sind berechtigt, Zertifikate für Benutzerobjekte im Active Directory zu veröffentlichen.
S-1-5-21Stammdomäne-518 Schema-Admins Universelle Gruppe in einer Domäne mit einheitlichem Modus; globale Gruppe in einer Domäne mit gemischtem Modus. Die Gruppe ist berechtigt, Schemaänderungen im Active Directory vorzunehmen. Standardmäßig ist das Administratorkonto für die Gesamtstrukturdomäne einziges Mitglied dieser Gruppe.
S-1-5-21Stammdomäne-519 Organisations-Admins Universelle Gruppe in einer Domäne mit einheitlichem Modus; globale Gruppe in einer Domäne mit gemischtem Modus. Die Gruppe ist berechtigt, Änderungen vorzunehmen, die die Gesamtstruktur des Active Directory betreffen wie z. B. das Hinzufügen von untergeordneten Domänen. Standardmäßig ist das Administratorkonto für die Gesamtstrukturdomäne einziges Mitglied dieser Gruppe.
S-1-5-21Domäne-520 Richtlinien-Ersteller-Besitzer Globale Gruppe, die berechtigt ist, neue Gruppenrichtlinienobjekte im Active Directory zu erstellen. Standardmäßig ist der Administrator einziges Mitglied dieser Gruppe.
S-1-5-21Domäne-526 Schlüsseladministratoren Eine Sicherheitsgruppe. Bei dieser Gruppe ist ein delegierter Schreibzugriff nur auf das msdsKeyCredentialLink-Attribut vorgesehen. Die Gruppe ist für die Verwendung in Szenarien vorgesehen, in denen vertrauenswürdige externe Autoritäten (z. B. Active Directory-Verbunddienste) für die Änderung dieses Attributs verantwortlich sind. Nur vertrauenswürdige Administratoren sollten Mitglied dieser Gruppe werden.
S-1-5-21Domäne-527 Unternehmensschlüsseladministratoren Eine Sicherheitsgruppe. Bei dieser Gruppe ist ein delegierter Schreibzugriff nur auf das msdsKeyCredentialLink-Attribut vorgesehen. Die Gruppe ist für die Verwendung in Szenarien vorgesehen, in denen vertrauenswürdige externe Autoritäten (z. B. Active Directory-Verbunddienste) für die Änderung dieses Attributs verantwortlich sind. Nur vertrauenswürdige Administratoren sollten Mitglied dieser Gruppe werden.
S-1-5-21Domäne-553 RAS- und IAS-Server Lokale Gruppe einer Domäne. Standardmäßig hat diese Gruppe keine Mitglieder. Server in dieser Gruppe haben Lesezugriff auf Kontenbeschränkungen und Anmeldeinformationen für Benutzerobjekte in der lokalen Domänengruppe des Active Directory.
S-1-5-32-544 Administratoren Vordefinierte Gruppe. Nach der Erstinstallation des Betriebssystems ist das Administratorkonto einziges Mitglied der Gruppe. Wenn ein Computer einer Domäne beitritt, wird die Gruppe "Domänen-Admins" der Administratorengruppe hinzugefügt. Wenn ein Server zum Domänencontroller wird, wird die Gruppe "Organisations-Admins" ebenfalls zur Administratorengruppe hinzugefügt.
S-1-5-32-545 Benutzer Vordefinierte Gruppe. Nach der Erstinstallation des Betriebssystems ist die Gruppe der authentifizierten Benutzer einziges Mitglied dieser Gruppe. Wenn ein Computer einer Domäne beitritt, wird die Gruppe der Domänenbenutzer zur Benutzergruppe auf dem Computer hinzugefügt.
S-1-5-32-546 Gäste Vordefinierte Gruppe. Standardmäßig ist das Gastkonto einziges Mitglied dieser Gruppe. Die Gästegruppe ermöglicht es Gelegenheitsbenutzern oder einmaligen Benutzern, sich mit eingeschränkten Berechtigungen über das vordefinierte Gastkonto auf einem Computer anzumelden.
S-1-5-32-547 Hauptbenutzer Vordefinierte Gruppe. Standardmäßig hat diese Gruppe keine Mitglieder. Hauptbenutzer können lokale Benutzer und Gruppen erstellen, von ihnen selbst erstellte Konten ändern und löschen und Benutzer aus den Hauptbenutzer-, Benutzer- und Gästegruppen löschen. Hauptbesucher können außerdem Programme installieren, lokale Drucker erstellen, verwalten und löschen sowie Dateifreigaben erstellen und löschen.
S-1-5-32-548 Konten-Operatoren Vordefinierte Gruppe, die nur auf Domänencontrollern existiert. Standardmäßig hat diese Gruppe keine Mitglieder. Kontenoperatoren sind standardmäßig berechtigt, Konten für Benutzer, Gruppen und Computer in allen Containern und Organisationseinheiten des Active Directory zu erstellen, zu ändern und zu löschen; ausgenommen hiervon sind der vordefinierte Container und die Organisationseinheit der Domänencontroller. Kontenoperatoren sind nicht berechtigt, die Gruppen "Administratoren" und "Domain-Admins" zu ändern. Auch dürfen sie die Konten von Mitgliedern dieser Gruppen nicht ändern.
S-1-5-32-549 Server-Operatoren Vordefinierte Gruppe, die nur auf Domänencontrollern existiert. Standardmäßig hat diese Gruppe keine Mitglieder. Serveroperatoren können sich interaktiv an einem Server anmelden, Netzwerkfreigaben erstellen und löschen, Dienste starten und stoppen, Dateien sichern und wiederherstellen, die Festplatte des Computers neu formatieren und den Computer herunterfahren.
S-1-5-32-550 Druck-Operatoren Vordefinierte Gruppe, die nur auf Domänencontrollern existiert. Standardmäßig ist die Gruppe "Domänenbenutzer" einziges Mitglied dieser Gruppe. Druck-Operatoren können Drucker und Druckerwarteschlangen verwalten.
S-1-5-32-551 Sicherungs-Operatoren Vordefinierte Gruppe. Standardmäßig hat diese Gruppe keine Mitglieder. Sicherungsoperatoren können alle Dateien auf einem Computer sichern und wiederherstellen, unabhängig von den Berechtigungen, durch die diese Dateien geschützt sind. Sicherungsoperatoren können sich außerdem bei dem Computer anmelden und ihn herunterfahren.
S-1-5-32-552 Replikatoren Vordefinierte Gruppe, die vom Dateireplikationsdienst auf Domänencontrollern verwendet wird. Standardmäßig hat diese Gruppe keine Mitglieder. Fügen Sie dieser Gruppe keine Benutzer hinzu.
S-1-5-32-582 Storage Repl. Admin Eine integrierte Gruppe, die vollständigen und uneingeschränkten Zugriff auf alle Funktionen von Storage Replica gewährt.
S-1-5-64-10 NTLM-Authentifizierung Eine SID, die verwendet wird, wenn das NTLM-Authentifizierungspaket den Client authentifiziert hat.
S-1-5-64-14 SChannel-Authentifizierung Eine SID, die verwendet wird, wenn das SChannel-Authentifizierungspaket den Client authentifiziert hat.
S-1-5-64-21 Digestauthentifizierung Eine SID, die verwendet wird, wenn das Digest-Authentifizierungspaket den Client authentifiziert hat.
S-1-5-80 NT-Dienst Ein NT-Dienstkonto-Präfix.

SIDs, die von Windows Server 2003 und späteren Versionen hinzugefügt wurden


Wenn Sie einer Domäne einen Domänencontroller hinzufügen, auf dem Windows Server 2003 oder eine neuere Version ausgeführt wird, fügt Active Directory die Sicherheitsprinzipale in der folgenden Tabelle hinzu.

SID

Name

Beschreibung

S-1-3-2 Ersteller-Besitzer-Server Dieser SID wird in Windows 2000 nicht verwendet.
S-1-3-3 Ersteller-Gruppen-Server Dieser SID wird in Windows 2000 nicht verwendet.
S-1-5-8 Proxy Dieser SID wird in Windows 2000 nicht verwendet.
S-1-5-15 Diese Organisation Gruppe, die alle Benutzer derselben Organisation enthält. Nur bei AD-Konten und Domänencontrollern ab Windows Server 2003 oder höheren Versionen.
S-1-5-32-554 Voreingestellt\Prä-Windows 2000 kompatibler Zugriff Ein von Windows 2000 hinzugefügter Aliasname. Eine Abwärtskompatibilitätsgruppe, die den Lesezugriff auf alle Benutzer und Gruppen in der Domäne ermöglicht.
S-1-5-32-555 Voreingestellt\Remotedesktopbenutzer Ein Aliasname. Mitgliedern dieser Gruppe wird gestattet, sich remote anzumelden.
S-1-5-32-556 Voreingestellt\Netzwerkkonfigurations-Operatoren Ein Aliasname. Mitglieder dieser Gruppe können über bestimmte administrative Berechtigungen verfügen, um die Konfiguration von Netzwerkfeatures zu verwalten.
S-1-5-32-557 Voreingestellt\Generatoren für eingehende Gesamtstruktur-Vertrauensstellung Ein Aliasname. Mitglieder dieser Gruppe können eingehende Einwegvertrauensstellungen für diese Gesamtstruktur erstellen.
S-1-5-32-558 Voreingestellt\Leistungsmonitorbenutzer Ein Aliasname. Mitglieder dieser Gruppe haben zwecks Überwachung Remotezugriff auf diesen Computer.
S-1-5-32-559 Voreingestellt\Leistungsprotokollbenutzer Ein Aliasname. Mitglieder dieser Gruppe haben Remotezugriff, um eine Protokollierung der Leistungsindikatoren auf diesem Computer einzuplanen.
S-1-5-32-560 Vordefiniert\Windows-Autorisierungszugriffsgruppe Ein Aliasname. Mitglieder dieser Gruppe haben Zugriff auf das berechnete Attribut "tokenGroupsGlobalAndUniversal" von Benutzerobjekten.
S-1-5-32-561 Vordefiniert\Terminalserver-Lizenzserver Ein Aliasname. Gruppe für Terminalserver-Lizenzserver. Bei der Installation von Windows Server 2003 Service Pack 1 wird eine neue lokale Gruppe erstellt.
S-1-5-32-562 Vordefiniert\Verteilte COM-Benutzer Ein Aliasname. Eine Gruppe für COM, die computerweite Zugriffssteuerungen bereitstellt, mit denen der Zugriff auf alle Aufruf-, Aktivierungs- und Startanforderungen auf dem Computer verwaltet werden kann.

SIDs, die von Windows Server 2008 und späteren Versionen hinzugefügt wurden


Wenn Sie einer Domäne einen Domänencontroller hinzufügen, auf dem Windows Server 2008 oder eine neuere Version ausgeführt wird, fügt Active Directory die Sicherheitsprinzipale der folgenden Tabelle hinzu.

SID

Name

Beschreibung

S-1-2-1 Konsolenanmeldung Gruppe, die alle Benutzer enthält, die sich an der physischen Konsole angemeldet haben.

Hinweis
In Windows 7 und Windows Server 2008 R2 hinzugefügt.
S-1-5-21Domäne-498 Domänencontroller der Organisation ohne Schreibzugriff Eine universelle Gruppe. Mitglieder dieser Gruppe sind schreibgeschützte Domänencontroller in der Organisation.
S-1-5-21Domäne-521 Domänencontroller ohne Schreibzugriff Eine globale Gruppe. Mitglieder dieser Gruppe sind schreibgeschützte Domänencontroller in der Domäne.
S-1-5-21Domäne-571 Zulässige RODC-Kennwortreplikationsgruppe Lokale Gruppe einer Domäne. Mitglieder dieser Gruppe können ihr Kennwort auf alle schreibgeschützten Domänencontroller in der Domäne replizieren.
S-1-5-21Domäne-572 Abgelehnte RODC-Kennwortreplikationsgruppe Lokale Gruppe einer Domäne. Mitglieder dieser Gruppe können ihr Kennwort nicht auf schreibgeschützte Domänencontroller in der Domäne replizieren.
S-1-5-32-569 Vordefiniert\Kryptografie-Operatoren Eine vordefinierte lokale Gruppe. Mitglieder sind autorisiert, kryptografische Vorgänge durchzuführen.
S-1-5-32-573 Vordefiniert\Ereignisprotokollleser Eine vordefinierte lokale Gruppe. Mitglieder dieser Gruppe können Ereignisprotokolle auf dem lokalen Computer lesen.
S-1-5-32-574 Vordefiniert\Zertifikatdienst-DCOM-Zugriff Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe sind berechtigt, eine Verbindung zu Zertifizierungsstellen in der Organisation herzustellen.
S-1-5-80-0 NT-Dienste\Alle Dienste Gruppe, die alle auf dem System konfigurierten Dienstprozesse enthält. Die Mitgliedschaft wird vom Betriebssystem gesteuert.

Hinweis
In Windows Server 2008 R2 hinzugefügt.
S-1-5-80-0 Alle Dienste Gruppe, die alle auf dem System konfigurierten Dienstprozesse enthält. Die Mitgliedschaft wird vom Betriebssystem gesteuert.

Hinweis
In Windows Vista und Windows Server 2008 hinzugefügt.
S-1-5-83-0 NT Virtual Machine\Virtual Machines Vordefinierte Gruppe. Diese Gruppe wird bei der Installation der Hyper-V-Rolle erstellt. Die Mitgliedschaft in der Gruppe wird durch den Hyper-V-Verwaltungsdienst (VMMS) verwaltet. Diese Gruppe erfordert die Berechtigung Erstellen symbolischer Verknüpfungen (SeCreateSymbolicLinkPrivilege), sowie die Berechtigung Anmelden als Dienst (SeServiceLogonRight).

Hinweis
Hinzugefügt in Windows 8 und Windows Server 2012.
S-1-5-90-0 Windows Manager\Windows-Manager-Gruppe Eine integrierte Gruppe, die vom Desktopfenster-Manager (DWM) verwendet wird. DWM ist ein Windows-Dienst, der die Informationsanzeige für Windows-Anwendungen verwaltet.

Hinweis
In Windows Vista hinzugefügt.
S-1-16-0 Nicht vertrauenswürdige Verbindlichkeitsstufe Eine nicht vertrauenswürdige Integritätsebene
Hinweis
In Windows Vista und Windows Server 2008 hinzugefügt.
S-1-16-4096 Niedrige Verbindlichkeitsstufe Eine niedrige Integritätsebene

Hinweis
In Windows Vista und Windows Server 2008 hinzugefügt.
S-1-16-8192 Mittlere Verbindlichkeitsstufe Eine mittlere Integritätsebene

Hinweis In Windows Vista und Windows Server 2008 hinzugefügt.
S-1-16-8448 Mittlere gehobene Verbindlichkeitsstufe Eine mittlere gehobene Integritätsebene

Hinweis
In Windows Vista und Windows Server 2008 hinzugefügt.
S-1-16-12288 Hohe Verbindlichkeitsstufe Eine hohe Integritätsebene

Hinweis
In Windows Vista und Windows Server 2008 hinzugefügt.
S-1-16-16384 Systemverbindlichkeitsstufe Eine Systemintegritätsebene

Hinweis
In Windows Vista und Windows Server 2008 hinzugefügt.
S-1-16-20480 Verbindlichkeitsstufe für geschützte Prozesse Eine Integritätsebene für geschützte Prozesse

Hinweis
In Windows Vista und Windows Server 2008 hinzugefügt.
S-1-16-28672 Verbindlichkeitsstufe für sichere Prozesse Eine Integritätsebene für sichere Prozesse

Hinweis
In Windows Vista und Windows Server 2008 hinzugefügt.

SIDs, die von Windows Server 2012 und späteren Versionen hinzugefügt wurden


Wenn Sie einer Domäne einen Domänencontroller hinzufügen, auf dem Windows Server 2012 oder eine neuere Version ausgeführt wird, fügt Active Directory die Sicherheitsprinzipale in der folgenden Tabelle hinzu.

SID

Name

Beschreibung

S-1-5-21-Domäne-522 Klonbare Domänencontroller Eine globale Gruppe. Mitglieder dieser Gruppe, bei denen es sich um Domänencontroller handelt, können geklont werden.
S-1-5-32-575 Vordefiniert\RDS-Remotezugriffsserver Eine vordefinierte lokale Gruppe. Die Server in dieser Gruppe ermöglichen den Benutzern von RemoteApp-Programmen und persönlichen virtuellen Desktops Zugriff auf diese Ressourcen. In Bereitstellungen mit Internetzugriff werden diese Server normalerweise in einem Umkreisnetzwerk bereitgestellt. Diese Gruppe muss auf Servern aufgefüllt werden, auf denen der RD-Verbindungsbroker läuft. Die in der Bereitstellung verwendeten RD-Gatewayserver und Server mit Web Access für Remotedesktop müssen in dieser Gruppe enthalten sein.
S-1-5-32-576 Vordefiniert\RDS-Endpunktserver Eine vordefinierte lokale Gruppe. Die Server in dieser Gruppe führen virtuelle Computer und Hostsitzungen aus, in denen RemoteApp-Programme und persönliche virtuelle Desktops laufen. Diese Gruppe muss auf Servern aufgefüllt werden, auf denen der RD-Verbindungsbroker läuft. Die in der Bereitstellung verwendeten RD-Sitzungshostserver und RD-Virtualisierungshosts müssen in dieser Gruppe enthalten sein.
S-1-5-32-577 Vordefiniert\RDS-Verwaltungsserver Eine vordefinierte lokale Gruppe. Auf den Servern dieser Gruppe werden administrative Routineaktionen für Server ausgeführt, auf denen die Remotedesktopdienste installiert sind. Die Gruppe muss auf allen Servern aufgefüllt werden, die Teil der RDS-Bereitstellung sind Server, auf denen der zentrale RDS-Verwaltungsdienst ausgeführt wird, müssen dieser Gruppe angehören
S-1-5-32-578 Vordefiniert\Hyper-V-Administratoren Eine vordefinierte lokale Gruppe. Die Mitglieder dieser Gruppe erhalten uneingeschränkten Zugriff auf sämtliche Features von Hyper-V.
S-1-5-32-579 Vordefiniert\Zugriffssteuerungs-Unterstützungsoperatoren Eine vordefinierte lokale Gruppe. Mitglieder dieser Gruppe können Autorisierungsattribute und Berechtigungen für Ressourcen auf dem Computer remote abfragen.
S-1-5-32-580 Vordefiniert\Remoteverwaltungsbenutzer Eine vordefinierte lokale Gruppe. Mitglieder dieser Gruppe können über Verwaltungsprotokolle auf WMI-Ressourcen zugreifen (z. B. WS-Verwaltung über den Windows-Remoteverwaltungsdienst). Dies gilt nur für WMI-Namespaces, die dem Benutzer Zugriff gewähren.

Funktions-SIDs


In Windows 8 wurden SIDs (Capability Security Identifiers) eingeführt. Eine Funktions-SID identifiziert eine Funktion auf einzigartige und unveränderliche Weise. Eine Funktion stellt ein unvergessbares Berechtigungstoken dar, das den Zugriff auf Ressourcen (z. B. Dokumente, eine Kamera, Speicherorte usw.) für universelle Windows-Anwendungen gewährt. Eine App, die über eine Funktion „verfügt“, erhält Zugriff auf die zugeordnete Ressource. Einer App, die eine Funktion „nicht hat“, wird der Zugriff auf die Ressource verweigert.

Alle Funktions-SIDs, die dem Betriebssystem bekannt sind, werden in der Windows-Registry im folgenden Unterschlüssel gespeichert:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities

Dieser Unterschlüssel enthält auch alle Funktions-SIDs, die von Erst- oder Drittanbieteranwendungen hinzugefügt werden.

Alle Funktions-SIDs beginnen bei „S-1-15-3“.