Bekannte Sicherheits-IDs in Windows-Betriebssystemen

Gilt für: Microsoft Windows XP ProfessionalWindows Server 2008 R2 DatacenterWindows Server 2008 R2 Enterprise Mehr

Zusammenfassung


Ein Sicherheits-ID (Security Identifier = SID) ist ein eindeutiger Wert variabler Länge, der einen Sicherheitsprinzipal oder eine Sicherheitsgruppe in Windows-Betriebssystemen identifiziert. Zu den bekannten SIDs zählt eine Gruppe von SIDs, die Standardbenutzer oder -gruppen bezeichnen. Ihre Werte bleiben über alle Betriebssysteme hinweg konstant.

Diese Informationen sind nützlich für die Behebung von Sicherheitsproblemen sowie von möglichen Anzeigeproblemen im ACL-Editor. Im ACL-Editor kann ein SID anstatt des Benutzer- oder Gruppennamens angezeigt werden.

Weitere Informationen


Liste der bekannten SIDs:
  • SID: S-1-0
    Name: Null-Autorität
    Beschreibung: Bezeichnerautorität.
  • SID: S-1-0-0
    Name: Niemand
    Beschreibung: Kein Sicherheitsprinzipal.
  • SID: S-1-1
    Name: Globale Autorität
    Beschreibung: Bezeichnerautorität.
  • SID: S-1-1-0
    Name: Jeder
    Beschreibung: Gruppe, die alle Benutzer einschließlich der anonymen Benutzer und Gäste enthält. Die Mitgliedschaft wird vom Betriebssystem gesteuert.

    Hinweis Auf Computern mit Windows XP Service Pack 2 (SP2) sind anonyme Benutzer standardmäßig nicht mehr Mitglied der Gruppe „Jeder“.
  • SID: S-1-2
    Name: Lokale Autorität
    Beschreibung: Bezeichnerautorität.
  • SID: S-1-2-0

    Name: Lokal

    Beschreibung: Gruppe, die alle Benutzer enthält, die sich lokal angemeldet haben.
  • SID: S-1-2-1

    Name: Konsolenanmeldung

    Beschreibung: Gruppe, die alle Benutzer enthält, die sich an der physischen Konsole angemeldet haben.

    Hinweis Hinzugefügt in Windows 7 und Windows Server 2008 R2
  • SID: S-1-3
    Name: Erstellerautorität
    Beschreibung: Bezeichnerautorität.
  • SID: S-1-3-0
    Name: Ersteller-Besitzer
    Beschreibung: Platzhalter in einem vererbbaren ACE-Eintrag. Wenn der ACE-Eintrag geerbt wird, ersetzt das System diesen SID durch den SID des Objekterstellers.
  • SID: S-1-3-1
    Name: Erstellergruppe
    Beschreibung: Platzhalter in einem vererbbaren ACE-Eintrag. Wenn der ACE-Eintrag geerbt wird, ersetzt das System diesen SID durch den SID für die primäre Gruppe des Objekterstellers. Die primäre Gruppe wird nur vom POSIX-Subsystem verwendet.
  • SID: S-1-3-2
    Name: Ersteller-Besitzer-Server
    Beschreibung: Dieser SID wird in Windows 2000 nicht verwendet.
  • SID: S-1-3-3
    Name: Ersteller-Gruppen-Server
    Beschreibung: Dieser SID wird in Windows 2000 nicht verwendet.
  • SID: S-1-3-4 Name: Besitzerrechte

    Beschreibung: Gruppe, die den aktuellen Besitzer eines Objekts angibt. Wird ein ACE mit diesem SID auf ein Objekt angewendet, ignoriert das System die impliziten READ_CONTROL- und WRITE_DAC-Berechtigungen für den Objektbesitzer.
  • SID: S-1-5-80-0
    Name: Alle Dienste
    Beschreibung: Gruppe, die alle auf dem System konfigurierten Dienstprozesse enthält. Die Mitgliedschaft wird vom Betriebssystem gesteuert.

    Hinweis Hinzugefügt in Windows Vista und Windows Server 2008
  • SID: S-1-4
    Name: Nicht eindeutige Autorität
    Beschreibung: Bezeichnerautorität.
  • SID: S-1-5
    Name: NT-Autorität
    Beschreibung: Bezeichnerautorität.
  • SID: S-1-5-1
    Name: DFÜ
    Beschreibung: Gruppe, die alle Benutzer enthält, die sich über eine DFÜ-Verbindung angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
  • SID: S-1-5-2
    Name: Netzwerk
    Beschreibung: Gruppe, die alle Benutzer enthält, die sich über eine Netzwerkverbindung angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
  • SID: S-1-5-3
    Name: Batch
    Beschreibung: Gruppe, die alle Benutzer enthält, die sich über eine Batch-Warteschlangeneinrichtung angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
  • SID: S-1-5-4
    Name: Interaktiv
    Beschreibung: Gruppe, die alle Benutzer enthält, die sich interaktiv angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
  • SID: S-1-5-5-X-Y
    Name: Anmeldesitzung
    Beschreibung: Eine Anmeldesitzung. Die X- und Y-Werte für diese SIDs unterscheiden sich von Sitzung zu Sitzung.
  • SID: S-1-5-6
    Name: Dienst
    Beschreibung: Gruppe, die alle Sicherheitsprinzipale enthält, die sich als Dienst angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
  • SID: S-1-5-7
    Name: Anonym
    Beschreibung: Gruppe, die alle Benutzer enthält, die sich anonym angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
  • SID: S-1-5-8
    Name: Proxy
    Beschreibung: Dieser SID wird in Windows 2000 nicht verwendet.
  • SID: S-1-5-9
    Name: Domänencontroller der Organisation
    Beschreibung: Gruppe, die alle Domänencontroller in einer Gesamtstruktur enthält, die einen Verzeichnisdienst des Active Directory verwenden. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
  • SID: S-1-5-10
    Name: Selbstprinzipal
    Beschreibung: Platzhalter in einem vererbbaren ACE-Eintrag für ein Konto- oder Gruppenobjekt im Active Directory. Wenn der ACE-Eintrag geerbt wird, ersetzt das System diesen SID durch den SID des Sicherheitsprinzipals, dem das Konto gehört.
  • SID: S-1-5-11
    Name: Authentifizierte Benutzer
    Beschreibung: Gruppe, die alle Benutzer enthält, deren Identitäten bei der Anmeldung authentifiziert wurden. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
  • SID: S-1-5-12
    Name: Eingeschränkter Code
    Beschreibung: Dieser SID ist für eine mögliche zukünftige Verwendung reserviert.
  • SID: S-1-5-13
    Name: Terminalserverbenutzer
    Beschreibung: Gruppe, die alle Benutzer enthält, die sich bei einem Terminaldiensteserver angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
  • SID: S-1-5-14
    Name: Interaktive Remoteanmeldung
    Beschreibung: Gruppe, die alle Benutzer enthält, die sich über eine Terminaldiensteanmeldung angemeldet haben.
  • SID: S-1-5-15
    Name: Diese Organisation
    Beschreibung: Gruppe, die alle Benutzer derselben Organisation enthält. Nur bei AD-Konten und Domänencontrollern ab Windows Server 2003 oder höheren Versionen.
  • SID: S-1-5-17
    Name: Diese Organisation
    Beschreibung: Konto, das vom Standardbenutzer von Internetinformationsdienste (Internet Information Services, IIS) verwendet wird.
  • SID: S-1-5-18
    Name: Lokales System
    Beschreibung: Dienstkonto, das vom Betriebssystem genutzt wird.
  • SID: S-1-5-19
    Name: NT-Autorität
    Beschreibung: Lokaler Dienst
  • SID: S-1-5-20
    Name: NT-Autorität
    Beschreibung: Netzwerkdienst
  • SID: S-1-5-21Domäne-500
    Name: Administrator
    Beschreibung: Benutzerkonto für den Systemadministrator. Es handelt sich um das einzige Benutzerkonto, das standardmäßig uneingeschränkten Zugriff auf das System hat.
  • SID: S-1-5-21Domäne-501
    Name: Gast
    Beschreibung: Benutzerkonto für Personen, die kein Einzelkonto haben. Für dieses Benutzerkonto ist kein Kennwort erforderlich. Standardmäßig ist das Gastkonto deaktiviert.
  • SID: S-1-5-21Domäne-502
    Name: KRBTGT
    Beschreibung: Dienstkonto, das vom KDC-Dienst verwendet wird (KDC = Key Distribution Center = Schlüsselverteilungscenter).
  • SID: S-1-5-21Domäne-512
    Name: Domänen-Admins
    Beschreibung: Globale Gruppe, deren Mitglieder zur Verwaltung der Domäne berechtigt sind. Standardmäßig ist die Gruppe "Domänen-Admins" Mitglied der Administratorengruppe auf allen Computern, die der Domäne beigetreten sind, einschließlich der Domänencontroller. Die Gruppe "Domänen-Admins" ist der Standardbesitzer aller Objekte, die von einem Mitglied der Gruppe erstellt werden.
  • SID: S-1-5-21Domäne-513
    Name: Domänenbenutzer
    Beschreibung: Globale Gruppe, die standardmäßig alle Benutzerkonten einer Domäne enthält. Wenn Sie in einer Domäne ein Benutzerkonto erstellen, wird es dieser Gruppe standardmäßig hinzugefügt.
  • SID: S-1-5-21Domäne-514
    Name: Domänengäste
    Beschreibung: Globale Gruppe, die standardmäßig nur ein Mitglied hat (das in der Domäne vordefinierte Gastkonto).
  • SID: S-1-5-21Domäne-515
    Name: Domänencomputer
    Beschreibung: Globale Gruppe, die alle Clients und Server enthält, die der Domäne beigetreten sind.
  • SID: S-1-5-21Domäne-516
    Name: Domänencontroller
    Beschreibung: Globale Gruppe, die alle Domänencontroller einer Domäne enthält. Neue Domänencontroller werden dieser Gruppe standardmäßig hinzugefügt.
  • SID: S-1-5-21Domäne-517
    Name: Zertifikatherausgeber
    Beschreibung: Globale Gruppe, die alle Computer enthält, auf denen Organisationszertifizierungsstellen betrieben werden. Zertifikatherausgeber sind berechtigt, Zertifikate für Benutzerobjekte im Active Directory zu veröffentlichen.
  • SID: S-1-5-21Stammdomäne-518
    Name: Schema-Admins
    Beschreibung: Universelle Gruppe in einer Domäne mit einheitlichem Modus; globale Gruppe in einer Domäne mit gemischtem Modus. Die Gruppe ist berechtigt, Schemaänderungen im Active Directory vorzunehmen. Standardmäßig ist das Administratorkonto für die Gesamtstrukturdomäne einziges Mitglied dieser Gruppe.
  • SID: S-1-5-21Stammdomäne-519
    Name: Organisations-Admins
    Beschreibung: Universelle Gruppe in einer Domäne mit einheitlichem Modus; globale Gruppe in einer Domäne mit gemischtem Modus. Die Gruppe ist berechtigt, Änderungen vorzunehmen, die die Gesamtstruktur des Active Directory betreffen wie z. B. das Hinzufügen von untergeordneten Domänen. Standardmäßig ist das Administratorkonto für die Gesamtstrukturdomäne einziges Mitglied dieser Gruppe.
  • SID: S-1-5-21Domäne-520
    Name: Richtlinien-Ersteller-Besitzer
    Beschreibung: Globale Gruppe, die berechtigt ist, neue Gruppenrichtlinienobjekte im Active Directory zu erstellen. Standardmäßig ist der Administrator einziges Mitglied dieser Gruppe.
  • SID: S-1-5-21Domäne-526
    Name: Schlüsseladministratoren
    Beschreibung: Eine Sicherheitsgruppe. Diese Gruppe verfügt über delegierten Schreibzugriff nur auf das Attribut „msdsKeyCredentialLink“. Diese Gruppe eignet sich für Szenarien, in denen vertrauenswürdige externe Entitäten (z. B. Active Directory-Verbunddienste) für Änderungen an diesem Attribut verantwortlich sind. Nur vertrauenswürdige Administratoren sollten Mitglieder dieser Gruppe sein.
  • SID: S-1-5-21Domäne-527
    Name: Unternehmensschlüsseladministratoren
    Beschreibung: Eine Sicherheitsgruppe. Diese Gruppe verfügt über delegierten Schreibzugriff nur auf das Attribut „msdsKeyCredentialLink“. Diese Gruppe eignet sich für Szenarien, in denen vertrauenswürdige externe Entitäten (z. B. Active Directory-Verbunddienste) für Änderungen an diesem Attribut verantwortlich sind. Nur vertrauenswürdige Administratoren sollten Mitglieder dieser Gruppe sein.
  • SID: S-1-5-21Domäne-553
    Name: RAS- und IAS-Server
    Beschreibung: Lokale Gruppe einer Domäne. Standardmäßig hat diese Gruppe keine Mitglieder. Server in dieser Gruppe haben Lesezugriff auf Kontenbeschränkungen und Anmeldeinformationen für Benutzerobjekte in der lokalen Domänengruppe des Active Directory.
  • SID: S-1-5-32-544
    Name: Administratoren
    Beschreibung: Vordefinierte Gruppe. Nach der Erstinstallation des Betriebssystems ist das Administratorkonto einziges Mitglied der Gruppe. Wenn ein Computer einer Domäne beitritt, wird die Gruppe "Domänen-Admins" der Administratorengruppe hinzugefügt. Wenn ein Server zum Domänencontroller wird, wird die Gruppe "Organisations-Admins" ebenfalls zur Administratorengruppe hinzugefügt.
  • SID: S-1-5-32-545
    Name: Benutzer
    Beschreibung: Vordefinierte Gruppe. Nach der Erstinstallation des Betriebssystems ist die Gruppe der authentifizierten Benutzer einziges Mitglied dieser Gruppe. Wenn ein Computer einer Domäne beitritt, wird die Gruppe der Domänenbenutzer zur Benutzergruppe auf dem Computer hinzugefügt.
  • SID: S-1-5-32-546
    Name: Gäste
    Beschreibung: Vordefinierte Gruppe. Standardmäßig ist das Gastkonto einziges Mitglied dieser Gruppe. Die Gästegruppe ermöglicht es Gelegenheitsbenutzern oder einmaligen Benutzern, sich mit eingeschränkten Berechtigungen über das vordefinierte Gastkonto auf einem Computer anzumelden.
  • SID: S-1-5-32-547
    Name: Hauptbenutzer
    Beschreibung: Vordefinierte Gruppe. Standardmäßig hat diese Gruppe keine Mitglieder. Hauptbenutzer können lokale Benutzer und Gruppen erstellen, von ihnen selbst erstellte Konten ändern und löschen und Benutzer aus den Hauptbenutzer-, Benutzer- und Gästegruppen löschen. Hauptbesucher können außerdem Programme installieren, lokale Drucker erstellen, verwalten und löschen sowie Dateifreigaben erstellen und löschen.
  • SID: S-1-5-32-548
    Name: Konten-Operatoren
    Beschreibung: Vordefinierte Gruppe, die nur auf Domänencontrollern existiert. Standardmäßig hat diese Gruppe keine Mitglieder. Kontenoperatoren sind standardmäßig berechtigt, Konten für Benutzer, Gruppen und Computer in allen Containern und Organisationseinheiten des Active Directory zu erstellen, zu ändern und zu löschen; ausgenommen hiervon sind der vordefinierte Container und die Organisationseinheit der Domänencontroller. Kontenoperatoren sind nicht berechtigt, die Gruppen "Administratoren" und "Domain-Admins" zu ändern. Auch dürfen sie die Konten von Mitgliedern dieser Gruppen nicht ändern.
  • SID: S-1-5-32-549
    Name: Server-Operatoren
    Beschreibung: Vordefinierte Gruppe, die nur auf Domänencontrollern existiert. Standardmäßig hat diese Gruppe keine Mitglieder. Serveroperatoren können sich interaktiv an einem Server anmelden, Netzwerkfreigaben erstellen und löschen, Dienste starten und stoppen, Dateien sichern und wiederherstellen, die Festplatte des Computers neu formatieren und den Computer herunterfahren.
  • SID: S-1-5-32-550
    Name: Druck-Operatoren
    Beschreibung: Vordefinierte Gruppe, die nur auf Domänencontrollern existiert. Standardmäßig ist die Gruppe "Domänenbenutzer" einziges Mitglied dieser Gruppe. Druck-Operatoren können Drucker und Druckerwarteschlangen verwalten.
  • SID: S-1-5-32-551
    Name: Sicherungs-Operatoren
    Beschreibung: Vordefinierte Gruppe. Standardmäßig hat diese Gruppe keine Mitglieder. Sicherungsoperatoren können alle Dateien auf einem Computer sichern und wiederherstellen, unabhängig von den Berechtigungen, durch die diese Dateien geschützt sind. Sicherungsoperatoren können sich außerdem bei dem Computer anmelden und ihn herunterfahren.
  • SID: S-1-5-32-552
    Name: Replikatoren
    Beschreibung: Vordefinierte Gruppe, die vom Dateireplikationsdienst auf Domänencontrollern verwendet wird. Standardmäßig hat diese Gruppe keine Mitglieder. Fügen Sie dieser Gruppe keine Benutzer hinzu.
  • SID: S-1-5-64-10
    Name: NTLM-Authentifizierung
    Beschreibung: Ein SID, der verwendet wird, wenn ein NTLM-Autentifizierungspaket den Client authentifiziert hat.
  • SID: S-1-5-64-14
    Name: SChannel-Authentifizierung
    Beschreibung: Ein SID, der verwendet wird, wenn ein SChannel-Autentifizierungspaket den Client authentifiziert hat.
  • SID: S-1-5-64-21
    Name: Digestauthentifizierung
    Beschreibung: Ein SID, der verwendet wird, wenn ein Digestautentifizierungspaket den Client authentifiziert hat.
  • SID: S-1-5-80
    Name: NT-Dienst
    Beschreibung: Ein NT-Dienstkontopräfix
  • SID: S-1-5-80-0
    SID S-1-5-80-0 = NT SERVICES\ALL SERVICES
    Name: Alle Dienste
    Beschreibung: Gruppe, die alle auf dem System konfigurierten Dienstprozesse enthält. Die Mitgliedschaft wird vom Betriebssystem gesteuert.

    Hinweis Hinzugefügt in Windows Server 2008 R2
  • SID: S-1-5-83-0
    Name: NT VIRTUAL MACHINE\Virtual Machines
    Beschreibung: Vordefinierte Gruppe. Diese Gruppe wird bei der Installation der Hyper-V-Rolle erstellt. Die Mitgliedschaft in der Gruppe wird durch den Hyper-V-Verwaltungsdienst (VMMS) verwaltet. Diese Gruppe benötigt die Berechtigungen „Erstellen symbolischer Verknüpfungen“ (SeCreateSymbolicLinkPrivilege) und „Anmelden als Dienst“ (SeServiceLogonRight).

    Hinweis Hinzugefügt in Windows 8 und Windows Server 2012
  • SID: S-1-16-0
    Name: Nicht vertrauenswürdige Verbindlichkeitsstufe
    Beschreibung: Eine nicht vertrauenswürdige Integritätsebene Hinweis: Hinzugefügt in Windows Vista und Windows Server 2008

    Hinweis Hinzugefügt in Windows Vista und Windows Server 2008
  • SID: S-1-16-4096
    Name: Niedrige Verbindlichkeitsstufe
    Beschreibung: Eine niedrige Integritätsebene

    Hinweis Hinzugefügt in Windows Vista und Windows Server 2008
  • SID: S-1-16-8192
    Name: Mittlere Verbindlichkeitsstufe
    Beschreibung: Eine mittlere Integritätsebene

    Hinweis Hinzugefügt in Windows Vista und Windows Server 2008
  • SID: S-1-16-8448
    Name: Mittlere gehobene Verbindlichkeitsstufe
    Beschreibung: Eine mittlere gehobene Integritätsebene

    Hinweis Hinzugefügt in Windows Vista und Windows Server 2008
  • SID: S-1-16-12288
    Name: Hohe Verbindlichkeitsstufe
    Beschreibung: Eine hohe Integritätsebene

    Hinweis Hinzugefügt in Windows Vista und Windows Server 2008
  • SID: S-1-16-16384
    Name: Systemverbindlichkeitsstufe
    Beschreibung: Eine Systemintegritätsebene

    Hinweis Hinzugefügt in Windows Vista und Windows Server 2008
  • SID: S-1-16-20480
    Name: Verbindlichkeitsstufe für geschützte Prozesse
    Beschreibung: Eine Integritätsebene für geschützte Prozesse

    Hinweis Hinzugefügt in Windows Vista und Windows Server 2008
  • SID: S-1-16-28672
    Name: Verbindlichkeitsstufe für sichere Prozesse
    Beschreibung: Eine Integritätsebene für sichere Prozesse

    Hinweis Hinzugefügt in Windows Vista und Windows Server 2008
Die folgenden Gruppen werden als SIDs angezeigt, bis ein Windows Server 2003-Domänencontroller zum Inhaber der Rolle „Betriebsmaster“ des primären Domänencontrollers (PDC) gemacht wird. Der „Betriebsmaster“ wird auch als FSMO (Flexible Single Master Operations) bezeichnet. Die folgenden zusätzlichen integrierten Gruppen werden erstellt, wenn ein Windows Server 2003-Domänencontroller zur Domäne hinzugefügt wird:
  • SID: S-1-5-32-554
    Name: BUILTIN\Prä-Windows 2000 kompatibler Zugriff
    Beschreibung: Ein von Windows 2000 hinzugefügter Aliasname. Eine Abwärtskompatibilitätsgruppe, die den Lesezugriff auf alle Benutzer und Gruppen in der Domäne ermöglicht.
  • SID: S-1-5-32-555
    Name: BUILTIN\Remotedesktopbenutzer
    Beschreibung: Ein Aliasname. Mitglieder dieser Gruppe sind berechtigt, sich remote anzumelden.
  • SID: S-1-5-32-556
    Name: BUILTIN\Netzwerkkonfigurations-Operatoren
    Beschreibung: Ein Aliasname. Mitglieder dieser Gruppe können über bestimmte administrative Berechtigungen verfügen, um die Konfiguration von Netzwerkfeatures zu verwalten.
  • SID: S-1-5-32-557
    Name: BUILTIN\Erstellungen eingehender Gesamtstrukturvertrauensstellung
    Beschreibung: Ein Aliasname. Mitglieder dieser Gruppe können eingehende Einwegvertrauensstellungen für diese Gesamtstruktur erstellen.
  • SID: S-1-5-32-558
    Name: BUILTIN\Systemmonitorbenutzer
    Beschreibung: Ein Aliasname. Mitglieder dieser Gruppe haben zwecks Überwachung Remotezugriff auf diesen Computer.
  • SID: S-1-5-32-559
    Name: BUILTIN\Leistungsprotokollbenutzer
    Beschreibung: Ein Aliasname. Mitglieder dieser Gruppe haben Remotezugriff, um eine Protokollierung der Leistungsindikatoren auf diesem Computer einzuplanen.
  • SID: S-1-5-32-560
    Name: BUILTIN\Windows-Authentifizierungszugriffsgruppe
    Beschreibung: Ein Aliasname. Mitglieder dieser Gruppe haben Zugriff auf das berechnete Attribut "tokenGroupsGlobalAndUniversal" von Benutzerobjekten.
  • SID: S-1-5-32-561
    Name: BUILTIN\Lizenzserver für Terminalserver
    Beschreibung: Ein Aliasname. Gruppe für Terminalserver-Lizenzserver. Bei der Installation von Windows Server 2003 Service Pack 1 wird eine neue lokale Gruppe erstellt.
  • SID: S-1-5-32-562
    Name: BUILTIN\Distributed COM-Benutzer
    Beschreibung: Ein Aliasname. Eine Gruppe für COM, die computerweite Zugriffssteuerungen bereitstellt, mit denen der Zugriff auf alle Aufruf-, Aktivierungs- und Startanforderungen auf dem Computer verwaltet werden kann.

Die folgenden Gruppen werden als SIDs angezeigt, bis ein Windows Server 2008- oder Windows Server 2008 R2-Domänencontroller zum Inhaber der Rolle „Betriebsmaster“ des primären Domänencontrollers (PDC) gemacht wird. Der „Betriebsmaster“ wird auch als FSMO (Flexible Single Master Operations) bezeichnet. Die folgenden zusätzlichen integrierten Gruppen werden erstellt, wenn ein Windows Server 2008- oder Windows Server 2008 R2-Domänencontroller zur Domäne hinzugefügt wird:
  • SID: S-1-5- 21Domäne-498
    Name: Domänencontroller der Organisation ohne Schreibzugriff
    Beschreibung: Eine universelle Gruppe. Mitglieder dieser Gruppe sind schreibgeschützte Domänencontroller in der Organisation
  • SID: S-1-5- 21Domäne -521
    Name: Domänencontroller ohne Schreibzugriff
    Beschreibung: Eine globale Gruppe. Mitglieder dieser Gruppe sind schreibgeschützte Domänencontroller in der Domäne.
  • SID: S-1-5-32-569
    Name: BUILTIN\Kryptografie-Operatoren
    Beschreibung: Eine vordefinierte lokale Gruppe. Mitglieder sind autorisiert, kryptografische Vorgänge durchzuführen.
  • SID: S-1-5-21 Domäne -571
    Name: Zulässige RODC-Kennwortreplikationsgruppe
    Beschreibung: Lokale Gruppe einer Domäne. Mitglieder dieser Gruppe können ihr Kennwort auf alle schreibgeschützten Domänencontroller in der Domäne replizieren.
  • SID: S-1-5- 21 Domäne -572
    Name: Abgelehnte RODC-Kennwortreplikationsgruppe
    Beschreibung: Lokale Gruppe einer Domäne. Mitglieder dieser Gruppe können ihr Kennwort nicht auf schreibgeschützte Domänencontroller in der Domäne replizieren.
  • SID: S-1-5-32-573
    Name: BUILTIN\Ereignisprotokollleser
    Beschreibung: Eine vordefinierte lokale Gruppe. Mitglieder dieser Gruppe können Ereignisprotokolle auf dem lokalen Computer lesen.
  • SID: S-1-5-32-574
    Name: BUILTIN\Zertifikatdienst-DCOM-Zugriff
    Beschreibung: Eine vordefinierte lokale Gruppe. Mitglieder dieser Gruppe sind berechtigt, eine Verbindung zu Zertifizierungsstellen in der Organisation herzustellen.
Die folgenden Gruppen werden als SIDs angezeigt, bis ein Windows Server 2012-Domänencontroller zum Inhaber der Rolle „Betriebsmaster“ des primären Domänencontrollers (PDC) gemacht wird. Der „Betriebsmaster“ wird auch als FSMO (Flexible Single Master Operations) bezeichnet. Die folgenden zusätzlichen integrierten Gruppen werden erstellt, wenn ein Windows Server 2012-Domänencontroller zur Domäne hinzugefügt wird:
  • SID: S-1-5-21-Domäne-522
    Name: Klonbare Domänencontroller
    Beschreibung: Eine globale Gruppe. Mitglieder dieser Gruppe, bei denen es sich um Domänencontroller handelt, können geklont werden.
  • SID: S-1-5-32-575
    Name: BUILTIN\RDS Remote Access Servers
    Beschreibung: Eine vordefinierte lokale Gruppe. Die Server in dieser Gruppe ermöglichen den Benutzern von RemoteApp-Programmen und persönlichen virtuellen Desktops Zugriff auf diese Ressourcen. In Bereitstellungen mit Internetzugriff werden diese Server normalerweise in einem Umkreisnetzwerk bereitgestellt. Diese Gruppe muss auf Servern aufgefüllt werden, auf denen der RD-Verbindungsbroker läuft. Die in der Bereitstellung verwendeten RD-Gatewayserver und Server mit Web Access für Remotedesktop müssen in dieser Gruppe enthalten sein.
  • SID: S-1-5-32-576
    Name: BUILTIN\RDS Endpoint Servers
    Beschreibung: Eine vordefinierte lokale Gruppe. Die Server in dieser Gruppe führen virtuelle Computer und Hostsitzungen aus, in denen RemoteApp-Programme und persönliche virtuelle Desktops laufen. Diese Gruppe muss auf Servern aufgefüllt werden, auf denen der RD-Verbindungsbroker läuft. Die in der Bereitstellung verwendeten RD-Sitzungshostserver und RD-Virtualisierungshosts müssen in dieser Gruppe enthalten sein.
  • SID: S-1-5-32-577
    Name: BUILTIN\RDS Management Servers
    Beschreibung: Eine vordefinierte lokale Gruppe. Auf den Servern dieser Gruppe werden administrative Routineaktionen für Server ausgeführt, auf denen die Remotedesktopdienste installiert sind. Die Gruppe muss auf allen Servern aufgefüllt werden, die Teil der RDS-Bereitstellung sind Server, auf denen der zentrale RDS-Verwaltungsdienst ausgeführt wird, müssen dieser Gruppe angehören
  • SID: S-1-5-32-578
    Name: BUILTIN\Hyper-V Administrators
    Beschreibung: Eine vordefinierte lokale Gruppe. Die Mitglieder dieser Gruppe erhalten uneingeschränkten Zugriff auf sämtliche Features von Hyper-V.
  • SID: S-1-5-32-579
    Name: BUILTIN\Access Control Assistance Operators
    Beschreibung: Eine vordefinierte lokale Gruppe. Mitglieder dieser Gruppe können Autorisierungsattribute und Berechtigungen für Ressourcen auf dem Computer remote abfragen.
  • SID: S-1-5-32-580
    Name: BUILTIN\Remote Management Users
    Beschreibung: Eine vordefinierte lokale Gruppe. Mitglieder dieser Gruppe können über Verwaltungsprotokolle auf WMI-Ressourcen zugreifen (z. B. WS-Verwaltung über den Windows-Remoteverwaltungsdienst). Dies gilt nur für WMI-Namespaces, die dem Benutzer Zugriff gewähren.