在Windows操作系统中的常见安全标识符

概要

安全标识符（SID）是长度可变的唯一值用来标识Windows操作系统中的安全主体或安全组。著名的SID是一组标识一般用户或一般组的SID。它们的值保持在所有的操作系统保持不变。这些信息对涉及安全性问题进行故障排除非常有用。这也是可以在ACL编辑器中看到潜在的显示问题非常有用。一个SID可被显示在ACL编辑，而不是在用户或组名。

目的

本文方便DC们查找SID对应的Name等信息。

更多信息

以下是众所周知的SID：

• SID：S-1-0 
  名称：空局
  说明：标识符颁发机构。
• SID：S-1-0-0 
  名称：Nobody 
  说明：无安全主体。
• SID：S-1-1 
  名称：世界权威机构
  说明：标识符颁发机构。
• SID：S-1-1-0 
  名称：每个人
  说明：包括所有用户，甚至匿名用户和来宾的组。成员身份由操作系统。控制注意默认情况下，Everyone组不再包括运行Windows XP的Service Pack 2（SP2）的计算机上的匿名用户。
  
  
• SID：S-1-2 
  名称：本地机构
  说明：标识符颁发机构。
• SID：S-1-2-0 
  名称：Local 
  描述：一个包括谁已本地登录的用户的组。
• SID：S-1-2-1 
  名称：允许进行控制台登录 
  说明：包括登录到物理控制台谁的用户的组 注意添加在Windows 7和Windows Server 2008 R2
  
  
• SID：S-1-3 
  名称：Creator管理局
  说明：标识符颁发机构。
• SID：S-1-3-0 
  名称：创建者所有者
  说明：可继承访问控制项（ACE）中的占位符。当ACE被继承时，系统替换此SID与SID为对象的创建者。
• SID：S-1-3-1 
  名称：创建者组
  说明：可继承ACE中的占位符。当ACE被继承时，系统替换此SID与SID为对象创建者的主要组。主要组仅由POSIX子系统使用。
• SID：S-1-3-2 
  名称：创建者所有者服务器
  描述：此SID不在Windows 2000中使用。
• SID：S-1-3-3 
  名称：Creator组服务器
  说明：此SID不在Windows 2000中使用。
• SID：S-1-3-4名称：所有者权限 
  说明：代表对象的当前所有者的组。当携带此SID的ACE被应用于对象时，系统将忽略对象所有者的隐式READ_CONTROL和WRITE_DAC权限。
• SID：S-1-5-80-0 
  名称：所有服务
  描述：包括系统上配置的所有服务流程的组。成员身份由操作系统控制。注意添加在Windows Vista和Windows Server 2008
  
  
• SID：S-1-4 
  名称：Non-唯一权威机构
  说明：标识符颁发机构。
• SID：S-1-5 
  名称：NT AUTHORITY 
  说明：标识符颁发机构。
• SID：S-1-5-1 
  名称：拨号
  说明：包括谁已经通过拨号连接登录的所有用户的组。籍由操作系统控制。
• SID：S-1-5-2 
  名称：Network 
  说明：一个包括所有通过网络连接登录的用户的组。籍由操作系统控制。
• SID：S-1-5-3 
  名称：批处理
  说明：一个包括所有通过批队列功能登录的用户的组。籍由操作系统控制。
• SID：S-1-5-4 
  名称：交互式
  说明：一个包括所有以交互方式登录的用户的组。籍由操作系统控制。
• SID：S-1-5-5-XY 
  名称：登录会话
  说明：登录会话。这些SID的X和Y值因会话而不同。
• SID：S-1-5-6 
  名称：服务
  描述：一个包括登录为服务的所有安全主体的组。籍由操作系统控制。
• SID：S-1-5-7 
  名称：Anonymous 
  说明：一个包括所有以匿名方式登录的用户的组。籍由操作系统控制。
• SID：S-1-5-8 
  名称：Proxy 
  说明：此SID不在Windows 2000中使用。
• SID：S-1-5-9 
  名称：企业域控制器
  说明：一个由使用Active Directory目录服务的林中所有域控制器组成的组。籍由操作系统控制。
• SID：S-1-5-10 
  名称：主体自我
  描述：在Active Directory中的帐户对象或组对象上可继承ACE中的占位符。当ACE被继承时，系统替换此SID的SID对于谁拥有该帐户的安全主体。
• SID：S-1-5-11 
  名称：身份验证的用户
  说明：一个包括其身份，当他们登录进行身份验证的用户的组。籍由操作系统控制。
• SID：S-1-5-12 
  名称：受限代码
  说明：此SID保留供以后使用。
• SID：S-1-5-13 
  名称：Terminal Server用户
  描述：一个包括所有登录到终端服务服务器的用户的组。籍由操作系统控制。
• SID：S-1-5-14 
  名称：远程交互式登录 
  说明：包括谁已经通过终端服务登录方式登录的用户的组。
• SID：S-1-5-15 
  名称：此组织 
  说明：一个包括来自同一组织中的所有用户的组。仅随AD帐户并且只通过Windows Server 2003或更高版本的域控制器添加。
• SID：S-1-5-17 
  名称：此组织
  说明：所使用的默认的Internet信息服务（IIS）用户的帐户。
• SID：S-1-5-18 
  名称：本地系统
  说明：所使用的操作系统的服务帐户。
• SID：S-1-5-19 
  名称：NT AUTHORITY 
  说明：本地服务
• SID：S-1-5-20 
  名称：NT AUTHORITY 
  说明：网络服务
• SID：S-1-5-21 域 -500 
  名称：管理员
  说明：用户帐户的系统管理员。默认情况下，它是被赋予了完全控制系统的唯一用户帐户。
• SID：S-1-5-21 域 -501 
  名称：访客
  说明：用户帐户不具备个人帐户谁的人。此用户帐户不需要密码。默认情况下，禁用来宾帐户。
• SID：S-1-5-21 域 -502 
  名称：KRBTGT 
  描述：所使用的密钥分发中心（KDC）服务的服务帐户。
• SID：S-1-5-21 域 -512 
  名称：域管理员
  说明：一个全局组，其成员被授权管理该域。默认情况下，Domain Admins组是已加入域，包括域控制器上的所有计算机的Administrators组的成员。域管理员是受该组的任何成员创建的任何对象的默认所有者。
• SID：S-1-5-21 域 -513 
  名称：域用户
  说明：一个全局组，默认情况下它包括域中的所有用户帐户。当您在一个域中创建用户帐户，则默认情况下添加到该组。
• SID：S-1-5-21 域 -514 
  名称：域来宾
  描述：一个全局组，默认情况下，只有一个成员，即域的内置Guest帐户。
• SID：S-1-5-21 域 -515 
  名称：域计算机
  说明：一个全局组，其中包括所有客户端，并且加入了域服务器。
• SID：S-1-5-21 域 -516 
  名称：域控制器
  说明：一个全局组，其中包括在域中的所有域控制器。新的域控制器默认情况下，添加到该组。
• SID：S-1-5-21 域 -517 
  名称：证书发布
  说明：一个全局组，其中包括所有运行企业证书颁发机构的所有计算机。证书Publishers被授权发布在Active Directory用户对象的证书。
• SID：S-1-5-21 根域 -518 
  名称：架构管理员
  说明：在本机模式域中的通用组; 在混合模式域中的全局组。该集团授权在Active Directory架构更改。默认情况下，该组的唯一成员是林根域的Administrator帐户。
• SID：S-1-5-21 根域 -519 
  名称：企业管理员
  说明：在本机模式域中的通用组; 在混合模式域中的全局组。该集团授权在Active Directory林范围的更改，例如添加子域。默认情况下，该组的唯一成员是林根域的Administrator帐户。
• SID：S-1-5-21 域 -520 
  名称：组策略创建所有者
  描述：一个被授权在Active Directory中新的组策略对象的全局组。默认情况下，该组的唯一成员是管理员。
• SID：S-1-5-21 域 -553 
  名称：RAS和IAS服务器
  说明：域本地组。默认情况下，该组没有成员。该组中的服务器具有读取帐户限制和读取登录信息访问用户对象在Active Directory域本地组。
• SID：S-1-5-32-544 
  名称：管理员
  说明：内置组。该操作系统的初始安装后，该组的唯一成员是Administrator帐户。当一台计算机加入域时，Domain Admins组将被添加到Administrators组中。当服务器成为域控制器时，Enterprise Admins组也被添加到Administrators组中。
• SID：S-1-5-32-545 
  名称：用户
  说明：内置组。该操作系统的初始安装后，唯一成员是Authenticated Users组。当计算机加入域时，Domain Users组将被添加到计算机上的用户组。
• SID：S-1-5-32-546 
  名称：客人
  说明：内置组。默认情况下，唯一的成员是Guest帐户。Guests组允许临时或一次性用户使用有限权限登录到计算机的内置Guest帐户。
• SID：S-1-5-32-547 
  名称：超级用户
  说明：内置组。默认情况下，该组没有成员。Power Users可以创建本地用户和组; 修改和删除，他们已经创建的帐户; 并从电力用户，用户和来宾用户组。Power Users还可以安装程序; 创建，管理和删除本地打印机 以及创建和删除文件共享。
• SID：S-1-5-32-548 
  名称：帐户操作员
  描述：一种只存在于域控制器上的内置组。默认情况下，该组没有成员。默认情况下，帐户操作员有权限创建，修改，并为用户，组和计算机的所有容器和除内建容器的Active Directory组织单位和域控制器OU删除帐户。帐户操作员无权修改Administrators和Domain Admins组，也没有权限修改账目这些组的成员。
• SID：S-1-5-32-549 
  名称：服务器操作员
  描述：一种只存在于域控制器上的内置组。默认情况下，该组没有成员。服务器操作员可以登录到交互服务器; 创建和删除网络共享; 启动和停止服务; 备份和恢复的文件; 格式化计算机的硬盘; 并关闭计算机。
• SID：S-1-5-32-550 
  名称：打印操作员
  描述：一种只存在于域控制器上的内置组。默认情况下，唯一的成员是域用户组。打印操作员可以管理打印机和文档队列。
• SID：S-1-5-32-551 
  名称：备份操作员
  说明：内置组。默认情况下，该组没有成员。备份操作员可以备份和恢复所有文件的计算机上，而不管保护这些文件的权限。备份操作员还可以登录到计算机上，并关闭它。
• SID：S-1-5-32-552 
  名称：复制器
  说明：所使用的文件复制服务于域控制器上的内置组。默认情况下，该组没有成员。不要将用户添加到该组。
• SID：S-1-5-64-10 
  名称：NTLM身份验证 
  描述：当NTLM身份验证包验证客户端所使用的SID
• SID：S-1-5-64-14 
  名称：SChannel中验证 
  描述：当SChannel中身份验证包验证客户端所使用的SID。
• SID：S-1-5-64-21 
  名称：摘要式身份验证 
  说明：在摘要式身份验证包验证客户端所使用的SID。
• SID：S-80年1月5日 
  名称：NT服务 
  描述：一个NT服务帐户前缀
• SID：S-1-5-80-0 
  SID S-1-5-80-0 = NT SERVICES \所有服务
  名称：所有服务
  描述：一个包括所有在系统上配置的所有服务流程的组。成员身份由操作系统控制。注意添加在Windows Server 2008 R2
  
  
• SID：S-1-5-83-0 
  名称：NT虚拟机\虚拟机
  说明：内置组。安装Hyper-V角色时创建的组。会员组中受的Hyper-V管理服务（VMMS）维护。这组需要“创建符号链接”右（SeCreateSymbolicLinkPrivilege），也是正确的（SeServiceLogonRight）“作为服务登录”，注意添加在Windows 8和Windows Server 2012中
  
  
• SID：S-1-16-0 
  名称：不受信任的强制性级别 
  描述：一个不受信任的完整性级别。注意补充在Windows Vista和Windows Server 2008中 注意添加在Windows Vista和Windows Server 2008
  
  
• SID：S-1-16-4096 
  名称：低强制性级别 
  描述：低完整性级别 注意添加在Windows Vista和Windows Server 2008
  
  
• SID：S-1-16-8192 
  名称：中等强制性级别 
  说明：中等完整性级别 注意添加在Windows Vista和Windows Server 2008
  
  
• SID：S-1-16-8448 
  名称：中等强制性加级别 
  描述：中等，完整性级别 注意添加在Windows Vista和Windows Server 2008
  
  
• SID：S-1-16-12288 
  名称：高强制性级别 
  描述：高完整性级别 注意添加在Windows Vista和Windows Server 2008
  
  
• SID：S-1-16-16384 
  名称：系统强制性级别 
  描述：系统完整性级别。 注意添加在Windows Vista和Windows Server 2008
  
  
• SID：S-1-16-20480 
  名称：保护过程强制性级别 
  描述：受保护进程的完整性级别 注 Server 2008中增加了在Windows Vista和Windows
  
  
• SID：S-1-16-28672 
  名称：安全进程强制性级别 
  说明：安全进程完整性级别 注意添加在Windows Vista和Windows Server 2008
  
  

下面的组显示为SID，直到Windows Server 2003域控制器是由主域控制器（PDC）操作主机角色持有者。在“操作主机”也称为灵活的单主机操作（FSMO）。当Windows Server 2003域控制器添加到域创建以下附加内置组：

• SID：S-1-5-32-554 
  名称：BUILTIN \ Windows 2000以前版本的兼容访问
  描述：Windows 2000中它允许读取域中所有用户和组访问的向后兼容组添加了一个别名。
• SID：S-1-5-32-555 
  名称：BUILTIN \远程桌面用户
  说明：一个别名。该组的成员被授予远程登录的权利。
• SID：S-1-5-32-556 
  名称：BUILTIN \网络配置操作
  说明：一个别名。该组的成员可以有一定的管理权限来管理网络功能的配置。
• SID：S-1-5-32-557 
  名称：BUILTIN \传入林信任建设者
  说明：一个别名。该组的成员可以创建传入，单向信任这个森林。
• SID：S-1-5-32-558 
  名称：BUILTIN \性能监视器用户
  描述：一个别名。该组的成员可以进行远程访问监控这台计算机。
• SID：S-1-5-32-559 
  名称：BUILTIN \性能日志用户
  描述：一个别名。该组的成员在此计算机上性能计数器的日程记录的远程访问。
• SID：S-1-5-32-560 
  名称：BUILTIN \ Windows授权访问组
  描述：一个别名。该组的成员可以访问用户对象上的计算的tokenGroupsGlobalAndUniversal属性。
• SID：S-1-5-32-561 
  名称：BUILTIN \ Terminal服务器许可证服务器
  描述：一个别名。A组的终端服务器许可证服务器。当安装的Windows Server 2003 Service Pack 1中，创建一个新的本地组。
• SID：S-1-5-32-562 
  名称：BUILTIN \分布式COM用户
  描述：一个别名。一种COM集团提供管理对计算机上的所有调用，激活或启动请求的计算机范围的访问访问控制。

下面的组显示为SID，直到在Windows Server 2008或Windows Server 2008 R2的域控制器时（PDC）操作主机角色担任者的主域控制器。在“操作主机”也称为灵活的单主机操作（FSMO）。当Windows Server 2008或Windows Server 2008 R2域控制器添加到域创建以下附加内置组：

• SID：S-1-5- 21 域 -498 
  名称：企业只读域控制器 
  描述：一个通用组。该组的成员是只读的在企业中域控制器
• SID：S-1-5- 21 域 -521 
  名称：只读域控制器
  描述：一个全局组。该组的成员都是只读域中的域控制器
• SID：S-1-5-32-569 
  名称：BUILTIN \加密操作员
  描述：一个内置本地组。成员有权执行加密操作。
• SID：S-1-5-21 域 -571 
  名称：允许RODC密码复制组 
  说明：域本地组。该组的成员可以有自己的密码复制到域中的所有只读域控制器。
• SID：S-1-5- 21 域 -572 
  名称：拒绝RODC密码复制组 
  说明：域本地组。该组的成员不能有自己的密码复制到域中任何只读域控制器
• SID：S-1-5-32-573 
  名称：BUILTIN \事件日志读者 
  描述：一个内置本地组。该组的成员可以读取本地计算机的事件日志。
• SID：S-1-5-32-574 
  名称：BUILTIN \证书服务DCOM访问 
  说明：一个内建的本地组。该组的成员被允许连接到认证机构的企业。

下面的组显示为SID，直到在Windows Server 2012域控制器是由主域控制器（PDC）操作主机角色持有者。在“操作主机”也称为灵活的单主机操作（FSMO）。当Windows Server 2012的域控制器加入到域中创建以下附加内置组：

• SID：S-1-5-21- 域 -522 
  名称：Cloneable的域控制器
  描述：一个全局组。这组是域控制器的成员可能被克隆。
• SID：S-1-5-32-575 
  名称：BUILTIN \ RDS远程访问服务器
  说明：一个内建的本地组。该组中的服务器启用RemoteApp程序和个人虚拟桌面访问这些资源的用户。在面向因特网的部署，这些服务器通常部署在边缘网络。该组需要在运行RD连接代理服务器来进行填充。RD网关服务器，并在部署中使用远程桌面Web访问服务器需要这一组。
• SID：S-1-5-32-576 
  名称：BUILTIN \ RDS终结点服务器
  说明：一个内建的本地组。服务器这组运行的虚拟机和主机会话，用户RemoteApp程序和个人虚拟桌面上运行英寸 该组需要在运行RD连接代理服务器来进行填充。RD会话主机服务器，并在部署中使用的RD虚拟化主机服务器需要这一组。
• SID：S-1-5-32-577 
  名称：BUILTIN \ RDS管理服务器
  说明：一个内建的本地组。该组中的服务器可以对运行远程桌面服务的服务器日常管理操作。该组需要在远程桌面服务部署中的所有服务器上进行填充。运行RDS中央管理服务的服务器必须包含这一组。
• SID：S-1-5-32-578 
  名称：BUILTIN \ Hyper-V的管理员
  描述：一个内置本地组。该组的成员都到Hyper-V的所有功能完全和不受限制的访问。
• SID：S-1-5-32-579 
  名称：BUILTIN \门禁协助运营商
  说明：一个内建的本地组。该组的成员可以在这台计算机上远程查询资源的授权属性和权限。
• SID：S-1-5-32-580 
  名称：BUILTIN \远程管理用户
  描述：一个内置本地组。该组的成员可以（通过Windows远程管理服务，如WS-管理）访问了管理协议WMI资源。这仅适用于授权访问用户WMI命名空间。

属性

文章编号：243330 - 最后修改：2013年5月28日二十三时55分00秒 - 修订：17.0

适用于

微软Windows XP专业版，微软的Windows 2000 Server或Microsoft Windows 2000高级服务器，Microsoft Windows 2000专业版，Windows Server 2008 R2数据中心，在Windows Server 2008 R2企业版，Windows Server 2008 R2的标准版，Windows Server 2008的数据中心，Windows Server 2008企业， Windows Server 2008标准，微软的Windows Server 2003 Service Pack 2的Windows 8中，Windows Server 2012中的标准时，Windows Server 2012的数据中心，Windows Server 2012中要点，Windows Server 2012中基金会

关键词：

• kbenv kbinfo KB243330