[转]在 Windows 操作系统中的已知安全标识符(Sid security identifiers)

安全标识符 (SID) 是用于标识安全主体或安全组在 Windows 操作系统中的可变长度的唯一值。常用 Sid 的 Sid 标识普通用户的一组或通用组。跨所有操作系统，它们的值保持不变。

此信息可用于故障排除涉及安全问题。它还可用于 ACL 编辑器中可能出现的潜在显示问题。ACL 编辑器的用户或组的名称而不是可能会显示一个 SID。

常用 Sid：

• SID： S-1-0
  名称: 空颁发机构
  说明： 标识符颁发机构。
• SID： S-1-0-0
  名称： 没有人
  说明: 安全主体。
• SID： S-1-1
  全球机构的名称：
  说明： 标识符颁发机构。
• SID： S-1-1-0
  名称： 每个人
  说明： 包括所有甚至匿名用户和来宾用户组。成员资格是由操作系统控制的。

  注意 默认情况下，通过 Everyone 组将不再包括匿名用户在运行 Windows XP Service Pack 2 (SP2) 的计算机上。

• SID： S-1-2
  本地机构的名称：
  说明： 标识符颁发机构。
• SID： S-1-2-0
  名称： 本地
  说明： 包括所有本地登录的用户组。
• SID： S-1-2-1
  名称： 控制台登录
  说明: 包括物理控制台登录的用户组。

  注意 添加在 Windows 7 和 Windows Server 2008 R2

• SID： S-1-3
  名称: 创建者颁发机构
  说明： 标识符颁发机构。
• SID： S-1-3-0
  创建者所有者的名称：
  说明: 父系的可继承的访问控制项 (ACE) 中的占位符。ACE 继承时，系统将此 SID 替换对象的创建者的 SID。
• SID： S-1-3-1
  创建者组的名称：
  说明: 可继承的 ACE 中的占位符。当继承的 ACE 时，系统替换此 SID SID 的对象的创建者的主要组。仅由 POSIX 子系统使用的主要组。
• SID： S-1-3-2
  名称: 创建者所有者服务器
  说明： 在 Windows 2000 中不使用此 SID。
• SID： S-1-3-3
  创建者组服务器的名称:
  说明： 在 Windows 2000 中不使用此 SID。
• SID： S-1-3-4 名： 所有者权限
  说明： 一组表示当前对象的所有者。当执行此 SID 的 ACE 应用于对象时，系统将忽略的隐式 READ_CONTROL 和 WRITE_DAC 权限对象的所有者。
• SID： S-1-5-80-0 
  所有服务的名称： 
  说明： 一组包含在系统上配置的所有服务流程。成员资格是由操作系统控制的。 

  注意 Windows Vista 和 Windows Server 2008 中添加

• SID： S-1-4
  非唯一机构的名称：
  说明： 标识符颁发机构。
• SID： S-1-5
  名称: NT 颁发机构
  说明： 标识符颁发机构。
• SID： S-1-5-1
  名称： 拨号
  说明： 一组，包括通过拨号连接登录的所有用户。成员资格是由操作系统控制的。
• SID： S-1-5-2
  名称： 网络
  说明： 包括所有已通过网络连接登录的用户组。成员资格是由操作系统控制的。
• SID： S-1-5-3
  名称: 批处理
  说明： 包括所有已通过批处理队列功能登录的用户组。成员资格是由操作系统控制的。
• SID： S-1-5-4
  名称： 交互式
  说明： 包括所有已以交互方式登录的用户组。成员资格是由操作系统控制的。
• SID： S-1-5-5-X-Y
  登录会话的名称：
  说明: 登录会话。为每个会话，这些 Sid 的 X 和 Y 值是不同的。
• SID： S-1-5-6
  名称： 服务
  说明： 包括所有安全主体作为服务登录的组。成员资格是由操作系统控制的。
• SID： S-1-5-7
  名称: 匿名
  说明： 包括所有已匿名登录的用户组。成员资格是由操作系统控制的。
• SID： S-1-5-8
  名称： 代理服务器
  说明： 在 Windows 2000 中不使用此 SID。
• SID： S-1-5-9
  名称: 企业域控制器
  说明： 使用 Active Directory 目录服务的目录林中包含的所有域控制器的组。成员资格是由操作系统控制的。
• SID： S-1-5-10
  名称: 主体自身
  说明： 帐户对象或组在 Active Directory 中的对象可继承的 ACE 中的占位符。当继承的 ACE 时，系统会将此 SID 替换拥有帐户的安全主体的 SID。
• SID： S-1 年 5 月 11 日
  已验证的用户的名称：
  说明： 包含所有用户登录时，其身份的验证身份的组。成员资格是由操作系统控制的。
• SID： S-1-5-12
  受限制的代码名称:
  说明: 此 SID 是保留以供将来使用。
• SID： S-1-5-13
  终端服务器用户的名称：
  说明： 包括所有已登录到终端服务服务器的用户组。成员资格是由操作系统控制的。
• SID： S-1-5-14
  名称： 远程交互式登录
  说明： 一组，包括已经登录到终端服务登录的所有用户。
• SID： S-1-5-15
  该组织的名称：
  说明： 包括从同一个组织中的所有用户组。仅附带 AD 帐户，而且只添加 Windows Server 2003 或更高版本的域控制器。
• SID： S-1-5 日至 17 日
  该组织的名称：
  说明： 所使用的默认 Internet Information Services (IIS) 用户帐户。
• SID： S-1-5-18
  本地系统的名称：
  说明: 服务帐户所使用的操作系统。
• SID： S-1-5-19
  名称: NT 颁发机构
  说明: 本地服务
• SID： S-1-5-20
  名称: NT 颁发机构
  说明: 网络服务
• SID： S-1-5-21域-500
  名称： 管理员
  说明： 系统管理员用户帐户。默认情况下它是唯一的用户帐户的完全控制系统。
• SID： S-1-5-21域-501
  名称： 来宾
  说明: 没有单独的帐户的用户的用户帐户。此用户帐户不需要密码。默认情况下被禁用来宾帐户。
• SID： S-1-5-21域-502
  名称: KRBTGT
  说明: 密钥分发中心 (KDC) 服务所使用的服务帐户。
• SID： S-1-5-21域-512
  域管理员的名称：
  说明： 其成员有权管理域全局组。默认情况下，通过域管理员组是所有已加入域，包括域控制器的计算机上管理员组的成员。域管理员是组的默认创建的任何成员的任何对象的所有者。
• SID： S-1-5-21域-513
  域用户的名称：
  说明: 一个全局组，默认情况下包括在域中的所有用户帐户。在创建用户帐户域中时，默认情况下将它添加到此组。
• SID： S-1-5-21域-514
  名称: 域来宾
  说明: 一个全局组，默认情况下都有一个成员，将域的内置来宾帐户。
• SID： S-1-5-21域-515
  域计算机的名称:
  说明: 一个全局组，包括所有客户端和服务器已加入域。
• SID： S-1-5-21域-516
  域控制器的名称：
  说明: 一个全局组包含域中的所有域控制器。默认情况下，新的域控制器都添加到此组。
• SID： S-1-5-21域-517
  证书发行者的名称：
  说明: 一个全局组，包括运行企业证书颁发机构的所有计算机。证书的发布者有权在 Active Directory 中发布证书的用户对象。
• SID： S-1-5-21根域-518
  名称: 架构管理员
  说明： 在本机模式域 ； 通用组混合模式域中的全局组。组有权在 Active Directory 中进行架构更改。默认情况下的组的唯一成员是林根域的管理员帐户。
• SID： S-1-5-21根域-519
  企业管理员的名称：
  说明： 在本机模式域 ； 通用组混合模式域中的全局组。组有权在 Active Directory 中进行目录林范围的更改，如添加子域。默认情况下的组的唯一成员是林根域的管理员帐户。
• SID： S-1-5-21域-520
  名称： 组策略创建者所有者
  说明: 一个全局组有权在活动目录中创建新的组策略对象。默认情况下的组的唯一成员是管理员。
• SID： S-1-5-21域-553
  名称: RAS 和 IAS 服务器
  说明: 域本地组。默认情况下此组没有任何成员。此组中的服务器具有读取帐户限制和用户对象的读取登录信息访问 Active Directory 域本地组中。
• SID： S-1-5-32-544
  名称： 管理员
  说明： 内置组。初始安装后的操作系统，该组的唯一成员是管理员帐户。当计算机加入域时，域管理员组添加到管理员组。当服务器变成域控制器时，企业管理员组也被添加到管理员组中。
• SID： S-1-5-32-545
  名称： 用户
  说明： 内置组。初始安装后的操作系统，唯一的成员是经过验证的用户组。当计算机加入域时，域用户组添加到计算机上的用户组。
• SID： S-1-5-32-546
  名称: 客人
  说明： 内置组。默认情况下的唯一成员是 Guest 帐户。来宾组允许偶尔或一次性登录到计算机的内置来宾帐户的有限权限的用户。
• SID： S-1-5-32-547
  超级用户的名称：
  说明： 内置组。默认情况下，通过组没有任何成员。超级用户可以创建本地用户和组。修改和删除帐户创建它们。和高级用户、 用户和来宾用户组中删除用户。高级用户还可以安装程序。创建、 管理和删除本地打印机。创建和删除文件共享。
• SID： S-1-5-32-548
  帐户操作员的名称：
  说明： 内置组仅在域控制器上存在的。默认情况下，通过组没有任何成员。默认情况下帐户操作员具有创建、 修改和删除用户、 组和所有容器和组织单位的 Active Directory，除内置容器和域控制器 OU 中的计算机帐户的权限。帐户操作员有权修改的管理员和域管理员组中，他们也没有修改的那些组的成员的帐户的权限。
• SID： S-1-5-32-549
  服务器操作员的名称：
  说明： 内置组仅在域控制器上存在的。默认情况下，通过组没有任何成员。服务器操作员可以登录到服务器上以交互方式。创建和删除网络共享。启动和停止服务 ； 示例：备份和还原文件。格式化硬盘的计算机。然后关闭计算机。
• SID： S-1-5-32-550
  打印操作员的名称：
  说明： 内置组仅在域控制器上存在的。默认情况下的唯一成员是域用户组。打印操作员可以管理打印机和文档队列。
• SID： S-1-5-32-551
  备份操作员的名称：
  说明： 内置组。默认情况下，通过组没有任何成员。备份操作员可以备份和还原所有文件的计算机上，不管保护这些文件的权限。备份操作员还可以登录到计算机上，并将其关闭。
• SID： S-1-5-32-552
  名称： 复制器
  说明： 内置组所使用的域控制器上的文件复制服务。默认情况下，通过组没有任何成员。不要将用户添加到此组。
• SID： S-1-5-64-10
  名称: NTLM 身份验证
  说明: 一个 SID NTLM 身份验证包通过客户端身份验证时使用
• SID： S-1-5-64-14
  名称: SChannel 身份验证
  说明: SChannel 身份验证包通过客户端身份验证时，将使用 SID。
• SID： S-1-5-64-21
  名称: 摘要式身份验证
  说明: 摘要式身份验证包通过客户端身份验证时，将使用 SID。
• SID： S-1-5-80
  名称: NT 服务
  说明: NT 服务帐户前缀
• SID： S-1-16 0
  名称: 不受信任的强制性级别
  说明: 级别不受信任的完整性。在 Windows Vista 和 Windows Server 2008 中已添加的注释

  注意 Windows Vista 和 Windows Server 2008 中添加

• SID： S-1-16 4096
  名称: 低强制性级别
  说明： 级别较低的完整性。

  注意 Windows Vista 和 Windows Server 2008 中添加

• SID： S-1-16 8192
  名称： 中等强制性级别
  说明： 中等完整性级别。

  注意 Windows Vista 和 Windows Server 2008 中添加

• SID： S-1-16-8448
  名称: 中加上强制性级别
  说明: 中加上完整性级别。

  注意 Windows Vista 和 Windows Server 2008 中添加

• SID： S-1-16 12288
  名称: 高强制性级别
  说明： 一种高完整性级别。

  注意 Windows Vista 和 Windows Server 2008 中添加

• SID： S-1-16 16384
  名称: 系统强制性级别
  说明: 系统完整性级别。

  注意 Windows Vista 和 Windows Server 2008 中添加

• SID： S-1-16 20480
  名称： 受保护的进程强制性级别
  说明: 一个受保护的进程的完整性级别。

  注意 Windows Vista 和 Windows Server 2008 中添加

• SID： S-1-16-28672
  名称: 安全进程强制性级别
  说明: 安全进程完整性级别。

  注意 Windows Vista 和 Windows Server 2008 中添加

• SID： S-1-5-80-0
  SID S-1-5-80-0 = SERVICES\ALL NT 服务
  所有服务的名称：
  说明： 一组包含在系统上配置的所有服务流程。成员资格是由操作系统控制的。

  注意 在 Windows Server 2008 R2 中添加

下面的组将显示为 Sid 中，直到 Windows Server 2003 的域控制器是主域控制器 (PDC) 操作主机角色担任者。在"操作主机"也被称为灵活单主机操作或 FSMO。其他新的内置组被添加到域中 Windows Server 2003 的域控制器时创建的是：

• SID： S-1-5-32-554
  名称: BUILTIN\Pre-Windows 2000 以前版本兼容访问
  说明: 由 Windows 2000 中添加一个别名。向后兼容性组，它允许读取访问权限的所有用户和组在域中。
• SID： S-1-5-32-555
  名称: BUILTIN\Remote 桌面机用户
  说明: 别名。此组中的成员被授予远程登录的权限。
• SID： S-1-5-32-556
  名称: BUILTIN\Network 配置操作员
  说明: 别名。此组中的成员可以管理网络功能的配置部分管理权限。
• SID： S-1-5-32-557
  名称: BUILTIN\Incoming 林信任构建器
  说明: 别名。此组的成员可以创建到此目录林的传入、 单向信任。
• SID： S-1-5-32-558
  名称: BUILTIN\Performance 监视器用户
  说明: 别名。此组的成员具有监视此计算机的远程访问权限。
• SID： S-1-5-32-559
  名称: BUILTIN\Performance 日志用户
  说明: 别名。此组的成员可以远程访问以计划在此计算机上的性能计数器的日志。
• SID： S-1-5-32-560
  名称: BUILTIN\Windows 授权访问组
  说明: 别名。此组的成员用户对象上具有访问该计算所得的 tokenGroupsGlobalAndUniversal 属性。
• SID： S-1-5-32-561
  名称: BUILTIN\Terminal 服务器许可证服务器
  说明: 别名。为终端服务器许可证服务器的组。安装 Windows 服务器 2003 Service Pack 1 后，将创建一个新的本地组。
• SID： S-1-5-32-562
  名称: BUILTIN\Distributed COM 用户
  说明: 别名。COM 提供访问控制功能，控制访问所有的计算机范围的组调用时，激活，或启动的计算机上的请求。

下面的组将显示为 Sid 中，直到 Windows Server 2008 或 Windows Server 2008 R2 的域控制器是主域控制器 (PDC) 操作主机角色担任者。在"操作主机"也被称为灵活单主机操作或 FSMO。其他域控制器的 Windows Server 2008 或 Windows Server 2008 R2 添加到域时，会创建新内置组分别是：

• SID： S-1-5-21域 -498
  名称: 企业只读域控制器
  描述: 将通用组。此组的成员是在企业中的只读域控制器
• SID： S-1-5-21域 -521
  名称: 只读域控制器
  说明: 一个全局组。此组的成员是在域中的只读域控制器
• SID： S-1-5-32-569
  名称: BUILTIN\Cryptographic 运算符
  说明： 内置的本地组。成员有权执行加密操作。
• SID： S-1-5-21 域 -571
  名称: 允许 RODC 密码复制组
  说明: 域本地组。此组中的成员可以有自己的密码复制到域中的所有只读域控制器。
• SID： S-1-5-21 域 -572
  名称: 拒绝 RODC 密码复制组
  说明: 域本地组。此组中的成员不能有的密码复制到域中的任何只读域控制器
• SID： S-1-5-32-573
  名称: BUILTIN\Event 日志读取器
  说明： 内置的本地组。此组的成员可以从本地计算机中读取事件日志。
• SID： S-1-5-32-574
  名称: BUILTIN\Certificate 服务 DCOM 访问
  说明： 内置的本地组。此组的成员可以在企业中连接到证书颁发机构。

下面的组都将显示为 Sid"8"的 Windows 服务器测试域控制器之前所做的主域控制器 (PDC) 操作主机角色担任者。在"操作主机"也被称为灵活单主机操作或 FSMO。其他新的内置组"8"的 Windows 服务器测试域控制器添加到域时所创建的是：

• SID： S-1-5-21 日域-522
  克隆域控制器的名称：
  说明: 一个全局组。此组成员的域控制器可能被克隆。
• SID： S-1-5-32-575
  远程访问服务器的名称: BUILTIN\RDS
  说明： 内置的本地组。此组中的服务器启用远程应用程序的程序和个人虚拟机对这些资源的访问权限的用户。在面向 Internet 的部署中，这些服务器通常部署在边缘网络。此组需要在运行远程桌面连接代理服务器上填充。RD 网关服务器部署中使用的远程桌面 Web 访问服务器必须在此组中。
• SID： S-1-5-32-576
  名称: BUILTIN\RDS 终结点服务器
  说明： 内置的本地组。此组中的服务器运行的虚拟机和主机会话的用户远程应用程序的程序和个人虚拟机运行。此组需要在运行远程桌面连接代理服务器上填充。远程桌面会话主机服务器部署中使用的远程桌面虚拟化主机服务器必须在此组中。
• SID： S-1-5-32-577
  名称: BUILTIN\RDS 管理服务器
  说明： 内置的本地组。此组中的服务器可以运行远程桌面服务的服务器上执行日常管理操作。此组需要在远程桌面服务部署中的所有服务器上填充。运行 RDS 一起进行集中化管理服务的服务器必须包含此组中。
• SID： S-1-5-32-578
  名称: BUILTIN\Hyper-V 管理员
  说明： 内置的本地组。此组的成员具有 Hyper-V 的所有功能的完整和不受限制的访问权限。
• SID： S-1-5-32-579
  名称: BUILTIN\Access 控件协助运算符
  说明： 内置的本地组。授权属性和此计算机上的资源的权限，该组的成员可以远程查询。
• SID： S-1-5-32-580
  名称: BUILTIN\Remote 管理用户
  说明： 内置的本地组。通过管理协议 （如 WS 管理通过 Windows 远程管理服务），该组的成员可以访问 WMI 资源。这仅适用于向用户授予访问权限的 WMI 命名空间

referer:

http://www.cnblogs.com/netwenchao/archive/2012/05/10/2494251.html

https://support.microsoft.com/zh-cn/help/243330/well-known-security-identifiers-in-windows-operating-systems

https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems