Bekannte Sicherheitsbezeichner in Windows Betriebssystemen

Dieser Artikel enthält Informationen zu bekannten SIDs in allen Versionen von Windows.

Gilt für:   Windows 10 – alle Editionen, Windows Server 2019, Windows Server 2016
Ursprüngliche KB-Nummer:   243330

Zusammenfassung

Eine Sicherheits-ID (SID) ist ein eindeutiger Wert variabler Länge, der verwendet wird, um einen Sicherheitsprinzipal (z. B. eine Sicherheitsgruppe) in Windows Betriebssystemen zu identifizieren. SIDs, die generische Benutzer oder generische Gruppen identifizieren, sind bekannt. Ihre Werte bleiben auf allen Betriebssystemen konstant.

Diese Informationen sind nützlich für die Behandlung von Sicherheitsproblemen. Es ist auch nützlich, um Anzeigeprobleme im Editor Windows Zugriffssteuerungsliste (Access Control List, ACL) zu beheben. Windows verfolgt einen Sicherheitsprinzipal anhand seiner SID nach. Um den Sicherheitsprinzipal im ACL-Editor anzuzeigen, löst Windows die SID in den zugehörigen Sicherheitsprinzipalnamen auf.

Hinweis

In diesem Artikel werden Situationen beschrieben, unter denen der ACL-Editor eine Sicherheitsprinzipal-SID anstelle des Sicherheitsprinzipalnamens anzeigt.

Im Laufe der Zeit hat sich dieser Satz bekannter SIDs vergrößert. Die Tabellen in diesem Artikel organisieren diese SIDs entsprechend der Version von Windows, die sie eingeführt haben.

Bekannte SIDs (alle Versionen von Windows)

Alle Versionen von Windows die folgenden bekannten SIDs verwenden.

SID Name Beschreibung
S-1-0 Null-Autorität Eine Bezeichnerautorität.
S-1-0-0 Niemand Kein Sicherheitsprinzipal.
S-1-1 Weltautorität Eine Bezeichnerautorität.
S-1-1-0 Jeder Eine Gruppe, die alle Benutzer, auch anonyme Benutzer und Gäste enthält. Die Mitgliedschaft wird vom Betriebssystem gesteuert.

Hinweis
Standardmäßig enthält die Gruppe "Jeder" keine anonymen Benutzer mehr auf einem Computer, auf dem Windows XP Service Pack 2 (SP2) ausgeführt wird.
S-1-2 Lokale Autorität Eine Bezeichnerautorität.
S-1-2-0 Lokal Eine Gruppe, die alle Benutzer enthält, die sich lokal angemeldet haben.
S-1-3 Creator Authority Eine Bezeichnerautorität.
S-1-3-0 Creator-Besitzer Ein Platzhalter in einem vererbbaren Zugriffssteuerungseintrag (Access Control Entry, ACE). Wenn der Ace geerbt wird, ersetzt das System diese SID durch die SID für den Ersteller des Objekts.
S-1-3-1 Creator-Gruppe Ein Platzhalter in einem vererbbaren ACE. Wenn der Ace geerbt wird, ersetzt das System diese SID durch die SID für die primäre Gruppe des Erstellers des Objekts. Die primäre Gruppe wird nur vom POSIX-Subsystem verwendet.
S-1-3-4 Besitzerrechte Eine Gruppe, die den aktuellen Besitzer des Objekts darstellt. Wenn ein Ace, der diese SID trägt, auf ein Objekt angewendet wird, ignoriert das System die impliziten READ_CONTROL und WRITE_DAC Berechtigungen für den Objektbesitzer.
S-1-4 Nicht eindeutige Autorität Eine Bezeichnerautorität.
S-1-5 NT-Autorität Eine Bezeichnerautorität.
S-1-5-1 Dialup Eine Gruppe, die alle Benutzer enthält, die sich über eine DFÜ-Verbindung angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
S-1-5-2 Netzwerk Eine Gruppe, die alle Benutzer enthält, die sich über eine Netzwerkverbindung angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
S-1-5-3 Batch Eine Gruppe, die alle Benutzer enthält, die sich über eine Batchwarteschlangeneinrichtung angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
S-1-5-4 Interaktiv Eine Gruppe, die alle Benutzer enthält, die sich interaktiv angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
S-1-5-5-X-Y Anmeldesitzung Eine Anmeldesitzung. Die X- und Y-Werte für diese SIDs unterscheiden sich für jede Sitzung.
S-1-5-6 Dienst Eine Gruppe, die alle Sicherheitsprinzipale enthält, die sich als Dienst angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
S-1-5-7 Anonym Eine Gruppe, die alle Benutzer enthält, die sich anonym angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
S-1-5-9 Enterprise Domänencontroller Eine Gruppe, die alle Domänencontroller in einer Gesamtstruktur enthält, die einen Active Directory-Verzeichnisdienst verwendet. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
S-1-5-10 Principal Self Ein Platzhalter in einem vererbbaren ACE für ein Konto- oder Gruppenobjekt in Active Directory. Wenn der Ace geerbt wird, ersetzt das System diese SID durch die SID für den Sicherheitsprinzipal, der das Konto besitzt.
S-1-5-11 Authentifizierte Benutzer Eine Gruppe, die alle Benutzer enthält, deren Identitäten bei der Anmeldung authentifiziert wurden. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
S-1-5-12 Eingeschränkter Code Diese SID ist für die zukünftige Verwendung reserviert.
S-1-5-13 Terminalserverbenutzer Eine Gruppe, die alle Benutzer enthält, die sich bei einem Terminaldiensteserver angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert.
S-1-5-14 Interaktive Remoteanmeldung Eine Gruppe, die alle Benutzer enthält, die sich über eine Terminaldienstanmeldung angemeldet haben.
S-1-5-17 Iusr Ein Konto, das vom Standardmäßigen Internetinformationsdienste (IIS)-Benutzer verwendet wird.
S-1-5-18 Lokales System Ein Dienstkonto, das vom Betriebssystem verwendet wird.
S-1-5-19 NT-Autorität Lokaler Dienst
S-1-5-20 NT-Autorität Netzwerkdienst
S-1-5-21domain-500 Administrator Ein Benutzerkonto für den Systemadministrator. Standardmäßig ist es das einzige Benutzerkonto, das die vollständige Kontrolle über das System erhält.
S-1-5-21domain-501 Gast Ein Benutzerkonto für Personen, die nicht über einzelne Konten verfügen. Für dieses Benutzerkonto ist kein Kennwort erforderlich. Standardmäßig ist das Gastkonto deaktiviert.
S-1-5-21domain-502 Krbtgt Ein Dienstkonto, das vom KDC-Dienst (Key Distribution Center) verwendet wird.
S-1-5-21domain-512 Domänen-Admins Eine globale Gruppe, deren Mitglieder berechtigt sind, die Domäne zu verwalten. Standardmäßig ist die Gruppe "Domänenadministratoren" ein Mitglied der Gruppe "Administratoren" auf allen Computern, die einer Domäne beigetreten sind, einschließlich der Domänencontroller. Domänenadministratoren sind der Standardbesitzer aller Objekte, die von einem beliebigen Mitglied der Gruppe erstellt werden.
S-1-5-21domain-513 Domänenbenutzer Eine globale Gruppe, die standardmäßig alle Benutzerkonten in einer Domäne enthält. Wenn Sie ein Benutzerkonto in einer Domäne erstellen, wird es dieser Gruppe standardmäßig hinzugefügt.
S-1-5-21domain-514 Domänengäste Eine globale Gruppe, die standardmäßig nur ein Mitglied hat, das integrierte Gastkonto der Domäne.
S-1-5-21domain-515 Domänencomputer Eine globale Gruppe, die alle Clients und Server enthält, die der Domäne beigetreten sind.
S-1-5-21domain-516 Domänencontroller Eine globale Gruppe, die alle Domänencontroller in der Domäne enthält. Dieser Gruppe werden standardmäßig neue Domänencontroller hinzugefügt.
S-1-5-21domain-517 Zertifikatsverlage Eine globale Gruppe, die alle Computer enthält, auf denen eine Unternehmenszertifizierungsstelle ausgeführt wird. Zertifikatverlage sind berechtigt, Zertifikate für Benutzerobjekte in Active Directory zu veröffentlichen.
S-1-5-21root domain-518 Schema-Admins Eine universelle Gruppe in einer Domäne im nativen Modus; eine globale Gruppe in einer Domäne mit gemischtem Modus. Die Gruppe ist berechtigt, Schemaänderungen in Active Directory vorzunehmen. Standardmäßig ist das einzige Mitglied der Gruppe das Administratorkonto für die Stammdomäne der Gesamtstruktur.
S-1-5-21root domain-519 Organisations-Admins Eine universelle Gruppe in einer Domäne im nativen Modus; eine globale Gruppe in einer Domäne mit gemischtem Modus. Die Gruppe ist berechtigt, gesamtstrukturweite Änderungen in Active Directory vorzunehmen, z. B. das Hinzufügen untergeordneter Domänen. Standardmäßig ist das einzige Mitglied der Gruppe das Administratorkonto für die Stammdomäne der Gesamtstruktur.
S-1-5-21domain-520 Gruppenrichtlinienerstellerbesitzer Eine globale Gruppe, die zum Erstellen neuer Gruppenrichtlinienobjekte in Active Directory autorisiert ist. Standardmäßig ist administrator das einzige Mitglied der Gruppe.
S-1-5-21domain-526 Wichtige Administratoren Eine Sicherheitsgruppe. Diese Gruppe soll nur über delegierten Schreibzugriff für das msdsKeyCredentialLink Attribut verfügen. Die Gruppe ist für die Verwendung in Szenarien vorgesehen, in denen vertrauenswürdige externe Zertifizierungsstellen (z. B. Active Directory-Verbunddienste) für das Ändern dieses Attributs verantwortlich sind. Nur vertrauenswürdige Administratoren sollten mitglied dieser Gruppe werden.
S-1-5-21domain-527 Enterprise Wichtige Administratoren Eine Sicherheitsgruppe. Diese Gruppe soll nur über delegierten Schreibzugriff für das msdsKeyCredentialLink Attribut verfügen. Die Gruppe ist für die Verwendung in Szenarien vorgesehen, in denen vertrauenswürdige externe Zertifizierungsstellen (z. B. Active Directory-Verbunddienste) für das Ändern dieses Attributs verantwortlich sind. Nur vertrauenswürdige Administratoren sollten mitglied dieser Gruppe werden.
S-1-5-21domain-553 RAS- und IAS-Server Eine lokale Domänengruppe. Standardmäßig hat diese Gruppe keine Mitglieder. Server in dieser Gruppe verfügen über Lesekontoeinschränkungen und Lesezugriff auf Anmeldeinformationen auf Benutzerobjekte in der lokalen Active Directory-Domänengruppe.
S-1-5-32-544 Administratoren Eine integrierte Gruppe. Nach der Erstinstallation des Betriebssystems ist das Administratorkonto das einzige Mitglied der Gruppe. Wenn ein Computer einer Domäne beitritt, wird die Gruppe "Domänenadministratoren" der Gruppe "Administratoren" hinzugefügt. Wenn ein Server zu einem Domänencontroller wird, wird auch die Gruppe Enterprise Administratoren der Gruppe "Administratoren" hinzugefügt.
S-1-5-32-545 Benutzer Eine integrierte Gruppe. Nach der Erstinstallation des Betriebssystems ist die Gruppe "Authentifizierte Benutzer" das einzige Mitglied. Wenn ein Computer einer Domäne beitritt, wird die Gruppe "Domänenbenutzer" der Gruppe "Benutzer" auf dem Computer hinzugefügt.
S-1-5-32-546 Gäste Eine integrierte Gruppe. Standardmäßig ist das einzige Mitglied das Gastkonto. Die Gruppe "Gäste" ermöglicht gelegentlichen oder einmaligen Benutzern die Anmeldung mit eingeschränkten Berechtigungen für das integrierte Gastkonto eines Computers.
S-1-5-32-547 Hauptbenutzer Eine integrierte Gruppe. Standardmäßig hat die Gruppe keine Mitglieder. Hauptbenutzer können lokale Benutzer und Gruppen erstellen. von ihnen erstellte Konten ändern und löschen; und entfernen Sie Benutzer aus den Gruppen "Hauptbenutzer", "Benutzer" und "Gäste". Hauptbenutzer können auch Programme installieren. erstellen, verwalten und löschen Sie lokale Drucker; und erstellen und löschen Sie Dateifreigaben.
S-1-5-32-548 Kontooperatoren Eine integrierte Gruppe, die nur auf Domänencontrollern vorhanden ist. Standardmäßig hat die Gruppe keine Mitglieder. Standardmäßig verfügen Kontooperatoren über die Berechtigung zum Erstellen, Ändern und Löschen von Konten für Benutzer, Gruppen und Computer in allen Containern und Organisationseinheiten von Active Directory mit Ausnahme des Builtin Containers und der Domänencontroller-OE. Kontooperatoren verfügen weder über die Berechtigung zum Ändern der Gruppen "Administratoren" und "Domänenadministratoren" noch über die Berechtigung zum Ändern der Konten für Mitglieder dieser Gruppen.
S-1-5-32-549 Serveroperatoren Eine integrierte Gruppe, die nur auf Domänencontrollern vorhanden ist. Standardmäßig hat die Gruppe keine Mitglieder. Serveroperatoren können sich interaktiv bei einem Server anmelden. Erstellen und Löschen von Netzwerkfreigaben; Dienste starten und beenden; Sichern und Wiederherstellen von Dateien; die Festplatte des Computers formatieren; und fahren Sie den Computer herunter.
S-1-5-32-550 Druckoperatoren Eine integrierte Gruppe, die nur auf Domänencontrollern vorhanden ist. Standardmäßig ist das einzige Mitglied die Gruppe "Domänenbenutzer". Druckoperatoren können Drucker und Dokumentwarteschlangen verwalten.
S-1-5-32-551 Sicherungs-Operatoren Eine integrierte Gruppe. Standardmäßig hat die Gruppe keine Mitglieder. Sicherungsoperatoren können alle Dateien auf einem Computer sichern und wiederherstellen, unabhängig von den Berechtigungen, die diese Dateien schützen. Sicherungsoperatoren können sich auch am Computer anmelden und herunterfahren.
S-1-5-32-552 Replikatoren Eine integrierte Gruppe, die vom Dateireplikationsdienst auf Domänencontrollern verwendet wird. Standardmäßig hat die Gruppe keine Mitglieder. Fügen Sie dieser Gruppe keine Benutzer hinzu.
S-1-5-32-582 Storage Replikatadministratoren Eine integrierte Gruppe, die vollständigen und uneingeschränkten Zugriff auf alle Features von Storage Replikat gewährt.
S-1-5-64-10 NTLM-Authentifizierung Eine SID, die verwendet wird, wenn das NTLM-Authentifizierungspaket den Client authentifiziert hat.
S-1-5-64-14 SChannel Authentifizierung Eine SID, die verwendet wird, wenn das SChannel Authentifizierungspaket den Client authentifiziert hat.
S-1-5-64-21 Digestauthentifizierung Eine SID, die verwendet wird, wenn das Digestauthentifizierungspaket den Client authentifiziert hat.
S-1-5-80 NT-Dienst Ein NT-Dienstkontopräfix.

SIDs, die von Windows Server 2003 und neueren Versionen hinzugefügt wurden

Wenn Sie einen Domänencontroller hinzufügen, der Windows Server 2003 oder höher ausgeführt wird, fügt Active Directory die Sicherheitsprinzipale in der folgenden Tabelle hinzu.

Hinweis

Im Windows ACL-Editor werden diese Sicherheitsprinzipien möglicherweise nicht anhand des Namens angezeigt. Active Directory löst diese SIDs erst in die entsprechenden Namen auf, wenn der PDC-Emulator FSMO-Rollenübertragungen an einen Domänencontroller erfolgt, der Windows Server 2003 oder höher ausgeführt wird, oder wird von diesem verwaltet.

SID Name Beschreibung
S-1-3-2 Creator Owner Server Diese SID wird in Windows 2000 nicht verwendet.
S-1-3-3 Creator Group Server Diese SID wird in Windows 2000 nicht verwendet.
S-1-5-8 Proxy Diese SID wird in Windows 2000 nicht verwendet.
S-1-5-15 Diese Organisation Eine Gruppe, die alle Benutzer aus derselben Organisation enthält. Nur in AD-Konten enthalten und nur von einem Windows Server 2003 oder höher-Domänencontroller hinzugefügt.
S-1-5-32-554 Builtin\Pre-Windows 2000 Compatible Access Ein von Windows 2000 hinzugefügter Alias. Eine Abwärtskompatibilitätsgruppe, die Lesezugriff auf alle Benutzer und Gruppen in der Domäne ermöglicht.
S-1-5-32-555 Builtin\Remotedesktopbenutzer Ein Alias. Mitgliedern dieser Gruppe wird das Recht gewährt, sich remote anzumelden.
S-1-5-32-556 Integrierte\Netzwerkkonfigurationsoperatoren Ein Alias. Mitglieder dieser Gruppe können über einige Administratorrechte zum Verwalten der Konfiguration von Netzwerkfeatures verfügen.
S-1-5-32-557 Builtin\Incoming Forest Trust Builders Ein Alias. Mitglieder dieser Gruppe können eingehende, unidirektionale Vertrauensstellungen für diese Gesamtstruktur erstellen.
S-1-5-32-558 Builtin\Performance Monitor Users Ein Alias. Mitglieder dieser Gruppe haben Remotezugriff, um diesen Computer zu überwachen.
S-1-5-32-559 Integrierte\Benutzer des Leistungsprotokolls Ein Alias. Mitglieder dieser Gruppe haben Remotezugriff, um die Protokollierung von Leistungsindikatoren auf diesem Computer zu planen.
S-1-5-32-560 Builtin\Windows-Autorisierungszugriffsgruppe Ein Alias. Mitglieder dieser Gruppe haben Zugriff auf das berechnete tokenGroupsGlobalAndUniversal-Attribut für Benutzerobjekte.
S-1-5-32-561 Builtin\Terminal Server License Servers Ein Alias. Eine Gruppe für Terminalserver-Lizenzserver. Wenn Windows Server 2003 Service Pack 1 installiert ist, wird eine neue lokale Gruppe erstellt.
S-1-5-32-562 Builtin\Distributed COM-Benutzer Ein Alias. Eine Gruppe für COM, die computerweite Zugriffssteuerungen bereitstellt, die den Zugriff auf alle Anruf-, Aktivierungs- oder Startanforderungen auf dem Computer steuern.

VON Windows Server 2008 und höher hinzugefügte SIDs

Wenn Sie einer Domäne einen Domänencontroller hinzufügen, auf dem Windows Server 2008 oder eine höhere Version ausgeführt wird, fügt Active Directory die Sicherheitsprinzipale in der folgenden Tabelle hinzu.

Hinweis

Der Windows ACL-Editor zeigt diese Sicherheitsprinzipien möglicherweise nicht anhand des Namens an. Active Directory löst diese SIDs erst in die entsprechenden Namen auf, wenn der PDC-Emulator FSMO-Rollen an einen Domänencontroller überträgt, der Windows Server 2008 oder höher ausführt.

SID Name Beschreibung
S-1-2-1 Konsolenanmeldung Eine Gruppe, die Benutzer enthält, die bei der physischen Konsole angemeldet sind.

Hinweis
Hinzugefügt in Windows 7 und Windows Server 2008 R2.
S-1-5-21-Domäne -498 Schreibgeschützte Enterprise-Domänencontroller Eine universelle Gruppe. Mitglieder dieser Gruppe sind schreibgeschützte Domänencontroller im Unternehmen.
S-1-5-21-Domäne -521 Schreibgeschützte Domänencontroller Eine globale Gruppe. Mitglieder dieser Gruppe sind schreibgeschützte Domänencontroller in der Domäne.
S-1-5-21-Domäne -571 Zulässige RODC-Kennwortreplikationsgruppe Eine lokale Domänengruppe. Mitglieder dieser Gruppe können ihre Kennwörter auf alle schreibgeschützten Domänencontroller in der Domäne replizieren lassen.
S-1-5-21-Domäne -572 Rodc-Kennwortreplikationsgruppe verweigert Eine lokale Domänengruppe. Mitglieder dieser Gruppe können ihre Kennwörter nicht auf schreibgeschützte Domänencontroller in der Domäne replizieren lassen.
S-1-5-32-569 Builtin\Cryptographic Operators Eine integrierte lokale Gruppe. Mitglieder sind berechtigt, kryptografische Vorgänge auszuführen.
S-1-5-32-573 Builtin\Event Log Readers Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe können Ereignisprotokolle vom lokalen Computer lesen.
S-1-5-32-574 Builtin\Certificate Service DCOM Access Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe dürfen sich mit Zertifizierungsstellen im Unternehmen verbinden.
S-1-5-80-0 NT-Dienste\Alle Dienste Eine Gruppe, die alle Dienstprozesse enthält, die auf dem System konfiguriert sind. Die Mitgliedschaft wird vom Betriebssystem gesteuert.

Hinweis
Hinzugefügt in Windows Server 2008 R2.
S-1-5-80-0 Alle Dienste Eine Gruppe, die alle auf dem System konfigurierten Dienstprozesse enthält. Die Mitgliedschaft wird vom Betriebssystem gesteuert.

Hinweis
Hinzugefügt in Windows Vista und Windows Server 2008.
S-1-5-83-0 VIRTUELLER NT-Computer\Virtuelle Computer Eine integrierte Gruppe. Die Gruppe wird erstellt, wenn die Hyper-V-Rolle installiert wird. Die Mitgliedschaft in der Gruppe wird vom Hyper-V-Verwaltungsdienst (Hyper-V Management Service, VMMS) verwaltet. Diese Gruppe erfordert das Recht zum Erstellen symbolischer Verknüpfungen (S eCreateSymbolicLinkPrivilege) und auch das Recht "Anmelden als Dienst" (SeServiceLogonRight).

Hinweis
Hinzugefügt in Windows 8 und Windows Server 2012.
S-1-5-90-0 Fenster-Manager\Fenster-Manager-Gruppe Eine integrierte Gruppe, die vom Desktopfenster-Manager (DESKTOP Window Manager, VBM) verwendet wird. CERM ist ein Windows-Dienst, der die Anzeige von Informationen für Windows-Anwendungen verwaltet.

Hinweis
In Windows Vista hinzugefügt.
S-1-16-0 Nicht vertrauenswürdige obligatorische Stufe Eine nicht vertrauenswürdige Integritätsebene.
Hinweis
Hinzugefügt in Windows Vista und Windows Server 2008.
S-1-16-4096 Niedrige obligatorische Stufe Eine niedrige Integritätsebene.

Hinweis
Hinzugefügt in Windows Vista und Windows Server 2008.
S-1-16-8192 Mittlere obligatorische Stufe Eine mittlere Integritätsebene.

Hinweis Hinzugefügt in Windows Vista und Windows Server 2008.
S-1-16-8448 Mittlere plus obligatorische Stufe Mittlere plus Integritätsebene.

Hinweis
Hinzugefügt in Windows Vista und Windows Server 2008.
S-1-16-12288 High Mandatory Level Eine hohe Integritätsstufe.

Hinweis
Hinzugefügt in Windows Vista und Windows Server 2008.
S-1-16-16384 Obligatorische Stufe des Systems Eine Systemintegritätsebene.

Hinweis
Hinzugefügt in Windows Vista und Windows Server 2008.
S-1-16-20480 Obligatorische Stufe des geschützten Prozesses Eine Integritätsstufe des geschützten Prozesses.

Hinweis
Hinzugefügt in Windows Vista und Windows Server 2008.
S-1-16-28672 Obligatorische Stufe "Sicherer Prozess" Eine sichere Prozessintegritätsstufe.

Hinweis
Hinzugefügt in Windows Vista und Windows Server 2008.

VON Windows Server 2012 und neueren Versionen hinzugefügte SIDs

Wenn Sie einer Domäne einen Domänencontroller hinzufügen, der Windows Server 2012 oder eine höhere Version ausführt, fügt Active Directory die Sicherheitsprinzipale in der folgenden Tabelle hinzu.

Hinweis

Im Windows ACL-Editor werden diese Sicherheitsprinzipien möglicherweise nicht anhand des Namens angezeigt. Active Directory löst diese SIDs erst dann in ihre entsprechenden Namen auf, wenn die FSMO-Rollenübertragung des PDC-Emulators an einen Domänencontroller erfolgt, der Windows Server 2012 oder höher ausgeführt wird.

SID Name Beschreibung
S-1-5-21-Domäne-522 Klonbare Domänencontroller Eine globale Gruppe. Mitglieder dieser Gruppe, die Domänencontroller sind, können geklont werden.
S-1-5-32-575 Builtin\RDS-Remotezugriffsserver Eine integrierte lokale Gruppe. Server in dieser Gruppe ermöglichen Benutzern von RemoteApp-Programmen und persönlichen virtuellen Desktops den Zugriff auf diese Ressourcen. In Internetbereitstellungen werden diese Server in der Regel in einem Edgenetzwerk bereitgestellt. Diese Gruppe muss auf Servern mit RD-Verbindungsbroker aufgefüllt werden. RD-Gatewayserver und RD Web Access-Server, die in der Bereitstellung verwendet werden, müssen sich in dieser Gruppe befinden.
S-1-5-32-576 Builtin\RDS-Endpunktserver Eine integrierte lokale Gruppe. Server in dieser Gruppe führen virtuelle Computer und Hostsitzungen aus, in denen RemoteApp-Programme und persönliche virtuelle Desktops von Benutzern ausgeführt werden. Diese Gruppe muss auf Servern mit RD-Verbindungsbroker aufgefüllt werden. RD-Sitzungshostserver und RD Virtualization Host-Server, die in der Bereitstellung verwendet werden, müssen sich in dieser Gruppe befinden.
S-1-5-32-577 Builtin\RDS-Verwaltungsserver Eine integrierte lokale Gruppe. Server in dieser Gruppe können routinemäßige administrative Aktionen auf Servern ausführen, auf denen Remotedesktopdienste ausgeführt werden. Diese Gruppe muss auf allen Servern in einer Remotedesktopdienste-Bereitstellung aufgefüllt werden. Die Server, auf denen der zentrale RDS-Verwaltungsdienst ausgeführt wird, müssen in dieser Gruppe enthalten sein.
S-1-5-32-578 Builtin\Hyper-V-Administratoren Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe haben vollständigen und uneingeschränkten Zugriff auf alle Features von Hyper-V.
S-1-5-32-579 Integrierte\Zugriffssteuerungs-Unterstützungsoperatoren Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe können Autorisierungsattribute und Berechtigungen für Ressourcen auf diesem Computer remote abfragen.
S-1-5-32-580 Integrierte\Remoteverwaltungsbenutzer Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe können über Verwaltungsprotokolle (z. B. WS-Management über den Windows Remoteverwaltungsdienst) auf WMI-Ressourcen zugreifen. Dies gilt nur für WMI-Namespaces, die dem Benutzer Zugriff gewähren.

Funktions-SIDs

Windows 8 wurden Sicherheitsbezeichner für Funktionen (SIDs)eingeführt. Eine Funktions-SID identifiziert eine Funktion auf eindeutige und unveränderliche Weise. Eine Funktion stellt ein stellvertretendes Autoritätstoken dar, das Zugriff auf Ressourcen (z. B. Dokumente, eine Kamera, Standorte usw.) für universelle Windows-Anwendungen gewährt. Einer App, die über eine Funktion verfügt, wird Zugriff auf die zugeordnete Ressource gewährt. Einer App, die nicht über eine Funktion verfügt, wird der Zugriff auf die Ressource verweigert.

Alle Funktions-SIDs, die das Betriebssystem erkennt, werden in der Windows Registrierung im folgenden Unterschlüssel gespeichert:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities

Dieser Unterschlüssel enthält auch alle Funktions-SID, die von Erstanbieter- oder Drittanbieteranwendungen hinzugefügt wird. Alle Funktions-SIDs beginnen bei S-1-15-3 .

Wichtig

Active Directory löst keine Funktions-SIDs in Namen auf. Es handelt sich hierbei um ein beabsichtigtes Verhalten.

Informationsquellen