安全标识符

适用范围

  • Windows 10
  • Windows Server 2016

本主题针对 IT 专业人员介绍了安全标识符,以及这些标识符如何针对 Windows 操作系统中的帐户和组。

什么是安全标识符?

SID (安全) 用于唯一标识安全主体或安全组。 安全主体可以表示任何可通过操作系统进行身份验证的实体,例如用户帐户、计算机帐户或在用户或计算机帐户的安全上下文中运行的线程或进程。

每个帐户或组,或在帐户的安全上下文中运行的进程都有由颁发机构(如域控制器)颁发的Windows SID。 它存储在安全数据库中。 系统生成 SID,该 SID 标识创建帐户或组时的特定帐户或组。 当 SID 用作用户或组的唯一标识符时,它永远不能再次用于标识其他用户或组。

用户每次登录时,系统会为该用户创建访问令牌。 访问令牌包含用户所属的任何组的 SID、用户权限和 SID。 此令牌为用户在此计算机上执行的任何操作提供安全上下文。

除了分配给特定用户和组且唯一创建的特定于域的 SID 之外,还有可标识通用组和通用用户的已知 SID。 例如,Everyone 和 World SID 标识包含所有用户的组。 众所周知的 SID 的值在所有操作系统中保持不变。

SID 是安全模型的基本Windows构建基块。 它们使用 Windows Server 操作系统的安全基础结构中授权和访问控制技术的特定组件。 这有助于保护对网络资源的访问,并提供更安全的计算环境。

本主题中的内容适用于运行受支持版本的 Windows 操作系统的计算机,如本主题开头的"适用范围"列表中所指定。 ****

安全标识符如何工作

用户通过使用帐户名称来引用帐户,但操作系统内部指在帐户的安全上下文中使用其安全标识符和 SID (运行的帐户) 。 对于域帐户,安全主体的 SID 创建方法为:将域的 SID 与帐户的相对标识符相连接 (RID) 。 SID 在其作用域内是唯一 (或本地) ,并且永远不会重复使用。

创建帐户或组时,操作系统将生成标识特定帐户或组的 SID。 本地帐户或组的 SID 由计算机上本地安全机构 (LSA) 生成,并与其他帐户信息一起存储在注册表的安全区域中。 域帐户或组的 SID 由域安全机构生成,并作为 User 或 Group 对象的属性存储在 Active Directory 域服务中。

对于每个本地帐户和组,SID 对于创建它的计算机都是唯一的。 计算机上没有两个帐户或组共享同一 SID。 同样,对于每个域帐户和组,SID 在企业中都是唯一的。 这意味着,在一个域中创建的帐户或组的 SID 将永远不会与在企业内任何其他域中创建的帐户或组的 SID 匹配。

SID 始终保持唯一。 安全机构从不发出两次相同的 SID,并且从不对已删除的帐户重复使用 SID。 例如,如果某个用户在域中拥有用户帐户Windows她的工作,则管理员将删除其 Active Directory 帐户,包括标识该帐户的 SID。 如果稍后她回到同一公司的不同工作,管理员将创建一个新帐户,并且 Windows Server 操作系统将生成一个新的 SID。 新 SID 与旧 SID 不匹配;因此,用户不会从旧帐户访问任何帐户转移到新帐户。 她的两个帐户代表两个完全不同的安全主体。

安全标识符体系结构

安全标识符是二进制格式的数据结构,其中包含可变数量的值。 结构中的第一个值包含有关 SID 结构的信息。 剩余值按层次结构排列 (类似于电话号码) ,并标识 SID 颁发机构 (例如,"NT 颁发机构") 、SID 颁发域和特定的安全主体或组。 下图演示 SID 的结构。

安全标识符体系结构

下表介绍了 SID 的单个值。

评论 描述
修订 指示特定 SID 中使用的 SID 结构的版本。
标识符颁发机构 标识可颁发特定类型安全主体的 SID 的最高级别颁发机构。 例如,Everyone 组的 SID 中的标识符颁发机构值为 1 (World Authority) 。 特定服务器帐户或组的 SID 中的标识符Windows颁发机构值为 5 (NT authority) 。
Subauthorities >在 SID 中保存最重要的信息,这些信息包含在一系列一个或多个子身份验证值中。 系列中最后一个值(不包括)的所有值共同标识企业中的域。 本系列的这一部分称为域标识符。 系列中的最后一个值(称为"RID (标识符) )标识与域相关的特定帐户或组。

当使用标准表示法将 SID 从二进制转换为字符串格式时,SID 的组件更易于可视化:

S-R-X-Y1-Y2-Yn-1-Yn

在此表示法中,SID 的组件表示如下表所示。

评论 描述
S 指示字符串是 SID
R 指示修订级别
X 指示标识符颁发机构值
Y 表示一系列子身份验证值,其中 n 是值的数量

SID 的最重要的信息包含在一系列子身份验证值中。 (-Y1-Y2-Yn-1) 是域标识符。 SID 的此元素在具有多个域的企业中变得十分重要,因为域标识符将一个域颁发的 SID 与企业中所有其他域颁发的 SID 区区相区分。 企业中没有任何两个域共享同一域标识符。

子身份验证值系列中的最后一 (-Yn) 是相对标识符。 它将一个帐户或组与域中的所有其他帐户和组区分。 任何域中没有两个帐户或组共享同一相对标识符。

例如,内置 SID 的 SID 管理员组以标准 SID 表示法表示为以下字符串:

S-1-5-32-544

此 SID 有四个组件:

  • 修订级别 (1)

  • 标识符颁发机构值 (5,NT Authority)

  • 一个域标识符 (32,内置)

  • Administrators (544 的相对标识符)

内置帐户和组的 SID 始终具有相同的域标识符值:32。 此值标识域Builtin, 该域存在于运行 Windows Server 操作系统版本的每台计算机中。 永远不需要区分一台计算机的内置帐户和组与另一台计算机的内置帐户和组,因为它们是作用域中的本地帐户和组。 它们是单台计算机的本地计算机,或者对于网络域的域控制器,它们对于充当一台计算机的几个计算机是本地的。

内置帐户和组需要在 内置 域范围内彼此区分。 因此,每个帐户和组的 SID 都有唯一的相对标识符。 相对标识符值 544 是内置标识符管理员组。 Builtin 域中的其他帐户或**** 组没有最终值为 544 的 SID。

在另一个示例中,考虑全局组 Domain Admins 的 SID。 企业中的每个域都有一个 Domain Admins 组,并且每个组的 SID 不同。 以下示例表示 Contoso, Ltd. 域 (Contoso\Domain Admins 域中 Domain Admins 组的 SID) :

S-1-5-21-1004336348-1177238915-682003330-512

Contoso\Domain Admins 的 SID 具有:

  • 修订级别 (1)

  • 标识符颁发机构 (5,NT Authority)

  • 域标识符 (21-1004336348-1177238915-682003330,Contoso)

  • Domain Admins (512 中的相对)

Contoso\Domain Admins 的 SID 通过域标识符(21-1004336348-1177238915-6820033330)与同一企业中其他 Domain Admins 组的 SID 进行区分。 企业中没有任何其他域将此值用作其域标识符。 Contoso\Domain Admins 的 SID 通过相对标识符 512 与在 Contoso 域中创建的其他帐户和组的 SID 不同。 域中的其他帐户或组没有最终值为 512 的 SID。

相对标识符分配

当帐户和组存储在由本地安全帐户管理器 (SAM) 管理的帐户数据库中时,系统很容易为每个帐户及其在独立计算机上创建的组中生成唯一的相对标识符。 独立计算机上 SAM 可以跟踪之前使用的相对标识符值,并确保它绝不会再次使用它们。

但是,在网络域中,生成唯一相对标识符是一个更复杂的过程。 Windows服务器网络域可以具有多个域控制器。 每个域控制器存储 Active Directory 帐户信息。 这意味着,在网络域中,帐户数据库的副本与域控制器一样多。 除此之外,帐户数据库的每一个副本都是一个主副本。 可以在任何域控制器上新建帐户和组。 对一个域控制器上的 Active Directory 所做的更改将复制到域中的所有其他域控制器。 将帐户数据库的一个主副本中的更改复制到所有其他主副本的过程称为多主操作。

生成唯一相对标识符的过程是单一主操作。 为一个域控制器分配了在 RID () 角色,并且它将一系列相对标识符分配给域中的每个域控制器。 在一个域控制器的 Active Directory 副本中新建域帐户或组时,会为其分配 SID。 新 SID 的相对标识符取自域控制器的相对标识符分配。 当相对标识符的提供开始较低时,域控制器将从 RID 主机请求另一个块。

每个域控制器仅使用一次相对标识符块中的每个值。 RID 主机仅分配每个相对标识符值块一次。 此过程可确保在域中创建的每个帐户和组都有唯一的相对标识符。

安全标识符和全局唯一标识符

当创建一个新的域用户或组帐户时,Active Directory 将帐户的 SID 存储在 User 或 Group 对象的 ObjectSID 属性中。 它还向新对象分配一个全局唯一标识符 (GUID) ,这是一个 128 位值,不仅为企业,而且在全球都是独一无二的。 GUID 分配给 Active Directory 创建的每个对象,而不仅是 User 和 Group 对象。 每个对象的 GUID 都存储在其 ObjectGUID 属性中。

Active Directory 在内部使用 GUID 来标识对象。 例如,GUID 是在全局编录中发布的对象属性之一。 如果用户在企业中的某个位置拥有帐户,则搜索 User 对象的全局编录 GUID 将生成结果。 实际上,通过 ObjectGUID 搜索任何对象可能是查找要查找的对象的最可靠方法。 其他对象属性的值可以更改,但 ObjectGUID 属性永远不会更改。 为对象分配 GUID 时,它会将该值保留一直。

如果用户从一个域移动到另一个域,则用户获取一个新的 SID。 组对象的 SID 不会更改,因为组将留在创建组的域中。 但是,如果用户移动,则他们的帐户可以随他们一起移动。 如果员工从北美洲移动到欧洲,但留在同一公司,企业管理员可以将员工的 User 对象从 Contoso\NoAm 等移动到 Contoso\Europe。 如果管理员这样做,则帐户的 User 对象需要新的 SID。 在 NoAm 中颁发的 SID 的域标识符部分对于 NoAm 是唯一的;因此,欧洲用户帐户的 SID 具有不同的域标识符。 SID 的相对标识符部分相对于域是唯一的;因此,如果域发生更改,相对标识符也会更改。

当 User 对象从一个域移动到另一个域时,必须为用户帐户生成一个新 SID,并存储在 ObjectSID 属性中。 在将新值写入属性之前,以前的值将复制到 User 对象的另一个属性 SIDHistory。 此属性可以包含多个值。 每次 User 对象移动到另一个域时,会生成一个新 SID 并存储在 ObjectSID 属性中,并且会向 SIDHistory中的旧 SID 列表中添加另一个值。 当用户登录并成功通过身份验证时,域身份验证服务会查询 Active Directory 中与该用户关联的所有 SID,包括用户的当前 SID、用户的旧 SID 和用户组的 SID。 所有这些 ID 都返回到身份验证客户端,并包含在用户的访问令牌中。 当用户尝试获取资源的访问权限时,访问令牌 (包括 SIDHistory) 中的一个 SID 在内的任何一个 SID 都可以允许或拒绝用户访问。

如果根据用户的作业允许或拒绝用户访问资源,则应该允许或拒绝对组(而不是个人)的访问。 这样,当用户更改作业或移动到其他部门时,您可以轻松地调整其访问权限,方法为从某些组中删除这些工作并将它们添加到其他人。

但是,如果允许或拒绝单个用户访问资源,则您可能希望该用户的访问权限保持不变,无论用户帐户域更改多少次。 SIDHistory属性使这成为可能。 当用户更改域时,无需更改任何资源的 ACL (ACL) 列表。 如果 ACL 具有用户的旧 SID,但没有新的 SID,则旧 SID 仍位于用户的访问令牌中。 它在用户的组的 SID 中列出,并且根据旧 SID 向用户授予或拒绝访问。

已知 SID

某些 SID 的值在所有系统中都是恒定的。 在安装操作系统或域时创建它们。 它们被称为已知 SID,因为它们标识通用用户或通用组。

对于使用此安全模型的所有安全系统(包括除安全模式外的其他操作系统)来说,存在一些通用的Windows。 此外,还有一些仅在操作系统上有意义的已知WINDOWS。

下表列出了通用已知 SID。

通用 Well-Known SID 标识
S-1-0-0 Null SID 没有成员的组。 这通常在 SID 值未知时使用。
S-1-1-0 世界 包含所有用户的组。
S-1-2-0 本地 以物理方式登录到本地终端的用户 () 连接到系统。
S-1-2-1 控制台登录 包含登录到物理控制台的用户的组。
S-1-3-0 创建者所有者 ID 要替换为新建对象的用户的安全标识符的安全标识符。 此 SID 用于可继承的 AES。
S-1-3-1 Creator 组 ID 要替换为新建对象的用户的主组 SID 的安全标识符。 在可继承的 AES 中使用此 SID。
S-1-3-2 Creator Owner Server
S-1-3-3 Creator Group Server
S-1-3-4 所有者权限 一个代表对象的当前所有者的组。 在将包含此 SID 的 ACE 应用于对象时,系统将忽略隐式 READ_CONTROL并WRITE_DAC对象所有者的权限。
S-1-4 非唯一颁发机构 一个代表标识符颁发机构 SID。
S-1-5 NT Authority 一个代表标识符颁发机构 SID。
S-1-5-80-0 所有服务 包含在系统上配置的所有服务进程的组。 成员身份由操作系统控制。

下表列出了预定义的标识符颁发机构常量。 前四个值与通用已知 SID 一起使用,最后一个值与 Windows 操作系统(在"适用范围"列表中指定的)中的已知 SID一同使用。

标识符颁发机构 SID 字符串前缀
SECURITY_NULL_SID_AUTHORITY 0 S-1-0
SECURITY_WORLD_SID_AUTHORITY 1 S-1-1
SECURITY_LOCAL_SID_AUTHORITY 2 S-1-2
SECURITY_CREATOR_SID_AUTHORITY 3 S-1-3

以下 RID 值与通用已知 SID 一起使用。 标识符颁发机构列显示标识符颁发机构前缀,您可以使用该前缀组合 RID 来创建通用已知 SID。

相对标识符颁发机构 标识符颁发机构
SECURITY_NULL_RID 0 S-1-0
SECURITY_WORLD_RID 0 S-1-1
SECURITY_LOCAL_RID 0 S-1-2
SECURITY_CREATOR_OWNER_RID 0 S-1-3
SECURITY_CREATOR_GROUP_RID 1 S-1-3

SECURITY_NT_AUTHORITY (S-1-5) 预定义标识符颁发机构会生成非通用且仅在安装 Windows 操作系统(在本主题开头的"适用范围"列表中指定的)中有意义的 SID。 **** 下表列出了已知的 SID。

SID 显示名称 描述
S-1-5-1 拨号 包含通过拨号连接登录到系统的所有用户的组。
S-1-5-113 本地帐户 在将网络登录限制到本地帐户而不是"管理员"或等效帐户时,可以使用此 SID。 无论本地用户和组的实际名称是什么,此 SID 都可以通过帐户类型有效阻止它们进行网络登录。
S-1-5-114 本地帐户和 管理员组 在将网络登录限制到本地帐户而不是"管理员"或等效帐户时,可以使用此 SID。 无论本地用户和组的实际名称是什么,此 SID 都可以通过帐户类型有效阻止它们进行网络登录。
S-1-5-2 网络 包含通过网络连接登录的所有用户的组。 交互式用户的访问令牌不包含网络 SID。
S-1-5-3 批处理 包含通过批处理队列设施(如任务计划程序作业)登录的所有用户的组。
S-1-5-4 交互 包含以交互方式登录的所有用户的组。 用户可以通过直接在键盘上登录、从远程计算机打开远程桌面服务连接或者使用远程命令行管理程序(如 Telnet)来启动交互式登录会话。 在每种情况下,用户的访问令牌都包含交互式 SID。 如果用户使用远程桌面服务连接登录,则用户的访问令牌还包含远程交互式登录 SID。
S-1-5-5- X - Y 登录会话 这些 SID 的 X 和 Y 值唯一地标识特定的登录会话。
S-1-5-6 服务 包含作为服务登录的所有安全主体的组。
S-1-5-7 匿名登录 在不提供用户名和密码的情况下连接到计算机的用户。
匿名登录标识不同于 IIS Internet Information Services (用于匿名) 的标识。 IIS 使用实际帐户(默认情况下IUSR_ ComputerName) 匿名访问网站上资源。 严格地说,此类访问不是匿名的,因为即使无法识别的人正在使用该帐户,也已知安全主体。 IUSR_ ComputerName (或您为帐户命名的任何名称) 都有密码,并且 IIS 在服务启动时将登录该帐户。 因此,IIS"匿名"用户是经过身份验证的用户的成员,但匿名登录不是。
S-1-5-8 代理 当前不适用:此 SID 不可用。
S-1-5-9 Enterprise域控制器 包含域林中所有域控制器的组。
S-1-5-10 Self ACE 中 Active Directory 中用户、组或计算机对象的占位符。 向 Self 授予权限时,可将其授予对象所代表的安全主体。 在访问检查过程中,操作系统将 Self 的 SID 替换为对象所代表的安全主体的 SID。
S-1-5-11 经过身份验证的用户 包含标识已通过身份验证的所有用户和计算机的组。 经过身份验证的用户不包括来宾,即使来宾帐户有密码。
此组包括来自任何受信任域(而不仅是当前域)的经过身份验证的安全主体。
S-1-5-12 受限代码 由在受限安全上下文中运行的进程使用的标识。 在 Windows 和 Windows Server 操作系统中,软件限制策略可以将三个安全级别之一分配给代码:无限制、受限或不允许。 当代码在受限制的安全级别运行时,Restricted SID 将添加到用户的访问令牌中。
S-1-5-13 终端服务器用户 包含登录到启用了远程桌面服务的服务器的所有用户的组。
S-1-5-14 远程交互式登录 包含使用远程桌面连接登录到计算机的所有用户的组。 此组是 Interactive 组的子集。 包含远程交互式登录 SID 的访问令牌还包含交互式 SID。
S-1-5-15 此组织 包含同一组织中所有用户的组。 仅包含在 Active Directory 帐户中,并且仅由域控制器添加。
S-1-5-17 IIS_USRS IIS 用户的默认帐户Internet Information Services (IIS) 帐户。
S-1-5-18 系统 (或 LocalSystem) 操作系统和配置为以 LocalSystem 身份登录的服务在本地使用的标识。
系统是管理员的隐藏成员。 即,作为系统运行的任何进程在其访问令牌中都有内置管理员组 SID。
当在系统访问网络资源时在本地运行的进程使用计算机的域标识来访问网络资源。 远程计算机上的访问令牌包括本地计算机的域帐户的 SID,以及计算机所加入的安全组(如域计算机和经过身份验证的用户)的 SID。
S-1-5-19 LocalService (NT 颁发) 由计算机的本地服务使用的标识,不需要大量本地访问,也不需要经过身份验证的网络访问。 作为 LocalService 运行的服务以普通用户访问本地资源,并且以匿名用户访问网络资源。 因此,作为 LocalService 运行的服务的权威明显低于在本地和网络上作为 LocalSystem 运行的服务。
S-1-5-20 网络服务 不需要大量本地访问但需要经过身份验证的网络访问的服务使用的标识。 作为 NetworkService 运行的服务以普通用户身份访问本地资源,并且使用计算机标识访问网络资源。 因此,作为 NetworkService 运行的服务与作为 LocalSystem 运行的服务具有相同的网络访问权限,但已显著减少本地访问。
S-1-5--500 管理员 系统管理员的用户帐户。 每台计算机都有一个本地管理员帐户,每个域都有一个域管理员帐户。
管理员帐户是在操作系统安装期间创建的第一个帐户。 帐户无法删除、禁用或锁定,但可以重命名。
默认情况下,管理员帐户是 管理员组的成员,不能从该组中删除。
S-1-5--501 来宾 没有个人帐户的用户的用户帐户。 每台计算机都有一个本地来宾帐户,每个域都有一个域来宾帐户。
默认情况下,Guest 是 Everyone 和 Guests 组的成员。 域来宾帐户也是 Domain Guests 和 Domain Users 组的成员。
与匿名登录不同,来宾是一个真实帐户,可用于以交互方式登录。 来宾帐户不需要密码,但可以有密码。
S-1-5--502 krbtgt Key Distribution Center (KDC) 使用的用户帐户。 该帐户仅存在于域控制器上。
S-1-5--512 域管理员 具有有权管理域的成员的全局组。 默认情况下,Domain Admins 组是已加入域的所有管理员组(包括域控制器)上该域的成员。
Domain Admins 是由组的任何成员在域的 Active Directory 中创建的任何对象的默认所有者。 如果组的成员创建其他对象(如文件),则默认所有者为管理员组。
S-1-5--513 域用户 包含域中所有用户的全局组。 在 Active Directory 中创建新的 User 对象时,该用户将自动添加到此组。
S-1-5--514 域来宾 默认情况下,全局组只有一个成员:域的内置来宾帐户。
S-1-5--515 域计算机 包含已加入域的所有计算机的全局组,域控制器除外。
S-1-5--516 域控制器 包含域中所有域控制器的全局组。 新域控制器会自动添加到此组中。
S-1-5--517 证书发布者 包含承载企业证书颁发机构的所有计算机的全局组。
证书 发布者有权在 Active Directory 中发布用户对象的证书。
S-1-5-根域-518 架构管理员 仅存在于林根域中的组。 如果域为本机模式,则它是通用组;如果域为混合模式,则它是全局组。 Schema Admins 组有权在 Active Directory 中更改架构。 默认情况下,组的唯一成员是林根域的管理员帐户。
S-1-5-根域-519 Enterprise管理员 仅存在于林根域中的组。 如果域为本机模式,则它是通用组;如果域为混合模式,则它是全局组。
管理员Enterprise组有权更改林基础结构,例如添加子域、配置站点、授权 DHCP 服务器以及安装企业证书颁发机构。
默认情况下,管理员的唯一Enterprise是林根域的管理员帐户。 组是林中每个 Domain Admins 组的默认成员。
S-1-5--520 组策略创建者所有者 授权在 Active Directory 中创建新的组策略对象的全局组。 默认情况下,组的唯一成员是 Administrator。
由组策略创建者所有者的成员创建的对象归创建它们的个人用户所有。 这样,组策略创建者所有者组与其他管理组不同, (管理员和域管理员) 。 由这些组的成员创建的对象归组所有,而不是由个人所有。
S-1-5--553 RAS 和 IAS 服务器 本地域组。 默认情况下,此组没有成员。 运行路由和远程访问服务的计算机会自动添加到组中。
此组的成员有权访问 User 对象的某些属性,例如读取帐户限制、读取登录信息和读取远程访问信息。
S-1-5-32-544 管理员 内置组。 初始安装操作系统后,组的唯一成员是管理员帐户。 当计算机加入域时,Domain Admins 组将添加到管理员组。 当服务器成为域控制器时,Enterprise管理员组也将添加到管理员组。
S-1-5-32-545 用户 内置组。 初始安装操作系统后,唯一的成员是 Authenticated Users 组。
S-1-5-32-546 来宾 内置组。 默认情况下,唯一的成员是来宾帐户。 来宾组允许偶尔或一次用户使用有限的权限登录计算机的内置来宾帐户。
S-1-5-32-547 Power Users 内置组。 默认情况下,该组没有成员。 Power 用户可以创建本地用户和组;修改和删除已创建的帐户;,然后从 Power Users、Users 和 Guests 组中删除用户。 Power 用户还可以安装程序;创建、管理和删除本地打印机;以及创建和删除文件共享。
S-1-5-32-548 帐户运算符 仅存在于域控制器上的内置组。 默认情况下,该组没有成员。 默认情况下,帐户操作员有权为 Active Directory 的所有容器和组织单位(内置容器和域控制器 OU 除外)中的用户、组和计算机创建、修改和删除帐户。 帐户操作员无权修改管理员和域管理员组,也无权修改这些组的成员的帐户。
S-1-5-32-549 服务器运算符 说明:仅存在于域控制器上的内置组。 默认情况下,该组没有成员。 服务器操作员可以交互方式登录到服务器;创建和删除网络共享;启动和停止服务;备份和还原文件;格式化计算机的硬盘;并关闭计算机。
S-1-5-32-550 打印运算符 仅存在于域控制器上的内置组。 默认情况下,唯一的成员是"域用户"组。 打印操作员可以管理打印机和文档队列。
S-1-5-32-551 备份运算符 内置组。 默认情况下,该组没有成员。 备份运算符可以备份和还原计算机上的所有文件,而不管保护这些文件的权限如何。 备份操作员还可以登录到计算机并关闭计算机。
S-1-5-32-552 复制程序 域控制器上的文件复制服务使用的内置组。 默认情况下,该组没有成员。 不要向此组添加用户。
S-1-5-32-554 Builtin\Pre-Windows 2000 Compatible Access 由 Windows 2000 添加的别名。 一个向后兼容性组,允许对域中的所有用户和组进行读取访问。
S-1-5-32-555 Builtin\Remote Desktop Users 别名。 此组的成员被授予远程登录的权限。
S-1-5-32-556 Builtin\Network Configuration Operators 别名。 此组的成员可以具有一些管理权限来管理网络功能的配置。
S-1-5-32-557 Builtin\Incoming Forest Trust Builders 别名。 此组的成员可以创建对此林的传入单向信任。
S-1-5-32-558 Builtin\Performance Monitor Users 别名。 此组的成员具有监视此计算机的远程访问。
S-1-5-32-559 Builtin\Performance Log Users 别名。 此组的成员具有远程访问权限,可在此计算机上计划性能计数器的日志记录。
S-1-5-32-560 Builtin\Windows Authorization Access 组 别名。 此组的成员有权访问 User 对象上的计算 tokenGroupsGlobalAndUniversal 属性。
S-1-5-32-561 Builtin\Terminal Server License Servers 别名。 用于终端服务器许可证服务器的组。 安装 Windows Server 2003 Service Pack 1 时,将创建一个新的本地组。
S-1-5-32-562 Builtin\Distributed COM 用户 别名。 COM 组,用于提供计算机范围的访问控制,这些访问控制控制对计算机上所有呼叫、激活或启动请求的访问。
S-1-5-32-569 Builtin\Cryptographic 运算符 内置本地组。 成员有权执行加密操作。
S-1-5-32-573 Builtin\Event Log Readers 内置本地组。 此组的成员可以从本地计算机读取事件日志。
S-1-5-32-574 Builtin\Certificate Service DCOM 访问 内置本地组。 允许此组的成员连接到企业中的证书颁发机构。
S-1-5-32-575 Builtin\RDS 远程访问服务器 内置本地组。 此组的服务器使 RemoteApp 程序和个人虚拟桌面的用户能够访问这些资源。 在面向 Internet 的部署中,这些服务器通常部署在边缘网络中。 需要在运行 RD 连接代理的服务器上填充该组。 部署中使用的 RD 网关服务器和 RD Web Access 服务器需要在此组中。
S-1-5-32-576 Builtin\RDS Endpoint Servers 内置本地组。 此组中的服务器运行虚拟机和托管用户 RemoteApp 程序和个人虚拟桌面所运行的会话。 需要在运行 RD 连接代理的服务器上填充该组。 部署中使用的 RD 会话主机服务器和 RD 虚拟化主机服务器需要在此组中。
S-1-5-32-577 Builtin\RDS Management Servers 内置本地组。 此组的服务器可以在运行远程桌面服务的服务器上执行常规管理操作。 需要在远程桌面服务部署的所有服务器上填充该组。 运行 RDS 中央管理服务的服务器必须包括在此组中。
S-1-5-32-578 Builtin\Hyper-V Administrators 内置本地组。 此组的成员可以完全不受限制地访问 Hyper-V。
S-1-5-32-579 Builtin\Access Control Assistance Operators 内置本地组。 此组的成员可以远程查询授权属性和此计算机上资源的权限。
S-1-5-32-580 Builtin\Remote Management Users 内置本地组。 此组的成员可以通过管理协议访问 WMI 资源 (例如WS-Management远程管理服务Windows访问) 。 这仅适用于向用户授予访问权限的 WMI 命名空间。
S-1-5-64-10 NTLM 身份验证 在 NTLM 身份验证包对客户端进行身份验证时使用的 SID
S-1-5-64-14 SChannel 身份验证 在 SChannel 身份验证包对客户端进行身份验证时使用的 SID。
S-1-5-64-21 摘要式身份验证 摘要式身份验证包对客户端进行身份验证时使用的 SID。
S-1-5-80 NT 服务 用作 NT 服务帐户前缀的 SID。
S-1-5-80-0 所有服务 一个组,包含在系统上配置的所有服务进程。 成员身份由操作系统控制。 SID S-1-5-80-0 等于 NT SERVICES\ALL SERVICES。 此 SID 是在 Windows Server 2008 R2 中引入的。
S-1-5-83-0 NT 虚拟机\虚拟机 内置组。 组在安装角色Hyper-V创建。 组的成员身份由 VMMS Hyper-V管理 (维护) 。 此组需要"**** 创建符号链接" (SeCreateSymb进行LinkPrivilege) ,以及"以服务登录" (**** SeServiceLogonRight) 。
S-1-16-0 不受信任的强制级别 表示不受信任的完整性级别的 SID。
S-1-16-4096 低强制级别 表示低完整性级别的 SID。
S-1-16-8192 中等强制级别 此 SID 表示中等完整性级别。
S-1-16-8448 中加强制级别 表示中等加完整性级别的 SID。
S-1-16-12288 高强制级别 表示高完整性级别的 SID。
S-1-16-16384 系统强制级别 表示系统完整性级别的 SID。
S-1-16-20480 受保护的流程强制级别 表示受保护的进程完整性级别的 SID。
S-1-16-28672 安全流程强制级别 表示安全进程完整性级别的 SID。

以下 RID 是相对于每个域的。

RID 十进制值 标识
DOMAIN_USER_RID_ADMIN 500 域中的管理用户帐户。
DOMAIN_USER_RID_GUEST 501 域中的来宾用户帐户。 没有帐户的用户可以自动登录此帐户。
DOMAIN_GROUP_RID_USERS 513 包含域中所有用户帐户的组。 所有用户都将自动添加到此组。
DOMAIN_GROUP_RID_GUESTS 514 域中的组来宾帐户。
DOMAIN_GROUP_RID_COMPUTERS 515 "域计算机"组。 域中的所有计算机都是此组的成员。
DOMAIN_GROUP_RID_CONTROLLERS 516 域控制器组。 域中的所有域控制器都是此组的成员。
DOMAIN_GROUP_RID_CERT_ADMINS 517 证书发布者的组。 运行 Active Directory 证书服务的计算机是该组的成员。
DOMAIN_GROUP_RID_SCHEMA_ADMINS 518 架构管理员的组。 此组的成员可以修改 Active Directory 架构。
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS 519 企业管理员的组。 此组的成员具有对 Active Directory 林中所有域的完全访问权限。 Enterprise管理员负责林级别的操作,如添加新域或删除新域。
DOMAIN_GROUP_RID_POLICY_ADMINS 520 策略管理员的组。

下表提供了用于为本地组形成已知 SID 的相对于域的 RID 的示例。

RID 十进制值 标识
DOMAIN_ALIAS_RID_ADMINS 544 域的管理员。
DOMAIN_ALIAS_RID_USERS 545 域中的所有用户。
DOMAIN_ALIAS_RID_GUESTS 546 域的来宾。
DOMAIN_ALIAS_RID_POWER_USERS 547 希望将系统视为其个人计算机而不是多个用户的工作站的用户或一组用户。
DOMAIN_ALIAS_RID_BACKUP_OPS 551 用于控制文件备份和还原用户权限的分配的本地组。
DOMAIN_ALIAS_RID_REPLICATOR 552 负责将安全数据库从主域控制器复制到备份域控制器的本地组。 这些帐户仅由系统使用。
DOMAIN_ALIAS_RID_RAS_SERVERS 553 表示远程访问的本地组以及运行 Internet 身份验证服务的服务器 (IAS) 。 此组允许访问 User 对象的各种属性。

安全标识符功能更改

下表介绍了在列表中指定的Windows操作系统中 SID 实现的变化。

“更改” 操作系统版本 说明和资源
大部分操作系统文件都归 SID (TrustedInstaller 安全标识符) WindowsServer 2008,Windows Vista 此更改的目的是防止以管理员或 LocalSystem 帐户下运行的进程自动替换操作系统文件。
实现受限制的 SID 检查 WindowsServer 2008,Windows Vista 存在限制 SID 时,Windows执行两次访问检查。 第一种是正常访问检查,第二种是针对令牌中限制的 SID 的相同访问检查。 这两个访问检查都必须通过,以允许进程访问对象。

功能 SID

功能 安全标识符 (ID) 用于唯一且不可变地标识功能。 功能表示一个不可验证的颁发机构令牌,可授予对资源的访问权限 (示例:文档、相机、位置等...) 通用应用程序Windows应用程序。 "具有"功能的应用将被授予对与该功能关联的资源的访问权限,而"没有"功能的应用将被拒绝访问该资源。

操作系统知道的所有功能 SID 都存储在 Windows 注册表中的路径"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities"。 任何添加到Windows或第三方应用程序的功能 SID 都将添加到此位置。

从版本 1909 Windows 10 64 位版本获得注册表Enterprise示例

You may see the following registry keys under AllCachedCapabilities:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

所有功能 SID 均以 S-1-15-3 作为前缀

另请参阅