Windows 作業系統中眾所周知的安全性識別碼

本文提供所有 Windows 版本中眾所周知之 Sid 的相關資訊。

原始產品版本:   Windows 10-all edition,Windows Server 2019,Windows Server 2016
原始 KB 編號:   243330

摘要

(SID) 的安全性識別碼是用來識別安全性主體 (例如 Windows 作業系統中的安全性群組) 的唯一值。 識別一般使用者或一般群組的 Sid 很知名。 其值在所有作業系統上都保持不變。

此資訊對於疑難排解涉及安全性的問題十分有用。 這對於疑難排解 (ACL) 編輯器中的 [Windows 存取控制清單] 顯示問題也十分有用。 Windows 會依其 SID 追蹤安全性主體。 若要在 ACL 編輯器中顯示安全性主體,Windows 會將 SID 解析為與其相關聯的安全性主體名稱。

注意

本文說明 ACL 編輯器顯示安全主體 SID 的情況,而非安全性主體名稱。

經過一段時間後,此一組眾所周知的 Sid 會成長。 本文中的表格會根據引入這些 Sid 的 Windows 版本來組織這些 Sid。

所有 Windows 版本 (眾所周知的 Sid)

所有 Windows 版本都使用下列眾所周知的 Sid。

名稱 描述
S-1-0 Null 授權 識別碼授權單位。
S-1-0-0 無安全性主體。
S-1-1 全球授權 識別碼授權單位。
S-1-1-0 所有人 包含所有使用者(甚至匿名使用者)和來賓的群組。 成員資格是由作業系統所控制。

附註
根據預設,[所有人] 群組不再包含執行 Windows XP Service Pack 2 之電腦上的匿名使用者 (SP2) 。
S-1-2 本機授權 識別碼授權單位。
S-1-2-0 本機 包含在本機登入之所有使用者的群組。
S-1-3 建立者授權 識別碼授權單位。
S-1-3-0 建立者擁有者 可繼承的存取控制專案中的預留位置 (ACE) 。 當 ACE 繼承時,系統會將此 SID 取代為物件的建立者的 SID。
S-1-3-1 建立者群組 可繼承 ACE 中的預留位置。 當 ACE 繼承時,系統會將此 SID 取代為物件的建立者主要群組的 SID。 主要群組僅供 POSIX 子系統使用。
S-1-3-4 擁有者權力 代表目前物件的擁有者的群組。 當帶有此 SID 的 ACE 套用至物件時,系統會忽略物件擁有者的隱含 READ_CONTROL 和 WRITE_DAC 許可權。
S-1-4 非唯一授權 識別碼授權單位。
S-1-5 NT 授權 識別碼授權單位。
S-1-5-1 撥號 包含所有已透過撥號連線登入的使用者的群組。 成員資格是由作業系統所控制。
S-1-5-2 網路 包含透過網路連線登入之所有使用者的群組。 成員資格是由作業系統所控制。
S-1-5-3 包含已透過批次佇列功能登入之所有使用者的群組。 成員資格是由作業系統所控制。
S-1-5-4 Interactive 包含已以互動方式登入之所有使用者的群組。 成員資格是由作業系統所控制。
S-1-5-5-X-Y 登入會話 登入會話。 每個會話的這些 Sid 的 X 和 Y 值都不同。
S-1-5-6 服務 包含以服務登入之所有安全主體的群組。 成員資格是由作業系統所控制。
S-1-5-7 匿名 包含以匿名方式登入之所有使用者的群組。 成員資格是由作業系統所控制。
S-1-5-9 企業網域控制站 一個群組,其中包含使用 Active Directory 目錄服務之樹系中的所有網域控制站。 成員資格是由作業系統所控制。
S-1-5-10 主體自我 在 Active Directory 中的 account 物件或群組物件的可繼承 ACE 中的預留位置。 當 ACE 繼承時,系統會將此 SID 取代為持有帳戶之安全主體的 SID。
S-1-5-11 已驗證使用者 包含登入時已驗證其身分識別之所有使用者的群組。 成員資格是由作業系統所控制。
S-1-5-12 限制程式碼 此 SID 保留供日後使用。
S-1-5-13 終端機伺服器使用者 包含所有已登入終端機服務伺服器的使用者群組。 成員資格是由作業系統所控制。
S-1-5-14 遠端互動式登入 包含所有已透過終端機服務登入登入的使用者群組。
S-1-5-17 這種組織 預設 Internet Information Services (IIS) 使用者所使用的帳戶。
S-1-5-18 本機系統 作業系統使用的服務帳戶。
S-1-5-19 NT 授權 本機服務
S-1-5-20 NT 授權 網路服務
S-1-5-21domain-500 系統管理員 系統管理員的使用者帳戶。 根據預設,這是唯一可完全控制系統的使用者帳戶。
S-1-5-21domain-501 客人 沒有個人帳戶之人員的使用者帳戶。 此使用者帳戶不需要密碼。 預設會停用來賓帳戶。
S-1-5-21domain-502 KRBTGT 金鑰發佈中心所使用的服務帳戶 (KDC) 服務。
S-1-5-21domain-512 Domain Admins 其成員可管理網域的全域群組。 依預設,Domain Admins 群組是所有已加入網域的電腦上的管理員群組成員,包括網域控制站。 Domain Admins 是由群組的任何成員所建立之任何物件的預設擁有者。
S-1-5-21domain-513 網域使用者 預設會包含網域中所有使用者帳戶的通用群組。 當您在網域中建立使用者帳戶時,預設會將其新增至此群組。
S-1-5-21domain-514 網域來賓 一個全域群組,根據預設,全域群組只有一個成員,即網域的內建來賓帳戶。
S-1-5-21domain-515 網域電腦 包含已加入網域之所有用戶端和伺服器的通用群組。
S-1-5-21domain-516 網域控制站 包含網域中所有網域控制站的通用群組。 預設會將新的網域控制站新增至此群組。
S-1-5-21domain-517 Cert 發行者 包含所有執行企業憑證授權單位的電腦的通用群組。 Cert 發行者已授權為 Active Directory 中的使用者物件發行憑證。
S-1-5-21root domain-518 Schema Admins 原生模式網域中的通用群組;混合模式網域中的全域群組。 群組已獲授權,可在 Active Directory 中進行架構變更。 根據預設,群組的唯一成員是樹系根域的系統管理員帳戶。
S-1-5-21root domain-519 Enterprise Admins 原生模式網域中的通用群組;混合模式網域中的全域群組。 群組已獲得授權,可在 Active Directory 中進行全樹系變更,例如新增子域。 根據預設,群組的唯一成員是樹系根域的系統管理員帳戶。
S-1-5-21domain-520 群組原則建立者擁有人 有權在 Active Directory 中建立新群組原則物件的通用群組。 根據預設,群組的唯一成員是管理員。
S-1-5-21domain-526 金鑰管理員 安全性群組。 此群組的目的只是委派此屬性的寫入權限 msdsKeyCredentialLink 。 群組適用于信任的外部授權單位 (例如,Active Directory 同盟服務) 負責修改此屬性。 只有信任的系統管理員才應成為此群組的成員。
S-1-5-21domain-527 Enterprise Key Admins 安全性群組。 此群組的目的只是委派此屬性的寫入權限 msdsKeyCredentialLink 。 群組適用于信任的外部授權單位 (例如,Active Directory 同盟服務) 負責修改此屬性。 只有信任的系統管理員才應成為此群組的成員。
S-1-5-21domain-553 RAS 和 資訊存取伺服器 網域本地群組。 根據預設,此群組沒有成員。 此群組中的伺服器具有「讀取帳戶限制」和「讀取登錄資訊」存取 Active Directory 網域本地群組中的使用者物件。
S-1-5-32-544 系統管理員 內建群組。 初次安裝作業系統後,群組的唯一成員是管理員帳戶。 當電腦加入網域時,會將 Domain Admins 群組新增至管理員群組。 當伺服器成為網域控制站時,也會將 Enterprise Admins 群組新增至管理員群組。
S-1-5-32-545 使用者 內建群組。 作業系統初次安裝之後,唯一的成員是「已驗證的使用者」群組。 當電腦加入網域時,網域使用者群組便會新增至電腦上的使用者群組。
S-1-5-32-546 客人 內建群組。 根據預設,唯一的成員是 Guest 帳戶。 來賓群組可允許偶爾或一次的使用者以有限的許可權登入電腦的內建來賓帳戶。
S-1-5-32-547 超級使用者 內建群組。 根據預設,群組沒有成員。 超級使用者可以建立本機使用者和群組;修改和刪除他們所建立的帳戶;並從 Power Users、Users 及來賓群組中移除使用者。 超級使用者也可以安裝程式;建立、管理及刪除本機印表機;並建立和刪除檔案共用。
S-1-5-32-548 帳戶操作員 只存在於網域控制站上的內建群組。 根據預設,群組沒有成員。 根據預設,帳戶操作員有權建立、修改和刪除 Active Directory 的所有容器和組織單位中的使用者、群組和電腦帳戶,但 Builtin 容器和網域控制站 OU 除外。 帳戶操作員沒有修改 Administrators 和 Domain Admins 群組的許可權,也沒有許可權可以修改這些群組成員的帳戶。
S-1-5-32-549 伺服器操作員 只存在於網域控制站上的內建群組。 根據預設,群組沒有成員。 伺服器操作員可以互動登入伺服器;建立和刪除網路共用;啟動和停止服務;備份及還原檔;格式化電腦的硬碟;並關閉電腦。
S-1-5-32-550 Print 運算子 只存在於網域控制站上的內建群組。 根據預設,唯一的成員是網域使用者群組。 Print 運算子可以管理印表機及檔佇列。
S-1-5-32-551 Backup Operators 內建群組。 根據預設,群組沒有成員。 備份操作員可以備份及還原電腦上的所有檔案,不論保護這些檔案的許可權為何。 備份操作員也可以登入電腦,然後將它關閉。
S-1-5-32-552 複製 網域控制站上的檔案複寫服務所使用的內建群組。 根據預設,群組沒有成員。 不要將使用者加入至此群組。
S-1-5-32-582 儲存副本管理員 內建的群組,可授與所有對儲存複本功能的完整且不受限制的存取權。
S-1-5-64-10 NTLM 驗證 在 NTLM 驗證套件驗證用戶端時所使用的 SID。
S-1-5-64-14 SChannel 認證 SChannel驗證套件驗證用戶端時所使用的 SID。
S-1-5-64-21 摘要驗證 摘要驗證套件驗證用戶端時所使用的 SID。
S-1-5-80 NT 服務 NT 服務帳戶首碼。

Windows Server 2003 和更新版本新增的 Sid

當您將執行 Windows Server 2003 或更新版本的網域控制站新增至網域時,Active Directory 會在下表中新增安全性主體。

注意

Windows ACL 編輯器可能不會依名稱顯示這些安全性原則。 Active Directory 不會將這些 Sid 解析成對應的名稱,直到 PDC 模擬器 FSMO 角色 在執行 Windows Server 2003 或更新範圍的網域控制站進行轉移或取回時為止。

名稱 描述
S-1-3-2 建立者擁有者伺服器 Windows 2000 中不使用此 SID。
S-1-3-3 建立者群組伺服器 Windows 2000 中不使用此 SID。
S-1-5-8 代理 Windows 2000 中不使用此 SID。
S-1-5-15 這種組織 包含相同組織中所有使用者的群組。 僅包含在 AD 帳戶中,且只由 Windows Server 2003 或更新版本的網域控制站新增。
S-1-5-32-554 Builtin\Pre-Windows 2000 相容存取權 由 Windows 2000 新增的別名。 反向相容性群組,可讓您在網域中的所有使用者和群組上進行讀取權存取。
S-1-5-32-555 Builtin\Remote 桌面使用者 別名。 此群組中的成員會被授與從遠端登入的權利。
S-1-5-32-556 Builtin\Network 設定運算子 別名。 此群組中的成員可以有部分管理許可權來管理網路功能的設定。
S-1-5-32-557 Builtin\Incoming 樹系信任構建者 別名。 此群組的成員可以建立對此樹系的傳入、單向信任。
S-1-5-32-558 監視使用者 Builtin\Performance 別名。 這個群組的成員可以遠端存取,以監視此電腦。
S-1-5-32-559 Builtin\Performance 記錄使用者 別名。 這個群組的成員可以遠端存取,以排程此電腦上的效能計數器記錄。
S-1-5-32-560 Builtin\Windows 授權訪問群組 別名。 這個群組的成員可以存取使用者物件上的計算 tokenGroupsGlobalAndUniversal 屬性。
S-1-5-32-561 Builtin\Terminal 伺服器授權伺服器 別名。 終端機伺服器授權伺服器的群組。 安裝 Windows Server 2003 Service Pack 1 時,會建立新的本地群組。
S-1-5-32-562 Builtin\Distributed COM 使用者 別名。 COM 的群組,可提供電腦範圍的存取控制,以管理電腦上所有呼叫、啟用或啟動要求的存取權。

Windows Server 2008 和更新版本新增的 Sid

當您將執行 Windows Server 2008 或更新版本的網域控制站新增至網域時,Active Directory 會在下表中新增安全性主體。

注意

Windows ACL 編輯器可能不會依名稱顯示這些安全性原則。 Active Directory 不會將這些 Sid 解析成對應的名稱,直到 PDC 模擬器 FSMO 角色在執行 Windows Server 2008 或更新範圍的網域控制站進行轉移或取回時為止。

名稱 描述
S-1-2-1 主控台登入 包含登入實體主控台之使用者的群組。

附註
新增于 Windows 7 和 Windows Server 2008 R2 中。
S-1-5-21 網域 -498 企業唯讀網域控制站 通用群組。 此群組的成員是企業中的唯讀網域控制站。
S-1-5-21 網域 -521 唯讀的網域控制站 全域群組。 此群組的成員是網域中的唯讀網域控制站。
S-1-5-21 網域 -571 允許的 RODC 密碼複製群組 網域本地群組。 此群組中的成員可將其密碼複寫至網域中的所有唯讀網域控制站。
S-1-5-21 網域 -572 拒絕的 RODC 密碼複製群組 網域本地群組。 此群組中的成員不能將其密碼複製到網域中的任何唯讀網域控制站。
S-1-5-32-569 Builtin\Cryptographic 運算子 內建的本機群組。 已授權成員執行加密作業。
S-1-5-32-573 Builtin\Event 記錄讀取器 內建的本機群組。 此群組的成員可以從本機電腦讀取事件記錄。
S-1-5-32-574 Builtin\Certificate 服務 DCOM 存取 內建的本機群組。 這個群組的成員可以連接到企業中的憑證授權單位單位。
S-1-5-80-0 NT Services\All 服務 包含系統上所設定之所有服務處理常式的群組。 成員資格是由作業系統所控制。

附註
新增在 Windows Server 2008 R2 中。
S-1-5-80-0 所有服務 包含系統上所設定之所有服務處理常式的群組。 成員資格是由作業系統所控制。

附註
新增于 Windows Vista 和 Windows Server 2008。
S-1-5-83-0 NT 虛擬 Machine\Virtual 電腦 內建群組。 當安裝 Hyper-V 角色時,就會建立群組。 群組的成員資格是由 Hyper-V 管理服務 (VMMS) 維護。 這個群組需要 (S eCreateSymbolicLinkPrivilege) 的 [建立符號連結],此外, (SeServiceLogonRight) 的 [以服務方式登 入]。

附註
新增于 Windows 8 和 Windows Server 2012。
S-1-5-90-0 Windows Manager\Windows 管理員群組 桌面視窗管理員 (DWM) 所使用的內建群組。 DWM 是一種 Windows 服務,可管理 Windows 應用程式的資訊顯示。

附註
在 Windows Vista 中新增。
S-1-16-0 不信任的強制等級 不受信任的完整性層級。
附註
新增于 Windows Vista 和 Windows Server 2008。
S-1-16-4096 低強制等級 低誠信層級。

附註
新增于 Windows Vista 和 Windows Server 2008。
S-1-16-8192 中等強制性層級 中度的完整性層級。

記事 新增于 Windows Vista 和 Windows Server 2008。
S-1-16-8448 中加上強制性層級 中加上完整性層級。

附註
新增于 Windows Vista 和 Windows Server 2008。
S-1-16-12288 高強制等級 高完整性層級。

附註
新增于 Windows Vista 和 Windows Server 2008。
S-1-16-16384 系統強制性層級 系統完整性層級。

附註
新增于 Windows Vista 和 Windows Server 2008。
S-1-16-20480 受保護處理常式的強制等級 受保護的處理常式完整性層級。

附註
新增于 Windows Vista 和 Windows Server 2008。
S-1-16-28672 安全處理強制性層級 安全的處理常式完整性層級。

附註
新增于 Windows Vista 和 Windows Server 2008。

Windows Server 2012 和更新版本新增的 Sid

當您將執行 Windows Server 2012 或更新版本的網域控制站新增至網域時,Active Directory 會在下表中新增安全性主體。

注意

Windows ACL 編輯器可能不會依名稱顯示這些安全性原則。 Active Directory 不會將這些 Sid 解析成對應的名稱,直到 PDC 模擬器 FSMO 角色在執行 Windows Server 2012 或更新範圍的網域控制站進行轉移或取回時為止。

名稱 描述
S-1-5-21-網域-522 Cloneable 網域控制站 全域群組。 可以複製此群組中屬於網域控制站的成員。
S-1-5-32-575 Builtin\RDS 遠端存取伺服器 內建的本機群組。 此群組中的伺服器可讓 RemoteApp 程式和個人虛擬機器的使用者存取這些資源。 在網際網路對向部署中,這些伺服器通常是部署在 edge 網路中。 此群組必須填入執行 RD 連接代理的伺服器上。 部署所使用的 RD 閘道伺服器和 RD Web Access 伺服器必須位於此群組中。
S-1-5-32-576 Builtin\RDS 端點伺服器 內建的本機群組。 此群組中的伺服器會執行使用者 RemoteApp 程式和個人虛擬桌面執行的虛擬機器及主機會話。 此群組必須填入執行 RD 連接代理的伺服器上。 部署所使用的 RD 工作階段主機伺服器和 RD 虛擬化主機伺服器必須位於此群組中。
S-1-5-32-577 Builtin\RDS 管理伺服器 內建本地群組。 此群組中的伺服器可以在執行遠端桌面服務的伺服器上執行日常管理動作。 您必須在遠端桌面服務部署中的所有伺服器上填入此群組。 必須將執行 RDS Central Management service 的伺服器包含在此群組中。
S-1-5-32-578 Builtin\Hyper-V 系統管理員 內建的本機群組。 這個群組的成員具有對 Hyper-V 所有功能的完整且不受限制的存取權。
S-1-5-32-579 Builtin\Access 控制項協助操作員 內建的本機群組。 這個群組的成員可以遠端查詢這部電腦上之資源的授權屬性和許可權。
S-1-5-32-580 Builtin\Remote 管理使用者 內建的本機群組。 這個群組的成員可以透過使用 Windows Remote Management service) 的管理通訊協定 ((如 WS-Management)存取 WMI 資源。 這只適用于授與使用者存取權的 WMI 命名空間。

功能 Sid

Windows 8 引進了 功能安全性識別碼 (sid) 。 功能 SID 會以獨特且無法改變的方式來識別功能。 功能代表授權存取資源 ((例如檔、相機、位置等等)) 通用 Windows 應用程式的授權的 unforgettable 權杖。 具有功能的應用程式會授與相關聯資源的存取權。 不具備功能的應用程式會遭到拒絕存取資源。

作業系統所知道的所有功能 Sid 都儲存在下列子機碼中的 Windows 登錄:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities

此子項也包含由第一方或協力廠商應用程式所新增的任何功能 SID。 所有功能 Sid 的開始位置 S-1-15-3

重要

Active Directory 不會將功能 Sid 解析成名稱。 產生此錯誤是系統刻意為之。

參考