网管第二天日记

概要

安全标识符 (SID) 是可变长度的唯一值，用来标识 Windows Server 操作系统中的安全主体或安全组。常用 SID 是标识一般用户或一般组的一组 SID。它们的值在所有操作系统中都相同。

此信息可用于解决安全方面的问题，还可用于解决 ACL 编辑器中可能出现的潜在显示问题。在 ACL 编辑器中，可能显示 SID 而不是用户或组名。

常用 SID：• SID：S-1-0

名称：Null Authority

描述：标识符颁发机构。

• SID：S-1-0-0

名称：Nobody

描述：无安全主体。

• SID：S-1-1

名称：World Authority

描述：标识符颁发机构。

• SID：S-1-1-0

名称：Everyone

描述：包括所有用户（甚至匿名用户和来宾）的组。成员身份由操作系统控制。

• SID：S-1-2

名称：Local Authority

描述：标识符颁发机构。

• SID：S-1-3

名称：Creator Authority

描述：标识符颁发机构。

• SID：S-1-3-0

名称：Creator Owner

描述：可继承访问控制项 (ACE) 中的占位符。当 ACE 被继承时，系统用对象创建者的 SID 替换此 SID。

• SID：S-1-3-1

名称：Creator Group

描述：可继承 ACE 中的占位符。当 ACE 被继承时，系统用对象创建者的主要组 SID 替换此 SID。主要组仅供 POSIX 子系统使用。

• SID：S-1-3-2

名称：Creator Owner Server

描述：Windows 2000 中不使用此 SID。

• SID：S-1-3-3

名称：Creator Group Server

描述：Windows 2000 中不使用此 SID。

• SID：S-1-4

名称：Non-unique Authority

描述：标识符颁发机构。

• SID：S-1-5

名称：NT Authority

描述：标识符颁发机构。

• SID：S-1-5-1

名称：Dialup

描述：一个包括所有通过拨号连接登录的用户的组。成员身份由操作系统控制。

• SID：S-1-5-2

名称：Network

描述：一个包括所有通过网络连接登录的用户的组。成员身份由操作系统控制。

• SID：S-1-5-3

名称：Batch

描述：一个包括所有通过批队列工具登录的用户的组。成员身份由操作系统控制。

• SID：S-1-5-4

名称：Interactive

描述：一个包括所有以交互方式登录的用户的组。成员身份由操作系统控制。

• SID：S-1-5-5-X-Y

名称：Logon Session

描述：登录会话。这些 SID 的 X 和 Y 值因会话而异。

• SID：S-1-5-6

名称：Service

描述：一个包括所有作为服务登录的安全主体的组。成员身份由操作系统控制。

• SID：S-1-5-7

名称：Anonymous

描述：一个包括所有以匿名方式登录的用户的组。成员身份由操作系统控制。

• SID：S-1-5-8

名称：Proxy

描述：Windows 2000 中不使用此 SID。

• SID：S-1-5-9

名称：Enterprise Controllers

描述：一个由使用 Active Directory 目录服务的林中的所有域控制器组成的组。成员身份由操作系统控制。

• SID：S-1-5-10

名称：Principal Self

描述：Active Directory 中的帐户对象或组对象上可继承 ACE 中的一个占位符。当 ACE 被继承时，系统用持有此帐户的安全主体的 SID 替换此 SID。

• SID：S-1-5-11

名称：Authenticated Users

描述：一个包括登录时已经过身份验证的用户的组。成员身份由操作系统控制。

• SID：S-1-5-12

名称：Restricted Code

描述：此 SID 保留供以后使用。

• SID：S-1-5-13

名称：Terminal Server Users

描述：一个包括所有登录到终端服务服务器的用户的组。成员身份由操作系统控制。

• SID：S-1-5-18

名称：Local System

描述：操作系统使用的服务帐户。

• SID：S-1-5-19

名称：NT Authority

描述：本地服务

• SID：S-1-5-20

名称：NT Authority

描述：网络服务

• SID：S-1-5-域-500

名称：Administrator

描述：系统管理员的用户帐户。默认情况下，它是唯一能够完全控制系统的用户帐户。

• SID：S-1-5-域-501

名称：Guest

描述：无个人帐户的人员的用户帐户。此用户帐户不需要密码。默认情况下，Guest 帐户被禁用。

• SID：S-1-5-域-502

名称：KRBTGT

描述：密钥分发中心 (KDC) 服务使用的服务帐户。

• SID：S-1-5-域-512

名称：Domain Admins

描述：一个全局组，其成员被授权管理该域。默认情况下，Domain Admins 组属于所有加入域的计算机（包括域控制器）上的 Administrators 组。Domain Admins 是该组的任何成员创建的任何对象的默认所有者。

• SID：S-1-5-域-513

名称：Domain Users

描述：一个全局组，默认情况下它包括域中的所有用户帐户。在域中创建用户帐户时，默认情况下，帐户将添加到该组中。

• SID：S-1-5-域-514

名称：Domain Guests

描述：一个全局组，默认情况下它只有一个成员，即域的内置 Guest 帐户。

• SID：S-1-5-域-515

名称：Domain Computers

描述：一个包括加入域的所有客户端和服务器的全局组。

• SID：S-1-5-域-516

名称：Domain Controllers

描述：一个包括域中所有域控制器的全局组。默认情况下，新的域控制器将添加到该组中。

• SID：S-1-5-域-517

名称：Cert Publishers

描述：一个包括所有运行企业证书颁发机构的计算机的全局组。Cert Publishers 被授权为 Active Directory 中的 User 对象发布证书。

• SID：S-1-5-根域-518

名称：Schema Admins

描述：纯模式域中的通用组；混合模式域中的全局组。该组被授权在 Active Directory 中更改架构。默认情况下，该组的唯一成员是目录林根域的 Administrator 帐户。

• SID：S-1-5-根域-519

名称：Enterprise Admins

描述：纯模式域中的通用组；混合模式域中的全局组。该组被授权在 Active Directory 中进行目录林范围的更改，例如添加子域。默认情况下，该组的唯一成员是目录林根域的 Administrator 帐户。

• SID：S-1-5-域-520

名称：Group Policy Creator Owners

描述：一个被授权在 Active Directory 中新建组策略对象的全局组。默认情况下，该组的唯一成员是 Administrator。

• SID：S-1-5-域-533

名称：RAS and IAS Servers

描述：域本地组。默认情况下，该组没有成员。该组中的服务器对 Active Directory 域本地组中的 User 对象具有“读取帐户限制”和“读取登录信息”访问权限。默认情况下，该组没有成员。该组中的服务器对 Active Directory 中的 User 对象具有“读取帐户限制”和“读取登录信息”访问权限。

• SID：S-1-5-32-544

名称：Administrators

描述：内置组。初次安装操作系统后，该组的唯一成员是 Administrator 帐户。当计算机加入域时，Domain Admins 组将被添加到 Administrators 组中。当服务器成为域控制器时，Enterprise Admins 组也被添加到 Administrators 组中。

• SID：S-1-5-32-545

名称：Users

描述：内置组。初次安装操作系统后，该组的唯一成员是 Authenticated Users 组。当计算机加入域时，Domain Users 组将被添加到计算机上的 Users 组中。

• SID：S-1-5-32-546

名称：Guests

描述：内置组。默认情况下，该组的唯一成员是 Guest 帐户。Guests 组允许临时或一次性用户使用有限权限登录到计算机的内置 Guest 帐户。

• SID：S-1-5-32-547

名称：Power Users

描述：内置组。默认情况下，该组没有成员。Power Users 可以创建本地用户和组，修改和删除以前创建的帐户，删除 Power Users、Users 和 Guests 组中的用户。Power Users 还可以安装程序，创建、管理和删除本地打印机以及创建和删除文件共享目录。

• SID：S-1-5-32-548

名称：Account Operators

描述：一种只存在于域控制器上的内置组。默认情况下，该组没有成员。默认情况下，Account Operators 有权为 Active Directory 的所有容器和组织单位中的用户、组和计算机创建、修改和删除帐户，Builtin 容器和 Domain Controllers OU 除外。Account Operators 无权修改 Administrators 和 Domain Admins 组，也无权为那些组的成员修改帐户。

• SID：S-1-5-32-549

名称：Server Operators

描述：一种只存在于域控制器上的内置组。默认情况下，该组没有成员。Server Operators 可以以交互方式登录到服务器，创建和删除网络共享目录，启动和停止服务，备份和还原文件，格式化计算机的硬盘以及关闭计算机。computer.

• SID：S-1-5-32-550

名称：Print Operators

描述：一种只存在于域控制器上的内置组。默认情况下，该组的唯一成员是 Domain Users 组。Print Operators 可以管理打印机和文档队列。

• SID：S-1-5-32-551

名称：Backup Operators

描述：内置组。默认情况下，该组没有成员。Backup Operators 可以备份和还原计算机上的所有文件，无论那些文件受哪些权限保护均如此。Backup Operators 也可以登录和关闭计算机。

• SID：S-1-5-32-552

名称：Replicators

描述：一个由域控制器上的文件复制服务使用的内置组。默认情况下，该组没有成员。不要向该组中添加用户。

下列各组在某台 Windows Server 2003 域控制器被指定担任主域控制器 (PDC) 操作主机角色之前，将一直显示为 SID。（“操作主机”也称作灵活的单主机操作或 FSMO。）在将 Windows Server 2003 域控制器添加到域中时，新建的其他内置组有：• SID：S-1-5-32-554

名称：BUILTIN\Pre-Windows 2000 Compatible Access

描述：Windows 2000 添加的别名。一个允许对域中的所有用户和组进行读访问的向后兼容组。

• SID：S-1-5-32-555

名称：BUILTIN\Remote Desktop Users

描述：一个别名。该组的成员被授予远程登录权限。

• SID：S-1-5-32-556

名称：BUILTIN\Network Configuration Operators

描述：一个别名。该组的成员拥有管理网络功能配置的部分权限。

• SID：S-1-5-32-557

名称：BUILTIN\Incoming Forest Trust Builders

描述：一个别名。该组的成员可以创建到该目录林的传入的单向信任。

• SID：S-1-5-32-557

名称：BUILTIN\Incoming Forest Trust Builders

描述：一个别名。该组的成员可以创建到该目录林的传入的单向信任。

• SID：S-1-5-32-558

名称：BUILTIN\Performance Monitor Users

描述：一个别名。该组的成员可以进行远程访问以监视此计算机。

• SID：S-1-5-32-559

名称：BUILTIN\Performance Log Users

描述：一个别名。该组的成员可以进行远程访问，以便计划此计算机上性能计数器的日志。

• SID：S-1-5-32-560

名称：BUILTIN\Windows Authorization Access Group

描述：一个别名。该组的成员可以访问 User 对象上的计算的 tokenGroupsGlobalAndUniversal 属性。

• SID：S-1-5-32-561

名称：BUILTIN\Terminal Server License Servers

描述：一个别名。终端服务器许可证服务器组。