点击联系发帖人重要提示:本文章是 Microsoft 软件自动翻譯的结果而非专业译者翻译的结果。 Microsoft 提供专业人员翻译的文章、由自动翻译生成的文章以及来自 Microsoft 社区的文章翻译因此你能够以自己的語言阅读所有知识库文章。 需要注意的是由自动翻译生成的文章(包括 Microsoft 社区审阅的文章)可能包含词汇、句法或语法错误。 对于因不正確的内容翻译或使用不正确的内容翻译而造成的不准确或错误或任何损害Microsoft 概不负责。
安全标识符 (SID) 是可变长度的唯一值用于标识 Windows 操莋系统中的安全主体(如安全组)。标识通用用户或通用组的 SI 特别广为人知它们的值在所有操作系统中保持不变。
此信息可用于排除涉忣安全性的问题它还可用于解决 Windows 访问控制列表 (ACL) 编辑器中的显示问题。Windows 通过其 SID 跟踪安全主体要在 ACL 编辑器中显示安全主体,Windows 会将 SID 解析為其关联的安全主体名称
本文介绍了 ACL 编辑器显示安全主体 SID 而不是安全主体名称的情况。
随着时间的推移这套著名的 SID 已经成长起来。本攵中的表根据 Windows 的哪个版本来组织这些 SID
所有版本的 Windows 都使用以下众所周知的 SID。
| 包含所有用户甚至匿名用户和来宾的组。成员资格由操作系統控制 备注 默认情况下,"所有人"组不再包括运行 Windows XP 服务包 2 (SP2) 的计算机上的匿名用户 |
| 包含本地登录的所有用户的组。 |
| 可继承的访问控制條目 (ACE) 中的占位符继承 ACE 时,系统将此 SID 替换为对象的创建者的 SID |
| 可继承的 ACE 中的占位符。继承 ACE 时系统将此 SID 替换为对象创建者的主组的 SID。主组仅由 POSIX 子系统使用 |
| 表示对象的当前所有者的组。当携带此 SID 的 ACE 应用于对象时系统将忽略对象所有者的隐式READ_CONTROL和WRITE_DAC权限。 |
| 包含通过拨号连接登录的所有用户的组成员资格由操作系统控制。 |
| 包含通过网络连接登录的所有用户的组成员资格由操作系统控制。 |
| 包含通过批处理队列设施登录的所有用户的组成员资格由操作系统控制。 |
| 包含以交互方式登录的所有用户的组成员资格由操作系统控制。 |
| 登录会话这些 SID 的 X 和 Y 值对于每个会话都不同。 |
| 包含已作为服务登录的所有安全主体的组成员资格由操作系统控制。 |
| 包含匿名登录的所有用户的组成員资格由操作系统控制。 |
| 包含使用活动目录目录服务的林中的所有域控制器的组成员资格由操作系统控制。 |
| 活动目录中的帐户对象或组對象上可继承的 ACE 中的占位符继承 ACE 时,系统将此 SID 替换为持有帐户的安全主体的 SID |
| 包含其登录时已验证其身份的所有用户的组。成员资格由操作系统控制 |
| 此 SID 保留供将来使用。 |
| 包含已登录到终端服务服务器的所有用户的组成员资格由操作系统控制。 |
| 包含通过终端服务登录登錄的所有用户的组 |
| 默认互联网信息服务 (IIS) 用户使用的帐户。 |
| 操作系统使用的服务帐户 |
| 系统管理员的用户帐户。默认情况下它是授予对系统完全控制权的唯一用户帐户。 |
| 没有个人帐户的用户的用户帐户此用户帐户不需要密码。默认情况下来宾帐户被禁用。 |
| 密钥分發中心 (KDC) 服务使用的服务帐户 |
| 其成员有权管理域的全局组。默认情况下域管理员组是已加入域(包括域控制器)的所有计算机上的管理员组的成员。域管理员是组的任何成员创建的任何对象的默认所有者 |
| 默认情况下包含域中的所有用户帐户的全局组。在域中创建用戶帐户时默认情况下会将其添加到此组。 |
| 默认情况下只有一个成员的全局组即域的内置来宾帐户。 |
| 包含已加入域的所有客户端和服务器的全局组 |
| 包含域中所有域控制器的全局组。默认情况下新域控制器将添加到此组。 |
| 包含运行企业证书颁发机构的所有计算机的全局組证书发布者有权发布活动目录中用户对象的证书。 |
| 本机模式域中的通用组;混合模式域中的全局组该组有权在活动目录中进行架构更妀。默认情况下组的唯一成员是林根域的管理员帐户。 |
| 本机模式域中的通用组;混合模式域中的全局组该组有权在活动目录中进行林范圍的更改,例如添加子域默认情况下,组的唯一成员是林根域的管理员帐户 |
| 授权在活动目录中创建新的组策略对象的全局组。默认情況下组的唯一成员是管理员。 |
| 安全组此组的目的是仅在msdsKeyCredentialLink属性上委派写入访问权限。该组用于受信任的外部机构(例如活动目录联合垺务)负责修改此属性的情况。只有受信任的管理员才应成为此组的成员 |
| 安全组。此组的目的是仅在msdsKeyCredentialLink属性上委派写入访问权限该组用於受信任的外部机构(例如,活动目录联合服务)负责修改此属性的情况只有受信任的管理员才应成为此组的成员。 |
| 域本地组默认情況下,此组没有成员此组中的服务器具有对活动目录域本地组中的用户对象的读取帐户限制和读取登录信息访问权限。 |
| 内置组首次安裝操作系统后,该组的唯一成员是管理员帐户当计算机加入域时,域管理员组将添加到管理员组当服务器成为域控制器时,企业管理員组也会添加到管理员组 |
| 内置组。首次安装操作系统后唯一的成员是"经过身份验证的用户"组。当计算机加入域时域用户组将添加到計算机上的"用户"组。 |
| 内置组默认情况下,唯一的成员是来宾帐户来宾组允许偶尔或一次性用户以有限权限登录到计算机的内置来宾帐戶。 |
| 内置组默认情况下,组没有成员超级用户可以创建本地用户和组;修改和删除他们创建的帐户;并从"超级用户、用户和来宾"组中删除鼡户。超级用户也可以安装程序;创建、管理和删除本地打印机;以及创建和删除文件共享 |
| 仅存在于域控制器上的内置组。默认情况下组沒有成员。默认情况下帐户操作员有权创建、修改和删除活动目录的所有容器和组织单位中的用户、组和计算机的帐户,但内置容器和域控制器OU 除外帐户操作员没有修改管理员和域管理员组的权限,也没有修改这些组成员帐户的权限 |
| 仅存在于域控制器上的内置组。默認情况下组没有成员。服务器操作员可以以交互方式登录到服务器;创建和删除网络共享;启动和停止服务;备份和还原文件;格式化计算机的硬盘;并关闭计算机 |
| 仅存在于域控制器上的内置组。默认情况下唯一的成员是域用户组。打印操作员可以管理打印机和文档队列 |
| 内置組。默认情况下组没有成员。备份操作员可以备份和还原计算机上的所有文件而不考虑保护这些文件的权限。备份操作员还可以登录箌计算机并关闭计算机 |
| 域控制器上的文件复制服务使用的内置组。默认情况下组没有成员。不要将用户添加到此组 |
| 授予对存储副本嘚所有功能的完整和无限制访问权限的内置组。 |
| 在 NTLM 身份验证包对客户端进行身份验证时使用的 SID |
| 在 SChannel 身份验证包对客户端进行身份验证时使鼡的 SID。 |
| 摘要式身份验证包对客户端进行身份验证时使用的 SID |
Windows ACL 编辑器可能不会按名称显示这些安全原则。在传输到运行 Windows Server 2003 或更高版本的域控制器或被其扣押之前Active Directory 不会将这些特定数据(这些 SID)解析为相应的名称。
| 包含来自同一组织的所有用户的组仅包含在 AD 帐户中,并且仅由 Windows Server 2003 或哽高版本的域控制器添加 | |
| 由 Windows 2000 添加的别名。允许对域中的所有用户和组进行读取访问的向后兼容性组 | |
| 别名。此组中的成员被授予远程登錄的权利 | |
| 别名。此组中的成员可以具有一些管理权限来管理网络功能的配置 | |
| 内置_传入林信任生成器 | 别名。此组的成员可以创建对此林嘚传入单向信任 |
| 别名。此组的成员具有远程访问来监视此计算机 | |
| 别名。此组的成员可以远程访问计划记录此计算机上的性能计数器 | |
| 別名。此组的成员有权访问用户对象上计算的令牌组全局和通用属性 | |
| 内置\终端服务器许可证服务器服务器 | 别名。终端服务器许可证服务器的组安装 Windows Server 2003 服务包 1 时,将创建新的本地组 |
| 内置_分布式 COM 用户 | 别名。COM 的组用于提供计算机范围的访问控制,用于控制对计算机上的所有呼叫、激活或启动请求的访问 |
| 通用组。此组的成员是企业中的只读域控制器 | |
| 全局组。此组的成员是域中的只读域控制器 | |
| 允许的 RODC 密码複制组 | 域本地组。此组中的成员可以将其密码复制到域中的所有只读域控制器 |
| 拒绝 RODC 密码复制组 | 域本地组。此组中的成员不能将其密码复淛到域中的任何只读域控制器 |
| 内置本地组。成员有权执行加密操作 | |
| 内置本地组。此组的成员可以从本地计算机读取事件日志 | |
| 内置_证書服务 DCOM 访问 | 内置本地组。允许此组的成员连接到企业中的证书颁发机构 |
| 包含系统上配置的所有服务进程的组。成员资格由操作系统控制 备注 在 Windows 服务器 2008 R2 中添加。 | |
Windows ACL 编辑器可能不会按名称显示这些安全原则在 PDC 仿真器 FSMO 角色传输到运行 Windows Server 2012 或更高版本的域控制器或被其扣押之前,Active Directory 不會将这些特定数据(SID)解析为相应的名称
| 全局组。可以克隆此组作为域控制器的成员 | |
| 内置\RDS 远程访问服务器 | 内置本地组。此组中的服务器使 RemoteApp 程序和个人虚拟桌面的用户能够访问这些资源在面向 Internet 的部署中,这些服务器通常部署在边缘网络中此组需要填充在运行 RD 连接代理嘚服务器上。部署中使用的 RD 网关服务器和 RD Web 访问服务器需要在此组中 |
| 内置\RDS 端点服务器 | 内置本地组。此组中的服务器运行虚拟机并托管用户遠程应用程序程序和个人虚拟桌面运行的会话此组需要填充在运行 RD 连接代理的服务器上。部署中使用的 RD 会话主机服务器和 RD 虚拟化主机服務器需要在此组中 |
| 内置\RDS管理服务器 | 内置本地组。此组中的服务器可以在运行远程桌面服务的服务器上执行例行管理操作此组需要填充茬远程桌面服务部署中的所有服务器上。运行 RDS 中央管理服务的服务器必须包含在此组中 |
| 内置本地组。此组的成员可以完全和不受限制地訪问 Hyper-V 的所有功能 | |
| 内置_访问控制协助操作 | 内置本地组。此组的成员可以远程查询此计算机上的资源的授权属性和权限 |
| 内置本地组。此组嘚成员可以通过管理协议(如通过 Windows 远程管理服务)访问 WMI 资源这仅适用于向用户授予访问权限的 WMI 命名空间。 |
以独特且不可变的方式标识功能功能表示一个令人难忘的授权令牌,将资源(如文档、照相机、位置等)的访问权限授予通用 Windows 应用程序授予"具有"功能的应用对关联資源的访问权限。"没有"功能的应用将被拒绝访问资源
操作系统知道的所有功能 ID 都存储在以下子项中的 Windows 注册表中: HKEY_LOCAL_MACHINE\软件\微软\安全管理器\能仂类\所有缓存功能
此子项还包含由第一方或第三方应用程序添加的任何功能 SID。
活动目录不会将功能 SID 解析为名称此行为是设计使然。
