The security identifier (SID) is a unique value for a variable length of the body of the identity or security group in the Windows operating system. One or universal identifier Sid Sid used in ordinary user. Across all operating systems, their values remain unchanged.
This information can be used for troubleshooting issues involving security. It is also used ACL Editor potential display problems that may arise. Name of the user or group ACL editor instead may show a SID.
Common Sid:
- SID: S-1-0
Name: Null Authority
Description: An identifier authority. - SID: S-1-0-0
Name: no
Description: security principals. - SID: S-1-1
Name global institutions:
Description: An identifier authority. - SID: S-1-1-0
Name: Everyone
Description: Includes all even anonymous users and guests user group. Membership is controlled by the Caozuoxitong.
Note By default, the Everyone group no longer includes anonymous users on a computer running Pack 2 (SP2) of Windows XP Service. - SID: S-1-2
name of the local means:
Description: identifier authority. - SID: S-1-2-0
Name: Local
Description: Includes all groups of users to log on locally. - SID: S-1-2-1
Name: console login
Description: user group comprising physical console login.
Note added in Windows 7 and Windows Server 2008 R2 - SID: S-1-3
Name: Creator Authority
Description: An identifier authority. - SID: S-1-3-0
Name of Creator Owner:
Description: paternal inheritable access control entries (ACE) placeholder. When ACE inherited, the system SID replace this SID creator of the object. - SID: S-1-3-1
created by the group name:
Description: inheritable ACE placeholder. When you inherit the ACE, the system set to replace the main creator of this object's SID SID. The main group only used by the POSIX subsystem. - SID: S-1-3-2
Name: Creator Owner Server
Description: This SID is not used in Windows 2000. - SID: S-1-3-3
Name Creator group server:
Description: This SID is not used in Windows 2000. - SID: S-1-3-4 Name: Owner privileges
Description: A group that represents the current owner of the object. When you do this SID of the ACE applied to an object, the owner of the system will ignore the implicit READ_CONTROL and WRITE_DAC rights object. - SID: S-1-5-80-0
所有服务的名称:
说明: 一组包含在系统上配置的所有服务流程。成员资格是由操作系统控制的。
注意 Windows Vista 和 Windows Server 2008 中添加 - SID: S-1-4
非唯一机构的名称:
说明: 标识符颁发机构。 - SID: S-1-5
名称: NT 颁发机构
说明: 标识符颁发机构。 - SID: S-1-5-1
名称: 拨号
说明: 一组,包括通过拨号连接登录的所有用户。成员资格是由操作系统控制的。 - SID: S-1-5-2
名称: 网络
说明: 包括所有已通过网络连接登录的用户组。成员资格是由操作系统控制的。 - SID: S-1-5-3
名称: 批处理
说明: 包括所有已通过批处理队列功能登录的用户组。成员资格是由操作系统控制的。 - SID: S-1-5-4
名称: 交互式
说明: 包括所有已以交互方式登录的用户组。成员资格是由操作系统控制的。 - SID: S-1-5-5-X-Y
登录会话的名称:
说明: 登录会话。为每个会话,这些 Sid 的 X 和 Y 值是不同的。 - SID: S-1-5-6
名称: 服务
说明: 包括所有安全主体作为服务登录的组。成员资格是由操作系统控制的。 - SID: S-1-5-7
名称: 匿名
说明: 包括所有已匿名登录的用户组。成员资格是由操作系统控制的。 - SID: S-1-5-8
名称: 代理服务器
说明: 在 Windows 2000 中不使用此 SID。 - SID: S-1-5-9
名称: 企业域控制器
说明: 使用 Active Directory 目录服务的目录林中包含的所有域控制器的组。成员资格是由操作系统控制的。 - SID: S-1-5-10
名称: 主体自身
说明: 帐户对象或组在 Active Directory 中的对象可继承的 ACE 中的占位符。当继承的 ACE 时,系统会将此 SID 替换拥有帐户的安全主体的 SID。 - SID: S-1 年 5 月 11 日
已验证的用户的名称:
说明: 包含所有用户登录时,其身份的验证身份的组。成员资格是由操作系统控制的。 - SID: S-1-5-12
受限制的代码名称:
说明: 此 SID 是保留以供将来使用。 - SID: S-1-5-13
终端服务器用户的名称:
说明: 包括所有已登录到终端服务服务器的用户组。成员资格是由操作系统控制的。 - SID: S-1-5-14
名称: 远程交互式登录
说明: 一组,包括已经登录到终端服务登录的所有用户。 - SID: S-1-5-15
该组织的名称:
说明: 包括从同一个组织中的所有用户组。仅附带 AD 帐户,而且只添加 Windows Server 2003 或更高版本的域控制器。 - SID: S-1-5 日至 17 日
该组织的名称:
说明: 所使用的默认 Internet Information Services (IIS) 用户帐户。 - SID: S-1-5-18
本地系统的名称:
说明: 服务帐户所使用的操作系统。 - SID: S-1-5-19
名称: NT 颁发机构
说明: 本地服务 - SID: S-1-5-20
名称: NT 颁发机构
说明: 网络服务 - SID: S-1-5-21域-500
名称: 管理员
说明: 系统管理员用户帐户。默认情况下它是唯一的用户帐户的完全控制系统。 - SID: S-1-5-21域-501
名称: 来宾
说明: 没有单独的帐户的用户的用户帐户。此用户帐户不需要密码。默认情况下被禁用来宾帐户。 - SID: S-1-5-21域-502
名称: KRBTGT
说明: 密钥分发中心 (KDC) 服务所使用的服务帐户。 - SID: S-1-5-21域-512
域管理员的名称:
说明: 其成员有权管理域全局组。默认情况下,通过域管理员组是所有已加入域,包括域控制器的计算机上管理员组的成员。域管理员是组的默认创建的任何成员的任何对象的所有者。 - SID: S-1-5-21域-513
域用户的名称:
说明: 一个全局组,默认情况下包括在域中的所有用户帐户。在创建用户帐户域中时,默认情况下将它添加到此组。 - SID: S-1-5-21域-514
名称: 域来宾
说明: 一个全局组,默认情况下都有一个成员,将域的内置来宾帐户。 - SID: S-1-5-21域-515
域计算机的名称:
说明: 一个全局组,包括所有客户端和服务器已加入域。 - SID: S-1-5-21域-516
域控制器的名称:
说明: 一个全局组包含域中的所有域控制器。默认情况下,新的域控制器都添加到此组。 - SID: S-1-5-21域-517
证书发行者的名称:
说明: 一个全局组,包括运行企业证书颁发机构的所有计算机。证书的发布者有权在 Active Directory 中发布证书的用户对象。 - SID: S-1-5-21根域-518
名称: 架构管理员
说明: 在本机模式域 ; 通用组混合模式域中的全局组。组有权在 Active Directory 中进行架构更改。默认情况下的组的唯一成员是林根域的管理员帐户。 - SID: S-1-5-21根域-519
企业管理员的名称:
说明: 在本机模式域 ; 通用组混合模式域中的全局组。组有权在 Active Directory 中进行目录林范围的更改,如添加子域。默认情况下的组的唯一成员是林根域的管理员帐户。 - SID: S-1-5-21域-520
名称: 组策略创建者所有者
说明: 一个全局组有权在活动目录中创建新的组策略对象。默认情况下的组的唯一成员是管理员。 - SID: S-1-5-21域-553
名称: RAS 和 IAS 服务器
说明: 域本地组。默认情况下此组没有任何成员。此组中的服务器具有读取帐户限制和用户对象的读取登录信息访问 Active Directory 域本地组中。 - SID: S-1-5-32-544
名称: 管理员
说明: 内置组。初始安装后的操作系统,该组的唯一成员是管理员帐户。当计算机加入域时,域管理员组添加到管理员组。当服务器变成域控制器时,企业管理员组也被添加到管理员组中。 - SID: S-1-5-32-545
名称: 用户
说明: 内置组。初始安装后的操作系统,唯一的成员是经过验证的用户组。当计算机加入域时,域用户组添加到计算机上的用户组。 - SID: S-1-5-32-546
名称: 客人
说明: 内置组。默认情况下的唯一成员是 Guest 帐户。来宾组允许偶尔或一次性登录到计算机的内置来宾帐户的有限权限的用户。 - SID: S-1-5-32-547
超级用户的名称:
说明: 内置组。默认情况下,通过组没有任何成员。超级用户可以创建本地用户和组。修改和删除帐户创建它们。和高级用户、 用户和来宾用户组中删除用户。高级用户还可以安装程序。创建、 管理和删除本地打印机。创建和删除文件共享。 - SID: S-1-5-32-548
帐户操作员的名称:
说明: 内置组仅在域控制器上存在的。默认情况下,通过组没有任何成员。默认情况下帐户操作员具有创建、 修改和删除用户、 组和所有容器和组织单位的 Active Directory,除内置容器和域控制器 OU 中的计算机帐户的权限。帐户操作员有权修改的管理员和域管理员组中,他们也没有修改的那些组的成员的帐户的权限。 - SID: S-1-5-32-549
服务器操作员的名称:
说明: 内置组仅在域控制器上存在的。默认情况下,通过组没有任何成员。服务器操作员可以登录到服务器上以交互方式。创建和删除网络共享。启动和停止服务 ; 示例:备份和还原文件。格式化硬盘的计算机。然后关闭计算机。 - SID: S-1-5-32-550
打印操作员的名称:
说明: 内置组仅在域控制器上存在的。默认情况下的唯一成员是域用户组。打印操作员可以管理打印机和文档队列。 - SID: S-1-5-32-551
备份操作员的名称:
说明: 内置组。默认情况下,通过组没有任何成员。备份操作员可以备份和还原所有文件的计算机上,不管保护这些文件的权限。备份操作员还可以登录到计算机上,并将其关闭。 - SID: S-1-5-32-552
名称: 复制器
说明: 内置组所使用的域控制器上的文件复制服务。默认情况下,通过组没有任何成员。不要将用户添加到此组。 - SID: S-1-5-64-10
名称: NTLM 身份验证
说明: 一个 SID NTLM 身份验证包通过客户端身份验证时使用 - SID: S-1-5-64-14
名称: SChannel 身份验证
说明: SChannel 身份验证包通过客户端身份验证时,将使用 SID。 - SID: S-1-5-64-21
名称: 摘要式身份验证
说明: 摘要式身份验证包通过客户端身份验证时,将使用 SID。 - SID: S-1-5-80
名称: NT 服务
说明: NT 服务帐户前缀 - SID: S-1-16 0
名称: 不受信任的强制性级别
说明: 级别不受信任的完整性。在 Windows Vista 和 Windows Server 2008 中已添加的注释
注意 Windows Vista 和 Windows Server 2008 中添加 - SID: S-1-16 4096
名称: 低强制性级别
说明: 级别较低的完整性。
注意 Windows Vista 和 Windows Server 2008 中添加 - SID: S-1-16 8192
名称: 中等强制性级别
说明: 中等完整性级别。
注意 Windows Vista 和 Windows Server 2008 中添加 - SID: S-1-16-8448
名称: 中加上强制性级别
说明: 中加上完整性级别。
注意 Windows Vista 和 Windows Server 2008 中添加 - SID: S-1-16 12288
名称: 高强制性级别
说明: 一种高完整性级别。
注意 Windows Vista 和 Windows Server 2008 中添加 - SID: S-1-16 16384
名称: 系统强制性级别
说明: 系统完整性级别。
注意 Windows Vista 和 Windows Server 2008 中添加 - SID: S-1-16 20480
名称: 受保护的进程强制性级别
说明: 一个受保护的进程的完整性级别。
注意 Windows Vista 和 Windows Server 2008 中添加 - SID: S-1-16-28672
名称: 安全进程强制性级别
说明: 安全进程完整性级别。
注意 Windows Vista 和 Windows Server 2008 中添加 - SID: S-1-5-80-0
SID S-1-5-80-0 = SERVICES\ALL NT 服务
所有服务的名称:
说明: 一组包含在系统上配置的所有服务流程。成员资格是由操作系统控制的。
注意 在 Windows Server 2008 R2 中添加
- SID: S-1-5-32-554
名称: BUILTIN\Pre-Windows 2000 以前版本兼容访问
说明: 由 Windows 2000 中添加一个别名。向后兼容性组,它允许读取访问权限的所有用户和组在域中。 - SID: S-1-5-32-555
名称: BUILTIN\Remote 桌面机用户
说明: 别名。此组中的成员被授予远程登录的权限。 - SID: S-1-5-32-556
名称: BUILTIN\Network 配置操作员
说明: 别名。此组中的成员可以管理网络功能的配置部分管理权限。 - SID: S-1-5-32-557
名称: BUILTIN\Incoming 林信任构建器
说明: 别名。此组的成员可以创建到此目录林的传入、 单向信任。 - SID: S-1-5-32-558
名称: BUILTIN\Performance 监视器用户
说明: 别名。此组的成员具有监视此计算机的远程访问权限。 - SID: S-1-5-32-559
名称: BUILTIN\Performance 日志用户
说明: 别名。此组的成员可以远程访问以计划在此计算机上的性能计数器的日志。 - SID: S-1-5-32-560
名称: BUILTIN\Windows 授权访问组
说明: 别名。此组的成员用户对象上具有访问该计算所得的 tokenGroupsGlobalAndUniversal 属性。 - SID: S-1-5-32-561
名称: BUILTIN\Terminal 服务器许可证服务器
说明: 别名。为终端服务器许可证服务器的组。安装 Windows 服务器 2003 Service Pack 1 后,将创建一个新的本地组。 - SID: S-1-5-32-562
名称: BUILTIN\Distributed COM 用户
说明: 别名。COM 提供访问控制功能,控制访问所有的计算机范围的组调用时,激活,或启动的计算机上的请求。
下面的组将显示为 Sid 中,直到 Windows Server 2008 或 Windows Server 2008 R2 的域控制器是主域控制器 (PDC) 操作主机角色担任者。在"操作主机"也被称为灵活单主机操作或 FSMO。其他域控制器的 Windows Server 2008 或 Windows Server 2008 R2 添加到域时,会创建新内置组分别是:
- SID: S-1-5-21域 -498
名称: 企业只读域控制器
描述: 将通用组。此组的成员是在企业中的只读域控制器 - SID: S-1-5-21域 -521
名称: 只读域控制器
说明: 一个全局组。此组的成员是在域中的只读域控制器 - SID: S-1-5-32-569
名称: BUILTIN\Cryptographic 运算符
说明: 内置的本地组。成员有权执行加密操作。 - SID: S-1-5-21 域 -571
名称: 允许 RODC 密码复制组
说明: 域本地组。此组中的成员可以有自己的密码复制到域中的所有只读域控制器。 - SID: S-1-5-21 域 -572
名称: 拒绝 RODC 密码复制组
说明: 域本地组。此组中的成员不能有的密码复制到域中的任何只读域控制器 - SID: S-1-5-32-573
名称: BUILTIN\Event 日志读取器
说明: 内置的本地组。此组的成员可以从本地计算机中读取事件日志。 - SID: S-1-5-32-574
名称: BUILTIN\Certificate 服务 DCOM 访问
说明: 内置的本地组。此组的成员可以在企业中连接到证书颁发机构。
下面的组都将显示为 Sid"8"的 Windows 服务器测试域控制器之前所做的主域控制器 (PDC) 操作主机角色担任者。在"操作主机"也被称为灵活单主机操作或 FSMO。其他新的内置组"8"的 Windows 服务器测试域控制器添加到域时所创建的是:
- SID: S-1-5-21 日域-522
克隆域控制器的名称:
说明: 一个全局组。此组成员的域控制器可能被克隆。 - SID: S-1-5-32-575
远程访问服务器的名称: BUILTIN\RDS
说明: 内置的本地组。此组中的服务器启用远程应用程序的程序和个人虚拟机对这些资源的访问权限的用户。在面向 Internet 的部署中,这些服务器通常部署在边缘网络。此组需要在运行远程桌面连接代理服务器上填充。RD 网关服务器部署中使用的远程桌面 Web 访问服务器必须在此组中。 - SID: S-1-5-32-576
名称: BUILTIN\RDS 终结点服务器
说明: 内置的本地组。此组中的服务器运行的虚拟机和主机会话的用户远程应用程序的程序和个人虚拟机运行。此组需要在运行远程桌面连接代理服务器上填充。远程桌面会话主机服务器部署中使用的远程桌面虚拟化主机服务器必须在此组中。 - SID: S-1-5-32-577
名称: BUILTIN\RDS 管理服务器
说明: 内置的本地组。此组中的服务器可以运行远程桌面服务的服务器上执行日常管理操作。此组需要在远程桌面服务部署中的所有服务器上填充。运行 RDS 一起进行集中化管理服务的服务器必须包含此组中。 - SID: S-1-5-32-578
名称: BUILTIN\Hyper-V 管理员
说明: 内置的本地组。此组的成员具有 Hyper-V 的所有功能的完整和不受限制的访问权限。 - SID: S-1-5-32-579
名称: BUILTIN\Access 控件协助运算符
说明: 内置的本地组。授权属性和此计算机上的资源的权限,该组的成员可以远程查询。 - SID: S-1-5-32-580
Name: BUILTIN \ Remote Management Users
Description: The built-in local groups. Through management protocols (such as WS-Management via the Windows Remote Management Services), a member of the group can access WMI resources. This applies only to grant access to users of WMI namespaces
Reproduced in: https: //www.cnblogs.com/netwenchao/archive/2012/05/10/2494251.html