SID 字符串

安全描述符定义语言 (SDDL) 中,安全描述符字符串安全描述符的以下组件使用 SID 字符串:

安全描述符字符串中的 SID 字符串可以使用 SID (S-R-I-S-S) 的标准字符串表示形式或 Sddl.h 中定义的字符串常量之一。 有关标准 SID 字符串表示法的详细信息,请参阅 SID 组件

以下已知 SID 的 SID 字符串常量在 Sddl.h 中定义。 有关相应的相对 ID (RID) 的信息,请参阅已知的 SID

SDDL SID 字符串 Sddl.h 中的常量 帐户别名和相应的 RID
“AA” SDDL_ACCESS_CONTROL_ASSISTANCE_OPS 访问控制协助操作员。 相应的 RID 是 DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。
“AC” SDDL_ALL_APP_PACKAGES 在应用包上下文中运行的所有应用程序。 相应的 RID 是 SECURITY_BUILTIN_PACKAGE_ANY_PACKAGE。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。
“AN” SDDL_ANONYMOUS 匿名登录。 相应的 RID 是 SECURITY_ANONYMOUS_LOGON_RID。
“AO” SDDL_ACCOUNT_OPERATORS 帐户操作员。 相应的 RID 是 DOMAIN_ALIAS_RID_ACCOUNT_OPS。
“AP” SDDL_PROTECTED_USERS 受保护的用户。 相应的 RID 是 DOMAIN_GROUP_RID_PROTECTED_USERS。 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。
“AU” SDDL_AUTHENTICATED_USERS 经过身份验证的用户。 相应的 RID 是 SECURITY_AUTHENTICATED_USER_RID。
“BA” SDDL_BUILTIN_ADMINISTRATORS 内置管理员。 相应的 RID 是 DOMAIN_ALIAS_RID_ADMINS。
“BG” SDDL_BUILTIN_GUESTS 内置来宾。 相应的 RID 是 DOMAIN_ALIAS_RID_GUESTS。
“BO” SDDL_BACKUP_OPERATORS 备份操作员。 相应的 RID 是 DOMAIN_ALIAS_RID_BACKUP_OPS。
“BU” SDDL_BUILTIN_USERS 内置用户。 相应的 RID 是 DOMAIN_ALIAS_RID_USERS。
“CA” SDDL_CERT_SERV_ADMINISTRATORS 证书发布者。 相应的 RID 是 DOMAIN_GROUP_RID_CERT_ADMINS。
“CD” SDDL_CERTSVC_DCOM_ACCESS 可以使用分布式组件对象模型 (DCOM) 连接到证书颁发机构的用户。 相应的 RID 是 DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP。 Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。
“CG” SDDL_CREATOR_GROUP 创建者组。 相应的 RID 是 SECURITY_CREATOR_GROUP_RID。
“CN” SDDL_CLONEABLE_CONTROLLERS 可克隆域控制器。 相应的 RID 是 DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。
“CO” SDDL_CREATOR_OWNER 创建者所有者。 相应的 RID 是 SECURITY_CREATOR_OWNER_RID。
“CY” SDDL_CRYPTO_OPERATORS 加密货币操作员。 相应的 RID 是 DOMAIN_ALIAS_RID_CRYPTO_OPERATORS。 Windows Server 2003:*不可用。
“DA” SDDL_DOMAIN_ADMINISTRATORS 域管理员。 相应的 RID 是 DOMAIN_GROUP_RID_ADMINS。
“DC” SDDL_DOMAIN_COMPUTERS 域计算机。 相应的 RID 是 DOMAIN_GROUP_RID_COMPUTERS。
“DD” SDDL_DOMAIN_DOMAIN_CONTROLLERS 域控制器。 相应的 RID 是 DOMAIN_GROUP_RID_CONTROLLERS。
“DG” SDDL_DOMAIN_GUESTS 域来宾。 相应的 RID 是 DOMAIN_GROUP_RID_GUESTS。
“DU” SDDL_DOMAIN_USERS 域用户。 相应的 RID 是 DOMAIN_GROUP_RID_USERS。
“EA” SDDL_ENTERPRISE_ADMINS 企业管理员。 相应的 RID 是 DOMAIN_GROUP_RID_ENTERPRISE_ADMINS。
“ED” SDDL_ENTERPRISE_DOMAIN_CONTROLLERS 企业域控制器。 相应的 RID 是 SECURITY_SERVER_LOGON_RID。
“EK” SDDL_ENTERPRISE_KEY_ADMINS 企业密钥管理员。 相应的 RID 是 DOMAIN_GROUP_RID_ENTERPRISE_KEY_ADMINS。 Windows Server 2012 R2、Windows 8.1、Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。
“ER” SDDL_EVENT_LOG_READERS 事件日志读取器。 相应的 RID 是 DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP。 Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。
“ES” SDDL_RDS_ENDPOINT_SERVERS 终结点服务器。 相应的 RID 是 DOMAIN_ALIAS_RID_RDS_ENDPOINT_SERVERS。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。
“HA” SDDL_HYPER_V_ADMINS Hyper-V 管理员。 相应的 RID 是 DOMAIN_ALIAS_RID_HYPER_V_ADMINS。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。
“HI” SDDL_ML_HIGH 高完整性级别。 相应的 RID 是 SECURITY_MANDATORY_HIGH_RID。 Windows Server 2003:不可用。
“HO” SDDL_USER_MODE_HARDWARE_OPERATORS 组成员可以从用户模式运行硬件。 相应的 RID 是 DOMAIN_ALIAS_RID_USER_MODE_HARDWARE_OPERATORS。
“IS” SDDL_IIS_USERS 匿名 Internet 用户。 相应的 RID 是 DOMAIN_ALIAS_RID_IUSERS。 Windows Server 2003:不可用。
“IU” SDDL_INTERACTIVE 以交互方式登录的用户。 这是在以交互方式登录时添加到进程的令牌中的组标识符。 相应的登录类型是 LOGON32_LOGON_INTERACTIVE。 相应的 RID 是 SECURITY_INTERACTIVE_RID。
“KA” SDDL_KEY_ADMINS 域密钥管理员。 相应的 RID 是 DOMAIN_GROUP_RID_KEY_ADMINS。 Windows Server 2012 R2、Windows 8.1、Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。
“LA” SDDL_LOCAL_ADMIN 本地管理员。 相应的 RID 是 DOMAIN_USER_RID_ADMIN。
“LG” SDDL_LOCAL_GUEST 本地来宾。 相应的 RID 是 DOMAIN_USER_RID_GUEST。
“LS” SDDL_LOCAL_SERVICE 本地服务帐户。 相应的 RID 是 SECURITY_LOCAL_SERVICE_RID。
“LU” SDDL_PERFLOG_USERS 性能日志用户。 相应的 RID 是 DOMAIN_ALIAS_RID_LOGGING_USERS。
“LW” SDDL_ML_LOW 低完整性级别。 相应的 RID 是 SECURITY_MANDATORY_LOW_RID。 Windows Server 2003:不可用。
“ME” SDDL_ML_MEDIUM 中等完整性级别。 相应的 RID 是 SECURITY_MANDATORY_MEDIUM_RID。 Windows Server 2003:不可用。
“MP” SDDL_ML_MEDIUM_PLUS 中等加完整性级别。 相应的 RID 是 SECURITY_MANDATORY_MEDIUM_PLUS_RID。 Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。
“MU” SDDL_PERFMON_USERS 性能监视器用户。 相应的 RID 是 DOMAIN_ALIAS_RID_MONITORING_USERS。
“NO” SDDL_NETWORK_CONFIGURATION_OPS 网络配置操作员。 相应的 RID 是DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS。
“NS” SDDL_NETWORK_SERVICE 网络服务帐户。 相应的 RID 是 SECURITY_NETWORK_SERVICE_RID。
“NU” SDDL_NETWORK 网络登录用户。 这是在跨网络登录时添加到进程的令牌中的组标识符。 相应的登录类型是 LOGON32_LOGON_NETWORK。 相应的 RID 是 SECURITY_NETWORK_RID。
“OW” SDDL_OWNER_RIGHTS 所有者权限 SID。 相应的 RID 是 SECURITY_CREATOR_OWNER_RIGHTS_RID。 Windows Server 2003:*不可用。
“PA” SDDL_GROUP_POLICY_ADMINS 组策略管理员。 相应的 RID 是 DOMAIN_GROUP_RID_POLICY_ADMINS。
“PO” SDDL_PRINTER_OPERATORS 打印机操作员。 相应的 RID 是 DOMAIN_ALIAS_RID_PRINT_OPS。
“PS” SDDL_PERSONAL_SELF 主体自我。 相应的 RID 是 SECURITY_PRINCIPAL_SELF_RID。
“PU” SDDL_POWER_USERS 超级用户。 相应的 RID 是 DOMAIN_ALIAS_RID_POWER_USERS。
“RA” SDDL_RDS_REMOTE_ACCESS_SERVERS RDS 远程访问服务器。 相应的 RID 是 DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_SERVERS。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。
“RC” SDDL_RESTRICTED_CODE 受限代码。 这是使用 CreateRestrictedToken 函数创建的受限令牌。 相应的 RID 是 SECURITY_RESTRICTED_CODE_RID。
“RD” SDDL_REMOTE_DESKTOP 终端服务器用户。 相应的 RID 是 DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS。
“RE” SDDL_REPLICATOR 复制者。 相应的 RID 是 DOMAIN_ALIAS_RID_REPLICATOR。
“RM” SDDL_RMS__SERVICE_OPERATORS RMS 服务。 仅在 Windows Vista 中可用
“RO” SDDL_ENTERPRISE_RO_DCs 企业只读域控制器。 相应的 RID 是 DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS。 Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。
“RS” SDDL_RAS_SERVERS RAS 服务器组。 相应的 RID 是 DOMAIN_ALIAS_RID_RAS_SERVERS。
“RU” SDDL_ALIAS_PREW2KCOMPACC 向使用与 Windows 2000 之前的操作系统兼容的应用程序的帐户授予权限的别名。 相应的 RID 是 DOMAIN_ALIAS_RID_PREW2KCOMPACCESS。
“SA” SDDL_SCHEMA_ADMINISTRATORS 架构管理员。 相应的 RID 是 DOMAIN_GROUP_RID_SCHEMA_ADMINS。
“SI” SDDL_ML_SYSTEM 系统完整性级别。 相应的 RID 是 SECURITY_MANDATORY_SYSTEM_RID。 Windows Server 2003:不可用。
“SO” SDDL_SERVER_OPERATORS 服务器操作员。 相应的 RID 是 DOMAIN_ALIAS_RID_SYSTEM_OPS。
“SS” SDDL_SERVICE_ASSERTED 身份验证服务已断言。 相应的 RID 是 SECURITY_AUTHENTICATION_SERVICE_ASSERTED_RID。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。
“SU” SDDL_SERVICE 服务登录用户。 这是在以服务形式登录时添加到进程的令牌中的组标识符。 相应的登录类型是 LOGON32_LOGON_SERVICE。 相应的 RID 是 SECURITY_SERVICE_RID。
“SY” SDDL_LOCAL_SYSTEM 本地系统。 相应的 RID 是 SECURITY_LOCAL_SYSTEM_RID。
“UD” SDDL_USER_MODE_DRIVERS 用户模式驱动程序。 相应的 RID 是 SECURITY_USERMODEDRIVERHOST_ID_BASE_RID。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。
“WD” SDDL_EVERYONE 所有人。 相应的 RID 是 SECURITY_WORLD_RID。
“WR” SDDL_WRITE_RESTRICTED_CODE 编写受限代码。 相应的 RID 是 SECURITY_WRITE_RESTRICTED_CODE_RID。 Windows Server 2003:*不可用。

ConvertSidToStringSidConvertStringSidToSid 函数始终使用标准 SID 字符串表示法,并且不支持 SDDL SID 字符串常量。

有关常见 SID 的详细信息,请参阅常见的 SID

另请参阅

[MS-DTYP]:安全描述符描述语言