SID 字符串
在安全描述符定义语言 (SDDL) 中,安全描述符字符串对安全描述符的以下组件使用 SID 字符串:
- 所有者
- 主要组
- ACE 中的受托人
安全描述符字符串中的 SID 字符串可以使用 SID (S-R-I-S-S) 的标准字符串表示形式或 Sddl.h 中定义的字符串常量之一。 有关标准 SID 字符串表示法的详细信息,请参阅 SID 组件。
以下已知 SID 的 SID 字符串常量在 Sddl.h 中定义。 有关相应的相对 ID (RID) 的信息,请参阅已知的 SID。
| SDDL SID 字符串 | Sddl.h 中的常量 | 帐户别名和相应的 RID |
|---|---|---|
| “AA” | SDDL_ACCESS_CONTROL_ASSISTANCE_OPS | 访问控制协助操作员。 相应的 RID 是 DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。 |
| “AC” | SDDL_ALL_APP_PACKAGES | 在应用包上下文中运行的所有应用程序。 相应的 RID 是 SECURITY_BUILTIN_PACKAGE_ANY_PACKAGE。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。 |
| “AN” | SDDL_ANONYMOUS | 匿名登录。 相应的 RID 是 SECURITY_ANONYMOUS_LOGON_RID。 |
| “AO” | SDDL_ACCOUNT_OPERATORS | 帐户操作员。 相应的 RID 是 DOMAIN_ALIAS_RID_ACCOUNT_OPS。 |
| “AP” | SDDL_PROTECTED_USERS | 受保护的用户。 相应的 RID 是 DOMAIN_GROUP_RID_PROTECTED_USERS。 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。 |
| “AU” | SDDL_AUTHENTICATED_USERS | 经过身份验证的用户。 相应的 RID 是 SECURITY_AUTHENTICATED_USER_RID。 |
| “BA” | SDDL_BUILTIN_ADMINISTRATORS | 内置管理员。 相应的 RID 是 DOMAIN_ALIAS_RID_ADMINS。 |
| “BG” | SDDL_BUILTIN_GUESTS | 内置来宾。 相应的 RID 是 DOMAIN_ALIAS_RID_GUESTS。 |
| “BO” | SDDL_BACKUP_OPERATORS | 备份操作员。 相应的 RID 是 DOMAIN_ALIAS_RID_BACKUP_OPS。 |
| “BU” | SDDL_BUILTIN_USERS | 内置用户。 相应的 RID 是 DOMAIN_ALIAS_RID_USERS。 |
| “CA” | SDDL_CERT_SERV_ADMINISTRATORS | 证书发布者。 相应的 RID 是 DOMAIN_GROUP_RID_CERT_ADMINS。 |
| “CD” | SDDL_CERTSVC_DCOM_ACCESS | 可以使用分布式组件对象模型 (DCOM) 连接到证书颁发机构的用户。 相应的 RID 是 DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP。 Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。 |
| “CG” | SDDL_CREATOR_GROUP | 创建者组。 相应的 RID 是 SECURITY_CREATOR_GROUP_RID。 |
| “CN” | SDDL_CLONEABLE_CONTROLLERS | 可克隆域控制器。 相应的 RID 是 DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。 |
| “CO” | SDDL_CREATOR_OWNER | 创建者所有者。 相应的 RID 是 SECURITY_CREATOR_OWNER_RID。 |
| “CY” | SDDL_CRYPTO_OPERATORS | 加密货币操作员。 相应的 RID 是 DOMAIN_ALIAS_RID_CRYPTO_OPERATORS。 Windows Server 2003:*不可用。 |
| “DA” | SDDL_DOMAIN_ADMINISTRATORS | 域管理员。 相应的 RID 是 DOMAIN_GROUP_RID_ADMINS。 |
| “DC” | SDDL_DOMAIN_COMPUTERS | 域计算机。 相应的 RID 是 DOMAIN_GROUP_RID_COMPUTERS。 |
| “DD” | SDDL_DOMAIN_DOMAIN_CONTROLLERS | 域控制器。 相应的 RID 是 DOMAIN_GROUP_RID_CONTROLLERS。 |
| “DG” | SDDL_DOMAIN_GUESTS | 域来宾。 相应的 RID 是 DOMAIN_GROUP_RID_GUESTS。 |
| “DU” | SDDL_DOMAIN_USERS | 域用户。 相应的 RID 是 DOMAIN_GROUP_RID_USERS。 |
| “EA” | SDDL_ENTERPRISE_ADMINS | 企业管理员。 相应的 RID 是 DOMAIN_GROUP_RID_ENTERPRISE_ADMINS。 |
| “ED” | SDDL_ENTERPRISE_DOMAIN_CONTROLLERS | 企业域控制器。 相应的 RID 是 SECURITY_SERVER_LOGON_RID。 |
| “EK” | SDDL_ENTERPRISE_KEY_ADMINS | 企业密钥管理员。 相应的 RID 是 DOMAIN_GROUP_RID_ENTERPRISE_KEY_ADMINS。 Windows Server 2012 R2、Windows 8.1、Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。 |
| “ER” | SDDL_EVENT_LOG_READERS | 事件日志读取器。 相应的 RID 是 DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP。 Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。 |
| “ES” | SDDL_RDS_ENDPOINT_SERVERS | 终结点服务器。 相应的 RID 是 DOMAIN_ALIAS_RID_RDS_ENDPOINT_SERVERS。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。 |
| “HA” | SDDL_HYPER_V_ADMINS | Hyper-V 管理员。 相应的 RID 是 DOMAIN_ALIAS_RID_HYPER_V_ADMINS。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。 |
| “HI” | SDDL_ML_HIGH | 高完整性级别。 相应的 RID 是 SECURITY_MANDATORY_HIGH_RID。 Windows Server 2003:不可用。 |
| “HO” | SDDL_USER_MODE_HARDWARE_OPERATORS | 组成员可以从用户模式运行硬件。 相应的 RID 是 DOMAIN_ALIAS_RID_USER_MODE_HARDWARE_OPERATORS。 |
| “IS” | SDDL_IIS_USERS | 匿名 Internet 用户。 相应的 RID 是 DOMAIN_ALIAS_RID_IUSERS。 Windows Server 2003:不可用。 |
| “IU” | SDDL_INTERACTIVE | 以交互方式登录的用户。 这是在以交互方式登录时添加到进程的令牌中的组标识符。 相应的登录类型是 LOGON32_LOGON_INTERACTIVE。 相应的 RID 是 SECURITY_INTERACTIVE_RID。 |
| “KA” | SDDL_KEY_ADMINS | 域密钥管理员。 相应的 RID 是 DOMAIN_GROUP_RID_KEY_ADMINS。 Windows Server 2012 R2、Windows 8.1、Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。 |
| “LA” | SDDL_LOCAL_ADMIN | 本地管理员。 相应的 RID 是 DOMAIN_USER_RID_ADMIN。 |
| “LG” | SDDL_LOCAL_GUEST | 本地来宾。 相应的 RID 是 DOMAIN_USER_RID_GUEST。 |
| “LS” | SDDL_LOCAL_SERVICE | 本地服务帐户。 相应的 RID 是 SECURITY_LOCAL_SERVICE_RID。 |
| “LU” | SDDL_PERFLOG_USERS | 性能日志用户。 相应的 RID 是 DOMAIN_ALIAS_RID_LOGGING_USERS。 |
| “LW” | SDDL_ML_LOW | 低完整性级别。 相应的 RID 是 SECURITY_MANDATORY_LOW_RID。 Windows Server 2003:不可用。 |
| “ME” | SDDL_ML_MEDIUM | 中等完整性级别。 相应的 RID 是 SECURITY_MANDATORY_MEDIUM_RID。 Windows Server 2003:不可用。 |
| “MP” | SDDL_ML_MEDIUM_PLUS | 中等加完整性级别。 相应的 RID 是 SECURITY_MANDATORY_MEDIUM_PLUS_RID。 Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。 |
| “MU” | SDDL_PERFMON_USERS | 性能监视器用户。 相应的 RID 是 DOMAIN_ALIAS_RID_MONITORING_USERS。 |
| “NO” | SDDL_NETWORK_CONFIGURATION_OPS | 网络配置操作员。 相应的 RID 是DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS。 |
| “NS” | SDDL_NETWORK_SERVICE | 网络服务帐户。 相应的 RID 是 SECURITY_NETWORK_SERVICE_RID。 |
| “NU” | SDDL_NETWORK | 网络登录用户。 这是在跨网络登录时添加到进程的令牌中的组标识符。 相应的登录类型是 LOGON32_LOGON_NETWORK。 相应的 RID 是 SECURITY_NETWORK_RID。 |
| “OW” | SDDL_OWNER_RIGHTS | 所有者权限 SID。 相应的 RID 是 SECURITY_CREATOR_OWNER_RIGHTS_RID。 Windows Server 2003:*不可用。 |
| “PA” | SDDL_GROUP_POLICY_ADMINS | 组策略管理员。 相应的 RID 是 DOMAIN_GROUP_RID_POLICY_ADMINS。 |
| “PO” | SDDL_PRINTER_OPERATORS | 打印机操作员。 相应的 RID 是 DOMAIN_ALIAS_RID_PRINT_OPS。 |
| “PS” | SDDL_PERSONAL_SELF | 主体自我。 相应的 RID 是 SECURITY_PRINCIPAL_SELF_RID。 |
| “PU” | SDDL_POWER_USERS | 超级用户。 相应的 RID 是 DOMAIN_ALIAS_RID_POWER_USERS。 |
| “RA” | SDDL_RDS_REMOTE_ACCESS_SERVERS | RDS 远程访问服务器。 相应的 RID 是 DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_SERVERS。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。 |
| “RC” | SDDL_RESTRICTED_CODE | 受限代码。 这是使用 CreateRestrictedToken 函数创建的受限令牌。 相应的 RID 是 SECURITY_RESTRICTED_CODE_RID。 |
| “RD” | SDDL_REMOTE_DESKTOP | 终端服务器用户。 相应的 RID 是 DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS。 |
| “RE” | SDDL_REPLICATOR | 复制者。 相应的 RID 是 DOMAIN_ALIAS_RID_REPLICATOR。 |
| “RM” | SDDL_RMS__SERVICE_OPERATORS | RMS 服务。 仅在 Windows Vista 中可用。 |
| “RO” | SDDL_ENTERPRISE_RO_DCs | 企业只读域控制器。 相应的 RID 是 DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS。 Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。 |
| “RS” | SDDL_RAS_SERVERS | RAS 服务器组。 相应的 RID 是 DOMAIN_ALIAS_RID_RAS_SERVERS。 |
| “RU” | SDDL_ALIAS_PREW2KCOMPACC | 向使用与 Windows 2000 之前的操作系统兼容的应用程序的帐户授予权限的别名。 相应的 RID 是 DOMAIN_ALIAS_RID_PREW2KCOMPACCESS。 |
| “SA” | SDDL_SCHEMA_ADMINISTRATORS | 架构管理员。 相应的 RID 是 DOMAIN_GROUP_RID_SCHEMA_ADMINS。 |
| “SI” | SDDL_ML_SYSTEM | 系统完整性级别。 相应的 RID 是 SECURITY_MANDATORY_SYSTEM_RID。 Windows Server 2003:不可用。 |
| “SO” | SDDL_SERVER_OPERATORS | 服务器操作员。 相应的 RID 是 DOMAIN_ALIAS_RID_SYSTEM_OPS。 |
| “SS” | SDDL_SERVICE_ASSERTED | 身份验证服务已断言。 相应的 RID 是 SECURITY_AUTHENTICATION_SERVICE_ASSERTED_RID。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。 |
| “SU” | SDDL_SERVICE | 服务登录用户。 这是在以服务形式登录时添加到进程的令牌中的组标识符。 相应的登录类型是 LOGON32_LOGON_SERVICE。 相应的 RID 是 SECURITY_SERVICE_RID。 |
| “SY” | SDDL_LOCAL_SYSTEM | 本地系统。 相应的 RID 是 SECURITY_LOCAL_SYSTEM_RID。 |
| “UD” | SDDL_USER_MODE_DRIVERS | 用户模式驱动程序。 相应的 RID 是 SECURITY_USERMODEDRIVERHOST_ID_BASE_RID。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003:不可用。 |
| “WD” | SDDL_EVERYONE | 所有人。 相应的 RID 是 SECURITY_WORLD_RID。 |
| “WR” | SDDL_WRITE_RESTRICTED_CODE | 编写受限代码。 相应的 RID 是 SECURITY_WRITE_RESTRICTED_CODE_RID。 Windows Server 2003:*不可用。 |
ConvertSidToStringSid 和 ConvertStringSidToSid 函数始终使用标准 SID 字符串表示法,并且不支持 SDDL SID 字符串常量。
有关常见 SID 的详细信息,请参阅常见的 SID。