已知的 SID
已知的 安全性標識碼 (SID) 會識別泛型群組和泛型使用者。 例如,有已知的 SID 可識別下列群組和使用者:
- 所有人或 World,這是包含所有使用者的群組。
- CREATOR_OWNER,在可繼承的 ACE 中做為佔位元。 繼承 ACE 時,系統會以物件的建立者的 SID 取代CREATOR_OWNER SID。
- 本機計算機上內建網域的Administrators群組。
有 通用的已知 SID,在使用此安全性模型的所有安全系統上都有意義,包括 Windows 以外的作業系統。 此外,只有 Windows 系統上才有有意義的已知 SID。
Windows API 會針對已知的標識碼授權單位和 相對標識碼 (RID) 值定義一組常數。 您可以使用這些常數來建立已知的 SID。 下列範例會結合SECURITY_WORLD_SID_AUTHORITY和SECURITY_WORLD_RID常數,以顯示代表所有使用者的特殊群組通用已知 SID(所有人或世界):
S-1-1-0
此範例使用 S 將字串識別為 SID 的 SID 字串表示法,前 1 個是 SID 的修訂層級,其餘兩位數是SECURITY_WORLD_SID_AUTHORITY和SECURITY_WORLD_RID常數。
您可以使用 AllocateAndInitializeSid 函式來建置 SID,方法是將標識符授權單位值與最多八個子授權值結合在一起。 例如,若要判斷登入的使用者是否為特定已知群組的成員,請呼叫 AllocateAndInitializeSid 來建置已知群組的 SID,並使用 EqualSid 函式比較該 SID 與使用者存取令牌中的群組 SID。 如需範例,請參閱 在 C++ 的存取令牌中搜尋 SID。 您必須呼叫 FreeSid 函式,以釋放 AllocateAndInitializeSid 所配置的 SID。
本節的其餘部分包含已知 SID 的數據表,以及標識元授權單位和子授權常數的數據表,可用來建置已知的 SID。
以下是一些 通用的已知 SID。
| 通用的已知 SID | 識別 |
|---|---|
| Null SID 字串值: S-1-0-0 |
沒有成員的群組。 當不知道 SID 值時,通常會使用這個值。 |
| World 字串值: S-1-1-0 |
包含所有使用者的群組。 |
| 本機 字串值: S-1-2-0 |
登入本機終端機的使用者(實體上)連線到系統。 |
| 建立者擁有者識別碼 字串值: S-1-3-0 |
要以建立新物件使用者的安全性識別碼取代的安全性識別碼。 此 SID 用於可繼承的 ACE 中。 |
| 建立者群組識別碼 字串值: S-1-3-1 |
要以建立新物件使用者的主要群組 SID 取代的安全性識別碼。 在可繼承的 ACE 中使用此 SID。 |
下表列出預先定義的識別碼授權單位常數。 前四個值會與通用已知 SID 搭配使用;最後一個值會與 Windows 已知的 SID 搭配使用。
| 識別碼授權單位 | 值 | [字串值] |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 |
S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 |
S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 |
S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 |
S-1-3 |
| SECURITY_NT_AUTHORITY | 5 |
S-1-5 |
下列 RID 值會與通用已知 SID 搭配使用。 [識別碼授權單位] 資料行會顯示識別碼授權單位的前置詞,可供您結合 RID 來建立通用已知的 SID。
| 相對識別碼授權單位 | 值 | [字串值] |
|---|---|---|
| SECURITY_NULL_RID | 0 |
S-1-0-0 |
| SECURITY_WORLD_RID | 0 |
S-1-1-0 |
| SECURITY_LOCAL_RID | 0 |
S-1-2-0 |
| SECURITY_LOCAL_LOGON_RID | 1 |
S-1-2-1 |
| SECURITY_CREATOR_OWNER_RID | 0 |
S-1-3-0 |
| SECURITY_CREATOR_GROUP_RID | 1 |
S-1-3-1 |
SECURITY_NT_AUTHORITY (S-1-5) 預先定義的標識碼授權單位會產生非通用但只在 Windows 安裝上有意義的 SID。 您可以使用下列 RID 值搭配SECURITY_NT_AUTHORITY來建立已知的 SID。
| 常數 | 識別 |
|---|---|
| SECURITY_DIALUP_RID 字串值: S-1-5-1 |
使用撥號數據機登入 終端 機的使用者。 這是群組標識碼。 |
| SECURITY_NETWORK_RID 字串值: S-1-5-2 |
跨網路登入的使用者。 這是在跨網路登入時,新增至進程令牌的群組標識符。 對應的登入類型是LOGON32_LOGON_NETWORK。 |
| SECURITY_BATCH_RID 字串值: S-1-5-3 |
使用批次佇列設備登入的使用者。 這是當進程記錄為批次作業時,新增至進程的令牌中的群組標識碼。 對應的登入類型LOGON32_LOGON_BATCH。 |
| SECURITY_INTERACTIVE_RID 字串值: S-1-5-4 |
登入進行互動式作業的使用者。 這是在以互動方式登入時,新增至進程令牌的群組標識碼。 對應的登入類型LOGON32_LOGON_INTERACTIVE。 |
| SECURITY_LOGON_IDS_RID 字串值: S-1-5-5-*X*-*Y* |
登入工作階段。 這可用來確保只有 指定登入會話中的進程 可以存取該會話的視窗月台物件。 這些 SID 的 X 和 Y 值對於每個登入工作階段而言都不同。 SECURITY_LOGON_IDS_RID_COUNT值是此標識碼中 RID 的數目(5-X- Y)。 |
| SECURITY_SERVICE_RID 字串值: S-1-5-6 |
授權以服務身分登入的帳戶。 這是當進程記錄為服務時,新增至進程的令牌中的群組標識碼。 對應的登入類型LOGON32_LOGON_SERVICE。 |
| SECURITY_ANONYMOUS_LOGON_RID 字串值: S-1-5-7 |
匿名登入或 Null 會話登入。 |
| SECURITY_PROXY_RID 字串值: S-1-5-8 |
代理。 |
| SECURITY_ENTERPRISE_CONTROLLERS_RID 字串值: S-1-5-9 |
企業控制器。 |
| SECURITY_PRINCIPAL_SELF_RID 字串值: S-1-5-10 |
PRINCIPAL_SELF安全性識別碼可用於使用者或群組物件的 ACL 中。 在存取檢查期間,系統會以 物件的 SID 取代 SID。 PRINCIPAL_SELF SID 適用於指定適用於繼承 ACE 之使用者或群組物件的可繼承 ACE。 它是在架構的預設 安全性描述元 中,表示所建立物件的 SID 的唯一方式。 |
| SECURITY_AUTHENTICATED_USER_RID 字串值: S-1-5-11 |
已驗證的使用者。 |
| SECURITY_RESTRICTED_CODE_RID 字串值: S-1-5-12 |
受限制的程序代碼。 |
| SECURITY_TERMINAL_SERVER_RID 字串值: S-1-5-13 |
終端機服務。 自動新增至登入終端伺服器之用戶的安全性令牌。 |
| SECURITY_LOCAL_SYSTEM_RID 字串值: S-1-5-18 |
操作系統所使用的特殊帳戶。 |
| SECURITY_NT_NON_UNIQUE 字串值: S-1-5-21 |
SIDS 不是唯一的。 |
| SECURITY_BUILTIN_DOMAIN_RID 字串值: S-1-5-32 |
內建系統網域。 |
| SECURITY_WRITE_RESTRICTED_CODE_RID 字串值: S-1-5-33 |
撰寫受限制的程序代碼。 |
| SECURITY_RESTRICTED_SERVICES_BASE_RID 字串值: S-1-5-99 |
受限制的服務。 |
下列 RID 與每個網域相對。
| RID | 識別 |
|---|---|
| DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP 值: 0x0000023E |
使用分散式元件物件模型 (DCOM) 連線到證書頒發機構單位的使用者群組。 |
| DOMAIN_USER_RID_ADMIN 值: 0x000001F4 |
網域中的系統管理使用者帳戶。 |
| DOMAIN_USER_RID_GUEST 值: 0x000001F5 |
網域中的 guest-user 帳戶。 沒有帳戶的使用者可以自動登入此帳戶。 |
| DOMAIN_GROUP_RID_ADMINS 值: 0x00000200 |
網域系統管理員的群組。 此帳戶只存在於執行伺服器作業系統的系統上。 |
| DOMAIN_GROUP_RID_USERS 值: 0x00000201 |
包含網域中所有使用者帳戶的群組。 所有使用者都會自動新增至此群組。 |
| DOMAIN_GROUP_RID_GUESTS 值: 0x00000202 |
網域中的來賓群組帳戶。 |
| DOMAIN_GROUP_RID_COMPUTERS 值: 0x00000203 |
網域計算機的群組。 網域中的所有電腦都是此群組的成員。 |
| DOMAIN_GROUP_RID_CONTROLLERS 值: 0x00000204 |
域控制器的群組。 網域中的所有DC都是此群組的成員。 |
| DOMAIN_GROUP_RID_CERT_ADMINS 值: 0x00000205 |
憑證發行者的群組。 執行憑證服務的計算機是此群組的成員。 |
| DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS 值: 0x000001F2 |
企業只讀域控制器群組。 |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS 值: 0x00000206 |
架構系統管理員的群組。 此群組的成員可以修改 Active Directory 結構描述。 |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS 值: 0x00000207 |
企業系統管理員群組。 此群組的成員具有 Active Directory 樹系中所有網域的完整存取權。 企業系統管理員會負責樹系層級作業,例如新增或移除新的網域。 |
| DOMAIN_GROUP_RID_POLICY_ADMINS 值: 0x00000208 |
原則管理員的群組。 |
| DOMAIN_GROUP_RID_READONLY_CONTROLLERS 值: 0x00000209 |
只讀域控制器群組 |
| DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS 值: 0x0000020A |
可複製域控制器的群組。 |
| DOMAIN_GROUP_RID_CDC_RESERVED 值: 0x0000020C |
保留的 CDC 群組。 |
| DOMAIN_GROUP_RID_PROTECTED_USERS 值: 0x0000020D |
受保護的使用者群組。 |
| DOMAIN_GROUP_RID_KEY_ADMINS 值: 0x0000020E |
金鑰管理員群組。 |
| DOMAIN_GROUP_RID_ENTERPRISE_KEY_ADMINS 值: 0x0000020F |
企業金鑰管理員群組。 |
下列 RID 可用來指定強制完整性層級。
| RID | 值 | 識別 |
|---|---|---|
| SECURITY_MANDATORY_UNTRUSTED_RID | 0x00000000 |
可信。 |
| SECURITY_MANDATORY_LOW_RID | 0x00001000 |
完整性低。 |
| SECURITY_MANDATORY_MEDIUM_RID | 0x00002000 |
中完整性。 |
| SECURITY_MANDATORY_MEDIUM_PLUS_RID | SECURITY_MANDATORY_MEDIUM_RID + 0x100 |
中高完整性。 |
| SECURITY_MANDATORY_HIGH_RID | 0X00003000 |
高完整性。 |
| SECURITY_MANDATORY_SYSTEM_RID | 0x00004000 |
系統完整性。 |
| SECURITY_MANDATORY_PROTECTED_PROCESS_RID | 0x00005000 |
受保護的進程。 |
下表提供網域相對 RID 的範例,可用來形成本機群組的已知 SID(別名)。 如需本機和全域群組的詳細資訊,請參閱 本地組函 式和 群組函式。
| RID | 識別 |
|---|---|
| DOMAIN_ALIAS_RID_ADMINS 值: 0x00000220字串值: S-1-5-32-544 |
用於管理網域的本地組。 |
| DOMAIN_ALIAS_RID_USERS 值: 0x00000221字串值: S-1-5-32-545 |
表示網域中所有使用者的本地組。 |
| DOMAIN_ALIAS_RID_GUESTS 值: 0x00000222字串值: S-1-5-32-546 |
表示網域來賓的本地組。 |
| DOMAIN_ALIAS_RID_POWER_USERS 值: 0x00000223字串值: S-1-5-32-547 |
本機群組,用來代表預期將系統視為其個人計算機的使用者或一組使用者,而不是作為多位使用者的工作站。 |
| DOMAIN_ALIAS_RID_ACCOUNT_OPS 值: 0x00000224字串值: S-1-5-32-548 |
只存在於執行伺服器作業系統之系統上的本地組。 此本地組允許控制非系統管理帳戶。 |
| DOMAIN_ALIAS_RID_SYSTEM_OPS 值: 0x00000225字串值: S-1-5-32-549 |
只存在於執行伺服器作業系統之系統上的本地組。 此本地組會執行系統管理功能,不包括安全性功能。 它會建立網路共用、控制印表機、解除鎖定工作站,以及執行其他作業。 |
| DOMAIN_ALIAS_RID_PRINT_OPS 值: 0x00000226字串值: S-1-5-32-550 |
只存在於執行伺服器作業系統之系統上的本地組。 此本地組會控制印表機和列印佇列。 |
| DOMAIN_ALIAS_RID_BACKUP_OPS 值: 0x00000227字串值: S-1-5-32-551 |
用來控制檔備份和還原許可權指派的本地組。 |
| DOMAIN_ALIAS_RID_REPLICATOR 值: 0x00000228字串值: S-1-5-32-552 |
負責將安全性資料庫從主要域控制器複製到備份域控制器的本地組。 只有系統能使用這些帳戶。 |
| DOMAIN_ALIAS_RID_RAS_SERVERS 值: 0x00000229字串值: S-1-5-32-553 |
表示 RAS 和 IAS 伺服器的本地組。 此群組允許存取使用者對象的各種屬性。 |
| DOMAIN_ALIAS_RID_PREW2KCOMPACCESS 值: 0x0000022A字串值: S-1-5-32-554 |
只存在於執行 Windows 2000 Server 的系統上的本地組。 如需詳細資訊,請參閱 允許匿名存取。 |
| DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS 值: 0x0000022B字串值: S-1-5-32-555 |
代表所有遠端桌面使用者的本地組。 |
| DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS 值: 0x0000022C字串值: S-1-5-32-556 |
表示網路組態的本地組。 |
| DOMAIN_ALIAS_RID_INCOMING_FOREST_TRUST_BUILDERS 值: 0x0000022D字串值: S-1-5-32-557 |
代表任何樹系信任使用者的本地組。 |
| DOMAIN_ALIAS_RID_MONITORING_USERS 值: 0x0000022E字串值: S-1-5-32-558 |
表示受監視之所有使用者的本地組。 |
| DOMAIN_ALIAS_RID_LOGGING_USERS 值: 0x0000022F字串值: S-1-5-32-559 |
負責記錄使用者的本地組。 |
| DOMAIN_ALIAS_RID_AUTHORIZATIONACCESS 值: 0x00000230字串值: S-1-5-32-560 |
代表所有授權存取權的本地組。 |
| DOMAIN_ALIAS_RID_TS_LICENSE_SERVERS 值: 0x00000231字串值: S-1-5-32-561 |
本機群組,只存在於執行伺服器操作系統的系統上,允許終端服務和遠端訪問。 |
| DOMAIN_ALIAS_RID_DCOM_USERS 值: 0x00000232字串值: S-1-5-32-562 |
本地組,表示可以使用分散式元件物件模型 (DCOM) 的使用者。 |
| DOMAIN_ALIAS_RID_IUSERS 值: 0X00000238字串值: S-1-5-32-568 |
代表因特網使用者的本地組。 |
| DOMAIN_ALIAS_RID_CRYPTO_OPERATORS 值: 0x00000239字串值: S-1-5-32-569 |
表示密碼編譯運算符存取權的本地組。 |
| DOMAIN_ALIAS_RID_CACHEABLE_PRINCIPALS_GROUP 值: 0x0000023B字串值: S-1-5-32-571 |
表示可快取之主體的本地組。 |
| DOMAIN_ALIAS_RID_NON_CACHEABLE_PRINCIPALS_GROUP 值: 0x0000023C字串值: S-1-5-32-572 |
表示無法快取之主體的本地組。 |
| DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP 值: 0x0000023D字串值: S-1-5-32-573 |
表示事件記錄讀取器的本地組。 |
| DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP 值: 0x0000023E字串值: S-1-5-32-574 |
使用分散式元件物件模型 (DCOM) 連線到證書頒發機構單位的用戶本地組。 |
| DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_SERVERS 值: 0x0000023F字串值: S-1-5-32-575 |
表示 RDS 遠端存取伺服器的本地組。 |
| DOMAIN_ALIAS_RID_RDS_ENDPOINT_SERVERS 值: 0x00000240字串值: S-1-5-32-576 |
表示端點伺服器的本地組。 |
| DOMAIN_ALIAS_RID_RDS_MANAGEMENT_SERVERS 值: 0x00000241字串值: S-1-5-32-577 |
表示管理伺服器的本地組。 |
| DOMAIN_ALIAS_RID_HYPER_V_ADMINS 值: 0x00000242字串值: S-1-5-32-578 |
代表 hyper-v 系統管理員的本地組。 |
| DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS 值: 0x00000243字串值: S-1-5-32-579 |
表示訪問控制協助 OPS 的本地組。 |
| DOMAIN_ALIAS_RID_REMOTE_MANAGEMENT_USERS 值: 0x00000244字串值: S-1-5-32-580 |
代表遠端管理使用者的本地組。 |
| DOMAIN_ALIAS_RID_DEFAULT_ACCOUNT 值: 0x00000245字串值: S-1-5-32-581 |
表示預設帳戶的本地組。 |
| DOMAIN_ALIAS_RID_STORAGE_REPLICA_ADMINS 值: 0x00000246字串值: S-1-5-32-582 |
表示記憶體複本管理員的本地組。 |
| DOMAIN_ALIAS_RID_DEVICE_OWNERS 值: 0x00000247字串值: S-1-5-32-583 |
代表的本地組可以針對裝置擁有者進行預期的設定。 |
| DOMAIN_ALIAS_RID_USER_MODE_HARDWARE_OPERATORS 值: 0x00000248字串值: S-1-5-32-584 |
此群組的成員可以存取使用者模式對應程式驅動程式。 |
WELL_KNOWN_SID_TYPE列舉會定義常用的 SID 清單。 此外,安全性描述元定義語言 (SDDL) 會使用 SID 字串來參考字串格式的已知 SID。