常见SID安全标识符的含义
安全标识符 (SID)。形如:
例>S-1-5-21-1553226038-2352558368-427082893-500 其中S-1-5表示NT Authority(标识符颁发机构);上例中的21-1553226038-2352558368- 427082893为这个域的SID(每个域不同,由RID操作主产生,域内唯一),在这个位置还可能是32(就表示本地/域内置的本地组,只能在DC/本机上使用,在每个机子上重复无妨,所以都是32),也可能是本机的SID;后面跟的500表示administrator用户。含义参考上图,不足之处,还望各位海量
再补一个新版的SID含义
Windows 操作系统中的常见安全标识符
文章编号 : 243330
最后修改 : 2006年1月23日
修订 : 10.0
概要
安全标识符 (SID) 是长度可变的唯一值,用来标识 Windows 操作系统中的安全主体或安全组。常见 SID 是标识一般用户或一般组的一组 SID。它们的值在所有操作系统中都相同。
此信息可用于解决安全方面的问题,还可用于解决 ACL 编辑器中可能出现的潜在显示问题。在 ACL 编辑器中,可能显示 SID 而不是用户或组名。
更多信息
常见 SID:• SID:S-1-0
名称:Null Authority
说明:标识符颁发机构。
• SID:S-1-0-0
名称:Nobody
说明:无安全主体。
• SID:S-1-1
名称:World Authority
说明:标识符颁发机构。
• SID:S-1-1-0
名称:Everyone
说明:包括所有用户(甚至匿名用户和来宾)的组。成员身份由操作系统控制。
注意:默认情况下,在运行 Windows XP Service Pack 2 (SP2) 的计算机上,Everyone 组不再包括匿名用户。
• SID:S-1-2
名称:Local Authority
说明:标识符颁发机构。
• SID:S-1-3
名称:Creator Authority
说明:标识符颁发机构。
• SID:S-1-3-0
名称:Creator Owner
说明:可继承访问控制项 (ACE) 中的占位符。当 ACE 被继承时,系统用对象创建者的 SID 替换此 SID。
• SID:S-1-3-1
名称:Creator Group
说明:可继承 ACE 中的占位符。当 ACE 被继承时,系统用对象创建者的主要组的 SID 替换此 SID。主要组仅供 POSIX 子系统使用。
• SID:S-1-3-2
名称:Creator Owner Server
说明:Windows 2000 中不使用此 SID。
• SID:S-1-3-3
名称:Creator Group Server
说明:Windows 2000 中不使用此 SID。
• SID:S-1-4
名称:Non-unique Authority
说明:标识符颁发机构。
• SID:S-1-5
名称:NT Authority
说明:标识符颁发机构。
• SID:S-1-5-1
名称:Dialup
说明:一个包括所有通过拨号连接登录的用户的组。成员身份由操作系统控制。
• SID:S-1-5-2
名称:Network
说明:一个包括所有通过网络连接登录的用户的组。成员身份由操作系统控制。
• SID:S-1-5-3
名称:Batch
说明:一个包括所有通过批队列功能登录的用户的组。成员身份由操作系统控制。
• SID:S-1-5-4
名称:Interactive
说明:一个包括所有以交互方式登录的用户的组。成员身份由操作系统控制。
• SID:S-1-5-5-X-Y
名称:Logon Session
说明:登录会话。这些 SID 的 X 和 Y 值因会话而异。
• SID:S-1-5-6
名称:Service
说明:一个包括所有作为服务登录的安全主体的组。成员身份由操作系统控制。
• SID:S-1-5-7
名称:Anonymous
说明:一个包括所有以匿名方式登录的用户的组。成员身份由操作系统控制。
• SID:S-1-5-8
名称:Proxy
说明:Windows 2000 中不使用此 SID。
• SID:S-1-5-9
名称:Enterprise Domain Controllers
说明:一个由使用 Active Directory 目录服务的林中的所有域控制器组成的组。成员身份由操作系统控制。
• SID:S-1-5-10
名称:Principal Self
说明:Active Directory 中的帐户对象或组对象上可继承 ACE 中的一个占位符。当 ACE 被继承时,系统用持有此帐户的安全主体的 SID 替换此 SID。
• SID:S-1-5-11
名称:Authenticated Users
说明:一个包括所有登录时已经过身份验证的用户的组。成员身份由操作系统控制。
• SID:S-1-5-12
名称:Restricted Code
说明:此 SID 保留供以后使用。
• SID:S-1-5-13
名称:Terminal Server Users
说明:一个包括所有登录到终端服务服务器的用户的组。成员身份由操作系统控制。
• SID:S-1-5-18
名称:Local System
说明:操作系统使用的服务帐户。
• SID:S-1-5-19
名称:NT Authority
说明:本地服务
• SID:S-1-5-20
名称:NT Authority
说明:网络服务
• SID:S-1-5-domain-500
名称:Administrator
说明:系统管理员的用户帐户。默认情况下,它是唯一能够完全控制系统的用户帐户。
• SID:S-1-5-domain-501
名称:Guest
说明:无个人帐户的人员的用户帐户。此用户帐户不需要密码。默认情况下,Guest 帐户被禁用。
• SID:S-1-5-domain-502
名称:KRBTGT
说明:密钥分发中心 (KDC) 服务使用的服务帐户。
• SID:S-1-5-domain-512
名称:Domain Admins
说明:一个全局组,其成员被授权管理该域。默认情况下,Domain Admins 组属于所有加入域的计算机(包括域控制器)上的 Administrators 组。Domain Admins 是该组的任何成员创建的任何对象的默认所有者。
• SID:S-1-5-domain-513
名称:Domain Users
说明:一个全局组,默认情况下它包括域中的所有用户帐户。在域中创建用户帐户时,默认情况下,帐户将添加到该组中。
• SID:S-1-5-domain-514
名称:Domain Guests
说明:一个全局组,默认情况下它只有一个成员,即域的内置 Guest 帐户。
• SID:S-1-5-domain-515
名称:Domain Computers
说明:一个包括加入域的所有客户端和服务器的全局组。
• SID:S-1-5-domain-516
名称:Domain Controllers
说明:一个包括域中所有域控制器的全局组。默认情况下,新的域控制器将添加到该组中。
• SID:S-1-5-domain-517
名称:Cert Publishers
说明:一个包括所有运行企业证书颁发机构的计算机的全局组。Cert Publishers 被授权为 Active Directory 中的 User 对象发布证书。
• SID:S-1-5-root domain-518
名称:Schema Admins
说明:纯模式域中的通用组;混合模式域中的全局组。该组被授权在 Active Directory 中更改架构。默认情况下,该组的唯一成员是林根域的 Administrator 帐户。
• SID:S-1-5-root domain-519
名称:Enterprise Admins
说明:纯模式域中的通用组;混合模式域中的全局组。该组被授权在 Active Directory 中进行目录林范围的更改,例如添加子域。默认情况下,该组的唯一成员是林根域的 Administrator 帐户。
• SID:S-1-5-domain-520
名称:Group Policy Creator Owners
说明:一个被授权在 Active Directory 中新建组策略对象的全局组。默认情况下,该组的唯一成员是 Administrator。
• SID:S-1-5-domain-533
名称:RAS and IAS Servers
说明:域本地组。默认情况下,该组没有成员。该组中的服务器对 Active Directory 域本地组中的 User 对象具有“读取帐户限制”和“读取登录信息”访问权限。默认情况下,该组没有成员。该组中的服务器对 Active Directory 中的 User 对象具有“读取帐户限制”和“读取登录信息”访问权限。
• SID:S-1-5-32-544
名称:Administrators
说明:内置组。初次安装操作系统后,该组的唯一成员是 Administrator 帐户。当计算机加入域时,Domain Admins 组将被添加到 Administrators 组中。当服务器成为域控制器时,Enterprise Admins 组也被添加到 Administrators 组中。
• SID:S-1-5-32-545
名称:Users
说明:内置组。初次安装操作系统后,该组的唯一成员是 Authenticated Users 组。当计算机加入域时,Domain Users 组将被添加到计算机上的 Users 组中。
• SID:S-1-5-32-546
名称:Guests
说明:内置组。默认情况下,该组的唯一成员是 Guest 帐户。Guests 组允许临时或一次性用户使用有限权限登录到计算机的内置 Guest 帐户。
• SID:S-1-5-32-547
名称:Power Users
说明:内置组。默认情况下,该组没有成员。Power Users 可以创建本地用户和组,修改和删除以前创建的帐户,删除 Power Users、Users 和 Guests 组中的用户。Power Users 还可以安装程序,创建、管理和删除本地打印机以及创建和删除文件共享。
• SID:S-1-5-32-548
名称:Account Operators
说明:一种只存在于域控制器上的内置组。默认情况下,该组没有成员。默认情况下,Account Operators 有权为 Active Directory 的所有容器和组织单位中的用户、组和计算机创建、修改和删除帐户,Builtin 容器和 Domain Controllers OU 除外。Account Operators 无权修改 Administrators 和 Domain Admins 组,也无权为那些组的成员修改帐户。
• SID:S-1-5-32-549
名称:Server Operators
说明:一种只存在于域控制器上的内置组。默认情况下,该组没有成员。Server Operators 可以以交互方式登录到服务器,创建和删除网络共享,启动和停止服务,备份和还原文件,格式化计算机的硬盘以及关闭计算机。
• SID:S-1-5-32-550
名称:Print Operators
说明:一种只存在于域控制器上的内置组。默认情况下,该组的唯一成员是 Domain Users 组。Print Operators 可以管理打印机和文档队列。
• SID:S-1-5-32-551
名称:Backup Operators
说明:内置组。默认情况下,该组没有成员。Backup Operators 可以备份和还原计算机上的所有文件,无论那些文件受哪些权限保护均如此。Backup Operators 也可以登录和关闭计算机。
• SID:S-1-5-32-552
名称:Replicators
说明:一个由域控制器上的文件复制服务使用的内置组。默认情况下,该组没有成员。不要向该组中添加用户。
下列各组在某台 Windows Server 2003 域控制器被指定担任主域控制器 (PDC) 操作主机角色之前,将一直显示为 SID。(“操作主机”也称作灵活的单主机操作或 FSMO。)在将 Windows Server 2003 域控制器添加到域中时,新建的其他内置组有:• SID:S-1-5-32-554
名称:BUILTIN\Pre-Windows 2000 Compatible Access
说明:Windows 2000 添加的别名。一个允许对域中的所有用户和组进行读访问的向后兼容组。
• SID:S-1-5-32-555
名称:BUILTIN\Remote Desktop Users
说明:一个别名。该组的成员被授予远程登录权限。
• SID:S-1-5-32-556
名称:BUILTIN\Network Configuration Operators
说明:一个别名。该组的成员拥有管理网络功能配置的部分权限。
• SID:S-1-5-32-557
名称:BUILTIN\Incoming Forest Trust Builders
说明:一个别名。该组的成员可以创建到该林的传入的单向信任。
• SID:S-1-5-32-557
名称:BUILTIN\Incoming Forest Trust Builders
说明:一个别名。该组的成员可以创建到该林的传入的单向信任。
• SID:S-1-5-32-558
名称:BUILTIN\Performance Monitor Users
说明:一个别名。该组的成员可以进行远程访问以监视此计算机。
• SID:S-1-5-32-559
名称:BUILTIN\Performance Log Users
说明:一个别名。该组的成员可以进行远程访问,以便预定此计算机上性能计数器的日志。
• SID:S-1-5-32-560
名称:BUILTIN\Windows Authorization Access Group
说明:一个别名。该组的成员可以访问 User 对象上的计算的 tokenGroupsGlobalAndUniversal 属性。
• SID:S-1-5-32-561
名称:BUILTIN\Terminal Server License Servers
说明:一个别名。终端服务器许可证服务器组。
--------------------------------------------------------------------------------
这篇文章中的信息适用于:
• Microsoft Windows Server 2003 Standard Edition
• Microsoft Windows Server 2003 Enterprise Edition
• Microsoft Windows Server 2003 Datacenter Edition
• Microsoft Windows XP Professional Edition
• Microsoft Windows 2000 Server
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Datacenter Server
• Microsoft Windows 2000 Professional Edition
SID查看工具及用法
C:\Documents and Settings\Administrator>whoami /?
WhoAmI 有三种使用方法:
语法 1:
WHOAMI [/UPN | /FQDN | /LOGONID]
语法 2:
WHOAMI { [/USER] [/GROUPS] [/PRIV] } [/FO format] [/NH]
语法 3:
WHOAMI /ALL [/FO format] [/NH]
描述:
这个工具可以用来获取本地系统上当前用户(访问令牌)的用户名和组信息,
以及相应的安全标识符(SID)、特权和登录标识符(logon ID)。例如,谁是
当前登录的用户? 如果没有指定开关,工具用 NTLM 格式(域\用户名)显示
用户名。
参数列表:
/UPN 用用户主体 (User Principal) 格式显示用户名
名称 (UPN)格式。
/FQDN 用完全合格的 (Fully Qualified) 格式显示用户名
可分辨名称(FQDN) 格式。
/USER 显示当前用户的信息以及安全标识符 (SID)。
/GROUPS 显示当前用户的组成员信息、帐户类型和安全
标识符 (SID) 和属性。
/PRIV 显示当前用户的安全特权。
/LOGONID 显示当前用户的登录 ID。
/ALL 显示当前用户名、属于的组以及安全标识符
(SID) 和当前用户访问令牌的特权。
/FO format 指定要显示的输出格式。有效值为 TABLE、LIST、
CSV。CSV 格式不显示列标题。默认格式是 TABLE。
/NH 指定在输出中不显示列标题。只对 TABLE 和 CSV
格式有效。
/? 显示该帮助消息。
示例:
WHOAMI
WHOAMI /UPN
WHOAMI /FQDN
WHOAMI /LOGONID
WHOAMI /USER
WHOAMI /USER /FO LIST
WHOAMI /USER /FO CSV
WHOAMI /GROUPS
WHOAMI /GROUPS /FO CSV /NH
WHOAMI /PRIV
WHOAMI /PRIV /FO TABLE
WHOAMI /USER /GROUPS
WHOAMI /USER /GROUPS /PRIV
WHOAMI /ALL
WHOAMI /ALL /FO LIST
WHOAMI /ALL /FO CSV /NH
WHOAMI /?
C:\Documents and Settings\Administrator>whoami /all
用户信息
----------------
用户名 SID
==================== =============================================
isasrv\administrator S-1-5-21-1214378911-2794270755-2694352134-500
组信息
-----------------
组名 类型 SID 属性
================================ ====== ============ ===========================
===============
Everyone 已知组 S-1-1-0 必需的组, 启用于默认, 启用
的组
BUILTIN\Administrators 别名 S-1-5-32-544 必需的组, 启用于默认, 启用
的组, 组的所有者
BUILTIN\Users 别名 S-1-5-32-545 必需的组, 启用于默认, 启用
的组
NT AUTHORITY\INTERACTIVE 已知组 S-1-5-4 必需的组, 启用于默认, 启用
的组
NT AUTHORITY\Authenticated Users 已知组 S-1-5-11 必需的组, 启用于默认, 启用
的组
NT AUTHORITY\This Organization 已知组 S-1-5-15 必需的组, 启用于默认, 启用
的组
LOCAL 已知组 S-1-2-0 必需的组, 启用于默认, 启用
的组
NT AUTHORITY\NTLM Authentication 已知组 S-1-5-64-10 必需的组, 启用于默认, 启用
的组
特权信息
----------------------
特权名 描述 状态
=============================== ========================== ======
SeChangeNotifyPrivilege 跳过遍历检查 已启用
SeSecurityPrivilege 管理审核和安全日志 已禁用
SeBackupPrivilege 备份文件和目录 已禁用
SeRestorePrivilege 还原文件和目录 已禁用
SeSystemtimePrivilege 更改系统时间 已禁用
SeShutdownPrivilege 关闭系统 已禁用
SeRemoteShutdownPrivilege 从远程系统强制关机 已禁用
SeTakeOwnershipPrivilege 取得文件或其他对象的所有权 已禁用
SeDebugPrivilege 调试程序 已禁用
SeSystemEnvironmentPrivilege 修改固件环境值 已禁用
SeSystemProfilePrivilege 配置系统性能 已禁用
SeProfileSingleProcessPrivilege 配置单一进程 已禁用
SeIncreaseBasePriorityPrivilege 增加计划优先级 已禁用
SeLoadDriverPrivilege 装载和卸载设备驱动程序 已禁用
SeCreatePagefilePrivilege 创建页面文件 已禁用
SeIncreaseQuotaPrivilege 调整进程的内存配额 已禁用
SeUndockPrivilege 从扩展坞中取出计算机 已禁用
SeManageVolumePrivilege 执行卷维护任务 已禁用
SeImpersonatePrivilege 身份验证后模拟客户端 已启用
SeCreateGlobalPrivilege 创建全局对象 已启用
C:\Documents and Settings\Administrator>
