本帖最后由 丰紫 于 2013-3-26 19:53 编辑
概要
安全标识符 (SID) 是用来标识安全主体或 Windows 操作系统中的安全组的变量长度的唯一值。通用组或一组标识一般用户的 Sid,都是众所周知的 Sid。跨所有操作系统,其值将保持不变。
此信息可用于解决安全方面的问题。也是适用于潜在可能在 ACL 编辑器中看到的显示问题。SID 可能会显示在 ACL 编辑器中而不是用户名或组名。
众所周知的 Sid:
SID: S 1 0
名称: 空机构
说明: 标识符颁发机构。
SID: S-1-0-0
名称: 没有人
说明: 没有安全主体。
SID: S-1-1
名称: 世界机构
说明: 标识符颁发机构。
SID: S-1-1-0
名称: 每个人
说明: 包括所有用户甚至匿名用户和来宾组。成员资格是由操作系统控制的。
注意默认情况下,请将 Everyone 组中不再包括匿名用户正在运行 Windows XP Service Pack 2 (SP2) 的计算机上。
SID: S-1-2
名称: 本地机构
说明: 标识符颁发机构。
SID: S-1-2-0
名称: 本地
说明: 包括所有本地登录的用户组。
SID: S-1-2-1
控制台登录名称:
说明: 包括登录到物理控制台上的用户组。
注意7 和 Windows Server 2008 R2,在窗口中添加
SID: S-1-3
名称: 创建者颁发机构
说明: 标识符颁发机构。
SID: S-1-3-0
创建者所有者名称:
说明: 父系的可继承的访问控制项 (ACE) 中的占位符。ACE 继承时,系统将此 SID 替换对象的创建者的 SID。
SID: S-1-3-1
创建者组名称:
说明: 父系的可继承 ACE 中的占位符。继承的 ACE,则当系统替换此 SID 的 sid 为主要对象的创建者的组。主要组仅使用 POSIX 子系统。
SID: S-1-3-2
名称: 创建者所有者服务器
描述: 此 SID 不在 Windows 2000 中使用。
SID: S-1-3-3
创建者组服务器名称:
描述: 此 SID 不在 Windows 2000 中使用。
SID: S-1 3-4 名: 所有者权限
说明: 一组,表示该对象的当前所有者。当执行此 SID 的 ACE 应用于对象时,系统将忽略隐式 READ_CONTROL 和 WRITE_DAC 的对象的所有者的权限。
SID: S-1-5 月 80-0
所有服务的名称:
说明: 一组包含在系统上配置的所有服务流程。成员资格是由操作系统控制的。
注意Windows Vista 和 Windows Server 2008 中添加
SID: S-1-4
名称: 非唯一授权机构
说明: 标识符颁发机构。
SID: S 1 5
名称: NT 机构
说明: 标识符颁发机构。
SID: S-1-5-1
名称: 拨号
说明: 包括通过拨号连接登录的所有用户组。成员资格是由操作系统控制的。
SID: S-1-5-2
名称: 网络
说明: 包括所有通过网络连接登录的用户组。成员资格是由操作系统控制的。
SID: S-1-5-3
名称: 批处理
说明: 包括所有通过批队列工具登录的用户组。成员资格是由操作系统控制的。
SID: S-1-5-4
名称: 交互式
说明: 包括所有以交互方式登录的用户组。成员资格是由操作系统控制的。
SID: S-1-5-5-X-Y
名称: 登录会话
说明: 登录会话。为每个会话中,这些 Sid 的 X 和 Y 值是不同的。
SID: S-1-5-6
名称: 服务
说明: 包括所有安全主体作为服务登录的一组。成员资格是由操作系统控制的。
SID: S-1-5-7
名称: 匿名
说明: 包括匿名登录的所有用户组。成员资格是由操作系统控制的。
SID: S-1-5-8
名称: 代{过}{滤}理服务器
描述: 此 SID 不在 Windows 2000 中使用。
SID: S-1-5-9
名称: 企业域控制器
说明: 包括使用 Active Directory 目录服务林中所有的域控制器组。成员资格是由操作系统控制的。
SID: S-1-5-10
名称: 主体自身
说明: 上一个帐户对象或组在 Active Directory 中的对象可继承的 ACE 中的占位符。当继承的 ACE,则系统将此 SID 替换安全主体持有帐户的 SID。
SID: S-1-5-11
名称:已验证的用户
说明: 包括所有登录时其身份已通过身份验证的用户组。成员资格是由操作系统控制的。
SID: S-1-5-12
名称: 受限制的代码
说明: 此 SID 是保留供将来使用。
SID: S-1-5-13
终端服务器用户名称:
说明: 包括所有已登录到终端服务服务器的用户组。成员资格是由操作系统控制的。
SID: S-1-5-14
名称: 远程交互式登录
说明: 包括通过终端服务登录登录的所有用户组。
SID: S-1-5-15
名称:此组织
说明: 一个组,它包括了同一个组织来的所有用户。仅随 AD 帐户,而且只由 Windows Server 2003 或更高版本的域控制器添加。
SID: S-1-5-17
名称:此组织
说明: 使用默认 Internet Information Services (IIS) 用户的帐户。
SID: S-1-5-18
名称: 本地系统
说明: 服务帐户使用的操作系统。
SID: S-1-5-19
名称: NT 机构
说明: 本地服务
SID: S-1-5-20
名称: NT 机构
说明: 网络服务
SID: S-1 5-21域-500
名称: 管理员
描述: 系统管理员用户帐户。默认情况下,它是唯一的用户帐户,提供对系统的完全控制。
SID: S-1 5-21域-501
名称: 访客
说明: 用户帐户的人不具有单独的帐户。此用户帐户不需要密码。默认情况下,Guest 帐户被禁用。
SID: S-1 5-21域-502
名称: KRBTGT
说明: 使用密钥分发中心 (KDC) 服务的服务帐户。
SID: S-1 5-21域-512
名称: 域管理员
说明: 其成员被授权管理域全局组。默认情况下,域管理员组是所有已加入到域中,包括域控制器的计算机上管理员组的成员。域管理员已创建的组的任何成员的任何对象的默认所有者。
SID: S-1 5-21域-513
名称: 域用户
说明: 全局组,默认情况下,包括在域中所有用户帐户。在域中创建用户帐户时,它会添加到此组,默认情况。
SID: S-1 5-21域-514
域来宾名称:
说明: 一个全局组,默认情况下,都有只有一个成员,则域的内置来宾帐户。
SID: S-1 5-21域-515
域计算机名称:
说明: 全局组,其中包含所有客户机和服务器已经加入到该域中。
SID: S-1 5-21域-516
域控制器名称:
说明: 一个全局组包括域中所有域控制器。默认情况下,新的域控制器添加到此组。
SID: S-1 5-21域-517
证书发行者名称:
说明: 全局组,其中包括所有的计算机正在运行企业证书颁发机构。证书发布者有权在 Active Directory 中发布证书的用户对象。
SID: S-1 5-21根域-518
名称: 架构管理员
说明: 在本机模式域 ; 将通用组在混合模式域的全局组。该组有权在 Active Directory 中进行架构更改。默认情况下,该组的唯一成员是林根域的管理员帐户。
SID: S-1 5-21根域-519
企业管理员名称:
说明: 在本机模式域 ; 将通用组在混合模式域的全局组。该组有权作出在 Active Directory 中目录林范围内的更改,例如添加子域。默认情况下,该组的唯一成员是林根域的管理员帐户。
SID: S-1 5-21域-520
名称: 组策略创建者所有者
说明: 全局组被授权可在活动目录中创建新的组策略对象。默认情况下,该组的唯一成员是管理员。
SID: S-1 5-21域-553
名称: RAS 和 IAS 服务器
说明: 本地域组。默认情况下,此组没有任何成员。此组中的服务器具有读取帐户限制和对用户对象进行读取登录信息访问 Active Directory 域本地组中。
SID: S-1-5-32-544
名称: 管理员
说明: 内置组。后最初安装操作系统时,该组的唯一成员是管理员帐户。当计算机加入域时,域管理员组添加到管理员组中。当服务器成为域控制器时,企业管理员组还被添加到管理员组中。
SID: S-1-5-32-545
名称: 用户
说明: 内置组。在最初安装操作系统时后, 唯一的成员是经过身份验证的用户组。当计算机加入域时,域用户组添加到计算机上的用户组。
SID: S-1-5-32-546
名称: 客人
说明: 内置组。默认情况下,唯一的成员是 Guest 帐户。来宾组允许偶尔或一次性以有限的特权应用于计算机的内置来宾帐户登录的用户。
SID: S-1-5-32-547
名称: 超级用户
说明: 内置组。默认情况下,组没有任何成员。超级用户可以创建本地用户和组 ;修改和删除他们所创建的 ; 帐户和超级用户、 用户和来宾组中删除用户。高级用户还可以安装程序 ;创建、 管理和删除本地打印机 ;创建和删除文件共享。
SID: S-1-5-32-548
帐户操作员名称:
说明: 内置的组,仅在域控制器上存在。默认情况下,组没有任何成员。默认情况下,帐户操作员具有创建、 修改和删除用户、 组和所有容器和 Active Directory 单位除内置容器和域控制器 OU 中的计算机帐户的权限。帐户操作员没有权限修改管理员和域管理员组中,它们也没有修改的那些组的成员帐户的权限。
SID: S-1-5-32-549
名称: 服务器操作员
说明: 内置的组,仅在域控制器上存在。默认情况下,组没有任何成员。服务器操作员可以登录到服务器上以交互方式 ;创建和删除网络共享 ;启动和停止服务 ; 示例:备份和还原文件。格式化硬盘的计算机 ;然后关闭计算机。
SID: S-1-5-32-550
名称: 打印操作员
说明: 内置的组,仅在域控制器上存在。默认情况下,唯一的成员是域用户组。打印操作员可以管理打印机和文档队列。
SID: S-1-5-32-551
名称: 备份操作员
说明: 内置组。默认情况下,组没有任何成员。备份操作员可以备份和还原的计算机上,无论有什么权限在保护这些文件的所有文件。备份操作员还可以登录到计算机上并将其关闭。
SID: S-1-5-32-552
名称: 复制器
说明: 内置的组使用的域控制器上的文件复制服务。默认情况下,组没有任何成员。无法将用户添加到该组中。
SID: S-1-5-64-10
名称: NTLM 身份验证
说明: 一个 SID 的 NTLM 身份验证软件包经过身份验证的客户端时使用
SID: S-1-5-64-14
名称: SChannel 身份验证
描述: 频道身份验证软件包经过身份验证的客户端时,使用 SID。
SID: S-1-5-64-21
名称: 摘要式身份验证
说明: 在摘要式身份验证程序包进行客户端身份验证时使用 SID。
SID: S-1-5 月 80
NT 服务名称:
说明: 一个 NT 服务帐户前缀
SID: S-1-16-0
名称: 不受信任的强制性级别
说明: 级别不受信任的完整性。Windows Vista 和 Windows Server 2008 中添加注释
注意Windows Vista 和 Windows Server 2008 中添加
SID: S-1-16-4096
名称: 低强制性级别
说明: 低完整性级别。
注意Windows Vista 和 Windows Server 2008 中添加
SID: S-1-16-8192
名称: 中等强制性级别
说明: 中等完整性级别。
注意Windows Vista 和 Windows Server 2008 中添加
SID: S-1-16-8448
名称: 中型加上强制性级别
说明: 一种中型加完整性级别。
注意Windows Vista 和 Windows Server 2008 中添加
SID: S-1-16-12288
名称: 高强制性级别
说明: 高完整性级别。
注意Windows Vista 和 Windows Server 2008 中添加
SID: S-1-16-16384
名称: 系统强制性级别
描述: 系统完整性级别。
注意Windows Vista 和 Windows Server 2008 中添加
SID: S-1-16-20480
名称: 保护进程强制性级别
说明: 级别保护进程的完整性。
注意Windows Vista 和 Windows Server 2008 中添加
SID: S-1-16-28672
名称: 安全进程强制性级别
月 12 日版安全进程完整性级别。
注意Windows Vista 和 Windows Server 2008 中添加
SID: S-1-5 月 80-0
SID S-1-5 月 80-0 = SERVICES\ALL NT 的服务
所有服务的名称:
说明: 包括在系统配置的所有服务进程组。成员资格是由操作系统控制的。
注意在 Windows Server 2008 R2 中添加
下面的组将显示为 Sid 中,直到 Windows Server 2003 的域控制器是主域控制器 (PDC) 操作主机角色担任者。"操作主机"也称为灵活单主机操作或 FSMO。其他 Windows Server 2003 的域控制器添加到域时,会创建新内置组是:
SID: S-1-5-32-554
名称: BUILTIN\Pre Windows 2000 以前版本兼容访问
描述: Windows 2000 通过添加一个别名。向后兼容性组,从而允许读取访问权限的所有用户和组的域中。
SID: S-1-5-32-555
名称: BUILTIN\Remote 桌面用户
说明: 一个别名。此组中的成员被授予远程登录的权利。
SID: S-1-5-32-556
名称: BUILTIN\Network 配置操作员
说明: 一个别名。此组中的成员可以有部分管理权限来管理网络功能的配置。
SID: S-1-5-32-557
名称: BUILTIN\Incoming 林信任构建器
说明: 一个别名。此组的成员可以创建到此目录林的传入的单向信任。
SID: S-1-5-32-558
名称: BUILTIN\Performance 监视器用户
说明: 一个别名。此组的成员可以远程访问以监视此计算机。
SID: S-1-5-32-559
名称: BUILTIN\Performance 日志用户
说明: 一个别名。此组的成员可以远程访问以计划此计算机上性能计数器的日志。
SID: S-1-5-32-560
名称: BUILTIN\Windows 授权访问组
说明: 一个别名。此组的成员具有对计算所得的 tokenGroupsGlobalAndUniversal 属性访问在用户对象上。
SID: S-1-5-32-561
名称: BUILTIN\Terminal 服务器许可证服务器
说明: 一个别名。终端服务器许可证服务器组。当安装 Windows 服务器 2003 Service Pack 1,则创建新的本地组。
SID: S-1-5-32-562
名称: BUILTIN\Distributed COM 用户
说明: 一个别名。COM 提供计算机范围的访问控制功能,控制访问所有的组调用时,激活,或启动该计算机上的请求。
下面的组将显示为 Sid 中,直到 Windows Server 2008 或 Windows Server 2008 R2 的域控制器是主域控制器 (PDC) 操作主机角色担任者。"操作主机"也称为灵活单主机操作或 FSMO。其他 Windows Server 2008 或 Windows Server 2008 R2 的域控制器添加到域时,会创建新内置组是:
SID: S-1 5-21域-498
名称: 企业只读域控制器
说明: 将通用组。此组的成员都在企业中的只读域控制器
SID: S-1 5-21域-521
只读的域控制器名称:
说明: 一个全局组。该组的成员是域中的只读域控制器
SID: S-1-5-32-569
名称: BUILTIN\Cryptographic 运算符
说明: 内置本地组。成员有权执行加密操作。
SID: S-1 5-21域-571
名称: 允许 RODC 密码复制组
说明: 一本地域组。此组中的成员可以有自己的密码复制到域中的所有只读域控制器。
SID: S-1 5-21域-572
名称: 拒绝 RODC 密码复制组
说明: 一本地域组。此组中的成员的密码复制到域中的所有只读域控制器不能
SID: S-1-5-32-573
名称: BUILTIN\Event 日志读取器
说明: 内置本地组。此组的成员可以从本地机器读取事件日志。
SID: S-1-5-32-574
名称: BUILTIN\Certificate 服务 DCOM 访问
说明: 内置本地组。此组的成员可以在企业中连接到证书颁发机构。
下列各组都将显示为 Windows Server"8"测试域控制器之前的 Sid 进行域的主域控制器 (PDC) 操作主机角色担任者。"操作主机"也称为灵活单主机操作或 FSMO。其他 Windows Server"8"测试域控制器添加到域时,会创建新内置组是:
SID: S-1-5-21--522 的域
克隆域控制器名称:
说明: 一个全局组。此组成员的域控制器可能被克隆。
SID: S-1-5-32-575
名称: BUILTIN\RDS 远程访问服务器
说明: 内置本地组。此组中的服务器启用 RemoteApp 程序和个人虚拟机对这些资源的访问权限的用户。在面向 Internet 的部署中,这些服务器通常会部署在边缘网络。需要运行 RD 连接代{过}{滤}理服务器上填充该组。RD 网关服务器和远程桌面 Web 访问服务器部署中使用需要将此组中。
SID: S-1-5-32-576
名称: BUILTIN\RDS 终结点服务器
说明: 内置本地组。此组中的服务器运行用户 RemoteApp 程序和个人虚拟机的虚拟机和主机会话运行。需要运行 RD 连接代{过}{滤}理服务器上填充该组。RD 会话主机服务器和部署中使用 RD 虚拟化主机服务器需要此组中。
SID: S-1-5-32-577
名称: BUILTIN\RDS 管理服务器
说明: 内置本地组。此组中的服务器可以运行远程桌面服务的服务器上执行日常的管理操作。需要在远程桌面服务部署中的所有服务器上填充该组。必须在此组中包含运行的 RDS 中央管理服务的服务器。
SID: S-1-5-32-578
名称: BUILTIN\Hyper V 管理员
说明: 内置本地组。此组的成员拥有完全和不受限制地访问 Hyper-V 的所有功能。
SID: S-1-5-32-579
名称: BUILTIN\Access 控件帮助操作员
说明: 内置本地组。授权属性以及此计算机上的资源的权限,这个组的成员可以远程查询。
SID: S-1-5-32-580
名称: BUILTIN\Remote 管理用户
说明: 内置本地组。此组的成员可以访问 WMI 资源 (如通过 Windows 远程管理服务 WS 管理) 管理协议。这仅适用于向用户授予访问权限的 WMI 命名空间。
SID查看工具及用法
C:\Documents and Settings\Administrator>whoami /?
WhoAmI 有三种使用方法:
语法 1:
WHOAMI [/UPN | /FQDN | /LOGONID]
语法 2:
WHOAMI { [/USER] [/GROUPS] [/PRIV] } [/FO format] [/NH]
语法 3:
WHOAMI /ALL [/FO format] [/NH]
描述:
这个工具可以用来获取本地系统上当前用户(访问令牌)的用户名和组信息,
以及相应的安全标识符(SID)、特权和登录标识符(logon ID)。例如,谁是
当前登录的用户? 如果没有指定开关,工具用 NTLM 格式(域\用户名)显示
用户名。
参数列表:
/UPN 用用户主体 (User Principal) 格式显示用户名
名称 (UPN)格式。
/FQDN 用完全合格的 (Fully Qualified) 格式显示用户名
可分辨名称(FQDN) 格式。
/USER 显示当前用户的信息以及安全标识符 (SID)。
/GROUPS 显示当前用户的组成员信息、帐户类型和安全
标识符 (SID) 和属性。
/PRIV 显示当前用户的安全特权。
/LOGONID 显示当前用户的登录 ID。
/ALL 显示当前用户名、属于的组以及安全标识符
(SID) 和当前用户访问令牌的特权。
/FO format 指定要显示的输出格式。有效值为 TABLE、LIST、
CSV。CSV 格式不显示列标题。默认格式是 TABLE。
/NH 指定在输出中不显示列标题。只对 TABLE 和 CSV
格式有效。
/? 显示该帮助消息。
示例:
WHOAMI
WHOAMI /UPN
WHOAMI /FQDN
WHOAMI /LOGONID
WHOAMI /USER
WHOAMI /USER /FO LIST
WHOAMI /USER /FO CSV
WHOAMI /GROUPS
WHOAMI /GROUPS /FO CSV /NH
WHOAMI /PRIV
WHOAMI /PRIV /FO TABLE
WHOAMI /USER /GROUPS
WHOAMI /USER /GROUPS /PRIV
WHOAMI /ALL
WHOAMI /ALL /FO LIST
WHOAMI /ALL /FO CSV /NH
WHOAMI /?
C:\Documents and Settings\Administrator>whoami /all
用户信息
----------------
用户名 SID
==================== =============================================
isasrv\administrator S-1-5-21-1214378911-2794270755-2694352134-500
组信息
-----------------
组名 类型 SID 属性
================================ ====== ============ ===========================
===============
Everyone 已知组 S-1-1-0 必需的组, 启用于默认, 启用
的组
BUILTIN\Administrators 别名 S-1-5-32-544 必需的组, 启用于默认, 启用
的组, 组的所有者
BUILTIN\Users 别名 S-1-5-32-545 必需的组, 启用于默认, 启用
的组
NT AUTHORITY\INTERACTIVE 已知组 S-1-5-4 必需的组, 启用于默认, 启用
的组
NT AUTHORITY\Authenticated Users 已知组 S-1-5-11 必需的组, 启用于默认, 启用
的组
NT AUTHORITY\This Organization 已知组 S-1-5-15 必需的组, 启用于默认, 启用
的组
LOCAL 已知组 S-1-2-0 必需的组, 启用于默认, 启用
的组
NT AUTHORITY\NTLM Authentication 已知组 S-1-5-64-10 必需的组, 启用于默认, 启用
的组
特权信息
----------------------
特权名 描述 状态
=============================== ========================== ======
SeChangeNotifyPrivilege 跳过遍历检查 已启用
SeSecurityPrivilege 管理审核和安全日志 已禁用
SeBackupPrivilege 备份文件和目录 已禁用
SeRestorePrivilege 还原文件和目录 已禁用
SeSystemtimePrivilege 更改系统时间 已禁用
SeShutdownPrivilege 关闭系统 已禁用
SeRemoteShutdownPrivilege 从远程系统强制关机 已禁用
SeTakeOwnershipPrivilege 取得文件或其他对象的所有权 已禁用
SeDebugPrivilege 调试程序 已禁用
SeSystemEnvironmentPrivilege 修改固件环境值 已禁用
SeSystemProfilePrivilege 配置系统性能 已禁用
SeProfileSingleProcessPrivilege 配置单一进程 已禁用
SeIncreaseBasePriorityPrivilege 增加计划优先级 已禁用
SeLoadDriverPrivilege 装载和卸载设备驱动程序 已禁用
SeCreatePagefilePrivilege 创建页面文件 已禁用
SeIncreaseQuotaPrivilege 调整进程的内存配额 已禁用
SeUndockPrivilege 从扩展坞中取出计算机 已禁用
SeManageVolumePrivilege 执行卷维护任务 已禁用
SeImpersonatePrivilege 身份验证后模拟客户端 已启用
SeCreateGlobalPrivilege 创建全局对象 已启用
C:\Documents and Settings\Administrator>
|
发表于 2013-3-26 19:51:23
楼主
