安全性識別碼
適用于:Windows Server 2022、Windows Server 2019、Windows Server 2016
本文說明安全性識別碼 (SID) 如何在 Windows Server 作業系統中使用帳戶和群組。
什麼是安全性識別碼?
安全性識別碼可用來唯一識別安全性主體或安全性群組。 安全性主體可以代表可由作業系統驗證的任何實體,例如使用者帳戶、電腦帳戶,或在使用者或電腦帳戶的安全性內容中執行的執行緒或進程。
每個帳戶或群組,或帳戶安全性內容中執行的每個進程,都有由授權單位發出的唯一 SID,例如 Windows 網域控制站。 SID 會儲存在安全性資料庫中。 系統會產生 SID,以識別建立帳戶或群組時的特定帳戶或群組。 當 SID 做為使用者或群組的唯一識別碼時,永遠不會再次用來識別其他使用者或群組。
每次使用者登入時,系統會為該使用者建立存取權杖。 存取權杖包含使用者所屬之任何群組的 SID、使用者權限和 SID。 此權杖會為使用者在該電腦上執行的任何動作提供安全性內容。
除了指派給特定使用者和群組的唯一建立網域特定 SID 之外,還有已知的 SID 可識別泛型群組和泛型使用者。 例如, 「所有人」和「世界 」SID 會識別包含所有使用者的群組。 已知的 SID 具有在所有作業系統上維持不變的值。
SID 是 Windows 安全性模型的基本建置組塊。 他們會在 Windows Server 作業系統的安全性基礎結構中,使用授權和存取控制技術的特定元件。 這有助於保護網路資源的存取,並提供更安全的運算環境。
注意
此內容僅適用于本文開頭的「適用于」清單中的 Windows 版本。
安全性識別碼的運作方式
使用者依帳戶名稱參照帳戶,但作業系統在內部參考帳戶和使用其 SID 在帳戶安全性內容中執行的帳戶和處理常式。 針對網域帳戶,安全性主體的 SID 是藉由串連網域的 SID 與帳戶的相對識別碼 (RID) 來建立。 SID 在其範圍內是唯一的 (網域或本機) ,而且永遠不會重複使用。
作業系統會產生 SID,識別建立帳戶或群組時的特定帳戶或群組。 本機帳戶或群組的 SID 是由電腦上的本機安全性授權單位 (LSA) 產生,並且會與其他帳戶資訊一起儲存在登錄的安全區域中。 網域帳戶或群組的 SID 是由網域安全性授權單位產生,並且會儲存為 Active Directory 網域服務 中 User 或 Group 物件的屬性。
針對每個本機帳戶和群組,SID 對於建立所在的電腦而言是唯一的。 電腦上沒有任何兩個帳戶或群組共用相同的 SID。 同樣地,對於每個網域帳戶和群組而言,SID 在企業內是唯一的。 這表示在一個網域中建立的帳戶或群組的 SID 永遠不會符合企業中任何其他網域中建立之帳戶或群組的 SID。
SID 一律保持唯一。 安全性授權單位永遠不會發出相同的 SID 兩次,而且永遠不會重複使用已刪除帳戶的 SID。 例如,如果 Windows 網域中具有使用者帳戶的使用者離開其工作,系統管理員就會刪除其 Active Directory 帳戶,包括識別該帳戶的 SID。 如果他們稍後回到同一家公司的不同作業,系統管理員會建立新的帳戶,而 Windows Server 作業系統會產生新的 SID。 新的 SID 與舊的 SID 不符,因此使用者無法從其舊帳戶存取權轉移至新帳戶。 這兩個帳戶都代表兩個不同的安全性主體。
安全性識別碼架構
安全性識別碼是二進位格式的資料結構,其中包含可變值數目。 結構中的第一個值包含 SID 結構的相關資訊。 其餘值會排列在階層中 (類似電話號碼) ,並識別 SID 發行授權單位 (例如「NT 授權單位」) 、SID 發行網域,以及特定的安全性主體或群組。 下圖說明 SID 的結構。
下表說明 SID 的個別值:
| 註解 | 描述 |
|---|---|
| 修訂版 | 指出特定 SID 中使用的 SID 結構版本。 |
| 識別碼授權單位 | 識別可為特定安全性主體類型發出 SID 的最高授權單位層級。 例如,所有人群組 SID 中的識別碼授權單位值為 1 (World Authority) 。 特定 Windows Server 帳戶或群組之 SID 中的識別碼授權單位值為 5 (NT Authority) 。 |
| 子授權 | 保存 SID 中最重要的資訊,其中包含一或多個子授權值的數列。 所有值最多,但不包含在數列中最後一個值,都會共同識別企業中的定義域。 此系列的這個部分稱為網域識別碼。 數列中的最後一個值,稱為相對識別碼 (RID) ,可識別相對於網域的特定帳戶或群組。 |
SID 的元件在使用標準標記法從二進位檔轉換成字串格式時,更容易視覺化:
S-R-X-Y1-Y2-Yn-1-Yn
在此標記法中,下表說明 SID 的元件:
| 註解 | 描述 |
|---|---|
| S | 表示字串為 SID |
| R | 指出修訂層級 |
| X | 指出識別碼授權單位值 |
| Y | 代表一系列子授權值,其中 n 是值數目 |
SID 最重要的資訊包含在子授權值系列中。 系列的第一個部分 (-Y1-Y2-Yn-1) 是網域識別碼。 SID 的這個元素在具有數個網域的企業中變得相當重要,因為網域識別碼會區分一個網域所簽發的 SID 與企業中所有其他網域所簽發的 SID。 企業中的兩個網域都共用相同的網域識別碼。
子授權值數列中的最後一個專案 (-Yn) 是相對識別碼。 它會區分一個帳戶或群組與網域中所有其他帳戶和群組。 任何網域中沒有任何兩個帳戶或群組共用相同的相對識別碼。
例如,內建 Administrators 群組的 SID 是以標準化 SID 標記法標記法表示,以下列字串表示:
S-1-5-32-544
此 SID 有四個元件:
- 修訂層級 (1)
- 識別碼授權單位值 (5、NT Authority)
- 網域識別碼 (32、Builtin)
- (544 的相對識別碼,系統管理員)
內建帳戶和群組的 SID 一律具有相同的網域識別碼值 32。 此值會識別執行 Windows Server 作業系統版本之每部電腦上存在的網域 Builtin。 一律不需要區分一部電腦的內建帳戶和群組與另一部電腦的內建帳戶和群組,因為它們位於範圍內。 它們是單一電腦的本機,或者,如果是網路網域的網域控制站,它們是數部做為一部電腦的本機電腦。
內建帳戶和群組必須在 Builtin 網域的範圍內彼此區別。 因此,每個帳戶和群組的 SID 都有唯一的相對識別碼。 544 的相對識別碼值對內建 Administrators 群組而言是唯一的。 內建網域中沒有其他帳戶或群組具有最終值為 544 的 SID。
在另一個範例中,請考慮全域群組 Domain Admins 的 SID。 企業中的每個網域都有 Domain Admins 群組,而每個群組的 SID 則不同。 下列範例代表 Contoso, Ltd. 網域中 Domain Admins 群組的 SID (Contoso\Domain Admins) :
S-1-5-21-1004336348-1177238915-682003330-512
Contoso\Domain Admins 的 SID 具有:
- 修訂層級 (1)
- 識別碼授權單位 (5、NT 授權單位)
- 網域識別碼 (21-1004336348-1177238915-682003330、Contoso)
- (512、Domain Admins) 相對識別碼
Contoso\Domain Admins 的 SID 與其網域識別碼相同企業中的其他 Domain Admins 群組的 SID 區別:21-1004336348-1177238915-682003330。 企業中沒有其他網域使用此值作為其網域識別碼。 Contoso\Domain Admins 的 SID 會與其相對識別碼 512 在 Contoso 網域中建立的其他帳戶和群組區別。 網域中沒有其他帳戶或群組具有最終值為 512 的 SID。
相對識別碼配置
當帳戶和群組儲存在本機安全性帳戶管理員所管理的帳戶資料庫中, (SAM) 時,系統很容易為每個帳戶和它在獨立電腦上建立的群組產生唯一的相對識別碼。 獨立電腦上的 SAM 可以追蹤之前使用的相對識別碼值,並確定它永遠不會再次使用。
不過,在網路網域中,產生唯一相對識別碼是更複雜的程式。 Windows Server 網路網域可以有數個網域控制站。 每個網域控制站都會儲存 Active Directory 帳戶資訊。 這表示,在網路網域中,帳戶資料庫的複本數目與網域控制站一樣多。 此外,每個帳戶資料庫的複本都是主要複本。
您可以在任何網域控制站上建立新的帳戶和群組。 在一個網域控制站上對 Active Directory 所做的變更會複寫到網域中所有其他網域控制站。 將帳戶資料庫之一個主要複本中的變更複寫至所有其他主要複本的程式稱為多宿主作業。
產生唯一相對識別碼的程式是單一主機作業。 一個網域控制站會指派 RID 主機的角色,並將一連串的相對識別碼配置給網域中的每個網域控制站。 在一個網域控制站的 Active Directory 複本中建立新的網域帳戶或群組時,會指派 SID。 新 SID 的相對識別碼取自網域控制站的相對識別碼配置。 當其提供相對識別碼開始執行低時,網域控制站會向 RID 主機要求另一個區塊。
每個網域控制站只會使用一次相對識別碼區塊中的每個值。 RID 主機只會配置每個相對識別碼值的區塊一次。 此程式可確保在網域中建立的每個帳戶和群組都有唯一的相對識別碼。
安全性識別碼和全域唯一識別碼
建立新的網域使用者或群群組帳戶時,Active Directory 會將帳戶的 SID 儲存在 ObjectSID User 或 Group 物件的 屬性中。 它也會將新物件指派全域唯一識別碼 (GUID) ,這是 128 位值,不僅在企業中是唯一的,也是世界各地的唯一值。 GUID 會指派給 Active Directory 所建立的每個物件,而不只是在 User 和 Group 物件中。 每個物件的 GUID 都會儲存在其 屬性中 ObjectGUID 。
Active Directory 會在內部使用 GUID 來識別物件。 例如,GUID 是在通用類別目錄中發佈的其中一個物件屬性。 如果使用者在企業中的某個位置有帳戶,則搜尋 User 物件 GUID 的通用類別目錄會產生結果。 事實上,搜尋 ObjectGUID 任何物件可能是尋找您想要尋找之物件的最可靠方式。 其他物件屬性的值可能會變更,但 ObjectGUID 屬性永遠不會變更。 當物件被指派 GUID 時,它會保留該值供生命週期使用。
如果使用者從某個網域移至另一個網域,使用者就會取得新的 SID。 群組物件的 SID 不會變更,因為群組會保留在建立它們的網域中。 不過,如果人員移動,其帳戶可以與其一起移動。 如果員工從北美洲移至歐洲,但留在同一家公司,企業管理員可以將員工的 User 物件從 Contoso\NoAm 移至 Contoso\Europe。 如果系統管理員這樣做,帳戶的 User 物件需要新的 SID。 在 NoAm 中發出的 SID 網域識別碼部分對 NoAm 而言是唯一的,因此歐洲使用者帳戶的 SID 有不同的網域識別碼。 SID 的相對識別碼部分相對於網域而言是唯一的,因此如果網域變更,相對識別碼也會變更。
當 User 物件從某個網域移至另一個網域時,必須針對使用者帳戶產生新的 SID,並儲存在 屬性中 ObjectSID 。 將新值寫入屬性之前,先前的值會複製到 User 物件的另一個屬性。 SIDHistory 這個屬性可以保存多個值。 每次 User 物件移至另一個網域時,就會在 屬性中 ObjectSID 產生並儲存新的 SID,並將另一個值新增至 中的 SIDHistory 舊 SID 清單。 當使用者登入並成功驗證時,網域驗證服務會查詢 Active Directory 以取得與使用者相關聯的所有 SID,包括使用者的目前 SID、使用者的舊 SID,以及使用者群組的 SID。 所有這些 SID 都會傳回給驗證用戶端,而且會包含在使用者的存取權杖中。 當使用者嘗試取得資源的存取權時,存取權杖中的任何一個 SID (包括) 中的 SIDHistory 其中一個 SID,都可以允許或拒絕使用者存取。
如果您根據使用者的工作允許或拒絕使用者存取資源,您應該允許或拒絕對群組的存取,而非個人存取。 如此一來,當使用者變更作業或移至其他部門時,您可以輕鬆地將其從特定群組中移除,並將其新增至其他人來調整其存取權。
不過,如果您允許或拒絕個別使用者存取資源,您可能希望該使用者的存取權維持不變,而不論使用者帳戶網域變更多少次。 屬性 SIDHistory 可讓此專案成為可能。 當使用者變更網域時,不需要變更任何資源的存取控制清單 (ACL) 。 如果 ACL 有使用者的舊 SID,但不是新的 SID,舊的 SID 仍位於使用者的存取權杖中。 它列在使用者群組的 SID 中,並根據舊的 SID 授與或拒絕使用者存取權。
已知的 SID
特定 SID 的值在所有系統上都是常數。 它們會在安裝作業系統或網域時建立。 它們稱為已知的 SID,因為它們會識別泛型使用者或泛型群組。
在所有使用此安全性模型的安全系統上都有有意義的通用已知 SID,包括 Windows 以外的作業系統。 此外,只有 Windows 作業系統才有有意義的已知 SID。
下表列出通用的已知 SID:
| 值 | 通用已知 SID | 標識 |
|---|---|---|
| S-1-0-0 | Null SID | 沒有成員的群組。 這通常用於不知道 SID 值時。 |
| S-1-1-0 | World | 包含所有使用者的群組。 |
| S-1-2-0 | 本機 | 登入本機 (實際連線至系統的終端機的使用者) 。 |
| S-1-2-1 | 主控台登入 | 群組,包含登入實體主控台的使用者。 |
| S-1-3-0 | 建立者擁有者識別碼 | 要由建立新物件之使用者的安全性識別碼取代的安全性識別碼。 此 SID 用於可繼承的存取控制專案, (ACE) 。 |
| S-1-3-1 | 建立者群組識別碼 | 要由建立新物件之使用者的主要群組 SID 取代的安全性識別碼。 在可繼承的 ACE 中使用這個 SID。 |
| S-1-3-2 | 擁有者伺服器 | 可繼承 ACE 中的預留位置。 繼承 ACE 時,系統會將此 SID 取代為物件的擁有者伺服器的 SID,並儲存建立指定物件或檔案之人員的相關資訊。 |
| S-1-3-3 | 群組伺服器 | 可繼承 ACE 中的預留位置。 繼承 ACE 時,系統會將此 SID 取代為物件的群組伺服器 SID,並儲存允許與物件搭配使用的群組相關資訊。 |
| S-1-3-4 | 擁有者權力 | 表示物件目前擁有者的群組。 當具有此 SID 的 ACE 套用至物件時,系統會忽略物件擁有者的隱含READ_CONTROL和WRITE_DAC許可權。 |
| S-1-4 | 非唯一授權單位 | 代表識別碼授權單位的 SID。 |
| S-1-5 | NT Authority (NT AUTHORITY) | 代表識別碼授權單位的 SID。 |
| S-1-5-80-0 | 所有服務 | 群組,其中包含系統上設定的所有服務進程。 成員資格是由作業系統所控制。 |
下表列出預先定義的識別碼授權單位常數。 前四個值會與通用已知 SID 搭配使用,其餘的值會與本文開頭的 Windows 作業系統中的已知 SID 搭配使用。
| 識別碼授權單位 | 值 | SID 字串前置詞 |
|---|---|---|
| SECURITY_Null_SID_AUTHORITY | 0 | S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 | S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 | S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 | S-1-3 |
| SECURITY_NT_AUTHORITY | 5 | S-1-5 |
| SECURITY_AUTHENTICATION_AUTHORITY | 18 | S-1-18 |
下列 RID 值會搭配通用已知 SID 使用。 [識別碼授權單位] 資料行會顯示識別碼授權單位的前置詞,您可以結合 RID 來建立通用的已知 SID。
| 相對識別碼授權單位 | 值 | 識別碼授權單位 |
|---|---|---|
| SECURITY_Null_RID | 0 | S-1-0 |
| SECURITY_WORLD_RID | 0 | S-1-1 |
| SECURITY_LOCAL_RID | 0 | S-1-2 |
| SECURITY_CREATOR_OWNER_RID | 0 | S-1-3 |
| SECURITY_CREATOR_GROUP_RID | 1 | S-1-3 |
SECURITY_NT_AUTHORITY (S-1-5) 預先定義的識別碼授權單位會產生非通用的 SD,而且只有在本文開頭的 Windows 作業系統安裝中才有意義。
下表列出已知的 SID:
| SID | 顯示名稱 | 描述 |
|---|---|---|
| S-1-5-1 | Dialup (DIALUP) | 群組,包含透過撥號連線登入系統的所有使用者。 |
| S-1-5-113 | 本機帳戶 | 當您將網路登入限制為本機帳戶,而不是「系統管理員」或對等帳戶時,可以使用此 SID。 不論其名稱為何,此 SID 都可以透過帳戶類型封鎖本機使用者和群組的網路登入。 |
| S-1-5-114 | 系統管理員群組的本機帳戶和成員 | 當您將網路登入限制為本機帳戶,而不是「系統管理員」或對等帳戶時,可以使用此 SID。 不論其名稱為何,此 SID 都可以透過帳戶類型封鎖本機使用者和群組的網路登入。 |
| S-1-5-2 | 網路 | 群組,包含透過網路連線登入的所有使用者。 互動式使用者的存取權杖不包含網路 SID。 |
| S-1-5-3 | Batch | 群組,包含已透過批次佇列設施登入的所有使用者,例如工作排程器工作。 |
| S-1-5-4 | 互動式 | 群組,包含以互動方式登入的所有使用者。 使用者可以從遠端電腦開啟遠端桌面服務連線,或使用 Telnet 之類的遠端殼層來啟動互動式登入會話。 在每個案例中,使用者的存取權杖都包含互動式 SID。 如果使用者使用遠端桌面服務連線登入,使用者的存取權杖也會包含遠端互動式登入 SID。 |
| S-1-5-5- X-Y | 登入會話 | 這些 SID 的 X 和 Y 值會唯一識別特定的登入會話。 |
| S-1-5-6 | 服務 | 包含已以服務身分登入的所有安全性主體的群組。 |
| S-1-5-7 | 匿名登入 | 已連線到電腦的使用者,而不需提供使用者名稱和密碼。 匿名登入身分識別與 Internet Information Services (IIS) 用於匿名 Web 存取的身分識別不同。 IIS 預設會使用實際帳戶,IUSR_ComputerName來匿名存取網站上的資源。 嚴格來說,這類存取不是匿名的,因為即使未辨識的人員使用帳戶,安全性主體還是已知。 IUSR_ComputerName (或任何您為帳戶命名) 具有密碼,且 IIS 會在服務啟動時登入帳戶。 因此,IIS「匿名」使用者是已驗證使用者的成員,但匿名登入不是。 |
| S-1-5-8 | Proxy | 目前不適用:未使用此 SID。 |
| S-1-5-9 | 企業網域控制站 | 群組,包含網域樹系中的所有網域控制站。 |
| S-1-5-10 | Self | Active Directory 中使用者、群組或電腦物件的 ACE 中的預留位置。 當您將許可權授與 Self 時,您會將許可權授與物件所代表的安全性主體。 在存取檢查期間,作業系統會將 Self 的 SID 取代為 物件所代表之安全性主體的 SID。 |
| S-1-5-11 | 驗證的使用者 | 群組,包含已驗證身分識別的所有使用者和電腦。 即使來賓帳戶有密碼,已驗證的使用者也不會包含來賓。 此群組包含來自任何受信任網域的已驗證安全性主體,而不只是目前的網域。 |
| S-1-5-12 | 受限制的程式碼 | 在受限制的安全性內容中執行的處理常式所使用的身分識別。 在 Windows 和 Windows Server 作業系統中,軟體限制原則可以將三個安全性層級的其中一個指派給程式碼:UnrestrictedRestrictedDisallowed 當程式碼在受限制的安全性層級執行時,Restricted SID 會新增至使用者的存取權杖。 |
| S-1-5-13 | Terminal Server User | 群組,其中包含已啟用遠端桌面服務的所有使用者登入伺服器。 |
| S-1-5-14 | 遠端互動式登入 | 群組,其中包含使用遠端桌面連線登入電腦的所有使用者。 此群組是互動式群組的子集。 包含遠端互動式登入 SID 的存取權杖也包含互動式 SID。 |
| S-1-5-15 | This Organization | 包含相同組織所有使用者的群組。 僅隨附于 Active Directory 帳戶中,且僅由網域控制站新增。 |
| S-1-5-17 | IUSR | 預設 Internet Information Services (IIS) 使用者使用的帳戶。 |
| S-1-5-18 | 系統 (或 LocalSystem) | 作業系統和設定為以 LocalSystem 登入的服務,在本機使用的身分識別。 系統是系統管理員的隱藏成員。 也就是說,以系統身分執行的任何進程在其存取權杖中具有內建 Administrators 群組的 SID。 當以系統身分在本機執行的進程存取網路資源時,它會使用電腦的網域身分識別來執行此動作。 遠端電腦上的存取權杖包含本機電腦網域帳戶的 SID,以及電腦所屬安全性群組的 SID,例如網域電腦和已驗證的使用者。 |
| S-1-5-19 | NT Authority (LocalService) | 電腦本機服務所使用的身分識別、不需要大量本機存取,也不需要經過驗證的網路存取。 以 LocalService 身分執行的服務會以一般使用者身分存取本機資源,並以匿名使用者身分存取網路資源。 因此,以 LocalService 身分執行的服務,其授權單位遠低於在本機和網路上以 LocalSystem 身分執行的服務。 |
| S-1-5-20 | 網路服務 | 不需要大量本機存取但需要已驗證網路存取的服務所使用的身分識別。 以 NetworkService 身分執行的服務會以一般使用者身分存取本機資源,並使用電腦的身分識別來存取網路資源。 因此,以 NetworkService 身分執行的服務具有與以 LocalSystem 身分執行之服務相同的網路存取權,但大幅降低本機存取。 |
| S-1-5-domain-500 | 系統管理員 | 系統管理員的使用者帳戶。 每部電腦都有本機系統管理員帳戶,而每個網域都有網域系統管理員帳戶。 系統管理員帳戶是在作業系統安裝期間建立的第一個帳戶。 帳戶無法刪除、停用或鎖定,但可以重新命名。 根據預設,系統管理員帳戶是 Administrators 群組的成員,而且無法從該群組中移除。 |
| S-1-5-domain-501 | 來賓 | 沒有個別帳戶之人員的使用者帳戶。 每部電腦都有本機客體帳戶,而每個網域都有網域來賓帳戶。 根據預設,Guest 是「所有人」和「來賓」群組的成員。 網域來賓帳戶也是網域來賓和網域使用者群組的成員。 不同于匿名登入,來賓是真正的帳戶,而且可用來以互動方式登入。 來賓帳戶不需要密碼,但可以有密碼。 |
| S-1-5-domain-502 | KRBTGT | 金鑰發佈中心所使用的使用者帳戶, (KDC) 服務。 帳戶只存在於網域控制站上。 |
| S-1-5-domain-512 | 網域管理員 | 全域群組,具有有權管理網域的成員。 根據預設,Domain Admins 群組是已加入網域之所有電腦上的 Administrators 群組成員,包括網域控制站。 Domain Admins 是群組的任何成員在網域 Active Directory 中建立之任何物件的預設擁有者。 如果群組的成員建立其他物件,例如檔案,則預設擁有者是 Administrators 群組。 |
| S-1-5-domain-513 | 網域使用者 | 全域群組,其中包含網域中的所有使用者。 當您在 Active Directory 中建立新的 User 物件時,會自動將使用者新增至此群組。 |
| S-1-5-domain-514 | 網域來賓 | 根據預設,全域群組只有一個成員:網域的內建來賓帳戶。 |
| S-1-5-domain-515 | 網域電腦 | 全域群組,包含已加入網域的所有電腦,不包括網域控制站。 |
| S-1-5-domain-516 | 網域控制站 | 全域群組,其中包含網域中的所有網域控制站。 新的網域控制站會自動新增至此群組。 |
| S-1-5-domain-517 | Cert Publishers | 全域群組,包含裝載企業憑證授權單位單位的所有電腦。 憑證發行者獲授權在 Active Directory 中發佈使用者物件的憑證。 |
| S-1-5-root domain-518 | Schema Admins | 僅存在於樹系根域中的群組。 如果網域處於原生模式,則為通用群組,如果網域處於混合模式,則為全域群組。 Schema Admins 群組已獲授權在 Active Directory 中進行架構變更。 根據預設,群組的唯一成員是樹系根域的系統管理員帳戶。 |
| S-1-5-root domain-519 | 企業系統管理員 | 僅存在於樹系根域中的群組。 如果網域處於原生模式,則為通用群組,如果網域處於混合模式,則為全域群組。 Enterprise Admins 群組有權變更樹系基礎結構,例如新增子域、設定月臺、授權 DHCP 伺服器,以及安裝企業憑證授權單位單位。 根據預設,Enterprise Admins 的唯一成員是樹系根域的系統管理員帳戶。 此群組是樹系中每個 Domain Admins 群組的預設成員。 |
| S-1-5-domain-520 | Group Policy Creator Owners | 授權在 Active Directory 中建立新群組原則物件的全域群組。 根據預設,群組的唯一成員是 Administrator。 群組原則建立者擁有者擁有者成員所建立的物件,是由建立它們的個別使用者所擁有。 如此一來,群組原則 Creator Owners 群組與其他系統管理群組 (不同,例如系統管理員和網域系統管理員) 。 這些群組成員所建立的物件是由群組所擁有,而不是由個人所擁有。 |
| S-1-5-domain-521 | Read-only Domain Controllers | 包含所有唯讀網域控制站的全域群組。 |
| S-1-5-domain-522 | 可複製的控制器 | 全域群組,其中包含可以複製之網域中的所有網域控制站。 |
| S-1-5-domain-525 | Protected Users | 一個全域群組,可針對驗證安全性威脅提供額外的保護。 |
| S-1-5-root domain-526 | 金鑰管理員 | 此群組適用于信任的外部授權單位負責修改此屬性的案例。 只有受信任的系統管理員應成為此群組的成員。 |
| S-1-5-domain-527 | Enterprise Key Admins | 此群組適用于信任的外部授權單位負責修改此屬性的案例。 只有受信任的企業系統管理員應成為此群組的成員。 |
| S-1-5-32-544 | 系統管理員 | 內建群組。 在作業系統的初始安裝之後,群組的唯一成員是系統管理員帳戶。 當電腦加入網域時,Domain Admins 群組會新增至 Administrators 群組。 當伺服器變成網域控制站時,Enterprise Admins 群組也會新增至 Administrators 群組。 |
| S-1-5-32-545 | 使用者 | 內建群組。 在作業系統的初始安裝之後,唯一的成員是 [已驗證的使用者] 群組。 |
| S-1-5-32-546 | Guests | 內建群組。 根據預設,唯一的成員是來賓帳戶。 來賓群組允許偶爾或一次性使用者以有限的許可權登入電腦內建來賓帳戶。 |
| S-1-5-32-547 | 進階使用者 | 內建群組。 根據預設,群組沒有成員。 進階使用者可以建立本機使用者和群組;修改和刪除他們建立的帳戶;並從 Power Users、Users 和 Guest 群組中移除使用者。 進階使用者也可以安裝程式;建立、管理及刪除本機印表機;和 建立和刪除檔案共用。 |
| S-1-5-32-548 | Account Operators | 僅存在於網域控制站上的內建群組。 根據預設,群組沒有成員。 根據預設,帳戶操作員有權為 Active Directory 的所有容器和組織單位中的使用者、群組和電腦建立、修改和刪除帳戶,但內建容器和網域控制站 OU 除外。 帳戶操作員沒有修改 Administrators 和 Domain Admins 群組的許可權,也無權修改這些群組成員的帳戶。 |
| S-1-5-32-549 | Server Operators | 描述:僅存在於網域控制站上的內建群組。 根據預設,群組沒有成員。 伺服器操作員可以互動方式登入伺服器;建立和刪除網路共用;啟動和停止服務;備份和還原檔案;格式化電腦的硬碟;並關閉電腦。 |
| S-1-5-32-550 | Print Operators | 僅存在於網域控制站上的內建群組。 根據預設,唯一的成員是 Domain Users 群組。 列印操作員可以管理印表機和檔佇列。 |
| S-1-5-32-551 | Backup Operators | 內建群組。 根據預設,群組沒有成員。 不論保護這些檔案的許可權為何,備份操作員都可以備份和還原電腦上的所有檔案。 備份操作員也可以登入電腦,並將它關機。 |
| S-1-5-32-552 | Replicators | 網域控制站上的檔案複寫服務所使用的內建群組。 根據預設,群組沒有成員。 請勿 將使用者新增至此群組。 |
| S-1-5-domain-553 | RAS 和 資訊存取伺服器 | 本機網域群組。 根據預設,此群組沒有成員。 執行路由和遠端存取服務的電腦會自動新增至群組。 此群組的成員可以存取使用者物件的特定屬性,例如讀取帳戶限制、讀取登入資訊及讀取遠端存取資訊。 |
| S-1-5-32-554 | Builtin\Pre-Windows 2000 Compatible Access | Windows 2000 新增的別名。 回溯相容性群組,允許讀取網域中的所有使用者和群組。 |
| S-1-5-32-555 | Builtin\Remote Desktop Users | 別名。 此群組的成員會被授與從遠端登入的許可權。 |
| S-1-5-32-556 | Builtin\Network Configuration Operators | 別名。 此群組的成員可以有一些系統管理許可權來管理網路功能的設定。 |
| S-1-5-32-557 | Builtin\Incoming Forest Trust Builders | 別名。 此群組的成員可以建立此樹系的連入單向信任。 |
| S-1-5-32-558 | Builtin\效能監視器 Users | 別名。 此群組的成員可以遠端存取來監視這部電腦。 |
| S-1-5-32-559 | Builtin\Performance Log Users | 別名。 此群組的成員可以遠端存取此電腦上排程效能計數器的記錄。 |
| S-1-5-32-560 | Builtin\Windows Authorization Access Group | 別名。 此群組的成員可以存取 User 物件上計算的 tokenGroupsGlobalAndUniversal 屬性。 |
| S-1-5-32-561 | Builtin\Terminal Server License Servers | 別名。 終端機伺服器授權伺服器的群組。 安裝 Windows Server 2003 Service Pack 1 時,就會建立新的本機群組。 |
| S-1-5-32-562 | Builtin\Distributed COM 使用者 | 別名。 COM 的群組,提供全電腦存取控制,以控管電腦上所有呼叫、啟用或啟動要求的存取權。 |
| S-1-5-32-568 | Builtin\IIS_IUSRS | 別名。 IIS 使用者的內建群群組帳戶。 |
| S-1-5-32-569 | Builtin\Cryptographic 運算子 | 內建的本機群組。 成員有權執行密碼編譯作業。 |
| S-1-5-domain-571 | 允許的 RODC 密碼複寫群組 | 此群組中的成員可以將其密碼複寫到網域中的所有唯讀網域控制站。 |
| S-1-5-domain-572 | 拒絕的 RODC 密碼複寫群組 | 此群組中的成員無法將其密碼複寫到網域中的所有唯讀網域控制站。 |
| S-1-5-32-573 | Builtin\Event Log Readers | 內建的本機群組。 此群組的成員可以從本機電腦讀取事件記錄檔。 |
| S-1-5-32-574 | Builtin\Certificate Service DCOM 存取 | 內建的本機群組。 允許此群組的成員連線到企業中的憑證授權單位單位。 |
| S-1-5-32-575 | Builtin\RDS 遠端存取服務器 | 內建的本機群組。 此群組中的伺服器可讓 RemoteApp 程式和個人虛擬桌面的使用者存取這些資源。 在網際網路面向的部署中,這些伺服器通常會部署在邊緣網路中。 此群組必須在執行 RD 連線代理人的伺服器上填入。 部署中使用的 RD 閘道伺服器和 RD Web 存取伺服器必須在此群組中。 |
| S-1-5-32-576 | Builtin\RDS Endpoint Servers | 內建的本機群組。 此群組中的伺服器會執行虛擬機器,以及裝載使用者 RemoteApp 程式和個人虛擬桌面執行所在的會話。 此群組必須在執行 RD 連線代理人的伺服器上填入。 部署中使用的 RD 工作階段主機伺服器和 RD 虛擬化主機伺服器必須在此群組中。 |
| S-1-5-32-577 | Builtin\RDS 管理伺服器 | 內建的本機群組。 此群組中的伺服器可以在執行遠端桌面服務的伺服器上執行例行的系統管理動作。 此群組必須在遠端桌面服務部署中的所有伺服器上填入。 執行 RDS 中央管理服務的伺服器必須包含在此群組中。 |
| S-1-5-32-578 | Builtin\Hyper-V 系統管理員 | 內建的本機群組。 此群組的成員具有 Hyper-V 所有功能的完整且不受限制的存取權。 |
| S-1-5-32-579 | Builtin\存取控制協助運算子 | 內建的本機群組。 此群組的成員可以遠端查詢此電腦上資源的授權屬性和許可權。 |
| S-1-5-32-580 | Builtin\Remote Management Users | 內建的本機群組。 此群組的成員可以透過管理通訊協定存取 Windows Management Instrumentation (WMI) 資源 (,例如透過 Windows 遠端系統管理服務) WS-Management。 這只適用于授與使用者存取權的 WMI 命名空間。 |
| S-1-5-64-10 | NTLM 驗證 | 當 NTLM 驗證套件驗證用戶端時所使用的 SID。 |
| S-1-5-64-14 | SChannel 驗證 | SID,用於 SChannel 驗證套件驗證用戶端時。 |
| S-1-5-64-21 | 摘要式驗證 | 摘要式驗證套件驗證用戶端時所使用的 SID。 |
| S-1-5-80 | NT 服務 | 作為 NT 服務帳戶前置詞的 SID。 |
| S-1-5-80-0 | 所有服務 | 群組,包含系統上設定的所有服務進程。 成員資格是由作業系統所控制。 SID S-1-5-80-0 等於 NT SERVICES\ALL SERVICES。 此 SID 是在 Windows Server 2008 R2 中引進的。 |
| S-1-5-83-0 | NT VIRTUAL MACHINE\虛擬機器 | 內建群組。 安裝 Hyper-V 角色時,就會建立群組。 群組中的成員資格是由 Hyper-V 管理服務 (VMMS) 維護。 此群組需要 (SeCreateSymbolicLinkPrivilege) 和以服務身分登入 (SeServiceLogonRight) 的[建立符號連結]。 |
下列 RID 與每個網域相對:
| RID | 十進位值 | 標識 |
|---|---|---|
| DOMAIN_USER_RID_ADMIN | 500 | 網域中的系統管理使用者帳戶。 |
| DOMAIN_USER_RID_GUEST | 501 | 網域中的來賓使用者帳戶。 沒有帳戶的使用者可以自動登入此帳戶。 |
| DOMAIN_GROUP_RID_USERS | 513 | 包含網域中所有使用者帳戶的群組。 所有使用者都會自動新增至此群組。 |
| DOMAIN_GROUP_RID_GUESTS | 514 | 網域中的群組來賓帳戶。 |
| DOMAIN_GROUP_RID_COMPUTERS | 515 | [網域電腦] 群組。 網域中的所有電腦都是此群組的成員。 |
| DOMAIN_GROUP_RID_CONTROLLERS | 516 | 網域控制站群組。 網域中的所有網域控制站都是此群組的成員。 |
| DOMAIN_GROUP_RID_CERT_ADMINS | 517 | 憑證發行者群組。 執行 Active Directory 憑證服務的電腦是此群組的成員。 |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS | 518 | 架構系統管理員群組。 此群組的成員可以修改 Active Directory 架構。 |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS | 519 | 企業系統管理員群組。 此群組的成員具有 Active Directory 樹系中所有網域的完整存取權。 企業系統管理員負責樹系層級作業,例如新增或移除新網域。 |
| DOMAIN_GROUP_RID_POLICY_ADMINS | 520 | 原則管理員群組。 |
下表列出用來形成本機群組已知 SID 的網域相對 RID 範例:
| RID | 十進位值 | 標識 |
|---|---|---|
| DOMAIN_ALIAS_RID_ADMINS | 544 | 網域的系統管理員。 |
| DOMAIN_ALIAS_RID_USERS | 545 | 網域中的所有使用者。 |
| DOMAIN_ALIAS_RID_GUESTS | 546 | 網域的來賓。 |
| DOMAIN_ALIAS_RID_POWER_USERS | 547 | 使用者或一組預期將系統視為其個人電腦的使用者,而不是多位使用者的工作站。 |
| DOMAIN_ALIAS_RID_BACKUP_OPS | 551 | 用來控制檔案備份與還原使用者權限指派的本機群組。 |
| DOMAIN_ALIAS_RID_REPLICATOR | 552 | 負責將安全性資料庫從主要網域控制站複製到備份網域控制站的本機群組。 這些帳戶僅供系統使用。 |
| DOMAIN_ALIAS_RID_RAS_SERVERS | 553 | 本機群組,表示執行網際網路驗證服務 (IAS) 的遠端存取和伺服器。 此群組允許存取 User 物件的各種屬性。 |
安全性識別碼功能的變更
下表說明 Windows 作業系統中 SID 實作的變更:
| 變更 | 作業系統版本 | 描述和資源 |
|---|---|---|
| 大部分的作業系統檔案都是由 TrustedInstaller 安全性識別碼所擁有, (SID) | Windows Server 2008、Windows Vista | 這項變更的目的是防止以系統管理員身分或 LocalSystem 帳戶執行的進程自動取代作業系統檔案。 |
| 實作受限制的 SID 檢查 | Windows Server 2008、Windows Vista | 限制 SID 時,Windows 會執行兩個存取檢查。 第一個是一般存取檢查,第二個是針對權杖中限制 SID 的相同存取檢查。 這兩個存取檢查都必須通過,才能讓進程存取物件。 |
功能 SID
功能安全性識別碼是用來唯一且不變地識別代表授權單位權杖的功能,其會將存取權授與通用 Windows 應用程式 (的資源 (。檔、相機和位置) 。 具有功能的應用程式會獲授與與功能相關聯之資源的存取權,且沒有功能的應用程式會拒絕對資源的存取權。
作業系統知道的所有功能 SID 都會儲存在 Windows 登錄中的路徑 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities'。 第一方或協力廠商應用程式新增至 Windows 的任何功能 SID 會新增至此位置。
從 Windows 10 版本 1909、64 位企業版取得的登錄機碼範例
您可能會在 AllCachedCapabilities 底下看到下列登錄機碼:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
所有功能 S-1-15-3 的前置詞都是 S-15-3。
從 Windows 11 版本 21H2、64 位企業版取得的登錄機碼範例
您可能會在 AllCachedCapabilities 底下看到下列登錄機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
所有功能 S-1-15-3 的前置詞都是 S-15-3。