SID 字串
在安全性描述元定義語言 (SDDL) 中,安全性描述元字串會針對安全性描述元的下列元件使用 SID 字串:
- 負責人
- 主要群組
- ACE 中的受託人
安全性描述元字串中的 SID 字串可以使用 SID (S-R- I-S-) 的標準字串表示法,或是 Sddl.h 中定義的其中一個字串常數。 如需標準 SID 字串表示法的詳細資訊,請參閱 SID 元件。
下列已知 SID 的 SID 字串常數定義於 Sddl.h 中。 如需對應相對標識符的相關信息(RID),請參閱已知的 SID。
| SDDL SID 字串 | Sddl.h 中的常數 | 帳戶別名和對應的 RID |
|---|---|---|
| “AA” | SDDL_ACCESS_CONTROL_ASSISTANCE_OPS | 訪問控制協助操作員。 對應的 RID 是DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003: 無法使用。 |
| “AC” | SDDL_ALL_APP_PACKAGES | 在應用程式套件內容中執行的所有應用程式。 對應的 RID 是SECURITY_BUILTIN_PACKAGE_ANY_PACKAGE。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003: 無法使用。 |
| “AN” | SDDL_ANONYMOUS | 匿名登入。 對應的 RID 是SECURITY_ANONYMOUS_LOGON_RID。 |
| “AO” | SDDL_ACCOUNT_OPERATORS | 帳戶操作員。 對應的 RID 是DOMAIN_ALIAS_RID_ACCOUNT_OPS。 |
| “AP” | SDDL_PROTECTED_USERS | 受保護的使用者。 對應的 RID 是DOMAIN_GROUP_RID_PROTECTED_USERS。 Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003: 無法使用。 |
| “AU” | SDDL_AUTHENTICATED_USERS | 已驗證的使用者。 對應的 RID 是SECURITY_AUTHENTICATED_USER_RID。 |
| “BA” | SDDL_BUILTIN_ADMINISTRATORS | 內建系統管理員。 對應的 RID DOMAIN_ALIAS_RID_ADMINS。 |
| “BG” | SDDL_BUILTIN_GUESTS | 內建來賓。 對應的 RID 是DOMAIN_ALIAS_RID_GUESTS。 |
| “BO” | SDDL_BACKUP_OPERATORS | 備份運算子。 對應的 RID 是DOMAIN_ALIAS_RID_BACKUP_OPS。 |
| “BU” | SDDL_BUILTIN_USERS | 內建使用者。 對應的 RID DOMAIN_ALIAS_RID_USERS。 |
| “CA” | SDDL_CERT_SERV_ADMINISTRATORS | 憑證發行者。 對應的 RID 是DOMAIN_GROUP_RID_CERT_ADMINS。 |
| “CD” | SDDL_CERTSVC_DCOM_ACCESS | 可以使用分散式元件物件模型 (DCOM) 連線到證書頒發機構單位的使用者。 對應的 RID 是DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP。 Windows Server 2008、Windows Vista 和 Windows Server 2003: 無法使用。 |
| “CG” | SDDL_CREATOR_GROUP | 建立者群組。 對應的 RID 是SECURITY_CREATOR_GROUP_RID。 |
| “CN” | SDDL_CLONEABLE_CONTROLLERS | 可複製的域控制器。 對應的 RID 是DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003: 無法使用。 |
| “CO” | SDDL_CREATOR_OWNER | 建立者擁有者。 對應的 RID SECURITY_CREATOR_OWNER_RID。 |
| “CY” | SDDL_CRYPTO_OPERATORS | Crypto 運算子。 對應的 RID 是DOMAIN_ALIAS_RID_CRYPTO_OPERATORS。 Windows Server 2003:* 無法使用。 |
| “DA” | SDDL_DOMAIN_ADMINISTRATORS | 網域系統管理員。 對應的 RID 是DOMAIN_GROUP_RID_ADMINS。 |
| “DC” | SDDL_DOMAIN_COMPUTERS | 網域電腦。 對應的 RID 會DOMAIN_GROUP_RID_COMPUTERS。 |
| “DD” | SDDL_DOMAIN_DOMAIN_CONTROLLERS | 域控制器。 對應的 RID 是DOMAIN_GROUP_RID_CONTROLLERS。 |
| “DG” | SDDL_DOMAIN_GUESTS | 網域來賓。 對應的 RID 是DOMAIN_GROUP_RID_GUESTS。 |
| “DU” | SDDL_DOMAIN_USERS | 網域使用者。 對應的 RID 是DOMAIN_GROUP_RID_USERS。 |
| “EA” | SDDL_ENTERPRISE_ADMINS | 企業系統管理員。 對應的 RID DOMAIN_GROUP_RID_ENTERPRISE_ADMINS。 |
| “ED” | SDDL_ENTERPRISE_DOMAIN_CONTROLLERS | 企業域控制器。 對應的 RID 是SECURITY_SERVER_LOGON_RID。 |
| “EK” | SDDL_ENTERPRISE_KEY_ADMINS | 企業金鑰管理員。 對應的 RID 是DOMAIN_GROUP_RID_ENTERPRISE_KEY_ADMINS。 Windows Server 2012 R2、Windows 8.1、Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003: 無法使用。 |
| “ER” | SDDL_EVENT_LOG_READERS | 事件記錄檔讀取器。 對應的 RID 是DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP。 Windows Server 2008、Windows Vista 和 Windows Server 2003: 無法使用。 |
| “ES” | SDDL_RDS_ENDPOINT_SERVERS | 端點伺服器。 對應的 RID 是DOMAIN_ALIAS_RID_RDS_ENDPOINT_SERVERS。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003: 無法使用。 |
| “HA” | SDDL_HYPER_V_ADMINS | Hyper-V 系統管理員。 對應的 RID 是DOMAIN_ALIAS_RID_HYPER_V_ADMINS。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003: 無法使用。 |
| “HI” | SDDL_ML_HIGH | 高完整性層級。 對應的 RID 是SECURITY_MANDATORY_HIGH_RID。 Windows Server 2003: 無法使用。 |
| “HO” | SDDL_USER_MODE_HARDWARE_OPERATORS | 群組成員可以從使用者模式操作硬體。 對應的 RID DOMAIN_ALIAS_RID_USER_MODE_HARDWARE_OPERATORS。 |
| “IS” | SDDL_IIS_USERS | 匿名因特網使用者。 對應的 RID 是DOMAIN_ALIAS_RID_IUSERS。 Windows Server 2003: 無法使用。 |
| “IU” | SDDL_INTERACTIVE | 以互動方式登入的使用者。 這是在以互動方式登入時,新增至進程令牌的群組標識碼。 對應的登入類型LOGON32_LOGON_INTERACTIVE。 對應的 RID 是SECURITY_INTERACTIVE_RID。 |
| “KA” | SDDL_KEY_ADMINS | 網域金鑰管理員。 對應的 RID 是DOMAIN_GROUP_RID_KEY_ADMINS。 Windows Server 2012 R2、Windows 8.1、Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003: 無法使用。 |
| “LA” | SDDL_LOCAL_ADMIN | 本機系統管理員。 對應的 RID 會DOMAIN_USER_RID_ADMIN。 |
| “LG” | SDDL_LOCAL_GUEST | 本機來賓。 對應的 RID DOMAIN_USER_RID_GUEST。 |
| “LS” | SDDL_LOCAL_SERVICE | 本地服務帳戶。 對應的 RID 是SECURITY_LOCAL_SERVICE_RID。 |
| “LU” | SDDL_PERFLOG_USERS | 效能記錄使用者。 對應的 RID 會DOMAIN_ALIAS_RID_LOGGING_USERS。 |
| “LW” | SDDL_ML_LOW | 低完整性層級。 對應的 RID 是SECURITY_MANDATORY_LOW_RID。 Windows Server 2003: 無法使用。 |
| “ME” | SDDL_ML_MEDIUM | 中度完整性層級。 對應的 RID SECURITY_MANDATORY_MEDIUM_RID。 Windows Server 2003: 無法使用。 |
| “MP” | SDDL_ML_MEDIUM_PLUS | 中加號完整性層級。 對應的 RID 是SECURITY_MANDATORY_MEDIUM_PLUS_RID。 Windows Server 2008、Windows Vista 和 Windows Server 2003: 無法使用。 |
| “MU” | SDDL_PERFMON_USERS | 效能監視器 使用者。 對應的 RID 是DOMAIN_ALIAS_RID_MONITORING_USERS。 |
| “NO” | SDDL_NETWORK_CONFIGURATION_OPS | 網路設定操作員。 對應的 RID 是DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS。 |
| “NS” | SDDL_NETWORK_SERVICE | 網路服務帳戶。 對應的 RID 是SECURITY_NETWORK_SERVICE_RID。 |
| “NU” | SDDL_NETWORK | 網路登入使用者。 這是在跨網路登入時,新增至進程令牌的群組標識符。 對應的登入類型是LOGON32_LOGON_NETWORK。 對應的 RID 是SECURITY_NETWORK_RID。 |
| “OW” | SDDL_OWNER_RIGHTS | 擁有者權利 SID。 對應的 RID 會SECURITY_CREATOR_OWNER_RIGHTS_RID。 Windows Server 2003:* 無法使用。 |
| “PA” | SDDL_GROUP_POLICY_ADMINS | 組策略管理員。 對應的 RID DOMAIN_GROUP_RID_POLICY_ADMINS。 |
| “PO” | SDDL_PRINTER_OPERATORS | 印表機運算子。 對應的 RID 是DOMAIN_ALIAS_RID_PRINT_OPS |
| “PS” | SDDL_PERSONAL_SELF | 主體自我。 對應的 RID 是SECURITY_PRINCIPAL_SELF_RID。 |
| “PU” | SDDL_POWER_USERS | Power users。 對應的 RID 會DOMAIN_ALIAS_RID_POWER_USERS。 |
| “RA” | SDDL_RDS_REMOTE_ACCESS_SERVERS | RDS 遠端存取伺服器。 對應的 RID 是DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_SERVERS。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003: 無法使用。 |
| “RC” | SDDL_RESTRICTED_CODE | 受限制的程序代碼。 這是使用 CreateRestrictedToken 函式建立的受限制令牌。 對應的 RID SECURITY_RESTRICTED_CODE_RID。 |
| “RD” | SDDL_REMOTE_DESKTOP | 終端伺服器使用者。 對應的 RID 是DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS。 |
| “RE” | SDDL_REPLICATOR | 複製。 對應的 RID 是DOMAIN_ALIAS_RID_REPLICATOR。 |
| “RM” | SDDL_RMS__SERVICE_OPERATORS | RMS 服務。 僅適用於 Windows Vista。 |
| “RO” | SDDL_ENTERPRISE_RO_DCs | 企業只讀域控制器。 對應的 RID 是DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS。 Windows Server 2008、Windows Vista 和 Windows Server 2003: 無法使用。 |
| “RS” | SDDL_RAS_SERVERS | RAS 伺服器群組。 對應的 RID DOMAIN_ALIAS_RID_RAS_SERVERS。 |
| “RU” | SDDL_ALIAS_PREW2KCOMPACC | 將許可權授與與 Windows 2000 之前操作系統相容之帳戶的別名。 對應的 RID 是DOMAIN_ALIAS_RID_PREW2KCOMPACCESS。 |
| “SA” | SDDL_SCHEMA_ADMINISTRATORS | 架構管理員。 對應的 RID 是DOMAIN_GROUP_RID_SCHEMA_ADMINS。 |
| “SI” | SDDL_ML_SYSTEM | 系統完整性層級。 對應的 RID SECURITY_MANDATORY_SYSTEM_RID。 Windows Server 2003: 無法使用。 |
| “SO” | SDDL_SERVER_OPERATORS | 伺服器運算元。 對應的 RID DOMAIN_ALIAS_RID_SYSTEM_OPS。 |
| “SS” | SDDL_SERVICE_ASSERTED | 驗證服務已判斷提示。 對應的 RID SECURITY_AUTHENTICATION_SERVICE_ASSERTED_RID。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003: 無法使用。 |
| “SU” | SDDL_SERVICE | 服務登入使用者。 這是當進程記錄為服務時,新增至進程的令牌中的群組標識碼。 對應的登入類型LOGON32_LOGON_SERVICE。 對應的 RID 是SECURITY_SERVICE_RID。 |
| “SY” | SDDL_LOCAL_SYSTEM | 本機系統。 對應的 RID 是SECURITY_LOCAL_SYSTEM_RID。 |
| “UD” | SDDL_USER_MODE_DRIVERS | 使用者模式驅動程式。 對應的 RID 會SECURITY_USERMODEDRIVERHOST_ID_BASE_RID。 Windows Server 2008 R2、Windows 7、Windows Server 2008、Windows Vista 和 Windows Server 2003: 無法使用。 |
| “WD” | SDDL_EVERYONE | 所有人。 對應的 RID SECURITY_WORLD_RID。 |
| “WR” | SDDL_WRITE_RESTRICTED_CODE | 撰寫受限制的程序代碼。 對應的 RID 會SECURITY_WRITE_RESTRICTED_CODE_RID。 Windows Server 2003:* 無法使用。 |
ConvertSidToStringSid 和 ConvertStringSidToSid 函式一律使用標準 SID 字串表示法,而且不支援 SDDL SID 字串串常數。
如需已知 SID 的詳細資訊,請參閱 已知的 SID。
另請參閱
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應