Windows Access Control
搜索文档…
⌃K

(三)SID字符串

SID字符串

在安全描述符定义语言(SDDL)中,安全描述符字符串将SID字符串用于安全描述符的以下部分:
  • Owner
  • Primary group
  • The trustee in an ACE
安全描述符字符串中的SID字符串可以使用SID的标准字符串表示形式(S-R-I-S-S)或Sddl.h中定义的字符串常量之一。
在Sddl.h中定义了以下用于常见SID的SID字符串常量。
SDDL SID 字符串
Sddl.h 中的长度
帐户别名和相应的RID
"AN"
SDDL_ANONYMOUS
匿名登录。相应的RID为SECURITY_ANONYMOUS_LOGON_RID
"AO"
SDDL_ACCOUNT_OPERATORS
帐户操作员。相应的RID为DOMAIN_ALIAS_RID_ACCOUNT_OPS。
"AU"
SDDL_AUTHENTICATED_USERS
经过身份验证的用户。相应的RID是SECURITY_AUTHENTICATED_USER_RID。
"BA"
SDDL_BUILTIN_ADMINISTRATORS
内置管理员。相应的RID是DOMAIN_ALIAS_RID_ADMINS。
"BG"
SDDL_BUILTIN_GUESTS
内置来宾。相应的RID是DOMAIN_ALIAS_RID_GUESTS。
"BO"
SDDL_BACKUP_OPERATORS
备份运算符。相应的RID是DOMAIN_ALIAS_RID_BACKUP_OPS。
"BU"
SDDL_BUILTIN_USERS
内置用户。相应的RID是DOMAIN_ALIAS_RID_USERS。
"CA"
SDDL_CERT_SERV_ADMINISTRATORS
证书发布者。相应的RID是DOMAIN_GROUP_RID_CERT_ADMINS。
"CD"
SDDL_CERTSVC_DCOM_ACCESS
可以使用分布式组件对象模型(DCOM)连接到证书颁发机构的用户。相应的RID是DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP。
"CG"
SDDL_CREATOR_GROUP
创作者组。相应的RID是SECURITY_CREATOR_GROUP_RID。
"CO"
SDDL_CREATOR_OWNER
创作者所有者。相应的RID是SECURITY_CREATOR_OWNER_RID。
"DA"
SDDL_DOMAIN_ADMINISTRATORS
域管理员。相应的RID为DOMAIN_GROUP_RID_ADMINS。
"DC"
SDDL_DOMAIN_COMPUTERS
域计算机。相应的RID是DOMAIN_GROUP_RID_COMPUTERS。
"DD"
SDDL_DOMAIN_DOMAIN_CONTROLLERS
域控制器。相应的RID是DOMAIN_GROUP_RID_CONTROLLERS。
"DG"
SDDL_DOMAIN_GUESTS
域来宾。相应的RID是DOMAIN_GROUP_RID_GUESTS。
"DU"
SDDL_DOMAIN_USERS
域用户。相应的RID是DOMAIN_GROUP_RID_USERS。
"EA"
SDDL_ENTERPRISE_ADMINS
企业管理员。相应的RID为DOMAIN_GROUP_RID_ENTERPRISE_ADMINS。
"ED"
SDDL_ENTERPRISE_DOMAIN_CONTROLLERS
企业域控制器。相应的RID是SECURITY_SERVER_LOGON_RID。
"HI"
SDDL_ML_HIGH
高诚信度。相应的RID是SECURITY_MANDATORY_HIGH_RID。
"IU"
SDDL_INTERACTIVE
交互式登录的用户。这是在以交互方式登录时添加到进程令牌中的组标识符。相应的登录类型为LOGON32_LOGON_INTERACTIVE。相应的RID是SECURITY_INTERACTIVE_RID。
"LA"
SDDL_LOCAL_ADMIN
本地管理员。相应的RID是DOMAIN_USER_RID_ADMIN。
"LG"
SDDL_LOCAL_GUEST
当地客人。相应的RID为DOMAIN_USER_RID_GUEST。
"LS"
SDDL_LOCAL_SERVICE
本地服务帐户。相应的RID是SECURITY_LOCAL_SERVICE_RID。
"LW"
SDDL_ML_LOW
完整性等级低。相应的RID是SECURITY_MANDATORY_LOW_RID。
"ME"
SDDL_MLMEDIUM
中等完整性级别。相应的RID是SECURITY_MANDATORY_MEDIUM_RID。
"MU"
SDDL_PERFMON_USERS
性能监视器用户。
"NO"
SDDL_NETWORK_CONFIGURATION_OPS
网络配置运营商。相应的RID是DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS。
"NS"
SDDL_NETWORK_SERVICE
网络服务帐户。相应的RID是SECURITY_NETWORK_SERVICE_RID。
"NU"
SDDL_NETWORK
网络登录用户。这是在通过网络登录时添加到进程令牌中的组标识符。相应的登录类型为LOGON32_LOGON_NETWORK。相应的RID是SECURITY_NETWORK_RID。
"PA"
SDDL_GROUP_POLICY_ADMINS
组策略管理员。相应的RID为DOMAIN_GROUP_RID_POLICY_ADMINS。
"PO"
SDDL_PRINTER_OPERATORS
打印机操作员。相应的RID是DOMAIN_ALIAS_RID_PRINT_OPS。
"PS"
SDDL_PERSONAL_SELF
主要自我。相应的RID是SECURITY_PRINCIPAL_SELF_RID。
"PU"
SDDL_POWER_USERS
超级用户。相应的RID是DOMAIN_ALIAS_RID_POWER_USERS。
"RC"
SDDL_RESTRICTED_CODE
受限制的代码。这是使用CreateRestrictedToken函数创建的受限令牌。相应的RID为SECURITY_RESTRICTED_CODE_RID。
"RD"
SDDL_REMOTE_DESKTOP
终端服务器用户。相应的RID是DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS。
"RE"
SDDL_REPLICATOR
复制器。相应的RID是DOMAIN_ALIAS_RID_REPLICATOR。
"RO"
SDDL_ENTERPRISE_RO_DCs
企业只读域控制器。相应的RID为DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS。
"RS"
SDDL_RAS_SERVERS
RAS服务器组。相应的RID是DOMAIN_ALIAS_RID_RAS_SERVERS。
"RU"
SDDL_ALIAS_PREW2KCOMPACC
为使用与Windows 2000之前的操作系统兼容的应用程序的帐户授予权限的别名。相应的RID为DOMAIN_ALIAS_RID_PREW2KCOMPACCESS。
"SA"
SDDL_SCHEMA_ADMINISTRATORS
架构管理员。相应的RID是DOMAIN_GROUP_RID_SCHEMA_ADMINS。
"SI"
SDDL_ML_SYSTEM
系统完整性级别。相应的RID是SECURITY_MANDATORY_SYSTEM_RID。
"SO"
SDDL_SERVER_OPERATORS
服务器操作员。相应的RID是DOMAIN_ALIAS_RID_SYSTEM_OPS。
"SU"
SDDL_SERVICE
服务登录用户。这是在作为服务登录时添加到进程令牌中的组标识符。相应的登录类型为LOGON32_LOGON_SERVICE。相应的RID是SECURITY_SERVICE_RID。
"SY"
SDDL_LOCAL_SYSTEM
本地系统。相应的RID是SECURITY_LOCAL_SYSTEM_RID。
"WD"
SDDL_EVERYONE
每个人。相应的RID是SECURITY_WORLD_RID。
ConvertSidToStringSidConvertStringSidToSid函数始终使用标准SID字符串表示法,并且不支持SDDL SID字符串常量。