Windows每一个主体,如电脑,账户,服务等,都有一个安全标识符(Security Identifier,SID);一般来说,安全标识符是一串特殊的字符串,它代表着某一安全主体。
安全标识符有以下几部分组成:
(1)安全标识符以大写字母S开头,表明是一个安全标识符;
(2)修订级别,通常为1;
(3) 颁发机构用来表示标识符的发行机构;以下是常用的标识符发行机构:
| 标识符发行机构 | 说明 |
0 |
Security_Null_SID_Authority,用于颁发机构不可知时 |
1 |
Security_Local_SID_Authority,用于创建代表所有用户的安全标识符。例如,所有用户组的安全标识符是S-1-1-0,由通用标识符0和颁发机构组合而成,其表示所有该机构的用户; |
2 |
Security_Local_SID_Authority,用来创建代表本地终端的登陆用户的安全标识符; |
3 |
Security_Creator_SID_Authority,用来创建代表某个对象的创建者或是所有者的安全标识符。例如,文件所有者的安全标识符是S-1-3-0,其实由创建者或者所有者的相对标识符0和颁发机构组合而成。S-1-3-0用在可继承的访问控制列表中,在继承该列表的子对象里,其会被所有者的安全标识符所替代。S-1-3-1是文件所有者的安全标识符,其也有同样的作用,不过其安全标识符来自创建者的主要组; |
5 |
Security_NT_Authority,代表操作系统本身的一部分。以S-1-5开头的安全标识符是由计算机或域发布的,几乎所有这样的安全标识符都带有S-1-5 |
(4)第一个子颁发机构一般也是常用的颁发机构;其他的子颁发机构组合起来表示发布标识符的域或者计算机。
常用的子颁发机构如下:
| 子颁发机构 | 说明 |
5 |
此安全标识符发布给登录的会话,允许将权限授予特定登录会话下运行的应用程序。这些安全标识符的第一个子颁发机构是5,基本格式S-1-5-5-x-y; |
6 |
当一个进程以服务的形式登录,其令牌中就具有特殊的安全标识符。该安全标识符的子颁发机构是6,基本格式是S-1-5-6; |
21 |
Security_NT_NON_Unique,表示用户或计算机的安全标识符并非是唯一的; |
32 |
Security_Builtin_Domain_RID,表示内置的安全标识符。例如内置管理员组的知名安全标识符是S-1-5-21-544; |
80 |
Security_Service_ID_Base_RID,表示服务的安全标识符; |
(5)相对标识符,用来表示用户或者计算机;
常用域的相对标识符:
| 相对标识符 | 说明 |
| 500 | 管理员 |
| 501 | 来宾 |
| 502 | 密钥分发中心服务的服务账户 |
| 512 | 域管理员 |
| 513 | 域用户 |
| 514 | 域来宾 |
| 515 | 域计算机 |
| 516 | 域控制器 |
| 544 | 内置管理员 |
| 545 546 |
内置用户 内置来宾 |
本文转自 bannerpei 51CTO博客,原文链接:http://blog.51cto.com/281816327/1409081,如需转载请自行联系原作者
