参考

在Windows操作系统中的常见安全标识符
公认 SID

SID：S-1-0
名称：空局
说明：标识符颁发机构。
SID：S-1-0-0
名称：Nobody
说明：无安全主体。
SID：S-1-1
名称：世界权威机构
说明：标识符颁发机构。
SID：S-1-1-0
名称：每个人
说明：包括所有用户，甚至匿名用户和来宾的组。成员身份由操作系统。控制注意默认情况下，Everyone组不再包括运行Windows XP的Service Pack 2（SP2）的计算机上的匿名用户。

SID：S-1-2
名称：本地机构
说明：标识符颁发机构。
SID：S-1-2-0
名称：Local
描述：一个包括谁已本地登录的用户的组。
SID：S-1-2-1
名称：允许进行控制台登录
说明：包括登录到物理控制台谁的用户的组 注意添加在Windows 7和Windows Server 2008 R2

SID：S-1-3
名称：Creator管理局
说明：标识符颁发机构。
SID：S-1-3-0
名称：创建者所有者
说明：可继承访问控制项（ACE）中的占位符。当ACE被继承时，系统替换此SID与SID为对象的创建者。
SID：S-1-3-1
名称：创建者组
说明：可继承ACE中的占位符。当ACE被继承时，系统替换此SID与SID为对象创建者的主要组。主要组仅由POSIX子系统使用。
SID：S-1-3-2
名称：创建者所有者服务器
描述：此SID不在Windows 2000中使用。
SID：S-1-3-3
名称：Creator组服务器
说明：此SID不在Windows 2000中使用。
SID：S-1-3-4名称：所有者权限
说明：代表对象的当前所有者的组。当携带此SID的ACE被应用于对象时，系统将忽略对象所有者的隐式READ_CONTROL和WRITE_DAC权限。
SID：S-1-5-80-0
名称：所有服务
描述：包括系统上配置的所有服务流程的组。成员身份由操作系统控制。注意添加在Windows Vista和Windows Server 2008

SID：S-1-4
名称：Non-唯一权威机构
说明：标识符颁发机构。
SID：S-1-5
名称：NT AUTHORITY
说明：标识符颁发机构。
SID：S-1-5-1
名称：拨号
说明：包括谁已经通过拨号连接登录的所有用户的组。籍由操作系统控制。
SID：S-1-5-2
名称：Network
说明：一个包括所有通过网络连接登录的用户的组。籍由操作系统控制。
SID：S-1-5-3
名称：批处理
说明：一个包括所有通过批队列功能登录的用户的组。籍由操作系统控制。
SID：S-1-5-4
名称：交互式
说明：一个包括所有以交互方式登录的用户的组。籍由操作系统控制。
SID：S-1-5-5-XY
名称：登录会话
说明：登录会话。这些SID的X和Y值因会话而不同。
SID：S-1-5-6
名称：服务
描述：一个包括登录为服务的所有安全主体的组。籍由操作系统控制。
SID：S-1-5-7
名称：Anonymous
说明：一个包括所有以匿名方式登录的用户的组。籍由操作系统控制。
SID：S-1-5-8
名称：Proxy
说明：此SID不在Windows 2000中使用。
SID：S-1-5-9
名称：企业域控制器
说明：一个由使用Active Directory目录服务的林中所有域控制器组成的组。籍由操作系统控制。
SID：S-1-5-10
名称：主体自我
描述：在Active Directory中的帐户对象或组对象上可继承ACE中的占位符。当ACE被继承时，系统替换此SID的SID对于谁拥有该帐户的安全主体。
SID：S-1-5-11
名称：身份验证的用户
说明：一个包括其身份，当他们登录进行身份验证的用户的组。籍由操作系统控制。
SID：S-1-5-12
名称：受限代码
说明：此SID保留供以后使用。
SID：S-1-5-13
名称：Terminal Server用户
描述：一个包括所有登录到终端服务服务器的用户的组。籍由操作系统控制。
SID：S-1-5-14
名称：远程交互式登录
说明：包括谁已经通过终端服务登录方式登录的用户的组。
SID：S-1-5-15
名称：此组织
说明：一个包括来自同一组织中的所有用户的组。仅随AD帐户并且只通过Windows Server 2003或更高版本的域控制器添加。
SID：S-1-5-17
名称：此组织
说明：所使用的默认的Internet信息服务（IIS）用户的帐户。
SID：S-1-5-18
名称：本地系统
说明：所使用的操作系统的服务帐户。
SID：S-1-5-19
名称：NT AUTHORITY
说明：本地服务
SID：S-1-5-20
名称：NT AUTHORITY
说明：网络服务
SID：S-1-5-21 域 -500
名称：管理员
说明：用户帐户的系统管理员。默认情况下，它是被赋予了完全控制系统的唯一用户帐户。
SID：S-1-5-21 域 -501
名称：访客
说明：用户帐户不具备个人帐户谁的人。此用户帐户不需要密码。默认情况下，禁用来宾帐户。
SID：S-1-5-21 域 -502
名称：KRBTGT
描述：所使用的密钥分发中心（KDC）服务的服务帐户。
SID：S-1-5-21 域 -512
名称：域管理员
说明：一个全局组，其成员被授权管理该域。默认情况下，Domain Admins组是已加入域，包括域控制器上的所有计算机的Administrators组的成员。域管理员是受该组的任何成员创建的任何对象的默认所有者。
SID：S-1-5-21 域 -513
名称：域用户
说明：一个全局组，默认情况下它包括域中的所有用户帐户。当您在一个域中创建用户帐户，则默认情况下添加到该组。
SID：S-1-5-21 域 -514
名称：域来宾
描述：一个全局组，默认情况下，只有一个成员，即域的内置Guest帐户。
SID：S-1-5-21 域 -515
名称：域计算机
说明：一个全局组，其中包括所有客户端，并且加入了域服务器。
SID：S-1-5-21 域 -516
名称：域控制器
说明：一个全局组，其中包括在域中的所有域控制器。新的域控制器默认情况下，添加到该组。
SID：S-1-5-21 域 -517
名称：证书发布
说明：一个全局组，其中包括所有运行企业证书颁发机构的所有计算机。证书Publishers被授权发布在Active Directory用户对象的证书。
SID：S-1-5-21 根域 -518
名称：架构管理员
说明：在本机模式域中的通用组; 在混合模式域中的全局组。该集团授权在Active Directory架构更改。默认情况下，该组的唯一成员是林根域的Administrator帐户。
SID：S-1-5-21 根域 -519
名称：企业管理员
说明：在本机模式域中的通用组; 在混合模式域中的全局组。该集团授权在Active Directory林范围的更改，例如添加子域。默认情况下，该组的唯一成员是林根域的Administrator帐户。
SID：S-1-5-21 域 -520
名称：组策略创建所有者
描述：一个被授权在Active Directory中新的组策略对象的全局组。默认情况下，该组的唯一成员是管理员。
SID：S-1-5-21 域 -553
名称：RAS和IAS服务器
说明：域本地组。默认情况下，该组没有成员。该组中的服务器具有读取帐户限制和读取登录信息访问用户对象在Active Directory域本地组。
SID：S-1-5-32-544
名称：管理员
说明：内置组。该操作系统的初始安装后，该组的唯一成员是Administrator帐户。当一台计算机加入域时，Domain Admins组将被添加到Administrators组中。当服务器成为域控制器时，Enterprise Admins组也被添加到Administrators组中。
SID：S-1-5-32-545
名称：用户
说明：内置组。该操作系统的初始安装后，唯一成员是Authenticated Users组。当计算机加入域时，Domain Users组将被添加到计算机上的用户组。
SID：S-1-5-32-546
名称：客人
说明：内置组。默认情况下，唯一的成员是Guest帐户。Guests组允许临时或一次性用户使用有限权限登录到计算机的内置Guest帐户。
SID：S-1-5-32-547
名称：超级用户
说明：内置组。默认情况下，该组没有成员。Power Users可以创建本地用户和组; 修改和删除，他们已经创建的帐户; 并从电力用户，用户和来宾用户组。Power Users还可以安装程序; 创建，管理和删除本地打印机 以及创建和删除文件共享。
SID：S-1-5-32-548
名称：帐户操作员
描述：一种只存在于域控制器上的内置组。默认情况下，该组没有成员。默认情况下，帐户操作员有权限创建，修改，并为用户，组和计算机的所有容器和除内建容器的Active Directory组织单位和域控制器OU删除帐户。帐户操作员无权修改Administrators和Domain Admins组，也没有权限修改账目这些组的成员。
SID：S-1-5-32-549
名称：服务器操作员
描述：一种只存在于域控制器上的内置组。默认情况下，该组没有成员。服务器操作员可以登录到交互服务器; 创建和删除网络共享; 启动和停止服务; 备份和恢复的文件; 格式化计算机的硬盘; 并关闭计算机。
SID：S-1-5-32-550
名称：打印操作员
描述：一种只存在于域控制器上的内置组。默认情况下，唯一的成员是域用户组。打印操作员可以管理打印机和文档队列。
SID：S-1-5-32-551
名称：备份操作员
说明：内置组。默认情况下，该组没有成员。备份操作员可以备份和恢复所有文件的计算机上，而不管保护这些文件的权限。备份操作员还可以登录到计算机上，并关闭它。
SID：S-1-5-32-552
名称：复制器
说明：所使用的文件复制服务于域控制器上的内置组。默认情况下，该组没有成员。不要将用户添加到该组。
SID：S-1-5-64-10
名称：NTLM身份验证
描述：当NTLM身份验证包验证客户端所使用的SID
SID：S-1-5-64-14
名称：SChannel中验证
描述：当SChannel中身份验证包验证客户端所使用的SID。
SID：S-1-5-64-21
名称：摘要式身份验证
说明：在摘要式身份验证包验证客户端所使用的SID。
SID：S-80年1月5日
名称：NT服务
描述：一个NT服务帐户前缀
SID：S-1-5-80-0
SID S-1-5-80-0 = NT SERVICES \所有服务
名称：所有服务
描述：一个包括所有在系统上配置的所有服务流程的组。成员身份由操作系统控制。注意添加在Windows Server 2008 R2

SID：S-1-5-83-0
名称：NT虚拟机\虚拟机
说明：内置组。安装Hyper-V角色时创建的组。会员组中受的Hyper-V管理服务（VMMS）维护。这组需要“创建符号链接”右（SeCreateSymbolicLinkPrivilege），也是正确的（SeServiceLogonRight）“作为服务登录”，注意添加在Windows 8和Windows Server 2012中

SID：S-1-16-0
名称：不受信任的强制性级别
描述：一个不受信任的完整性级别。注意补充在Windows Vista和Windows Server 2008中 注意添加在Windows Vista和Windows Server 2008

SID：S-1-16-4096
名称：低强制性级别
描述：低完整性级别 注意添加在Windows Vista和Windows Server 2008

SID：S-1-16-8192
名称：中等强制性级别
说明：中等完整性级别 注意添加在Windows Vista和Windows Server 2008

SID：S-1-16-8448
名称：中等强制性加级别
描述：中等，完整性级别 注意添加在Windows Vista和Windows Server 2008

SID：S-1-16-12288
名称：高强制性级别
描述：高完整性级别 注意添加在Windows Vista和Windows Server 2008

SID：S-1-16-16384
名称：系统强制性级别
描述：系统完整性级别。 注意添加在Windows Vista和Windows Server 2008

SID：S-1-16-20480
名称：保护过程强制性级别
描述：受保护进程的完整性级别 注 Server 2008中增加了在Windows Vista和Windows

SID：S-1-16-28672
名称：安全进程强制性级别
说明：安全进程完整性级别 注意添加在Windows Vista和Windows Server 2008

下面的组显示为SID，直到Windows Server 2003域控制器是由主域控制器（PDC）操作主机角色持有者。在“操作主机”也称为灵活的单主机操作（FSMO）。当Windows Server 2003域控制器添加到域创建以下附加内置组：
SID：S-1-5-32-554
名称：BUILTIN \ Windows 2000以前版本的兼容访问
描述：Windows 2000中它允许读取域中所有用户和组访问的向后兼容组添加了一个别名。
SID：S-1-5-32-555
名称：BUILTIN \远程桌面用户
说明：一个别名。该组的成员被授予远程登录的权利。
SID：S-1-5-32-556
名称：BUILTIN \网络配置操作
说明：一个别名。该组的成员可以有一定的管理权限来管理网络功能的配置。
SID：S-1-5-32-557
名称：BUILTIN \传入林信任建设者
说明：一个别名。该组的成员可以创建传入，单向信任这个森林。
SID：S-1-5-32-558
名称：BUILTIN \性能监视器用户
描述：一个别名。该组的成员可以进行远程访问监控这台计算机。
SID：S-1-5-32-559
名称：BUILTIN \性能日志用户
描述：一个别名。该组的成员在此计算机上性能计数器的日程记录的远程访问。
SID：S-1-5-32-560
名称：BUILTIN \ Windows授权访问组
描述：一个别名。该组的成员可以访问用户对象上的计算的tokenGroupsGlobalAndUniversal属性。
SID：S-1-5-32-561
名称：BUILTIN \ Terminal服务器许可证服务器
描述：一个别名。A组的终端服务器许可证服务器。当安装的Windows Server 2003 Service Pack 1中，创建一个新的本地组。
SID：S-1-5-32-562
名称：BUILTIN \分布式COM用户
描述：一个别名。一种COM集团提供管理对计算机上的所有调用，激活或启动请求的计算机范围的访问访问控制。

下面的组显示为SID，直到在Windows Server 2008或Windows Server 2008 R2的域控制器时（PDC）操作主机角色担任者的主域控制器。在“操作主机”也称为灵活的单主机操作（FSMO）。当Windows Server 2008或Windows Server 2008 R2域控制器添加到域创建以下附加内置组：
SID：S-1-5- 21 域 -498
名称：企业只读域控制器
描述：一个通用组。该组的成员是只读的在企业中域控制器
SID：S-1-5- 21 域 -521
名称：只读域控制器
描述：一个全局组。该组的成员都是只读域中的域控制器
SID：S-1-5-32-569
名称：BUILTIN \加密操作员
描述：一个内置本地组。成员有权执行加密操作。
SID：S-1-5-21 域 -571
名称：允许RODC密码复制组
说明：域本地组。该组的成员可以有自己的密码复制到域中的所有只读域控制器。
SID：S-1-5- 21 域 -572
名称：拒绝RODC密码复制组
说明：域本地组。该组的成员不能有自己的密码复制到域中任何只读域控制器
SID：S-1-5-32-573
名称：BUILTIN \事件日志读者
描述：一个内置本地组。该组的成员可以读取本地计算机的事件日志。
SID：S-1-5-32-574
名称：BUILTIN \证书服务DCOM访问
说明：一个内建的本地组。该组的成员被允许连接到认证机构的企业。

下面的组显示为SID，直到在Windows Server 2012域控制器是由主域控制器（PDC）操作主机角色持有者。在“操作主机”也称为灵活的单主机操作（FSMO）。当Windows Server 2012的域控制器加入到域中创建以下附加内置组：
SID：S-1-5-21- 域 -522
名称：Cloneable的域控制器
描述：一个全局组。这组是域控制器的成员可能被克隆。
SID：S-1-5-32-575
名称：BUILTIN \ RDS远程访问服务器
说明：一个内建的本地组。该组中的服务器启用RemoteApp程序和个人虚拟桌面访问这些资源的用户。在面向因特网的部署，这些服务器通常部署在边缘网络。该组需要在运行RD连接代理服务器来进行填充。RD网关服务器，并在部署中使用远程桌面Web访问服务器需要这一组。
SID：S-1-5-32-576
名称：BUILTIN \ RDS终结点服务器
说明：一个内建的本地组。服务器这组运行的虚拟机和主机会话，用户RemoteApp程序和个人虚拟桌面上运行英寸 该组需要在运行RD连接代理服务器来进行填充。RD会话主机服务器，并在部署中使用的RD虚拟化主机服务器需要这一组。
SID：S-1-5-32-577
名称：BUILTIN \ RDS管理服务器
说明：一个内建的本地组。该组中的服务器可以对运行远程桌面服务的服务器日常管理操作。该组需要在远程桌面服务部署中的所有服务器上进行填充。运行RDS中央管理服务的服务器必须包含这一组。
SID：S-1-5-32-578
名称：BUILTIN \ Hyper-V的管理员
描述：一个内置本地组。该组的成员都到Hyper-V的所有功能完全和不受限制的访问。
SID：S-1-5-32-579
名称：BUILTIN \门禁协助运营商
说明：一个内建的本地组。该组的成员可以在这台计算机上远程查询资源的授权属性和权限。
SID：S-1-5-32-580
名称：BUILTIN \远程管理用户
描述：一个内置本地组。该组的成员可以（通过Windows远程管理服务，如WS-管理）访问了管理协议WMI资源。这仅适用于授权访问用户WMI命名空间。