Windows安全标识符(SID)概述

Windows每一个主体，如电脑，账户，服务等，都有一个安全标识符（Security Identifier,SID）;一般来说，安全标识符是一串特殊的字符串，它代表着某一安全主体。
安全标识符有以下几部分组成：




（1）安全标识符以大写字母S开头，表明是一个安全标识符；
（2）修订级别，通常为1；
（3） 颁发机构用来表示标识符的发行机构；以下是常用的标识符发行机构：

标识符发行机构	说明
0	Security_Null_SID_Authority,用于颁发机构不可知时
1	Security_Local_SID_Authority,用于创建代表所有用户的安全标识符。例如，所有用户组的安全标识符是S-1-1-0，由通用标识符0和颁发机构组合而成，其表示所有该机构的用户；
2	Security_Local_SID_Authority,用来创建代表本地终端的登陆用户的安全标识符；
3	Security_Creator_SID_Authority,用来创建代表某个对象的创建者或是所有者的安全标识符。例如，文件所有者的安全标识符是S-1-3-0,其实由创建者或者所有者的相对标识符0和颁发机构组合而成。S-1-3-0用在可继承的访问控制列表中，在继承该列表的子对象里，其会被所有者的安全标识符所替代。S-1-3-1是文件所有者的安全标识符，其也有同样的作用，不过其安全标识符来自创建者的主要组；
5	Security_NT_Authority,代表操作系统本身的一部分。以S-1-5开头的安全标识符是由计算机或域发布的，几乎所有这样的安全标识符都带有S-1-5

（4）第一个子颁发机构一般也是常用的颁发机构；其他的子颁发机构组合起来表示发布标识符的域或者计算机。
常用的子颁发机构如下：

子颁发机构	说明
5	此安全标识符发布给登录的会话，允许将权限授予特定登录会话下运行的应用程序。这些安全标识符的第一个子颁发机构是5，基本格式S-1-5-5-x-y;
6	当一个进程以服务的形式登录，其令牌中就具有特殊的安全标识符。该安全标识符的子颁发机构是6，基本格式是S-1-5-6;
21	Security_NT_NON_Unique,表示用户或计算机的安全标识符并非是唯一的；
32	Security_Builtin_Domain_RID,表示内置的安全标识符。例如内置管理员组的知名安全标识符是S-1-5-21-544;
80	Security_Service_ID_Base_RID,表示服务的安全标识符；

（5）相对标识符，用来表示用户或者计算机；
常用域的相对标识符：

相对标识符	说明
500	管理员
501	来宾
502	密钥分发中心服务的服务账户
512	域管理员
513	域用户
514	域来宾
515	域计算机
516	域控制器
544	内置管理员
545 546	内置用户 内置来宾