Well-known SIDs Quelle: "Well-known security identifiers in Windows operating systems" http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q243330
| SID: | Name: | Beschreibung: |
| S-1-0 | Null-Autorität | Bezeichnerautorität (identifier authority). |
| S-1-0-0 | Nobody (Niemand) | Kein Sicherheitsprinzipal. |
| S-1-1 | Globale Autorität | Bezeichnerautorität (identifier authority). |
| S-1-1-0 | Everyone (Jeder) | Gruppe, die alle Benutzer einschließlich der anonymen Benutzer und Gäste enthält. Die Mitgliedschaft wird vom Betriebssystem gesteuert. Hinweis: Auf Computern mit Windows XP Service Pack 2 (SP2) sind anonyme Benutzer standardmäßig nicht mehr Mitglied der Gruppe "Everyone". |
| S-1-2 | Local Authority (Lokale Autorität) | Bezeichnerautorität (identifier authority). |
| S-1-3 | Erstellerautorität | Bezeichnerautorität (identifier authority). |
| S-1-3-0 | Ersteller-Besitzer | Platzhalter in einem vererbbaren ACE-Eintrag. Wenn der ACE-Eintrag geerbt wird, ersetzt das System diesen SID durch den SID des Objekterstellers. |
| S-1-3-1 | Erstellergruppe | Platzhalter in einem vererbbaren ACE-Eintrag. Wenn der ACE-Eintrag geerbt wird, ersetzt das System diesen SID durch den SID für die primäre Gruppe des Objekterstellers. Die primäre Gruppe wird nur vom POSIX-Subsystem verwendet. |
| S-1-3-2 | Creator Owner Server (Ersteller-Besitzer-Server) | Dieser SID wird in Windows 2000 nicht verwendet. |
| S-1-3-3 | Ersteller-Gruppen-Server | Dieser SID wird in Windows 2000 nicht verwendet. |
| S-1-4 | Nicht eindeutige Autorität) | Bezeichnerautorität (identifier authority). |
| S-1-5 | NT-Autorität | Bezeichnerautorität (identifier authority). |
| S-1-5-1 | Dialup (DFÜ) | Gruppe, die alle Benutzer enthält, die sich über eine DFÜ-Verbindung angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert. |
| S-1-5-2 | Netzwerk | Gruppe, die alle Benutzer enthält, die sich über eine Netzwerkverbindung angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert. |
| S-1-5-3 | Batch (Batch) | Gruppe, die alle Benutzer enthält, die sich über eine Batch-Warteschlangeneinrichtung angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert. |
| S-1-5-4 | Interactive (Interaktiv) | Gruppe, die alle Benutzer enthält, die sich interaktiv angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert. |
| S-1-5-5-X-Y | Logon Session (Anmeldesitzung) | Eine Anmeldesitzung. Die X- und Y-Werte für diese SIDs unterscheiden sich von Sitzung zu Sitzung. |
| S-1-5-6 | Service (Dienst) | Gruppe, die alle Sicherheitsprinzipale enthält, die sich als Dienst angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert. |
| S-1-5-7 | Anonymous (Anonym) | Gruppe, die alle Benutzer enthält, die sich anonym angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert. |
| S-1-5-8 | Proxy (Proxy) | Dieser SID wird in Windows 2000 nicht verwendet. |
| S-1-5-9 | Enterprise Domain Controllers (Domänencontroller der Organisation) | Gruppe, die alle Domänencontroller in einer Gesamtstruktur enthält, die einen Verzeichnisdienst des Active Directory verwenden. Die Mitgliedschaft wird vom Betriebssystem gesteuert. |
| S-1-5-10 | Principal Self (Selbstprinzipal) | Platzhalter in einem vererbbaren ACE-Eintrag für ein Konto- oder Gruppenobjekt im Active Directory. Wenn der ACE-Eintrag geerbt wird, ersetzt das System diesen SID durch den SID des Sicherheitsprinzipals, dem das Konto gehört. |
| S-1-5-11 | Authenticated Users (Authentifizierte Benutzer) | Gruppe, die alle Benutzer enthält, deren Identitäten bei der Anmeldung authentifiziert wurden. Die Mitgliedschaft wird vom Betriebssystem gesteuert. |
| S-1-5-12 | Restricted Code (Eingeschränkter Code) | Dieser SID ist für eine mögliche zukünftige Verwendung reserviert. |
| S-1-5-13 | Terminal Server Users (Terminalserverbenutzer) | Gruppe, die alle Benutzer enthält, die sich bei einem Terminaldiensteserver angemeldet haben. Die Mitgliedschaft wird vom Betriebssystem gesteuert. |
| S-1-5-18 | Lokales System | Dienstkonto, das vom Betriebssystem genutzt wird. |
| S-1-5-19 | NT Authority (NT-Autorität) | Lokaler Dienst |
| S-1-5-20 | NT-Autorität | Netzwerkdienst |
| S-1-5-Domäne-500 | Administrator (Administrator) | Benutzerkonto für den Systemadministrator. Es handelt sich um das einzige Benutzerkonto, das standardmäßig uneingeschränkten Zugriff auf das System hat. |
| S-1-5-Domäne-501 | Guest (Gast) | Benutzerkonto für Personen, die kein Einzelkonto haben. Für dieses Benutzerkonto ist kein Kennwort erforderlich. Standardmäßig ist das Gastkonto deaktiviert. |
| S-1-5-Domäne-502 | KRBTGT | Dienstkonto, das vom KDC-Dienst verwendet wird (KDC = Key Distribution Center = Schlüsselverteilungscenter). |
| S-1-5-Domäne-512 | Domänen-Admins | Globale Gruppe, deren Mitglieder zur Verwaltung der Domäne berechtigt sind. Standardmäßig ist die Gruppe "Domänen-Admins" Mitglied der Administratorengruppe auf allen Computern, die der Domäne beigetreten sind, einschließlich der Domänencontroller. Die Gruppe "Domänen-Admins" ist der Standardbesitzer aller Objekte, die von einem Mitglied der Gruppe erstellt werden. |
| S-1-5-Domäne-513 | Domänen-Benutzer | Globale Gruppe, die standardmäßig alle Benutzerkonten einer Domäne enthält. Wenn Sie in einer Domäne ein Benutzerkonto erstellen, wird es dieser Gruppe standardmäßig hinzugefügt. |
| S-1-5-Domäne-514 | Domänen-Gäste | Globale Gruppe, die standardmäßig nur ein Mitglied hat (das in der Domäne vordefinierte Gastkonto). |
| S-1-5-Domäne-515 | Domänencomputer | Globale Gruppe, die alle Clients und Server enthält, die der Domäne beigetreten sind. |
| S-1-5-Domäne-516 | Domänen-Controller | Globale Gruppe, die alle Domänencontroller einer Domäne enthält. Neue Domänencontroller werden dieser Gruppe standardmäßig hinzugefügt. |
| S-1-5-Domäne-517 | Cert Publishers (Zertifikatherausgeber) | Globale Gruppe, die alle Computer enthält, auf denen Organisationszertifizierungsstellen betrieben werden. Zertifikatherausgeber sind berechtigt, Zertifikate für Benutzerobjekte im Active Directory zu veröffentlichen. |
| S-1-5-Stammdomäne-518 | Schema-Admins | Universelle Gruppe in einer Domäne mit einheitlichem Modus; globale Gruppe in einer Domäne mit gemischtem Modus. Die Gruppe ist berechtigt, Schemaänderungen im Active Directory vorzunehmen. Standardmäßig ist das Administratorkonto für die Gesamtstrukturdomäne einziges Mitglied dieser Gruppe. |
| S-1-5-Stammdomäne-519 | Organisations-Admins | Universelle Gruppe in einer Domäne mit einheitlichem Modus; globale Gruppe in einer Domäne mit gemischtem Modus. Die Gruppe ist berechtigt, Änderungen vorzunehmen, die die Gesamtstruktur des Active Directory betreffen wie z. B. das Hinzufügen von untergeordneten Domänen. Standardmäßig ist das Administratorkonto für die Gesamtstrukturdomäne einziges Mitglied dieser Gruppe. |
| S-1-5-Domäne-520 | Richtlinien-Ersteller-Besitzer | Globale Gruppe, die berechtigt ist, neue Gruppenrichtlinienobjekte im Active Directory zu erstellen. Standardmäßig ist der Administrator einziges Mitglied dieser Gruppe. |
| S-1-5-Domäne-533 | RAS and IAS Servers (RAS- und IAS-Server) | Lokale Gruppe einer Domäne. Standardmäßig hat diese Gruppe keine Mitglieder. Server in dieser Gruppe haben Lesezugriff auf Kontenbeschränkungen und Anmeldeinformationen für Benutzerobjekte in der lokalen Domänengruppe des Active Directory. Standardmäßig hat diese Gruppe keine Mitglieder. Server in dieser Gruppe haben Lesezugriff auf Kontenbeschränkungen und Anmeldeinformationen für Benutzerobjekte im Active Directory. |
| S-1-5-32-544 | Administratoren | Vordefinierte Gruppe. Nach der Erstinstallation des Betriebssystems ist das Administratorkonto einziges Mitglied der Gruppe. Wenn ein Computer einer Domäne beitritt, wird die Gruppe "Domänen-Admins" der Administratorengruppe hinzugefügt. Wenn ein Server zum Domänencontroller wird, wird die Gruppe "Organisations-Admins" ebenfalls zur Administratorengruppe hinzugefügt. |
| S-1-5-32-545 | Benutzer | Vordefinierte Gruppe. Nach der Erstinstallation des Betriebssystems ist die Gruppe der authentifizierten Benutzer einziges Mitglied dieser Gruppe. Wenn ein Computer einer Domäne beitritt, wird die Gruppe der Domänenbenutzer zur Benutzergruppe auf dem Computer hinzugefügt. |
| S-1-5-32-546 | Gäste | Vordefinierte Gruppe. Standardmäßig ist das Gastkonto einziges Mitglied dieser Gruppe. Die Gästegruppe ermöglicht es Gelegenheitsbenutzern oder einmaligen Benutzern, sich mit eingeschränkten Berechtigungen über das vordefinierte Gastkonto auf einem Computer anzumelden. |
| S-1-5-32-547 | Hauptbenutzer | Vordefinierte Gruppe. Standardmäßig hat diese Gruppe keine Mitglieder. Hauptbenutzer können lokale Benutzer und Gruppen erstellen, von ihnen selbst erstellte Konten ändern und löschen und Benutzer aus den Hauptbenutzer-, Benutzer- und Gästegruppen löschen. Hauptbesucher können außerdem Programme installieren, lokale Drucker erstellen, verwalten und löschen sowie Dateifreigaben erstellen und löschen. |
| S-1-5-32-548 | Account Operators (Kontenoperatoren) | Vordefinierte Gruppe, die nur auf Domänencontrollern existiert. Standardmäßig hat diese Gruppe keine Mitglieder. Kontenoperatoren sind standardmäßig berechtigt, Konten für Benutzer, Gruppen und Computer in allen Containern und Organisationseinheiten des Active Directory zu erstellen, zu ändern und zu löschen; ausgenommen hiervon sind der vordefinierte Container und die Organisationseinheit der Domänencontroller. Kontenoperatoren sind nicht berechtigt, die Gruppen "Administratoren" und "Domain-Admins" zu ändern. Auch dürfen sie die Konten von Mitgliedern dieser Gruppen nicht ändern. |
| S-1-5-32-549 | Serveroperatoren | Vordefinierte Gruppe, die nur auf Domänencontrollern existiert. Standardmäßig hat diese Gruppe keine Mitglieder. Serveroperatoren können sich interaktiv an einem Server anmelden, Netzwerkfreigaben erstellen und löschen, Dienste starten und stoppen, Dateien sichern und wiederherstellen, die Festplatte des Computers neu formatieren und den Computer herunterfahren. |
| S-1-5-32-550 | Druckoperatoren | Vordefinierte Gruppe, die nur auf Domänencontrollern existiert. Standardmäßig ist die Gruppe "Domänenbenutzer" einziges Mitglied dieser Gruppe. Druck-Operatoren können Drucker und Druckerwarteschlangen verwalten. |
| S-1-5-32-551 | Sicherungsoperatoren | Vordefinierte Gruppe. Standardmäßig hat diese Gruppe keine Mitglieder. Sicherungsoperatoren können alle Dateien auf einem Computer sichern und wiederherstellen, unabhängig von den Berechtigungen, durch die diese Dateien geschützt sind. Sicherungsoperatoren können sich außerdem bei dem Computer anmelden und ihn herunterfahren. |
| S-1-5-32-552 | Replicators (Replikationsoperatoren) | Vordefinierte Gruppe, die vom Dateireplikationsdienst auf Domänencontrollern verwendet wird. Standardmäßig hat diese Gruppe keine Mitglieder. Fügen Sie dieser Gruppe keine Benutzer hinzu. |
| S-1-5-32-554 | BUILTIN\Pre-Windows 2000 Compatible Access
(BUILTIN\Prä-Windows 2000 kompatibler Zugriff) |
Ein von Windows 2000 hinzugefügter Aliasname. Eine Abwärtskompatibilitätsgruppe, die den Lesezugriff auf alle Benutzer und Gruppen in der Domäne ermöglicht. |
| S-1-5-32-555 | BUILTIN\Remote Desktop Users (BUILTIN\Remotedesktopbenutzer) |
Ein Aliasname. Mitglieder dieser Gruppe sind berechtigt, sich remote anzumelden. |
| S-1-5-32-556 | BUILTIN\Network Configuration Operators
(BUILTIN\Netzwerkskonfigurationsoperatoren) |
Ein Aliasname. Mitglieder dieser Gruppe können über bestimmte administrative Berechtigungen verfügen, um die Konfiguration von Netzwerkfeatures zu verwalten. |
| S-1-5-32-557 | BUILTIN\Incoming Forest Trust Builders
(BUILTIN\Erstellungen eingehender Gesamtstrukturvertrauensstellung) |
Ein Aliasname. Mitglieder dieser Gruppe können eingehende Einwegvertrauensstellungen für diese Gesamtstruktur erstellen. |
| S-1-5-32-558 | BUILTIN\Performance Monitor Users
(BUILTIN\Systemmonitorbenutzer) |
Ein Aliasname. Mitglieder dieser Gruppe haben zwecks Überwachung Remotezugriff auf diesen Computer. |
| S-1-5-32-559 | BUILTIN\Performance Log Users (BUILTIN\Leistungsprotokollbenutzer) |
Ein Aliasname. Mitglieder dieser Gruppe haben Remotezugriff, um eine Protokollierung der Leistungsindikatoren auf diesem Computer einzuplanen. |
| S-1-5-32-560 | BUILTIN\Windows Authorization Access Group
(BUILTIN\Windows-Authentifizierungszugriffsgruppe) |
Ein Aliasname. Mitglieder dieser Gruppe haben Zugriff auf das berechnete Attribut "tokenGroupsGlobalAndUniversal" von Benutzerobjekten. |
| S-1-5-32-561 | BUILTIN\Terminal Server License Servers
(BUILTIN\Lizenzserver für Terminalserver) |
Ein Aliasname. Gruppe für Terminalserver-Lizenzserver. |