Sicherheitsbezeichner (Bekannte SIDs)

#1 · 13. April 2022, 14:52

Zitat von mpca am 13. April 2022, 14:52 Uhr
https://docs.microsoft.com/de-de/windows/security/identity-protection/access-control/security-identifiers

In der folgenden Tabelle sind die universellen bekannten SIDs aufgeführt.

Wert Universelle Well-Known-SID Identifiziert

S-1-0-0 NULL-SID Eine Gruppe ohne Mitglieder. Dies wird häufig verwendet, wenn ein SID-Wert nicht bekannt ist.

S-1-1-0 World Eine Gruppe, die alle Benutzer enthält.

S-1-2-0 Lokal Benutzer, die sich bei Terminalen anmelden, die lokal (physisch) mit dem System verbunden sind.

S-1-2-1 Konsolenanmeldung Eine Gruppe, die Benutzer enthält, die bei der physischen Konsole angemeldet sind.

S-1-3-0 Creator-Besitzer-ID Ein Sicherheitsbezeichner, der durch den Sicherheitsbezeichner des Benutzers ersetzt werden soll, der ein neues Objekt erstellt hat. Diese SID wird in vererbbaren ACEs verwendet.

S-1-3-1 Creator-Gruppen-ID Ein Sicherheitsbezeichner, der durch die primäre Gruppen-SID des Benutzers ersetzt werden soll, der ein neues Objekt erstellt hat. Verwenden Sie diese SID in vererbbaren ACEs.

S-1-3-2 Creator Owner Server

S-1-3-3 Creator Group Server

S-1-3-4 Besitzerrechte Eine Gruppe, die den aktuellen Besitzer des Objekts darstellt. Wenn ein Ace, der diese SID trägt, auf ein Objekt angewendet wird, ignoriert das System die impliziten READ_CONTROL und WRITE_DAC Berechtigungen für den Objektbesitzer.

S-1-4 Nicht eindeutige Autorität Eine SID, die eine Bezeichnerautorität darstellt.

S-1-5 NT-Autorität Eine SID, die eine Bezeichnerautorität darstellt.

S-1-5-80-0 Alle Dienste Eine Gruppe, die alle auf dem System konfigurierten Dienstprozesse enthält. Die Mitgliedschaft wird vom Betriebssystem gesteuert.

In der folgenden Tabelle sind die vordefinierten Konstanten für die Bezeichnerautorität aufgeführt. Die ersten vier Werte werden mit universellen bekannten SIDs verwendet, und der Rest der Werte wird mit bekannten SIDs in Windows Betriebssystemen verwendet, die in der Liste "Gilt für" angegeben sind.

Bezeichnerautorität Wert SID-Zeichenfolgenpräfix

SECURITY_NULL_SID_AUTHORITY 0 S-1-0

SECURITY_WORLD_SID_AUTHORITY 1 S-1-1

SECURITY_LOCAL_SID_AUTHORITY 2 S-1-2

SECURITY_CREATOR_SID_AUTHORITY 3 S-1-3

SECURITY_NT_AUTHORITY 5 S-1-5

SECURITY_AUTHENTICATION_AUTHORITY 18 S-1-18

Die folgenden RID-Werte werden mit universellen bekannten SIDs verwendet. In der Spalte "Bezeichnerautorität" wird das Präfix der Bezeichnerautorität angezeigt, mit der Sie die RID-Datei kombinieren können, um eine allgemein bekannte SID zu erstellen.

Relative Bezeichnerautorität Wert Bezeichnerautorität

SECURITY_NULL_RID 0 S-1-0

SECURITY_WORLD_RID 0 S-1-1

SECURITY_LOCAL_RID 0 S-1-2

SECURITY_CREATOR_OWNER_RID 0 S-1-3

SECURITY_CREATOR_GROUP_RID 1 S-1-3

Die vordefinierte BEzeichnerautorität SECURITY_NT_AUTHORITY (S-1-5) erzeugt SIDs, die nicht universell sind und nur bei Installationen der Windows Betriebssysteme von Bedeutung sind, die in der Liste "Gilt für" am Anfang dieses Themas angegeben sind. In der folgenden Tabelle sind die bekannten SIDs aufgeführt.

SID Anzeigename Beschreibung

S-1-5-1 Dialup Eine Gruppe, die alle Benutzer enthält, die über eine DFÜ-Verbindung beim System angemeldet sind.

S-1-5-113 Lokales Konto Sie können diese SID verwenden, wenn Sie die Netzwerkanmeldung auf lokale Konten statt auf "Administrator" oder eine entsprechende Einschränkung beschränken. Diese SID kann bei der Blockierung der Netzwerkanmeldung für lokale Benutzer und Gruppen nach Kontotyp wirksam sein, unabhängig davon, was sie tatsächlich genannt werden.

S-1-5-114 Lokales Konto und Mitglied der Gruppe "Administratoren" Sie können diese SID verwenden, wenn Sie die Netzwerkanmeldung auf lokale Konten statt auf "Administrator" oder eine entsprechende Einschränkung beschränken. Diese SID kann bei der Blockierung der Netzwerkanmeldung für lokale Benutzer und Gruppen nach Kontotyp wirksam sein, unabhängig davon, was sie tatsächlich genannt werden.

S-1-5-2 Network Eine Gruppe, die alle Benutzer enthält, die über eine Netzwerkverbindung angemeldet sind. Zugriffstoken für interaktive Benutzer enthalten nicht die Netzwerk-SID.

S-1-5-3 Batch Eine Gruppe, die alle Benutzer enthält, die sich über eine Batchwarteschlangeneinrichtung angemeldet haben, z. B. Aufgabenplanungsaufträge.

S-1-5-4 Interaktive Eine Gruppe, die alle Benutzer enthält, die sich interaktiv anmelden. Ein Benutzer kann eine interaktive Anmeldesitzung starten, indem er sich direkt an der Tastatur anmeldet, eine Remotedesktopdienste-Verbindung von einem Remotecomputer aus öffnet oder eine Remoteshell wie Telnet verwendet. In jedem Fall enthält das Zugriffstoken des Benutzers die interaktive SID. Wenn sich der Benutzer über eine Remotedesktopdienste-Verbindung anmeldet, enthält das Zugriffstoken des Benutzers auch die interaktive Remoteanmelde-SID.

S-1-5-5- X - Y Anmeldesitzung Die X- und Y-Werte für diese SIDs identifizieren eine bestimmte Anmeldesitzung eindeutig.

S-1-5-6 Service Eine Gruppe, die alle Sicherheitsprinzipale enthält, die als Dienst angemeldet sind.

S-1-5-7 Anonyme Anmeldung Ein Benutzer, der eine Verbindung mit dem Computer hergestellt hat, ohne einen Benutzernamen und ein Kennwort anzugeben.
Die anonyme Anmeldeidentität unterscheidet sich von der Identität, die von Internetinformationsdienste (IIS) für anonymen Webzugriff verwendet wird. IIS verwendet ein tatsächliches Konto – standardmäßig IUSR_ ComputerName– für anonymen Zugriff auf Ressourcen auf einer Website. Genau genommen ist ein solcher Zugriff nicht anonym, da der Sicherheitsprinzipal bekannt ist, obwohl nicht identifizierte Personen das Konto verwenden. IUSR_ ComputerName (oder ein beliebiger Name des Kontos) hat ein Kennwort, und IIS meldet sich beim Starten des Diensts auf dem Konto an. Daher ist der "anonyme" IIS-Benutzer Ein Mitglied authentifizierter Benutzer, die anonyme Anmeldung jedoch nicht.

S-1-5-8 Proxy Gilt derzeit nicht: Diese SID wird nicht verwendet.

S-1-5-9 Enterprise Domänencontroller Eine Gruppe, die alle Domänencontroller in einer Gesamtstruktur von Domänen enthält.

S-1-5-10 Selbst Ein Platzhalter in einem Ace für ein Benutzer-, Gruppen- oder Computerobjekt in Active Directory. Wenn Sie Berechtigungen für Self erteilen, erteilen Sie diese dem Sicherheitsprinzipal, der durch das Objekt dargestellt wird. Während einer Zugriffsüberprüfung ersetzt das Betriebssystem die SID für Self durch die SID für den Sicherheitsprinzipal, der durch das Objekt dargestellt wird.

S-1-5-11 Authentifizierte Benutzer Eine Gruppe, die alle Benutzer und Computer mit authentifizierten Identitäten enthält. Authentifizierte Benutzer schließen "Gast" nicht ein, auch wenn das Gastkonto über ein Kennwort verfügt.
Diese Gruppe enthält authentifizierte Sicherheitsprinzipale aus einer beliebigen vertrauenswürdigen Domäne, nicht nur aus der aktuellen Domäne.

S-1-5-12 Eingeschränkter Code Eine Identität, die von einem Prozess verwendet wird, der in einem eingeschränkten Sicherheitskontext ausgeführt wird. In Windows- und Windows Server-Betriebssystemen kann eine Richtlinie für Softwareeinschränkung dem Code eine von drei Sicherheitsebenen zuweisen: uneingeschränkt, eingeschränkt oder unzulässig. Wenn Code auf der eingeschränkten Sicherheitsstufe ausgeführt wird, wird die eingeschränkte SID dem Zugriffstoken des Benutzers hinzugefügt.

S-1-5-13 Terminalserverbenutzer Eine Gruppe, die alle Benutzer enthält, die sich bei einem Server anmelden, für den Remotedesktopdienste aktiviert sind.

S-1-5-14 Interaktive Remoteanmeldung Eine Gruppe, die alle Benutzer enthält, die sich über eine Remotedesktopverbindung am Computer anmelden. Diese Gruppe ist eine Teilmenge der interaktiven Gruppe. Zugriffstoken, die die interaktive Remoteanmelde-SID enthalten, enthalten auch die interaktive SID.

S-1-5-15 Diese Organisation Eine Gruppe, die alle Benutzer aus derselben Organisation enthält. Nur in Active Directory-Konten enthalten und nur von einem Domänencontroller hinzugefügt.

S-1-5-17 IIS_USRS Ein Konto, das vom Standardmäßigen Internetinformationsdienste (IIS)-Benutzer verwendet wird.

S-1-5-18 System (oder LocalSystem) Eine Identität, die lokal vom Betriebssystem und von Diensten verwendet wird, die für die Anmeldung als LocalSystem konfiguriert sind.
System ist ein ausgeblendetes Mitglied von Administratoren. Das heißt, jeder Prozess, der als System ausgeführt wird, verfügt über die SID für die integrierte Administratorengruppe im Zugriffstoken.
Wenn ein Prozess, der lokal als System ausgeführt wird, auf Netzwerkressourcen zugreift, erfolgt dies mithilfe der Domänenidentität des Computers. Das Zugriffstoken auf dem Remotecomputer enthält die SID für das Domänenkonto des lokalen Computers sowie SIDs für Sicherheitsgruppen, bei denen der Computer Mitglied ist, z. B. Domänencomputer und authentifizierte Benutzer.

S-1-5-19 NT-Autorität (LocalService) Eine Identität, die von Diensten verwendet wird, die lokal auf dem Computer sind, keinen umfassenden lokalen Zugriff benötigen und keinen authentifizierten Netzwerkzugriff benötigen. Dienste, die als LocalService ausgeführt werden, greifen als normale Benutzer auf lokale Ressourcen und als anonyme Benutzer auf Netzwerkressourcen zu. Daher hat ein Dienst, der als LocalService ausgeführt wird, wesentlich weniger Autorität als ein Dienst, der lokal und im Netzwerk als LocalSystem ausgeführt wird.

S-1-5-20 Netzwerkdienst Eine Identität, die von Diensten verwendet wird, die keinen umfassenden lokalen Zugriff benötigen, aber authentifizierten Netzwerkzugriff benötigen. Dienste, die als NetworkService ausgeführt werden, greifen als normale Benutzer auf lokale Ressourcen zu und greifen mithilfe der Computeridentität auf Netzwerkressourcen zu. Daher hat ein Dienst, der als NetworkService ausgeführt wird, den gleichen Netzwerkzugriff wie ein Dienst, der als LocalSystem ausgeführt wird, hat jedoch den lokalen Zugriff erheblich reduziert.

S-1-5-Domäne-500 Administrator Ein Benutzerkonto für den Systemadministrator. Jeder Computer verfügt über ein lokales Administratorkonto und jede Domäne über ein Domänenadministratorkonto.
Das Administratorkonto ist das erste Konto, das während der Installation des Betriebssystems erstellt wurde. Das Konto kann nicht gelöscht, deaktiviert oder gesperrt werden, aber es kann umbenannt werden.
Standardmäßig ist das Administratorkonto Ein Mitglied der Gruppe "Administratoren" und kann nicht aus dieser Gruppe entfernt werden.

S-1-5-Domäne-501 Gast Ein Benutzerkonto für Personen, die nicht über einzelne Konten verfügen. Jeder Computer verfügt über ein lokales Gastkonto, und jede Domäne verfügt über ein Domänen-Gastkonto.
Standardmäßig ist "Guest" Mitglied der Gruppen "Jeder" und "Gäste". Das Domänen-Gastkonto ist auch Mitglied der Gruppen "Domänengäste" und "Domänenbenutzer".
Im Gegensatz zur anonymen Anmeldung ist "Gast" ein echtes Konto und kann für die interaktive Anmeldung verwendet werden. Für das Gastkonto ist kein Kennwort erforderlich, es kann jedoch ein Kennwort vorhanden sein.

S-1-5-Domäne-502 Krbtgt Ein Benutzerkonto, das vom Schlüsselverteilungscenterdienst (Key Distribution Center, KDC) verwendet wird. Das Konto ist nur auf Domänencontrollern vorhanden.

S-1-5-Domäne-512 Domänenadministratoren Eine globale Gruppe mit Mitgliedern, die berechtigt sind, die Domäne zu verwalten. Standardmäßig ist die Gruppe "Domänenadministratoren" ein Mitglied der Gruppe "Administratoren" auf allen Computern, die der Domäne beigetreten sind, einschließlich Domänencontrollern.
Domänenadministratoren sind der Standardbesitzer aller Objekte, die von jedem Mitglied der Gruppe im Active Directory der Domäne erstellt werden. Wenn Mitglieder der Gruppe andere Objekte erstellen, z. B. Dateien, ist der Standardbesitzer die Gruppe "Administratoren".

S-1-5-Domäne-513 Domänenbenutzer Eine globale Gruppe, die alle Benutzer in einer Domäne enthält. Wenn Sie ein neues User-Objekt in Active Directory erstellen, wird der Benutzer dieser Gruppe automatisch hinzugefügt.

S-1-5-Domäne-514 Domänengäste Eine globale Gruppe, die standardmäßig nur ein Mitglied hat: das integrierte Gastkonto der Domäne.

S-1-5-Domäne-515 Domänencomputer Eine globale Gruppe, die alle Computer enthält, die der Domäne beigetreten sind, mit Ausnahme von Domänencontrollern.

S-1-5-Domäne-516 Domänencontroller Eine globale Gruppe, die alle Domänencontroller in der Domäne enthält. Dieser Gruppe werden automatisch neue Domänencontroller hinzugefügt.

S-1-5-Domäne-517 Zertifikatsverlage Eine globale Gruppe, die alle Computer enthält, die eine Unternehmenszertifizierungsstelle hosten.
Zertifikatverlage sind berechtigt, Zertifikate für Benutzerobjekte in Active Directory zu veröffentlichen.

S-1-5-Stammdomäne-518 Schemaadministratoren Eine Gruppe, die nur in der Gesamtstrukturstammdomäne vorhanden ist. Es handelt sich um eine universelle Gruppe, wenn sich die Domäne im nativen Modus befindet, und es handelt sich um eine globale Gruppe, wenn sich die Domäne im gemischten Modus befindet. Die Gruppe "Schemaadministratoren" ist berechtigt, Schemaänderungen in Active Directory vorzunehmen. Standardmäßig ist das einzige Mitglied der Gruppe das Administratorkonto für die Stammdomäne der Gesamtstruktur.

S-1-5-Stammdomäne-519 Enterprise Administratoren Eine Gruppe, die nur in der Gesamtstrukturstammdomäne vorhanden ist. Es handelt sich um eine universelle Gruppe, wenn sich die Domäne im nativen Modus befindet, und es handelt sich um eine globale Gruppe, wenn sich die Domäne im gemischten Modus befindet.
Die Gruppe Enterprise Administratoren ist berechtigt, Änderungen an der Gesamtstrukturinfrastruktur vorzunehmen, z. B. das Hinzufügen untergeordneter Domänen, das Konfigurieren von Standorten, das Autorisieren von DHCP-Servern und das Installieren von Unternehmenszertifizierungsstellen.
Standardmäßig ist das einzige Mitglied von Enterprise Administratoren das Administratorkonto für die Stammdomäne der Gesamtstruktur. Die Gruppe ist ein Standardmitglied jeder Gruppe "Domänenadministratoren" in der Gesamtstruktur.

S-1-5-Domäne-520 Gruppenrichtlinienerstellerbesitzer Eine globale Gruppe, die zum Erstellen neuer Gruppenrichtlinienobjekte in Active Directory autorisiert ist. Standardmäßig ist administrator das einzige Mitglied der Gruppe.
Objekte, die von Mitgliedern von Gruppenrichtlinienerstellerbesitzern erstellt werden, befinden sich im Besitz des einzelnen Benutzers, der sie erstellt. Auf diese Weise unterscheidet sich die Gruppe "Ersteller von Gruppenrichtlinienbesitzern" von anderen administrativen Gruppen (z. B. Administratoren und Domänenadministratoren). Objekte, die von Mitgliedern dieser Gruppen erstellt werden, befinden sich im Besitz der Gruppe und nicht der Einzelperson.

S-1-5-Domäne-553 RAS- und IAS-Server Eine lokale Domänengruppe. Standardmäßig hat diese Gruppe keine Mitglieder. Computer, auf denen der Routing- und Remotezugriffsdienst ausgeführt wird, werden der Gruppe automatisch hinzugefügt.
Mitglieder dieser Gruppe haben Zugriff auf bestimmte Eigenschaften von Benutzerobjekten, z. B. Kontoeinschränkungen lesen, Anmeldeinformationen lesen und Remotezugriffsinformationen lesen.

S-1-5-32-544 Administratoren Eine integrierte Gruppe. Nach der Erstinstallation des Betriebssystems ist das Administratorkonto das einzige Mitglied der Gruppe. Wenn ein Computer einer Domäne beitritt, wird die Gruppe "Domänenadministratoren" der Gruppe "Administratoren" hinzugefügt. Wenn ein Server zu einem Domänencontroller wird, wird auch die Gruppe Enterprise Administratoren der Gruppe "Administratoren" hinzugefügt.

S-1-5-32-545 Users Eine integrierte Gruppe. Nach der Erstinstallation des Betriebssystems ist die Gruppe "Authentifizierte Benutzer" das einzige Mitglied.

S-1-5-32-546 Gäste Eine integrierte Gruppe. Standardmäßig ist das einzige Mitglied das Gastkonto. Die Gruppe "Gäste" ermöglicht gelegentlichen oder einmaligen Benutzern die Anmeldung mit eingeschränkten Berechtigungen für das integrierte Gastkonto eines Computers.

S-1-5-32-547 Hauptbenutzer Eine integrierte Gruppe. Standardmäßig hat die Gruppe keine Mitglieder. Hauptbenutzer können lokale Benutzer und Gruppen erstellen. von ihnen erstellte Konten ändern und löschen; und entfernen Sie Benutzer aus den Gruppen "Hauptbenutzer", "Benutzer" und "Gäste". Hauptbenutzer können auch Programme installieren. erstellen, verwalten und löschen Sie lokale Drucker; und erstellen und löschen Sie Dateifreigaben.

S-1-5-32-548 Kontooperatoren Eine integrierte Gruppe, die nur auf Domänencontrollern vorhanden ist. Standardmäßig hat die Gruppe keine Mitglieder. Standardmäßig verfügen Kontooperatoren über die Berechtigung zum Erstellen, Ändern und Löschen von Konten für Benutzer, Gruppen und Computer in allen Containern und Organisationseinheiten von Active Directory mit Ausnahme des integrierten Containers und der Domänencontroller-OE. Kontooperatoren verfügen weder über die Berechtigung zum Ändern der Gruppen "Administratoren" und "Domänenadministratoren" noch über die Berechtigung zum Ändern der Konten für Mitglieder dieser Gruppen.

S-1-5-32-549 Serveroperatoren Beschreibung: Eine integrierte Gruppe, die nur auf Domänencontrollern vorhanden ist. Standardmäßig hat die Gruppe keine Mitglieder. Serveroperatoren können sich interaktiv bei einem Server anmelden. Erstellen und Löschen von Netzwerkfreigaben; Dienste starten und beenden; Sichern und Wiederherstellen von Dateien; die Festplatte des Computers formatieren; und fahren Sie den Computer herunter.

S-1-5-32-550 Druckoperatoren Eine integrierte Gruppe, die nur auf Domänencontrollern vorhanden ist. Standardmäßig ist das einzige Mitglied die Gruppe "Domänenbenutzer". Druckoperatoren können Drucker und Dokumentwarteschlangen verwalten.

S-1-5-32-551 Sicherungsoperatoren Eine integrierte Gruppe. Standardmäßig hat die Gruppe keine Mitglieder. Sicherungsoperatoren können alle Dateien auf einem Computer sichern und wiederherstellen, unabhängig von den Berechtigungen, die diese Dateien schützen. Sicherungsoperatoren können sich auch am Computer anmelden und herunterfahren.

S-1-5-32-552 Replikatoren Eine integrierte Gruppe, die vom Dateireplikationsdienst auf Domänencontrollern verwendet wird. Standardmäßig hat die Gruppe keine Mitglieder. Fügen Sie dieser Gruppe keine Benutzer hinzu.

S-1-5-32-554 Builtin\Pre-Windows 2000 Compatible Access Ein Alias, der von Windows 2000 hinzugefügt wurde. Eine Abwärtskompatibilitätsgruppe, die Lesezugriff auf alle Benutzer und Gruppen in der Domäne ermöglicht.

S-1-5-32-555 Builtin\Remotedesktopbenutzer Ein Alias. Mitgliedern dieser Gruppe wird das Recht gewährt, sich remote anzumelden.

S-1-5-32-556 Integrierte\Netzwerkkonfigurationsoperatoren Ein Alias. Mitglieder dieser Gruppe können über einige Administratorrechte zum Verwalten der Konfiguration von Netzwerkfeatures verfügen.

S-1-5-32-557 Builtin\Incoming Forest Trust Builders Ein Alias. Mitglieder dieser Gruppe können eingehende, unidirektionale Vertrauensstellungen für diese Gesamtstruktur erstellen.

S-1-5-32-558 Builtin\Performance Monitor Users Ein Alias. Mitglieder dieser Gruppe haben Remotezugriff, um diesen Computer zu überwachen.

S-1-5-32-559 Integrierte\Benutzer des Leistungsprotokolls Ein Alias. Mitglieder dieser Gruppe haben Remotezugriff, um die Protokollierung von Leistungsindikatoren auf diesem Computer zu planen.

S-1-5-32-560 Builtin\Windows Autorisierungszugriffsgruppe Ein Alias. Mitglieder dieser Gruppe haben Zugriff auf das berechnete tokenGroupsGlobalAndUniversal-Attribut für Benutzerobjekte.

S-1-5-32-561 Builtin\Terminal Server License Servers Ein Alias. Eine Gruppe für Terminalserver-Lizenzserver. Wenn Windows Server 2003 Service Pack 1 installiert ist, wird eine neue lokale Gruppe erstellt.

S-1-5-32-562 Builtin\Distributed COM-Benutzer Ein Alias. Eine Gruppe für COM, die computerweite Zugriffssteuerungen bereitstellt, die den Zugriff auf alle Anruf-, Aktivierungs- oder Startanforderungen auf dem Computer steuern.

S-1-5-32-569 Builtin\Cryptographic Operators Eine integrierte lokale Gruppe. Mitglieder sind berechtigt, kryptografische Vorgänge auszuführen.

S-1-5-32-573 Builtin\Event Log Readers Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe können Ereignisprotokolle vom lokalen Computer lesen.

S-1-5-32-574 Builtin\Certificate Service DCOM Access Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe dürfen sich mit Zertifizierungsstellen im Unternehmen verbinden.

S-1-5-32-575 Builtin\RDS-Remotezugriffsserver Eine integrierte lokale Gruppe. Server in dieser Gruppe ermöglichen Benutzern von RemoteApp-Programmen und persönlichen virtuellen Desktops den Zugriff auf diese Ressourcen. In Internetbereitstellungen werden diese Server in der Regel in einem Edgenetzwerk bereitgestellt. Diese Gruppe muss auf Servern mit RD-Verbindungsbroker aufgefüllt werden. RD-Gatewayserver und RD Web Access-Server, die in der Bereitstellung verwendet werden, müssen sich in dieser Gruppe befinden.

S-1-5-32-576 Builtin\RDS-Endpunktserver Eine integrierte lokale Gruppe. Server in dieser Gruppe führen virtuelle Computer und Hostsitzungen aus, in denen RemoteApp-Programme und persönliche virtuelle Desktops von Benutzern ausgeführt werden. Diese Gruppe muss auf Servern mit RD-Verbindungsbroker aufgefüllt werden. RD-Sitzungshostserver und RD Virtualization Host-Server, die in der Bereitstellung verwendet werden, müssen sich in dieser Gruppe befinden.

S-1-5-32-577 Builtin\RDS-Verwaltungsserver Eine integrierte lokale Gruppe. Server in dieser Gruppe können routinemäßige administrative Aktionen auf Servern ausführen, auf denen Remotedesktopdienste ausgeführt werden. Diese Gruppe muss auf allen Servern in einer Remotedesktopdienste-Bereitstellung aufgefüllt werden. Die Server, auf denen der zentrale RDS-Verwaltungsdienst ausgeführt wird, müssen in dieser Gruppe enthalten sein.

S-1-5-32-578 Builtin\Hyper-V-Administratoren Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe haben vollständigen und uneingeschränkten Zugriff auf alle Features von Hyper-V.

S-1-5-32-579 Integrierte\Zugriffssteuerungs-Unterstützungsoperatoren Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe können Autorisierungsattribute und Berechtigungen für Ressourcen auf diesem Computer remote abfragen.

S-1-5-32-580 Integrierte\Remoteverwaltungsbenutzer Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe können über Verwaltungsprotokolle (z. B. WS-Management über den Windows Remoteverwaltungsdienst) auf WMI-Ressourcen zugreifen. Dies gilt nur für WMI-Namespaces, die dem Benutzer Zugriff gewähren.

S-1-5-64-10 NTLM-Authentifizierung Eine SID, die verwendet wird, wenn das NTLM-Authentifizierungspaket den Client authentifiziert hat

S-1-5-64-14 SChannel-Authentifizierung Eine SID, die verwendet wird, wenn das SChannel-Authentifizierungspaket den Client authentifiziert hat.

S-1-5-64-21 Digestauthentifizierung Eine SID, die verwendet wird, wenn das Digestauthentifizierungspaket den Client authentifiziert hat.

S-1-5-80 NT-Dienst Eine SID, die als NT-Dienstkontopräfix verwendet wird.

S-1-5-80-0 Alle Dienste Eine Gruppe, die alle Dienstprozesse enthält, die auf dem System konfiguriert sind. Die Mitgliedschaft wird vom Betriebssystem gesteuert. SID S-1-5-80-0 entspricht NT SERVICES\ALL SERVICES. Diese SID wurde in Windows Server 2008 R2 eingeführt.

S-1-5-83-0 NT VIRTUAL MACHINE\Virtual Machines Eine integrierte Gruppe. Die Gruppe wird erstellt, wenn die Hyper-V-Rolle installiert wird. Die Mitgliedschaft in der Gruppe wird vom Hyper-V-Verwaltungsdienst (Hyper-V Management Service, VMMS) verwaltet. Diese Gruppe erfordert das Recht zum Erstellen symbolischer Verknüpfungen (SeCreateSymbolicLinkPrivilege) und auch das Recht "Anmelden als Dienst" (SeServiceLogonRight).

Die folgenden RIDs beziehen sich auf jede Domäne.

RID Dezimalwert Identifiziert

DOMAIN_USER_RID_ADMIN 500 Das Administratorbenutzerkonto in einer Domäne.

DOMAIN_USER_RID_GUEST 501 Das Gastbenutzerkonto in einer Domäne. Benutzer, die nicht über ein Konto verfügen, können sich automatisch bei diesem Konto anmelden.

DOMAIN_GROUP_RID_USERS 513 Eine Gruppe, die alle Benutzerkonten in einer Domäne enthält. Alle Benutzer werden dieser Gruppe automatisch hinzugefügt.

DOMAIN_GROUP_RID_GUESTS 514 Das Gruppen-Gastkonto in einer Domäne.

DOMAIN_GROUP_RID_COMPUTERS 515 Die Gruppe "Domänencomputer". Alle Computer in der Domäne sind Mitglieder dieser Gruppe.

DOMAIN_GROUP_RID_CONTROLLERS 516 Die Domänencontrollergruppe. Alle Domänencontroller in der Domäne sind Mitglieder dieser Gruppe.

DOMAIN_GROUP_RID_CERT_ADMINS 517 Die Gruppe der Zertifikatverlage. Computer, auf denen Active Directory-Zertifikatdienste ausgeführt werden, sind Mitglieder dieser Gruppe.

DOMAIN_GROUP_RID_SCHEMA_ADMINS 518 Die Gruppe der Schemaadministratoren. Mitglieder dieser Gruppe können das Active Directory-Schema ändern.

DOMAIN_GROUP_RID_ENTERPRISE_ADMINS 519 Die Gruppe der Unternehmensadministratoren. Mitglieder dieser Gruppe haben Vollzugriff auf alle Domänen in der Active Directory-Gesamtstruktur. Enterprise Administratoren sind für Vorgänge auf Gesamtstrukturebene verantwortlich, z. B. das Hinzufügen oder Entfernen neuer Domänen.

DOMAIN_GROUP_RID_POLICY_ADMINS 520 Die Gruppe der Richtlinienadministratoren.

Die folgende Tabelle enthält Beispiele für domänenrelative RIDs, die zum Bilden bekannter SIDs für lokale Gruppen verwendet werden.

RID Dezimalwert Identifiziert

DOMAIN_ALIAS_RID_ADMINS 544 Administratoren der Domäne.

DOMAIN_ALIAS_RID_USERS 545 Alle Benutzer in der Domäne.

DOMAIN_ALIAS_RID_GUESTS 546 Gäste der Domäne.

DOMAIN_ALIAS_RID_POWER_USERS 547 Ein Benutzer oder eine Gruppe von Benutzern, die erwarten, dass ein System so behandelt wird, als wäre es sein persönlicher Computer und nicht als Arbeitsstation für mehrere Benutzer.

DOMAIN_ALIAS_RID_BACKUP_OPS 551 Eine lokale Gruppe, die verwendet wird, um die Zuweisung von Benutzerrechten für die Dateisicherung und -wiederherstellung zu steuern.

DOMAIN_ALIAS_RID_REPLICATOR 552 Eine lokale Gruppe, die für das Kopieren von Sicherheitsdatenbanken vom primären Domänencontroller auf die Sicherungsdomänencontroller verantwortlich ist. Diese Konten werden nur vom System verwendet.

DOMAIN_ALIAS_RID_RAS_SERVERS 553 Eine lokale Gruppe, die den Remotezugriff und Server darstellt, auf denen der Internetauthentifizierungsdienst (Internet Authentication Service, IAS) ausgeführt wird. Diese Gruppe ermöglicht den Zugriff auf verschiedene Attribute von Benutzerobjekten.

https://docs.microsoft.com/de-de/windows/security/identity-protection/access-control/security-identifiers

In der folgenden Tabelle sind die universellen bekannten SIDs aufgeführt.

Wert	Universelle Well-Known-SID	Identifiziert
S-1-0-0	NULL-SID	Eine Gruppe ohne Mitglieder. Dies wird häufig verwendet, wenn ein SID-Wert nicht bekannt ist.
S-1-1-0	World	Eine Gruppe, die alle Benutzer enthält.
S-1-2-0	Lokal	Benutzer, die sich bei Terminalen anmelden, die lokal (physisch) mit dem System verbunden sind.
S-1-2-1	Konsolenanmeldung	Eine Gruppe, die Benutzer enthält, die bei der physischen Konsole angemeldet sind.
S-1-3-0	Creator-Besitzer-ID	Ein Sicherheitsbezeichner, der durch den Sicherheitsbezeichner des Benutzers ersetzt werden soll, der ein neues Objekt erstellt hat. Diese SID wird in vererbbaren ACEs verwendet.
S-1-3-1	Creator-Gruppen-ID	Ein Sicherheitsbezeichner, der durch die primäre Gruppen-SID des Benutzers ersetzt werden soll, der ein neues Objekt erstellt hat. Verwenden Sie diese SID in vererbbaren ACEs.
S-1-3-2	Creator Owner Server
S-1-3-3	Creator Group Server
S-1-3-4	Besitzerrechte	Eine Gruppe, die den aktuellen Besitzer des Objekts darstellt. Wenn ein Ace, der diese SID trägt, auf ein Objekt angewendet wird, ignoriert das System die impliziten READ_CONTROL und WRITE_DAC Berechtigungen für den Objektbesitzer.
S-1-4	Nicht eindeutige Autorität	Eine SID, die eine Bezeichnerautorität darstellt.
S-1-5	NT-Autorität	Eine SID, die eine Bezeichnerautorität darstellt.
S-1-5-80-0	Alle Dienste	Eine Gruppe, die alle auf dem System konfigurierten Dienstprozesse enthält. Die Mitgliedschaft wird vom Betriebssystem gesteuert.

In der folgenden Tabelle sind die vordefinierten Konstanten für die Bezeichnerautorität aufgeführt. Die ersten vier Werte werden mit universellen bekannten SIDs verwendet, und der Rest der Werte wird mit bekannten SIDs in Windows Betriebssystemen verwendet, die in der Liste "Gilt für" angegeben sind.

Bezeichnerautorität	Wert	SID-Zeichenfolgenpräfix
SECURITY_NULL_SID_AUTHORITY	0	S-1-0
SECURITY_WORLD_SID_AUTHORITY	1	S-1-1
SECURITY_LOCAL_SID_AUTHORITY	2	S-1-2
SECURITY_CREATOR_SID_AUTHORITY	3	S-1-3
SECURITY_NT_AUTHORITY	5	S-1-5
SECURITY_AUTHENTICATION_AUTHORITY	18	S-1-18

Die folgenden RID-Werte werden mit universellen bekannten SIDs verwendet. In der Spalte "Bezeichnerautorität" wird das Präfix der Bezeichnerautorität angezeigt, mit der Sie die RID-Datei kombinieren können, um eine allgemein bekannte SID zu erstellen.

Relative Bezeichnerautorität	Wert	Bezeichnerautorität
SECURITY_NULL_RID	0	S-1-0
SECURITY_WORLD_RID	0	S-1-1
SECURITY_LOCAL_RID	0	S-1-2
SECURITY_CREATOR_OWNER_RID	0	S-1-3
SECURITY_CREATOR_GROUP_RID	1	S-1-3

Die vordefinierte BEzeichnerautorität SECURITY_NT_AUTHORITY (S-1-5) erzeugt SIDs, die nicht universell sind und nur bei Installationen der Windows Betriebssysteme von Bedeutung sind, die in der Liste "Gilt für" am Anfang dieses Themas angegeben sind. In der folgenden Tabelle sind die bekannten SIDs aufgeführt.

SID	Anzeigename	Beschreibung
S-1-5-1	Dialup	Eine Gruppe, die alle Benutzer enthält, die über eine DFÜ-Verbindung beim System angemeldet sind.
S-1-5-113	Lokales Konto	Sie können diese SID verwenden, wenn Sie die Netzwerkanmeldung auf lokale Konten statt auf "Administrator" oder eine entsprechende Einschränkung beschränken. Diese SID kann bei der Blockierung der Netzwerkanmeldung für lokale Benutzer und Gruppen nach Kontotyp wirksam sein, unabhängig davon, was sie tatsächlich genannt werden.
S-1-5-114	Lokales Konto und Mitglied der Gruppe "Administratoren"	Sie können diese SID verwenden, wenn Sie die Netzwerkanmeldung auf lokale Konten statt auf "Administrator" oder eine entsprechende Einschränkung beschränken. Diese SID kann bei der Blockierung der Netzwerkanmeldung für lokale Benutzer und Gruppen nach Kontotyp wirksam sein, unabhängig davon, was sie tatsächlich genannt werden.
S-1-5-2	Network	Eine Gruppe, die alle Benutzer enthält, die über eine Netzwerkverbindung angemeldet sind. Zugriffstoken für interaktive Benutzer enthalten nicht die Netzwerk-SID.
S-1-5-3	Batch	Eine Gruppe, die alle Benutzer enthält, die sich über eine Batchwarteschlangeneinrichtung angemeldet haben, z. B. Aufgabenplanungsaufträge.
S-1-5-4	Interaktive	Eine Gruppe, die alle Benutzer enthält, die sich interaktiv anmelden. Ein Benutzer kann eine interaktive Anmeldesitzung starten, indem er sich direkt an der Tastatur anmeldet, eine Remotedesktopdienste-Verbindung von einem Remotecomputer aus öffnet oder eine Remoteshell wie Telnet verwendet. In jedem Fall enthält das Zugriffstoken des Benutzers die interaktive SID. Wenn sich der Benutzer über eine Remotedesktopdienste-Verbindung anmeldet, enthält das Zugriffstoken des Benutzers auch die interaktive Remoteanmelde-SID.
S-1-5-5- X - Y	Anmeldesitzung	Die X- und Y-Werte für diese SIDs identifizieren eine bestimmte Anmeldesitzung eindeutig.
S-1-5-6	Service	Eine Gruppe, die alle Sicherheitsprinzipale enthält, die als Dienst angemeldet sind.
S-1-5-7	Anonyme Anmeldung	Ein Benutzer, der eine Verbindung mit dem Computer hergestellt hat, ohne einen Benutzernamen und ein Kennwort anzugeben. Die anonyme Anmeldeidentität unterscheidet sich von der Identität, die von Internetinformationsdienste (IIS) für anonymen Webzugriff verwendet wird. IIS verwendet ein tatsächliches Konto – standardmäßig IUSR_ ComputerName– für anonymen Zugriff auf Ressourcen auf einer Website. Genau genommen ist ein solcher Zugriff nicht anonym, da der Sicherheitsprinzipal bekannt ist, obwohl nicht identifizierte Personen das Konto verwenden. IUSR_ ComputerName (oder ein beliebiger Name des Kontos) hat ein Kennwort, und IIS meldet sich beim Starten des Diensts auf dem Konto an. Daher ist der "anonyme" IIS-Benutzer Ein Mitglied authentifizierter Benutzer, die anonyme Anmeldung jedoch nicht.
S-1-5-8	Proxy	Gilt derzeit nicht: Diese SID wird nicht verwendet.
S-1-5-9	Enterprise Domänencontroller	Eine Gruppe, die alle Domänencontroller in einer Gesamtstruktur von Domänen enthält.
S-1-5-10	Selbst	Ein Platzhalter in einem Ace für ein Benutzer-, Gruppen- oder Computerobjekt in Active Directory. Wenn Sie Berechtigungen für Self erteilen, erteilen Sie diese dem Sicherheitsprinzipal, der durch das Objekt dargestellt wird. Während einer Zugriffsüberprüfung ersetzt das Betriebssystem die SID für Self durch die SID für den Sicherheitsprinzipal, der durch das Objekt dargestellt wird.
S-1-5-11	Authentifizierte Benutzer	Eine Gruppe, die alle Benutzer und Computer mit authentifizierten Identitäten enthält. Authentifizierte Benutzer schließen "Gast" nicht ein, auch wenn das Gastkonto über ein Kennwort verfügt. Diese Gruppe enthält authentifizierte Sicherheitsprinzipale aus einer beliebigen vertrauenswürdigen Domäne, nicht nur aus der aktuellen Domäne.
S-1-5-12	Eingeschränkter Code	Eine Identität, die von einem Prozess verwendet wird, der in einem eingeschränkten Sicherheitskontext ausgeführt wird. In Windows- und Windows Server-Betriebssystemen kann eine Richtlinie für Softwareeinschränkung dem Code eine von drei Sicherheitsebenen zuweisen: uneingeschränkt, eingeschränkt oder unzulässig. Wenn Code auf der eingeschränkten Sicherheitsstufe ausgeführt wird, wird die eingeschränkte SID dem Zugriffstoken des Benutzers hinzugefügt.
S-1-5-13	Terminalserverbenutzer	Eine Gruppe, die alle Benutzer enthält, die sich bei einem Server anmelden, für den Remotedesktopdienste aktiviert sind.
S-1-5-14	Interaktive Remoteanmeldung	Eine Gruppe, die alle Benutzer enthält, die sich über eine Remotedesktopverbindung am Computer anmelden. Diese Gruppe ist eine Teilmenge der interaktiven Gruppe. Zugriffstoken, die die interaktive Remoteanmelde-SID enthalten, enthalten auch die interaktive SID.
S-1-5-15	Diese Organisation	Eine Gruppe, die alle Benutzer aus derselben Organisation enthält. Nur in Active Directory-Konten enthalten und nur von einem Domänencontroller hinzugefügt.
S-1-5-17	IIS_USRS	Ein Konto, das vom Standardmäßigen Internetinformationsdienste (IIS)-Benutzer verwendet wird.
S-1-5-18	System (oder LocalSystem)	Eine Identität, die lokal vom Betriebssystem und von Diensten verwendet wird, die für die Anmeldung als LocalSystem konfiguriert sind. System ist ein ausgeblendetes Mitglied von Administratoren. Das heißt, jeder Prozess, der als System ausgeführt wird, verfügt über die SID für die integrierte Administratorengruppe im Zugriffstoken. Wenn ein Prozess, der lokal als System ausgeführt wird, auf Netzwerkressourcen zugreift, erfolgt dies mithilfe der Domänenidentität des Computers. Das Zugriffstoken auf dem Remotecomputer enthält die SID für das Domänenkonto des lokalen Computers sowie SIDs für Sicherheitsgruppen, bei denen der Computer Mitglied ist, z. B. Domänencomputer und authentifizierte Benutzer.
S-1-5-19	NT-Autorität (LocalService)	Eine Identität, die von Diensten verwendet wird, die lokal auf dem Computer sind, keinen umfassenden lokalen Zugriff benötigen und keinen authentifizierten Netzwerkzugriff benötigen. Dienste, die als LocalService ausgeführt werden, greifen als normale Benutzer auf lokale Ressourcen und als anonyme Benutzer auf Netzwerkressourcen zu. Daher hat ein Dienst, der als LocalService ausgeführt wird, wesentlich weniger Autorität als ein Dienst, der lokal und im Netzwerk als LocalSystem ausgeführt wird.
S-1-5-20	Netzwerkdienst	Eine Identität, die von Diensten verwendet wird, die keinen umfassenden lokalen Zugriff benötigen, aber authentifizierten Netzwerkzugriff benötigen. Dienste, die als NetworkService ausgeführt werden, greifen als normale Benutzer auf lokale Ressourcen zu und greifen mithilfe der Computeridentität auf Netzwerkressourcen zu. Daher hat ein Dienst, der als NetworkService ausgeführt wird, den gleichen Netzwerkzugriff wie ein Dienst, der als LocalSystem ausgeführt wird, hat jedoch den lokalen Zugriff erheblich reduziert.
S-1-5-Domäne-500	Administrator	Ein Benutzerkonto für den Systemadministrator. Jeder Computer verfügt über ein lokales Administratorkonto und jede Domäne über ein Domänenadministratorkonto. Das Administratorkonto ist das erste Konto, das während der Installation des Betriebssystems erstellt wurde. Das Konto kann nicht gelöscht, deaktiviert oder gesperrt werden, aber es kann umbenannt werden. Standardmäßig ist das Administratorkonto Ein Mitglied der Gruppe "Administratoren" und kann nicht aus dieser Gruppe entfernt werden.
S-1-5-Domäne-501	Gast	Ein Benutzerkonto für Personen, die nicht über einzelne Konten verfügen. Jeder Computer verfügt über ein lokales Gastkonto, und jede Domäne verfügt über ein Domänen-Gastkonto. Standardmäßig ist "Guest" Mitglied der Gruppen "Jeder" und "Gäste". Das Domänen-Gastkonto ist auch Mitglied der Gruppen "Domänengäste" und "Domänenbenutzer". Im Gegensatz zur anonymen Anmeldung ist "Gast" ein echtes Konto und kann für die interaktive Anmeldung verwendet werden. Für das Gastkonto ist kein Kennwort erforderlich, es kann jedoch ein Kennwort vorhanden sein.
S-1-5-Domäne-502	Krbtgt	Ein Benutzerkonto, das vom Schlüsselverteilungscenterdienst (Key Distribution Center, KDC) verwendet wird. Das Konto ist nur auf Domänencontrollern vorhanden.
S-1-5-Domäne-512	Domänenadministratoren	Eine globale Gruppe mit Mitgliedern, die berechtigt sind, die Domäne zu verwalten. Standardmäßig ist die Gruppe "Domänenadministratoren" ein Mitglied der Gruppe "Administratoren" auf allen Computern, die der Domäne beigetreten sind, einschließlich Domänencontrollern. Domänenadministratoren sind der Standardbesitzer aller Objekte, die von jedem Mitglied der Gruppe im Active Directory der Domäne erstellt werden. Wenn Mitglieder der Gruppe andere Objekte erstellen, z. B. Dateien, ist der Standardbesitzer die Gruppe "Administratoren".
S-1-5-Domäne-513	Domänenbenutzer	Eine globale Gruppe, die alle Benutzer in einer Domäne enthält. Wenn Sie ein neues User-Objekt in Active Directory erstellen, wird der Benutzer dieser Gruppe automatisch hinzugefügt.
S-1-5-Domäne-514	Domänengäste	Eine globale Gruppe, die standardmäßig nur ein Mitglied hat: das integrierte Gastkonto der Domäne.
S-1-5-Domäne-515	Domänencomputer	Eine globale Gruppe, die alle Computer enthält, die der Domäne beigetreten sind, mit Ausnahme von Domänencontrollern.
S-1-5-Domäne-516	Domänencontroller	Eine globale Gruppe, die alle Domänencontroller in der Domäne enthält. Dieser Gruppe werden automatisch neue Domänencontroller hinzugefügt.
S-1-5-Domäne-517	Zertifikatsverlage	Eine globale Gruppe, die alle Computer enthält, die eine Unternehmenszertifizierungsstelle hosten. Zertifikatverlage sind berechtigt, Zertifikate für Benutzerobjekte in Active Directory zu veröffentlichen.
S-1-5-Stammdomäne-518	Schemaadministratoren	Eine Gruppe, die nur in der Gesamtstrukturstammdomäne vorhanden ist. Es handelt sich um eine universelle Gruppe, wenn sich die Domäne im nativen Modus befindet, und es handelt sich um eine globale Gruppe, wenn sich die Domäne im gemischten Modus befindet. Die Gruppe "Schemaadministratoren" ist berechtigt, Schemaänderungen in Active Directory vorzunehmen. Standardmäßig ist das einzige Mitglied der Gruppe das Administratorkonto für die Stammdomäne der Gesamtstruktur.
S-1-5-Stammdomäne-519	Enterprise Administratoren	Eine Gruppe, die nur in der Gesamtstrukturstammdomäne vorhanden ist. Es handelt sich um eine universelle Gruppe, wenn sich die Domäne im nativen Modus befindet, und es handelt sich um eine globale Gruppe, wenn sich die Domäne im gemischten Modus befindet. Die Gruppe Enterprise Administratoren ist berechtigt, Änderungen an der Gesamtstrukturinfrastruktur vorzunehmen, z. B. das Hinzufügen untergeordneter Domänen, das Konfigurieren von Standorten, das Autorisieren von DHCP-Servern und das Installieren von Unternehmenszertifizierungsstellen. Standardmäßig ist das einzige Mitglied von Enterprise Administratoren das Administratorkonto für die Stammdomäne der Gesamtstruktur. Die Gruppe ist ein Standardmitglied jeder Gruppe "Domänenadministratoren" in der Gesamtstruktur.
S-1-5-Domäne-520	Gruppenrichtlinienerstellerbesitzer	Eine globale Gruppe, die zum Erstellen neuer Gruppenrichtlinienobjekte in Active Directory autorisiert ist. Standardmäßig ist administrator das einzige Mitglied der Gruppe. Objekte, die von Mitgliedern von Gruppenrichtlinienerstellerbesitzern erstellt werden, befinden sich im Besitz des einzelnen Benutzers, der sie erstellt. Auf diese Weise unterscheidet sich die Gruppe "Ersteller von Gruppenrichtlinienbesitzern" von anderen administrativen Gruppen (z. B. Administratoren und Domänenadministratoren). Objekte, die von Mitgliedern dieser Gruppen erstellt werden, befinden sich im Besitz der Gruppe und nicht der Einzelperson.
S-1-5-Domäne-553	RAS- und IAS-Server	Eine lokale Domänengruppe. Standardmäßig hat diese Gruppe keine Mitglieder. Computer, auf denen der Routing- und Remotezugriffsdienst ausgeführt wird, werden der Gruppe automatisch hinzugefügt. Mitglieder dieser Gruppe haben Zugriff auf bestimmte Eigenschaften von Benutzerobjekten, z. B. Kontoeinschränkungen lesen, Anmeldeinformationen lesen und Remotezugriffsinformationen lesen.
S-1-5-32-544	Administratoren	Eine integrierte Gruppe. Nach der Erstinstallation des Betriebssystems ist das Administratorkonto das einzige Mitglied der Gruppe. Wenn ein Computer einer Domäne beitritt, wird die Gruppe "Domänenadministratoren" der Gruppe "Administratoren" hinzugefügt. Wenn ein Server zu einem Domänencontroller wird, wird auch die Gruppe Enterprise Administratoren der Gruppe "Administratoren" hinzugefügt.
S-1-5-32-545	Users	Eine integrierte Gruppe. Nach der Erstinstallation des Betriebssystems ist die Gruppe "Authentifizierte Benutzer" das einzige Mitglied.
S-1-5-32-546	Gäste	Eine integrierte Gruppe. Standardmäßig ist das einzige Mitglied das Gastkonto. Die Gruppe "Gäste" ermöglicht gelegentlichen oder einmaligen Benutzern die Anmeldung mit eingeschränkten Berechtigungen für das integrierte Gastkonto eines Computers.
S-1-5-32-547	Hauptbenutzer	Eine integrierte Gruppe. Standardmäßig hat die Gruppe keine Mitglieder. Hauptbenutzer können lokale Benutzer und Gruppen erstellen. von ihnen erstellte Konten ändern und löschen; und entfernen Sie Benutzer aus den Gruppen "Hauptbenutzer", "Benutzer" und "Gäste". Hauptbenutzer können auch Programme installieren. erstellen, verwalten und löschen Sie lokale Drucker; und erstellen und löschen Sie Dateifreigaben.
S-1-5-32-548	Kontooperatoren	Eine integrierte Gruppe, die nur auf Domänencontrollern vorhanden ist. Standardmäßig hat die Gruppe keine Mitglieder. Standardmäßig verfügen Kontooperatoren über die Berechtigung zum Erstellen, Ändern und Löschen von Konten für Benutzer, Gruppen und Computer in allen Containern und Organisationseinheiten von Active Directory mit Ausnahme des integrierten Containers und der Domänencontroller-OE. Kontooperatoren verfügen weder über die Berechtigung zum Ändern der Gruppen "Administratoren" und "Domänenadministratoren" noch über die Berechtigung zum Ändern der Konten für Mitglieder dieser Gruppen.
S-1-5-32-549	Serveroperatoren	Beschreibung: Eine integrierte Gruppe, die nur auf Domänencontrollern vorhanden ist. Standardmäßig hat die Gruppe keine Mitglieder. Serveroperatoren können sich interaktiv bei einem Server anmelden. Erstellen und Löschen von Netzwerkfreigaben; Dienste starten und beenden; Sichern und Wiederherstellen von Dateien; die Festplatte des Computers formatieren; und fahren Sie den Computer herunter.
S-1-5-32-550	Druckoperatoren	Eine integrierte Gruppe, die nur auf Domänencontrollern vorhanden ist. Standardmäßig ist das einzige Mitglied die Gruppe "Domänenbenutzer". Druckoperatoren können Drucker und Dokumentwarteschlangen verwalten.
S-1-5-32-551	Sicherungsoperatoren	Eine integrierte Gruppe. Standardmäßig hat die Gruppe keine Mitglieder. Sicherungsoperatoren können alle Dateien auf einem Computer sichern und wiederherstellen, unabhängig von den Berechtigungen, die diese Dateien schützen. Sicherungsoperatoren können sich auch am Computer anmelden und herunterfahren.
S-1-5-32-552	Replikatoren	Eine integrierte Gruppe, die vom Dateireplikationsdienst auf Domänencontrollern verwendet wird. Standardmäßig hat die Gruppe keine Mitglieder. Fügen Sie dieser Gruppe keine Benutzer hinzu.
S-1-5-32-554	Builtin\Pre-Windows 2000 Compatible Access	Ein Alias, der von Windows 2000 hinzugefügt wurde. Eine Abwärtskompatibilitätsgruppe, die Lesezugriff auf alle Benutzer und Gruppen in der Domäne ermöglicht.
S-1-5-32-555	Builtin\Remotedesktopbenutzer	Ein Alias. Mitgliedern dieser Gruppe wird das Recht gewährt, sich remote anzumelden.
S-1-5-32-556	Integrierte\Netzwerkkonfigurationsoperatoren	Ein Alias. Mitglieder dieser Gruppe können über einige Administratorrechte zum Verwalten der Konfiguration von Netzwerkfeatures verfügen.
S-1-5-32-557	Builtin\Incoming Forest Trust Builders	Ein Alias. Mitglieder dieser Gruppe können eingehende, unidirektionale Vertrauensstellungen für diese Gesamtstruktur erstellen.
S-1-5-32-558	Builtin\Performance Monitor Users	Ein Alias. Mitglieder dieser Gruppe haben Remotezugriff, um diesen Computer zu überwachen.
S-1-5-32-559	Integrierte\Benutzer des Leistungsprotokolls	Ein Alias. Mitglieder dieser Gruppe haben Remotezugriff, um die Protokollierung von Leistungsindikatoren auf diesem Computer zu planen.
S-1-5-32-560	Builtin\Windows Autorisierungszugriffsgruppe	Ein Alias. Mitglieder dieser Gruppe haben Zugriff auf das berechnete tokenGroupsGlobalAndUniversal-Attribut für Benutzerobjekte.
S-1-5-32-561	Builtin\Terminal Server License Servers	Ein Alias. Eine Gruppe für Terminalserver-Lizenzserver. Wenn Windows Server 2003 Service Pack 1 installiert ist, wird eine neue lokale Gruppe erstellt.
S-1-5-32-562	Builtin\Distributed COM-Benutzer	Ein Alias. Eine Gruppe für COM, die computerweite Zugriffssteuerungen bereitstellt, die den Zugriff auf alle Anruf-, Aktivierungs- oder Startanforderungen auf dem Computer steuern.
S-1-5-32-569	Builtin\Cryptographic Operators	Eine integrierte lokale Gruppe. Mitglieder sind berechtigt, kryptografische Vorgänge auszuführen.
S-1-5-32-573	Builtin\Event Log Readers	Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe können Ereignisprotokolle vom lokalen Computer lesen.
S-1-5-32-574	Builtin\Certificate Service DCOM Access	Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe dürfen sich mit Zertifizierungsstellen im Unternehmen verbinden.
S-1-5-32-575	Builtin\RDS-Remotezugriffsserver	Eine integrierte lokale Gruppe. Server in dieser Gruppe ermöglichen Benutzern von RemoteApp-Programmen und persönlichen virtuellen Desktops den Zugriff auf diese Ressourcen. In Internetbereitstellungen werden diese Server in der Regel in einem Edgenetzwerk bereitgestellt. Diese Gruppe muss auf Servern mit RD-Verbindungsbroker aufgefüllt werden. RD-Gatewayserver und RD Web Access-Server, die in der Bereitstellung verwendet werden, müssen sich in dieser Gruppe befinden.
S-1-5-32-576	Builtin\RDS-Endpunktserver	Eine integrierte lokale Gruppe. Server in dieser Gruppe führen virtuelle Computer und Hostsitzungen aus, in denen RemoteApp-Programme und persönliche virtuelle Desktops von Benutzern ausgeführt werden. Diese Gruppe muss auf Servern mit RD-Verbindungsbroker aufgefüllt werden. RD-Sitzungshostserver und RD Virtualization Host-Server, die in der Bereitstellung verwendet werden, müssen sich in dieser Gruppe befinden.
S-1-5-32-577	Builtin\RDS-Verwaltungsserver	Eine integrierte lokale Gruppe. Server in dieser Gruppe können routinemäßige administrative Aktionen auf Servern ausführen, auf denen Remotedesktopdienste ausgeführt werden. Diese Gruppe muss auf allen Servern in einer Remotedesktopdienste-Bereitstellung aufgefüllt werden. Die Server, auf denen der zentrale RDS-Verwaltungsdienst ausgeführt wird, müssen in dieser Gruppe enthalten sein.
S-1-5-32-578	Builtin\Hyper-V-Administratoren	Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe haben vollständigen und uneingeschränkten Zugriff auf alle Features von Hyper-V.
S-1-5-32-579	Integrierte\Zugriffssteuerungs-Unterstützungsoperatoren	Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe können Autorisierungsattribute und Berechtigungen für Ressourcen auf diesem Computer remote abfragen.
S-1-5-32-580	Integrierte\Remoteverwaltungsbenutzer	Eine integrierte lokale Gruppe. Mitglieder dieser Gruppe können über Verwaltungsprotokolle (z. B. WS-Management über den Windows Remoteverwaltungsdienst) auf WMI-Ressourcen zugreifen. Dies gilt nur für WMI-Namespaces, die dem Benutzer Zugriff gewähren.
S-1-5-64-10	NTLM-Authentifizierung	Eine SID, die verwendet wird, wenn das NTLM-Authentifizierungspaket den Client authentifiziert hat
S-1-5-64-14	SChannel-Authentifizierung	Eine SID, die verwendet wird, wenn das SChannel-Authentifizierungspaket den Client authentifiziert hat.
S-1-5-64-21	Digestauthentifizierung	Eine SID, die verwendet wird, wenn das Digestauthentifizierungspaket den Client authentifiziert hat.
S-1-5-80	NT-Dienst	Eine SID, die als NT-Dienstkontopräfix verwendet wird.
S-1-5-80-0	Alle Dienste	Eine Gruppe, die alle Dienstprozesse enthält, die auf dem System konfiguriert sind. Die Mitgliedschaft wird vom Betriebssystem gesteuert. SID S-1-5-80-0 entspricht NT SERVICES\ALL SERVICES. Diese SID wurde in Windows Server 2008 R2 eingeführt.
S-1-5-83-0	NT VIRTUAL MACHINE\Virtual Machines	Eine integrierte Gruppe. Die Gruppe wird erstellt, wenn die Hyper-V-Rolle installiert wird. Die Mitgliedschaft in der Gruppe wird vom Hyper-V-Verwaltungsdienst (Hyper-V Management Service, VMMS) verwaltet. Diese Gruppe erfordert das Recht zum Erstellen symbolischer Verknüpfungen (SeCreateSymbolicLinkPrivilege) und auch das Recht "Anmelden als Dienst" (SeServiceLogonRight).

Die folgenden RIDs beziehen sich auf jede Domäne.

RID	Dezimalwert	Identifiziert
DOMAIN_USER_RID_ADMIN	500	Das Administratorbenutzerkonto in einer Domäne.
DOMAIN_USER_RID_GUEST	501	Das Gastbenutzerkonto in einer Domäne. Benutzer, die nicht über ein Konto verfügen, können sich automatisch bei diesem Konto anmelden.
DOMAIN_GROUP_RID_USERS	513	Eine Gruppe, die alle Benutzerkonten in einer Domäne enthält. Alle Benutzer werden dieser Gruppe automatisch hinzugefügt.
DOMAIN_GROUP_RID_GUESTS	514	Das Gruppen-Gastkonto in einer Domäne.
DOMAIN_GROUP_RID_COMPUTERS	515	Die Gruppe "Domänencomputer". Alle Computer in der Domäne sind Mitglieder dieser Gruppe.
DOMAIN_GROUP_RID_CONTROLLERS	516	Die Domänencontrollergruppe. Alle Domänencontroller in der Domäne sind Mitglieder dieser Gruppe.
DOMAIN_GROUP_RID_CERT_ADMINS	517	Die Gruppe der Zertifikatverlage. Computer, auf denen Active Directory-Zertifikatdienste ausgeführt werden, sind Mitglieder dieser Gruppe.
DOMAIN_GROUP_RID_SCHEMA_ADMINS	518	Die Gruppe der Schemaadministratoren. Mitglieder dieser Gruppe können das Active Directory-Schema ändern.
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS	519	Die Gruppe der Unternehmensadministratoren. Mitglieder dieser Gruppe haben Vollzugriff auf alle Domänen in der Active Directory-Gesamtstruktur. Enterprise Administratoren sind für Vorgänge auf Gesamtstrukturebene verantwortlich, z. B. das Hinzufügen oder Entfernen neuer Domänen.
DOMAIN_GROUP_RID_POLICY_ADMINS	520	Die Gruppe der Richtlinienadministratoren.

Die folgende Tabelle enthält Beispiele für domänenrelative RIDs, die zum Bilden bekannter SIDs für lokale Gruppen verwendet werden.

RID	Dezimalwert	Identifiziert
DOMAIN_ALIAS_RID_ADMINS	544	Administratoren der Domäne.
DOMAIN_ALIAS_RID_USERS	545	Alle Benutzer in der Domäne.
DOMAIN_ALIAS_RID_GUESTS	546	Gäste der Domäne.
DOMAIN_ALIAS_RID_POWER_USERS	547	Ein Benutzer oder eine Gruppe von Benutzern, die erwarten, dass ein System so behandelt wird, als wäre es sein persönlicher Computer und nicht als Arbeitsstation für mehrere Benutzer.
DOMAIN_ALIAS_RID_BACKUP_OPS	551	Eine lokale Gruppe, die verwendet wird, um die Zuweisung von Benutzerrechten für die Dateisicherung und -wiederherstellung zu steuern.
DOMAIN_ALIAS_RID_REPLICATOR	552	Eine lokale Gruppe, die für das Kopieren von Sicherheitsdatenbanken vom primären Domänencontroller auf die Sicherungsdomänencontroller verantwortlich ist. Diese Konten werden nur vom System verwendet.
DOMAIN_ALIAS_RID_RAS_SERVERS	553	Eine lokale Gruppe, die den Remotezugriff und Server darstellt, auf denen der Internetauthentifizierungsdienst (Internet Authentication Service, IAS) ausgeführt wird. Diese Gruppe ermöglicht den Zugriff auf verschiedene Attribute von Benutzerobjekten.

Knowledge Base

Sicherheitsbezeichner (Bekannte SIDs)

ISP-Service

Quick Links

Informationen