在安全描述符定义语言(SDDL)中,安全描述符字符串将SID字符串用于安全描述符的以下部分:
- Owner
- Primary group
- The trustee in an ACE
安全描述符字符串中的SID字符串可以使用SID的标准字符串表示形式(S-R-I-S-S)或Sddl.h中定义的字符串常量之一。
在Sddl.h中定义了以下用于常见SID的SID字符串常量。
| SDDL SID 字符串 | Sddl.h 中的长度 | 帐户别名和相应的RID |
|---|---|---|
| "AN" | SDDL_ANONYMOUS | 匿名登录。相应的RID为SECURITY_ANONYMOUS_LOGON_RID |
| "AO" | SDDL_ACCOUNT_OPERATORS | 帐户操作员。相应的RID为DOMAIN_ALIAS_RID_ACCOUNT_OPS。 |
| "AU" | SDDL_AUTHENTICATED_USERS | 经过身份验证的用户。相应的RID是SECURITY_AUTHENTICATED_USER_RID。 |
| "BA" | SDDL_BUILTIN_ADMINISTRATORS | 内置管理员。相应的RID是DOMAIN_ALIAS_RID_ADMINS。 |
| "BG" | SDDL_BUILTIN_GUESTS | 内置来宾。相应的RID是DOMAIN_ALIAS_RID_GUESTS。 |
| "BO" | SDDL_BACKUP_OPERATORS | 备份运算符。相应的RID是DOMAIN_ALIAS_RID_BACKUP_OPS。 |
| "BU" | SDDL_BUILTIN_USERS | 内置用户。相应的RID是DOMAIN_ALIAS_RID_USERS。 |
| "CA" | SDDL_CERT_SERV_ADMINISTRATORS | 证书发布者。相应的RID是DOMAIN_GROUP_RID_CERT_ADMINS。 |
| "CD" | SDDL_CERTSVC_DCOM_ACCESS | 可以使用分布式组件对象模型(DCOM)连接到证书颁发机构的用户。相应的RID是DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP。 |
| "CG" | SDDL_CREATOR_GROUP | 创作者组。相应的RID是SECURITY_CREATOR_GROUP_RID。 |
| "CO" | SDDL_CREATOR_OWNER | 创作者所有者。相应的RID是SECURITY_CREATOR_OWNER_RID。 |
| "DA" | SDDL_DOMAIN_ADMINISTRATORS | 域管理员。相应的RID为DOMAIN_GROUP_RID_ADMINS。 |
| "DC" | SDDL_DOMAIN_COMPUTERS | 域计算机。相应的RID是DOMAIN_GROUP_RID_COMPUTERS。 |
| "DD" | SDDL_DOMAIN_DOMAIN_CONTROLLERS | 域控制器。相应的RID是DOMAIN_GROUP_RID_CONTROLLERS。 |
| "DG" | SDDL_DOMAIN_GUESTS | 域来宾。相应的RID是DOMAIN_GROUP_RID_GUESTS。 |
| "DU" | SDDL_DOMAIN_USERS | 域用户。相应的RID是DOMAIN_GROUP_RID_USERS。 |
| "EA" | SDDL_ENTERPRISE_ADMINS | 企业管理员。相应的RID为DOMAIN_GROUP_RID_ENTERPRISE_ADMINS。 |
| "ED" | SDDL_ENTERPRISE_DOMAIN_CONTROLLERS | 企业域控制器。相应的RID是SECURITY_SERVER_LOGON_RID。 |
| "HI" | SDDL_ML_HIGH | 高诚信度。相应的RID是SECURITY_MANDATORY_HIGH_RID。 |
| "IU" | SDDL_INTERACTIVE | 交互式登录的用户。这是在以交互方式登录时添加到进程令牌中的组标识符。相应的登录类型为LOGON32_LOGON_INTERACTIVE。相应的RID是SECURITY_INTERACTIVE_RID。 |
| "LA" | SDDL_LOCAL_ADMIN | 本地管理员。相应的RID是DOMAIN_USER_RID_ADMIN。 |
| "LG" | SDDL_LOCAL_GUEST | 当地客人。相应的RID为DOMAIN_USER_RID_GUEST。 |
| "LS" | SDDL_LOCAL_SERVICE | 本地服务帐户。相应的RID是SECURITY_LOCAL_SERVICE_RID。 |
| "LW" | SDDL_ML_LOW | 完整性等级低。相应的RID是SECURITY_MANDATORY_LOW_RID。 |
| "ME" | SDDL_MLMEDIUM | 中等完整性级别。相应的RID是SECURITY_MANDATORY_MEDIUM_RID。 |
| "MU" | SDDL_PERFMON_USERS | 性能监视器用户。 |
| "NO" | SDDL_NETWORK_CONFIGURATION_OPS | 网络配置运营商。相应的RID是DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS。 |
| "NS" | SDDL_NETWORK_SERVICE | 网络服务帐户。相应的RID是SECURITY_NETWORK_SERVICE_RID。 |
| "NU" | SDDL_NETWORK | 网络登录用户。这是在通过网络登录时添加到进程令牌中的组标识符。相应的登录类型为LOGON32_LOGON_NETWORK。相应的RID是SECURITY_NETWORK_RID。 |
| "PA" | SDDL_GROUP_POLICY_ADMINS | 组策略管理员。相应的RID为DOMAIN_GROUP_RID_POLICY_ADMINS。 |
| "PO" | SDDL_PRINTER_OPERATORS | 打印机操作员。相应的RID是DOMAIN_ALIAS_RID_PRINT_OPS。 |
| "PS" | SDDL_PERSONAL_SELF | 主要自我。相应的RID是SECURITY_PRINCIPAL_SELF_RID。 |
| "PU" | SDDL_POWER_USERS | 超级用户。相应的RID是DOMAIN_ALIAS_RID_POWER_USERS。 |
| "RC" | SDDL_RESTRICTED_CODE | 受限制的代码。这是使用CreateRestrictedToken函数创建的受限令牌。相应的RID为SECURITY_RESTRICTED_CODE_RID。 |
| "RD" | SDDL_REMOTE_DESKTOP | 终端服务器用户。相应的RID是DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS。 |
| "RE" | SDDL_REPLICATOR | 复制器。相应的RID是DOMAIN_ALIAS_RID_REPLICATOR。 |
| "RO" | SDDL_ENTERPRISE_RO_DCs | 企业只读域控制器。相应的RID为DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS。 |
| "RS" | SDDL_RAS_SERVERS | RAS服务器组。相应的RID是DOMAIN_ALIAS_RID_RAS_SERVERS。 |
| "RU" | SDDL_ALIAS_PREW2KCOMPACC | 为使用与Windows 2000之前的操作系统兼容的应用程序的帐户授予权限的别名。相应的RID为DOMAIN_ALIAS_RID_PREW2KCOMPACCESS。 |
| "SA" | SDDL_SCHEMA_ADMINISTRATORS | 架构管理员。相应的RID是DOMAIN_GROUP_RID_SCHEMA_ADMINS。 |
| "SI" | SDDL_ML_SYSTEM | 系统完整性级别。相应的RID是SECURITY_MANDATORY_SYSTEM_RID。 |
| "SO" | SDDL_SERVER_OPERATORS | 服务器操作员。相应的RID是DOMAIN_ALIAS_RID_SYSTEM_OPS。 |
| "SU" | SDDL_SERVICE | 服务登录用户。这是在作为服务登录时添加到进程令牌中的组标识符。相应的登录类型为LOGON32_LOGON_SERVICE。相应的RID是SECURITY_SERVICE_RID。 |
| "SY" | SDDL_LOCAL_SYSTEM | 本地系统。相应的RID是SECURITY_LOCAL_SYSTEM_RID。 |
| "WD" | SDDL_EVERYONE | 每个人。相应的RID是SECURITY_WORLD_RID。 |
ConvertSidToStringSid和ConvertStringSidToSid函数始终使用标准SID字符串表示法,并且不支持SDDL SID字符串常量。