Question

SID字符串

在安全描述符定义语言（SDDL）中，安全描述符字符串将SID字符串用于安全描述符的以下部分：

• Owner
• Primary group
• The trustee in an ACE

安全描述符字符串中的SID字符串可以使用SID的标准字符串表示形式（S-R-I-S-S）或Sddl.h中定义的字符串常量之一。

在Sddl.h中定义了以下用于常见SID的SID字符串常量。

SDDL SID 字符串	Sddl.h 中的长度	帐户别名和相应的RID
"AN"	SDDL_ANONYMOUS	匿名登录。相应的RID为SECURITY_ANONYMOUS_LOGON_RID
"AO"	SDDL_ACCOUNT_OPERATORS	帐户操作员。相应的RID为DOMAIN_ALIAS_RID_ACCOUNT_OPS。
"AU"	SDDL_AUTHENTICATED_USERS	经过身份验证的用户。相应的RID是SECURITY_AUTHENTICATED_USER_RID。
"BA"	SDDL_BUILTIN_ADMINISTRATORS	内置管理员。相应的RID是DOMAIN_ALIAS_RID_ADMINS。
"BG"	SDDL_BUILTIN_GUESTS	内置来宾。相应的RID是DOMAIN_ALIAS_RID_GUESTS。
"BO"	SDDL_BACKUP_OPERATORS	备份运算符。相应的RID是DOMAIN_ALIAS_RID_BACKUP_OPS。
"BU"	SDDL_BUILTIN_USERS	内置用户。相应的RID是DOMAIN_ALIAS_RID_USERS。
"CA"	SDDL_CERT_SERV_ADMINISTRATORS	证书发布者。相应的RID是DOMAIN_GROUP_RID_CERT_ADMINS。
"CD"	SDDL_CERTSVC_DCOM_ACCESS	可以使用分布式组件对象模型（DCOM）连接到证书颁发机构的用户。相应的RID是DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP。
"CG"	SDDL_CREATOR_GROUP	创作者组。相应的RID是SECURITY_CREATOR_GROUP_RID。
"CO"	SDDL_CREATOR_OWNER	创作者所有者。相应的RID是SECURITY_CREATOR_OWNER_RID。
"DA"	SDDL_DOMAIN_ADMINISTRATORS	域管理员。相应的RID为DOMAIN_GROUP_RID_ADMINS。
"DC"	SDDL_DOMAIN_COMPUTERS	域计算机。相应的RID是DOMAIN_GROUP_RID_COMPUTERS。
"DD"	SDDL_DOMAIN_DOMAIN_CONTROLLERS	域控制器。相应的RID是DOMAIN_GROUP_RID_CONTROLLERS。
"DG"	SDDL_DOMAIN_GUESTS	域来宾。相应的RID是DOMAIN_GROUP_RID_GUESTS。
"DU"	SDDL_DOMAIN_USERS	域用户。相应的RID是DOMAIN_GROUP_RID_USERS。
"EA"	SDDL_ENTERPRISE_ADMINS	企业管理员。相应的RID为DOMAIN_GROUP_RID_ENTERPRISE_ADMINS。
"ED"	SDDL_ENTERPRISE_DOMAIN_CONTROLLERS	企业域控制器。相应的RID是SECURITY_SERVER_LOGON_RID。
"HI"	SDDL_ML_HIGH	高诚信度。相应的RID是SECURITY_MANDATORY_HIGH_RID。
"IU"	SDDL_INTERACTIVE	交互式登录的用户。这是在以交互方式登录时添加到进程令牌中的组标识符。相应的登录类型为LOGON32_LOGON_INTERACTIVE。相应的RID是SECURITY_INTERACTIVE_RID。
"LA"	SDDL_LOCAL_ADMIN	本地管理员。相应的RID是DOMAIN_USER_RID_ADMIN。
"LG"	SDDL_LOCAL_GUEST	当地客人。相应的RID为DOMAIN_USER_RID_GUEST。
"LS"	SDDL_LOCAL_SERVICE	本地服务帐户。相应的RID是SECURITY_LOCAL_SERVICE_RID。
"LW"	SDDL_ML_LOW	完整性等级低。相应的RID是SECURITY_MANDATORY_LOW_RID。
"ME"	SDDL_MLMEDIUM	中等完整性级别。相应的RID是SECURITY_MANDATORY_MEDIUM_RID。
"MU"	SDDL_PERFMON_USERS	性能监视器用户。
"NO"	SDDL_NETWORK_CONFIGURATION_OPS	网络配置运营商。相应的RID是DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS。
"NS"	SDDL_NETWORK_SERVICE	网络服务帐户。相应的RID是SECURITY_NETWORK_SERVICE_RID。
"NU"	SDDL_NETWORK	网络登录用户。这是在通过网络登录时添加到进程令牌中的组标识符。相应的登录类型为LOGON32_LOGON_NETWORK。相应的RID是SECURITY_NETWORK_RID。
"PA"	SDDL_GROUP_POLICY_ADMINS	组策略管理员。相应的RID为DOMAIN_GROUP_RID_POLICY_ADMINS。
"PO"	SDDL_PRINTER_OPERATORS	打印机操作员。相应的RID是DOMAIN_ALIAS_RID_PRINT_OPS。
"PS"	SDDL_PERSONAL_SELF	主要自我。相应的RID是SECURITY_PRINCIPAL_SELF_RID。
"PU"	SDDL_POWER_USERS	超级用户。相应的RID是DOMAIN_ALIAS_RID_POWER_USERS。
"RC"	SDDL_RESTRICTED_CODE	受限制的代码。这是使用CreateRestrictedToken函数创建的受限令牌。相应的RID为SECURITY_RESTRICTED_CODE_RID。
"RD"	SDDL_REMOTE_DESKTOP	终端服务器用户。相应的RID是DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS。
"RE"	SDDL_REPLICATOR	复制器。相应的RID是DOMAIN_ALIAS_RID_REPLICATOR。
"RO"	SDDL_ENTERPRISE_RO_DCs	企业只读域控制器。相应的RID为DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS。
"RS"	SDDL_RAS_SERVERS	RAS服务器组。相应的RID是DOMAIN_ALIAS_RID_RAS_SERVERS。
"RU"	SDDL_ALIAS_PREW2KCOMPACC	为使用与Windows 2000之前的操作系统兼容的应用程序的帐户授予权限的别名。相应的RID为DOMAIN_ALIAS_RID_PREW2KCOMPACCESS。
"SA"	SDDL_SCHEMA_ADMINISTRATORS	架构管理员。相应的RID是DOMAIN_GROUP_RID_SCHEMA_ADMINS。
"SI"	SDDL_ML_SYSTEM	系统完整性级别。相应的RID是SECURITY_MANDATORY_SYSTEM_RID。
"SO"	SDDL_SERVER_OPERATORS	服务器操作员。相应的RID是DOMAIN_ALIAS_RID_SYSTEM_OPS。
"SU"	SDDL_SERVICE	服务登录用户。这是在作为服务登录时添加到进程令牌中的组标识符。相应的登录类型为LOGON32_LOGON_SERVICE。相应的RID是SECURITY_SERVICE_RID。
"SY"	SDDL_LOCAL_SYSTEM	本地系统。相应的RID是SECURITY_LOCAL_SYSTEM_RID。
"WD"	SDDL_EVERYONE	每个人。相应的RID是SECURITY_WORLD_RID。

ConvertSidToStringSid和ConvertStringSidToSid函数始终使用标准SID字符串表示法，并且不支持SDDL SID字符串常量。