付録 B: Active Directory の特権アカウントとグループ
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
付録 B: Active Directory の特権アカウントとグループ
Active Directory の "特権" アカウントとグループは、Active Directory で、およびドメインに参加しているシステムで、ほぼすべてのアクションを実行できる強力な権限、特権、およびアクセス許可が付与されるアカウントです。 この付録では、まず、権限、特権、およびアクセス許可について説明し、次に Active Directory の "最高の特権" アカウントとグループ、つまり最も強力なアカウントとグループに関する情報について説明します。
また、Active Directory の組み込みおよび既定のアカウントとグループに関する情報と、その権限に関する情報も提供します。 最高の特権アカウントとグループをセキュリティで保護するための特定の構成に関する推奨事項は別の付録として提供されますが、この付録では、セキュリティ保護に焦点を当てる必要があるユーザーとグループを識別するのに役立つ背景情報を提供します。 それらは攻撃者が Active Directory のインストールを侵害し、破壊するために使用される可能性があるため、そうする必要があります。
Active Directory の権限、特権、およびアクセス許可
Microsoft のドキュメント内でも、権限、アクセス許可、特権の違いはわかりにくく、矛盾している可能性があります。 このセクションでは、このドキュメントで使用されるそれぞれの特性の一部について説明します。 これらの用語の使用方法が異なる可能性があるため、他の Microsoft ドキュメントでこれらの説明が正式であるとは考えないでください。
権限と特権
権限と特権は、実質的には、ユーザー、サービス、コンピューター、グループなどのセキュリティ プリンシパルに付与されるシステム全体の機能と同じです。 IT プロフェッショナルによって一般的に使用されるインターフェイスでは、これらは通常、"権限" または "ユーザー権利" と呼ばれます。これらは多くの場合、グループ ポリシー オブジェクトによって割り当てられます。 次のスクリーンショットは、セキュリティ プリンシパルに割り当て可能な最も一般的なユーザー権利の一部を示しています (これは、Windows Server 2012 ドメインの既定のドメイン コントローラー GPO を表しています)。 これらの権限の一部は Active Directory に適用されたり ([コンピューターとユーザー アカウントに委任時の信頼を付与] ユーザー権利など)、他の権限は Windows オペレーティング システムに適用されたりします ([システム時刻の変更] など)。
グループ ポリシー オブジェクト エディターなどのインターフェイスでは、これらの割り当て可能な機能はすべてユーザー権利と広く呼ばれます。 ただし、実際には、一部のユーザー権利はプログラムで権限と呼ばれますが、他のユーザー権利はプログラムで特権と呼ばれます。 「表 B-1: ユーザー権利と特権」には、最も一般的な割り当て可能なユーザー権利とそのプログラム定数が用意されています。 グループ ポリシーと他のインターフェイスではこれらすべてをユーザー権利と呼びますが、一部はプログラムによって権限として識別され、他は特権として定義されます。
次の表に示す各ユーザー権利の詳細については、表のリンクを使用するか、Microsoft TechNet サイトの Windows Server 2008 R2 の「脅威と脆弱性の軽減策」ガイドの「脅威と対策ガイド: ユーザー権利」を参照してください。 Windows Server 2008 に適用される情報については、Microsoft TechNet サイトの「脅威と脆弱性の軽減策」ドキュメントの「ユーザー権利」を参照してください。 このドキュメントの執筆時点では、Windows Server 2012 に対応するドキュメントはまだ公開されていません。
注意
このドキュメントの目的上、特に指定がない限り、権限と特権を識別するために"権限" と "ユーザー権利" という用語が使用されます。
表 B-1: ユーザー権利と特権
| グループ ポリシーのユーザー権利 | 定数の名前 |
|---|---|
| 資格情報マネージャーに信頼された呼び出し側としてアクセス | SeTrustedCredManAccessPrivilege |
| ネットワークからこのコンピューターにアクセスする | SeNetworkLogonRight |
| オペレーティング システムの一部として機能 | SeTcbPrivilege |
| ドメインにワークステーションを追加 | SeMachineAccountPrivilege |
| プロセスのメモリ クォータの増加 | SeIncreaseQuotaPrivilege |
| ローカル ログオンを許可 | SeInteractiveLogonRight |
| ターミナル サービスを通したログオンを許可する | SeRemoteInteractiveLogonRight |
| ファイルとディレクトリのバックアップ | SeBackupPrivilege |
| 走査チェックのバイパス | SeChangeNotifyPrivilege |
| システム時刻の変更 | SeSystemtimePrivilege |
| タイム ゾーンの変更 | SeTimeZonePrivilege |
| ページ ファイルの作成 | SeCreatePagefilePrivilege |
| トークン オブジェクトの作成 | SeCreateTokenPrivilege |
| グローバル オブジェクトの作成 | SeCreateGlobalPrivilege |
| 永続的共有オブジェクトの作成 | SeCreatePermanentPrivilege |
| シンボリック リンクの作成 | SeCreateSymbolicLinkPrivilege |
| プログラムのデバッグ | SeDebugPrivilege |
| ネットワークからこのコンピューターへのアクセスを拒否 | SeDenyNetworkLogonRight |
| バッチ ジョブとしてのログオン権限を拒否する | SeDenyBatchLogonRight |
| サービスとしてのログオン権限を拒否する | SeDenyServiceLogonRight |
| ローカルでのログオンを拒否する | SeDenyInteractiveLogonRight |
| ターミナル サービス経由のログオンを拒否する | SeDenyRemoteInteractiveLogonRight |
| コンピューターとユーザー アカウントに委任時の信頼を付与 | SeEnableDelegationPrivilege |
| リモート コンピューターからの強制シャットダウン | SeRemoteShutdownPrivilege |
| セキュリティ監査の生成 | SeAuditPrivilege |
| 認証後にクライアントに偽装する | SeImpersonatePrivilege |
| プロセス ワーキング セットの増加 | SeIncreaseWorkingSetPrivilege |
| スケジューリング優先順位の繰り上げ | SeIncreaseBasePriorityPrivilege |
| デバイス ドライバーのロードとアンロード | SeLoadDriverPrivilege |
| メモリ内のページのロック | SeLockMemoryPrivilege |
| バッチ ジョブとしてログオン | SeBatchLogonRight |
| サービスとしてログオン | SeServiceLogonRight |
| 監査ログとセキュリティ ログの管理 | SeSecurityPrivilege |
| オブジェクト ラベルの変更 | SeRelabelPrivilege |
| ファームウェア環境値の修正 | SeSystemEnvironmentPrivilege |
| ボリュームの保守タスクを実行 | SeManageVolumePrivilege |
| 単一プロセスのプロファイル | SeProfileSingleProcessPrivilege |
| システム パフォーマンスのプロファイル | SeSystemProfilePrivilege |
| ドッキング ステーションからコンピューターを削除 | SeUndockPrivilege |
| プロセス レベル トークンの置き換え | SeAssignPrimaryTokenPrivilege |
| ファイルとディレクトリの復元 | SeRestorePrivilege |
| システムのシャットダウン | SeShutdownPrivilege |
| ディレクトリ サービス データの同期化 | SeSyncAgentPrivilege |
| ファイルとその他のオブジェクトの所有権の取得 | SeTakeOwnershipPrivilege |
アクセス許可
アクセス許可は、ファイル システム、レジストリ、サービス、Active Directory オブジェクトなどのセキュリティ保護可能なオブジェクトに適用されるアクセス制御です。 セキュリティ保護可能な各オブジェクトには、関連付けられているアクセス制御リスト (ACL) があります。これには、オブジェクトに対してさまざまな操作を実行する権限をセキュリティ プリンシパル (ユーザー、サービス、コンピューター、またはグループ) に許可または拒否するアクセス制御エントリ (ACE) が含まれています。 たとえば、Active Directory 内の多くのオブジェクトの ACL には、Authenticated Users がオブジェクトに関する全般的な情報を読み取ることができる ACE が含まれていますが、機密情報の読み取りやオブジェクトの変更は許可されていません。 各ドメインの組み込み Guest アカウントを除き、Active Directory フォレストまたは信頼されたフォレストのドメイン コントローラーによって認証されている、ログオンしているすべてのセキュリティ プリンシパルには、Authenticated Users のセキュリティ識別子 (SID) が既定でアクセス トークンに追加されています。 このため、ユーザー、サービス、またはコンピューターアカウントがドメイン内のユーザー オブジェクトの全般プロパティを読み取ろうとすると、読み取り操作は成功します。
セキュリティ プリンシパルが、ACE が定義されておらず、プリンシパルのアクセス トークンに存在する SID を含んでいるオブジェクトにアクセスしようとすると、プリンシパルはオブジェクトにアクセスできません。 さらに、オブジェクトの ACL 内の ACE に、ユーザーのアクセス トークンと一致する SID の拒否エントリが含まれている場合、通常、"拒否" ACE は競合する "許可" ACE よりも優先されます。 Windows でのアクセス制御の詳細については、MSDN web サイトのアクセス制御に関するページを参照してください。
このドキュメントでは、アクセス許可とは、セキュリティ保護可能なオブジェクトのセキュリティ プリンシパルに対して許可または拒否される機能を指します。 ユーザー権利とアクセス許可の間に競合がある場合は、通常、ユーザー権利が優先されます。 たとえば、Active Directory 内のオブジェクトで、Administrators によるオブジェクトへのすべての読み取りおよび書き込みアクセスを拒否する ACL が構成されている場合、ドメインの Administrators グループのメンバーであるユーザーは、そのオブジェクトに関する多くの情報を表示できません。 ただし、Administrators グループには、ユーザー権利 "ファイルとその他のオブジェクトの所有権の取得" 権限が付与されているため、ユーザーは、問題のオブジェクトの所有権を取得し、オブジェクトの ACL を書き直して、Administrators にオブジェクトのフル コントロールを与えることができます。
このため、このドキュメントでは、アカウントとグループの機能を制限するのではなく、日常の管理に強力なアカウントとグループを使用しないようにすることをお勧めします。 強力な資格情報にアクセスできる強い意思を持つユーザーが、その資格情報を使用してセキュリティ保護可能なリソースにアクセスするのを止めることは、実質的に不可能です。
組み込みの特権アカウントとグループ
Active Directory は、管理の委任を容易にすることと、権限とアクセス許可を割り当てる際の最小限の特権の原則を目的としています。 Active Directory ドメインにアカウントを持っている "通常の" ユーザーの場合、既定では、ディレクトリに格納されているものの多くを読み取ることができますが、ディレクトリ内のデータのごく限られたセットのみを変更することができます。 追加の特権を必要とするユーザーには、ディレクトリに組み込まれているさまざまな特権グループのメンバーシップを付与することができます。これにより、ロールに関連する特定のタスクを実行できますが、職務に関係のないタスクを実行することはできません。
Active Directory 内には、ディレクトリ内で最も高い特権グループを構成する 3 つの組み込みグループと、4 番目のグループである Schema Admins (SA) グループがあります:
Schema Admins (SA) グループには、悪用されると Active Directory フォレスト全体が破損または破壊される可能性がある特権がありますが、このグループの機能は EA、DA、および BA グループよりも制限されています。
これら 4 つのグループに加えて、Active Directory にはいくつかの追加の組み込みおよび既定のアカウントとグループがあります。それぞれに、特定の管理タスクを実行できる権限とアクセス許可が付与されています。 この付録では、Active Directory の組み込みまたは既定のグループの詳細については説明しませんが、インストールで目にする可能性が最も高いグループとアカウントの表を提供します。
たとえば、Microsoft Exchange Server を Active Directory フォレストにインストールすると、ドメイン内の組み込みコンテナーと Users コンテナーに追加のアカウントとグループが作成される可能性があります。 この付録では、ネイティブの役割と機能に基づいて Active Directory の組み込みコンテナーと Users コンテナーに作成されるグループとアカウントについてのみ説明します。 エンタープライズ ソフトウェアのインストールによって作成されたアカウントとグループは含まれません。
Enterprise Admins
Enterprise Admins (EA) グループは、フォレストのルート ドメインにあり、既定では、フォレスト内のすべてのドメインのビルトイン Administrators グループのメンバーです。 フォレスト ルート ドメインのビルトイン Administrator アカウントは、EA グループの唯一の既定のメンバーです。 EA には、フォレスト全体の変更に影響を与える権限とアクセス許可が付与されます。 これらは、ドメインの追加や削除、フォレストの信頼の確立、フォレストの機能レベルの引き上げなど、フォレスト内のすべてのドメインに影響を与える変更です。 適切に設計および実装された委任モデルでは、最初にフォレストを構築する場合または送信フォレストの信頼の確立などの特定のフォレスト全体の変更を行う場合にのみ、EA メンバーシップが必要です。
既定では、EA グループはフォレスト ルートドメインの Users コンテナーに配置されます。また、これはユニバーサル セキュリティ グループです。ただし、フォレスト ルート ドメインが Windows 2000 サーバー混在モードで実行されている場合を除きます (この場合、グループはユニバーサル セキュリティ グループです)。 一部の権限は EA グループに直接付与されますが、このグループの権限の多くは、フォレスト内の各ドメインの Administrators グループのメンバーであるため、EA グループによって実際に継承されます。 Enterprise Admins には、ワークステーションまたはメンバー サーバーに対する既定の権限がありません。
Domain Admins
フォレスト内の各ドメインには独自の Domain Admins (DA) グループがあり、これはそのドメインのビルトイン Administrator (BA) グループのメンバーになります。また、ドメインに参加しているすべてのコンピューターのローカル Administrators グループのメンバーにもなります。 ドメインの DA グループの既定のメンバーは、そのドメインのビルトイン Administrator アカウントのみです。
DA は、ドメイン内ではすべて強力ですが、EA にはフォレスト全体の特権があります。 適切に設計および実装された委任モデルでは、DA メンバーシップが必要になるのは、ドメイン内のすべてのコンピューターに対して高いレベルの特権を持つアカウントが必要な "緊急"シナリオの場合、または特定のドメイン全体の変更を行う必要がある場合です。 ネイティブ Active Directory の委任メカニズムでは、緊急のシナリオでのみ DA アカウントを使用できる程度の委任が可能ですが、効果的な委任モデルの構築には時間がかかることがあり、多くの組織はサードパーティ製アプリケーションを使用してプロセスを迅速に実行します。
DA グループは、ドメインの Users コンテナーにあるグローバル セキュリティ グループです。 フォレスト内のドメインごとに 1 つの DA グループがあり、DA グループの唯一の既定のメンバーはドメインのビルトイン Administrator アカウントです。 ドメインの DA グループはドメインの BA グループとドメインに参加しているすべてのシステムのローカル Administrators グループに入れ子になっているので、DA には Domain Admins に明確に付与されたアクセス許可だけでなく、ドメインの Administrators グループと、ドメインに参加しているすべてのシステムのローカルの Administrators グループに付与された権限とアクセス許可も継承されます。
管理者
ビルトイン Administrator (BA) グループは、DA と EA が入れ子になっているドメインの組み込みコンテナー内のドメイン ローカル グループであり、このグループには、ディレクトリおよびドメイン コントローラーの直接の権限とアクセス許可の多くが付与されています。 ただし、ドメインの Administrators グループには、メンバー サーバーまたはワークステーションに対する権限はありません。 ドメインに参加しているコンピューターのローカル Administrators グループのメンバーシップは、ローカルの特権が付与されている場所です。ここで説明するグループのうち、既定では、ドメインに参加しているすべてのコンピューターのローカル Administrator グループのメンバーであるのは、DA だけです。
Administrators グループは、ドメインの組み込みコンテナー内のドメイン ローカル グループです。 既定では、すべてのドメインの BA グループには、ローカル ドメインのビルトイン Administrator アカウント、ローカル ドメインの DA グループ、およびフォレストのルート ドメインの EA グループが含まれます。 Active Directory およびドメイン コントローラーにおける多くのユーザー権利は、EA や DA ではなく、Administrator グループのみに付与されます。 ドメインの BA グループには、ほとんどのディレクトリ オブジェクトに対するフル コントロール アクセス許可が付与され、ディレクトリ オブジェクトの所有権を取得できます。 EA および DA グループにはフォレストとドメインで特定のオブジェクト固有のアクセス許可が付与されますが、グループの多くの機能は、実際には BA グループのメンバーシップから "継承" されます。
注意
これらはこれらの特権グループの既定の構成ですが、3 つのグループのいずれかのメンバーは、ディレクトリを操作して他の任意のグループのメンバーシップを取得できます。 場合によってはこれは簡単ですが、他のグループにとってはより難しい場合があります。潜在的な特権の観点からは、3 つのグループすべてが実質的に同等であると見なされる必要があります。
Schema Admins
Schema Admins (SA) グループは、フォレストのルート ドメイン内のユニバーサル グループであり、EA グループと同様に、そのドメインのビルトイン Administrator アカウントだけが既定のメンバーになります。 SA グループのメンバーシップを使用すると、攻撃者によって Active Directory フォレスト全体のフレームワークである Active Directory スキーマが危険にさらされることがありますが、SA にはスキーマ以外の既定の権限とアクセス許可がほとんどありません。
SA グループのメンバーシップを慎重に管理して監視する必要がありますが、一部の点では、このグループは、特権の範囲が非常に狭いため、前に説明した 3 つの最上位の特権グループよりも "特権が少なく" なります。つまり、SA にはスキーマ以外の管理者権限はありません。
Active Directory の追加のビルトインおよび既定のグループ
ディレクトリへの管理の委任を容易にするために、Active Directory には、特定の権限とアクセス許可が付与されているさまざまなビルトインおよび既定のグループが付属しています。 これらのグループについては、次の表で簡単に説明します。
次の表に、Active Directory の組み込みグループと既定のグループの一覧を示します。 既定では、両方のグループのセットが存在します。ただし、組み込みのグループは Active Directory の組み込みコンテナーに配置され (既定)、既定のグループは Active Directory の Users コンテナーに配置されます (既定)。 組み込みコンテナー内のグループはすべてドメイン ローカル グループですが、Users コンテナー内のグループは、3 つの個別のユーザーアカウント (Administrator、Guest、および Krbtgt) に加えて、ドメイン ローカル グループ、グローバル グループ、ユニバーサル グループの組み合わせです。
この付録の前半で説明した最上位の特権グループに加えて、一部の組み込みアカウントと既定のアカウントおよびグループには昇格された特権が付与されており、保護されていて、セキュリティで保護された管理ホストでのみ使用される必要があります。 これらのグループとアカウントは、「表 B-1: Active Directory の組み込みおよび既定のアカウントおよびグループ」の網掛けされた行にあります。 これらのグループとアカウントには、Active Directory またはドメイン コントローラーを侵害するために誤用される可能性のある権限とアクセス許可が付与されているため、「付録 C: Active Directory の保護されたアカウントとグループ」で説明されているように、追加の保護が行われます。
表 B-1: Active Directory の組み込みおよび既定のアカウントおよびグループ
| アカウントまたはグループ | 既定のコンテナー、グループのスコープ、および種類 | 説明と既定のユーザー権利 |
|---|---|---|
| Access Control Assistance Operators (Windows Server 2012 の Active Directory) | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーは、このコンピューター上のリソースの承認属性とアクセス許可をリモートでクエリできます。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Account Operators | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
メンバーは、ドメイン ユーザー アカウントとグループ アカウントを管理できます。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| [Administrator account] (管理者アカウント) | users コンテナー グループではない |
ドメインを管理する組み込みアカウント。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 プロセスのメモリ クォータの増加 ローカル ログオンを許可 リモート デスクトップ サービスを使ったログオンを許可 ファイルとディレクトリのバックアップ 走査チェックのバイパス システム時刻の変更 タイム ゾーンの変更 ページ ファイルの作成 グローバル オブジェクトの作成 シンボリック リンクの作成 プログラムのデバッグ コンピューターとユーザー アカウントに委任時の信頼を付与 リモート コンピューターからの強制シャットダウン 認証後にクライアントを借用する プロセス ワーキング セットの増加 スケジューリング優先順位の繰り上げ デバイス ドライバーのロードとアンロード バッチ ジョブとしてログオン 監査ログとセキュリティ ログの管理 ファームウェア環境値の修正 ボリュームの保守タスクを実行 単一プロセスのプロファイル システム パフォーマンスのプロファイル ドッキング ステーションからコンピューターを削除 ファイルとディレクトリの復元 システムのシャットダウン ファイルとその他のオブジェクトの所有権の取得 |
| 管理者グループ | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
管理者はドメインへの制限のない完全なアクセス許可を持ちます。 ユーザーの直接権利: ネットワークからこのコンピューターにアクセスする プロセスのメモリ クォータの増加 ローカル ログオンを許可 リモート デスクトップ サービスを使ったログオンを許可 ファイルとディレクトリのバックアップ 走査チェックのバイパス システム時刻の変更 タイム ゾーンの変更 ページ ファイルの作成 グローバル オブジェクトの作成 シンボリック リンクの作成 プログラムのデバッグ コンピューターとユーザー アカウントに委任時の信頼を付与 リモート コンピューターからの強制シャットダウン 認証後にクライアントを借用する スケジューリング優先順位の繰り上げ デバイス ドライバーのロードとアンロード バッチ ジョブとしてログオン 監査ログとセキュリティ ログの管理 ファームウェア環境値の修正 ボリュームの保守タスクを実行 単一プロセスのプロファイル システム パフォーマンスのプロファイル ドッキング ステーションからコンピューターを削除 ファイルとディレクトリの復元 システムのシャットダウン ファイルとその他のオブジェクトの所有権の取得 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Allowed RODC Password Replication グループ | users コンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーは、ドメイン内のすべての読み取り専用ドメイン コントローラーにパスワードをレプリケートできます。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Backup Operators | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
Backup Operators は、ファイルのバックアップまたは復元の目的のためにのみセキュリティ制限をオーバーライドできます。 ユーザーの直接権利: ローカル ログオンを許可 ファイルとディレクトリのバックアップ バッチ ジョブとしてログオン ファイルとディレクトリの復元 システムのシャットダウン 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Cert Publishers | users コンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーは、ディレクトリに証明書を発行することが許可されます。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Certificate Service DCOM Access | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
証明書サービスがドメイン コントローラーにインストールされている場合 (推奨されません)、このグループは Domain Users と Domain Computers に DCOM 登録アクセス権を付与します。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Cloneable Domain Controllers (Windows Server 2012AD DS の AD DS) | users コンテナー グローバル セキュリティ グループ |
ドメイン コントローラーであるこのグループのメンバーを複製できます。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Cryptographic Operators | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
メンバーは、暗号化操作の実行を承認されます。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Debugger Users | これは既定のグループでも組み込みグループでもありませんが、AD DS に存在する場合は、さらに調査を行う原因になります。 | Debugger Users グループが存在する場合は、Visual Studio、SQL、Office、またはデバッグ環境を必要としてサポートするその他のアプリケーションを介して、ある時点でデバッグ ツールがシステムにインストールされていることを示します。 このグループを使用すると、コンピューターへのリモート デバッグ アクセスが可能になります。 このグループがドメイン レベルで存在する場合、デバッガーまたはデバッガーを含むアプリケーションがドメイン コントローラーにインストールされていることを示します。 |
| Denied RODC Password Replication グループ | users コンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーは、ドメイン内の読み取り専用ドメイン コントローラーにパスワードをレプリケートさせることはできません。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| DHCP Administrators | users コンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーは、DHCP サーバー サービスへの管理アクセス権を持っています。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| DHCP Users | users コンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーは、DHCP サーバー サービスへの表示専用アクセス権を持っています。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Distributed COM Users | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーは、このコンピューターでの分散 COM オブジェクトの起動、アクティブ化、および使用が許可されています。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| DnsAdmins | users コンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーは、DNS サーバー サービスへの管理アクセス権を持っています。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| DnsUpdateProxy | users コンテナー グローバル セキュリティ グループ |
このグループのメンバーは、動的更新を自身で実行できないクライアントに代わって動的更新を実行することが許可されている DNS クライアントです。 このグループのメンバーは、通常、DHCP サーバーです。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Domain Admins | users コンテナー グローバル セキュリティ グループ |
ドメインの指定された管理者。Domain Admins は、ドメインに参加しているすべてのコンピューターのローカル Administrators グループのメンバーであり、ドメインの Administrators グループに加えて、ローカルの Administrators グループに付与された権限とアクセス許可を受け取ります。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 プロセスのメモリ クォータの増加 ローカル ログオンを許可 リモート デスクトップ サービスを使ったログオンを許可 ファイルとディレクトリのバックアップ 走査チェックのバイパス システム時刻の変更 タイム ゾーンの変更 ページ ファイルの作成 グローバル オブジェクトの作成 シンボリック リンクの作成 プログラムのデバッグ コンピューターとユーザー アカウントに委任時の信頼を付与 リモート コンピューターからの強制シャットダウン 認証後にクライアントを借用する プロセス ワーキング セットの増加 スケジューリング優先順位の繰り上げ デバイス ドライバーのロードとアンロード バッチ ジョブとしてログオン 監査ログとセキュリティ ログの管理 ファームウェア環境値の修正 ボリュームの保守タスクを実行 単一プロセスのプロファイル システム パフォーマンスのプロファイル ドッキング ステーションからコンピューターを削除 ファイルとディレクトリの復元 システムのシャットダウン ファイルとその他のオブジェクトの所有権の取得 |
| Domain Computers | users コンテナー グローバル セキュリティ グループ |
ドメインに参加しているすべてのワークステーションとサーバーは、既定でこのグループのメンバーになります。 既定のユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| ドメイン コントローラー | users コンテナー グローバル セキュリティ グループ |
ドメイン内のすべてのドメイン コントローラー。 注: ドメイン コントローラーは、Domain Computers グループのメンバーではありません。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Domain Guests | users コンテナー グローバル セキュリティ グループ |
ドメイン内のすべてのゲスト ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Domain Users | users コンテナー グローバル セキュリティ グループ |
ドメイン内のすべてのユーザー ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Enterprise Admins (フォレストのルート ドメインにのみ存在) | users コンテナー ユニバーサル セキュリティ グループ |
Enterprise Admins は、フォレスト全体の構成設定を変更するアクセス許可を持っています。Enterprise Admins は、すべてのドメインの Administrators グループのメンバーであり、そのグループに付与された権限とアクセス許可を受け取ります。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 プロセスのメモリ クォータの増加 ローカル ログオンを許可 リモート デスクトップ サービスを使ったログオンを許可 ファイルとディレクトリのバックアップ 走査チェックのバイパス システム時刻の変更 タイム ゾーンの変更 ページ ファイルの作成 グローバル オブジェクトの作成 シンボリック リンクの作成 プログラムのデバッグ コンピューターとユーザー アカウントに委任時の信頼を付与 リモート コンピューターからの強制シャットダウン 認証後にクライアントを借用する プロセス ワーキング セットの増加 スケジューリング優先順位の繰り上げ デバイス ドライバーのロードとアンロード バッチ ジョブとしてログオン 監査ログとセキュリティ ログの管理 ファームウェア環境値の修正 ボリュームの保守タスクを実行 単一プロセスのプロファイル システム パフォーマンスのプロファイル ドッキング ステーションからコンピューターを削除 ファイルとディレクトリの復元 システムのシャットダウン ファイルとその他のオブジェクトの所有権の取得 |
| Enterprise Read-only Domain Controllers | users コンテナー ユニバーサル セキュリティ グループ |
このグループには、フォレスト内のすべての読み取り専用ドメイン コントローラーのアカウントが含まれます。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| イベント ログ リーダー | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーは、ドメイン コントローラーのイベント ログを読み取ることができます。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Group Policy Creator Owners | users コンテナー グローバル セキュリティ グループ |
このグループのメンバーは、ドメイン内のグループ ポリシー オブジェクトを作成および変更できます。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| ゲスト | users コンテナー グループではない |
これは、Authenticated Users の SID がそのアクセス トークンに追加されていない AD DS ドメイン内の唯一のアカウントです。 そのため、Authenticated Users グループへのアクセスを許可するように構成されているすべてのリソースには、このアカウントからアクセスすることはできません。 この動作は、Domain Guests グループおよび Guests グループのメンバーには当てはまりません。ただし、これらのグループのメンバーには、Authenticated Users の SID がそのアクセス トークンに追加されています。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする 走査チェックのバイパス プロセス ワーキング セットの増加 |
| ゲスト | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
Guests は既定で Users グループのメンバーと同じアクセス権を持ちますが、Guest アカウントは除きます。これは前述のようにさらに制限されています。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Hyper-V Administrators (Windows Server 2012) | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーは、Hyper-V のすべての機能に対する制限のない完全なアクセスが許可されます。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| IIS_IUSRS | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
インターネット インフォメーション サービスによって使用される組み込みグループ。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Incoming Forest Trust Builders (フォレスト ルート ドメインにのみ存在) | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーは、このフォレストに対する一方行の受信信頼を作成できます。 (送信フォレストの信頼の作成は、Enterprise Admins 用に予約されています)。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Krbtgt | users コンテナー グループではない |
Krbtgt アカウントは、ドメイン内の Kerberos キー配布センターのサービス アカウントです。 このアカウントは、Active Directory に格納されているすべてのアカウントの資格情報にアクセスできます。 このアカウントは既定で無効になっているため、有効にすることはできません ユーザーの権利: 該当なし |
| Network Configuration Operators | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーには、ネットワーク機能の構成を管理できる特権が付与されます。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| パフォーマンス ログ ユーザー | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーは、パフォーマンス カウンターのログ記録をスケジュールし、トレース プロバイダーを有効にし、ローカルで、およびコンピューターへのリモート アクセスを介してイベント トレースを収集できます。 ユーザーの直接権利: バッチ ジョブとしてログオン 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| パフォーマンス モニター ユーザー | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーは、パフォーマンス カウンター データにローカルおよびリモートでアクセスできます。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Pre-Windows 2000 Compatible Access | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
このグループは、Windows 2000 Server より前のオペレーティング システムとの下位互換性のために存在し、メンバーがドメイン内のユーザーとグループの情報を読み取る機能を提供します。 ユーザーの直接権利: ネットワークからこのコンピューターにアクセスする 走査チェックのバイパス 継承されたユーザー権利: ドメインにワークステーションを追加 プロセス ワーキング セットの増加 |
| 演算子を印刷します。 | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーは、ドメイン プリンターを管理できます。 ユーザーの直接権利: ローカル ログオンを許可 デバイス ドライバーのロードとアンロード システムのシャットダウン 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| RAS and IAS Servers | users コンテナー ドメイン ローカル セキュリティ グループ |
このグループ内のサーバーは、ドメイン内のユーザー アカウントのリモート アクセス プロパティを読み取ることができます。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| RDS Endpoint Servers (Windows Server 2012) | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
このグループ内のサーバーは、ユーザーの RemoteApp プログラムと個人用仮想デスクトップが実行される仮想マシンとホスト セッションを実行します。 このグループは、リモート デスクトップ接続ブローカーを実行しているサーバーに設定する必要があります。 展開で使用される RD セッション ホスト サーバーと RD 仮想化ホスト サーバーは、このグループに含まれる必要があります。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| RDS Management Servers (Windows Server 2012) | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
このグループのサーバーは、リモート デスクトップ サービスを実行しているサーバーで日常的な管理操作を実行できます。 このグループは、リモート デスクトップ サービス展開内のすべてのサーバーに設定する必要があります。 RDS Central Management サービスを実行しているサーバーをこのグループに含める必要があります。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| RDS Remote Access Servers (Windows Server 2012) | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
このグループのサーバーを使用すると、RemoteApp プログラムおよび個人用仮想デスクトップのユーザーは、これらのリソースにアクセスできます。 インターネットに接続する展開では、通常、これらのサーバーはエッジ ネットワークに展開されます。 このグループは、リモート デスクトップ接続ブローカーを実行しているサーバーに設定する必要があります。 展開で使用されている RD ゲートウェイ サーバーと RD Web アクセス サーバーは、このグループに含まれる必要があります。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Read-Only Domain Controllers | users コンテナー グローバル セキュリティ グループ |
このグループには、ドメイン内のすべての読み取り専用ドメイン コントローラーが含まれます。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Remote Desktop Users | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーには、RDP を使用してリモートでログオンする権限が付与されます。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Remote Management Users (Windows Server 2012) | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーは、管理プロトコル (Windows リモート管理サービスを介した WS-Management など) を介して WMI リソースにアクセスできます。 これは、ユーザーへのアクセスを許可する WMI 名前空間にのみ適用されます。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| レプリケーター | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
ドメイン内のレガシ ファイル レプリケーションがサポートされています。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Schema Admins (フォレストのルート ドメインにのみ存在) | users コンテナー ユニバーサル セキュリティ グループ |
スキーマ管理者は、スキーマの書き込みが許可されている場合にのみ、Active Directory スキーマを変更できる唯一のユーザーです。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Server Operators | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーは、ドメイン コントローラーを管理できます。 ユーザーの直接権利: ローカル ログオンを許可 ファイルとディレクトリのバックアップ システム時刻の変更 タイム ゾーンの変更 リモート コンピューターからの強制シャットダウン ファイルとディレクトリの復元 システムのシャットダウン 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| Terminal Server License Servers | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーは、TS CAL (接続ユーザー数) の使用状況を追跡および報告する目的で、ライセンス発行に関する情報を使用して Active Directory のユーザー アカウントを更新できます 既定のユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| ユーザー | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
ユーザーは、Active Directory で多くのオブジェクトと属性を読み取ることができるアクセス許可を持っていますが、ほとんどを変更することができません。 ユーザーはシステム全体で偶発的または意図的な変更を行うことができず、ほとんどのアプリケーションを実行できます。 ユーザーの直接権利: プロセス ワーキング セットの増加 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス |
| Windows Authorization Access Group | 組み込みコンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーは、User オブジェクトの計算された tokenGroupsGlobalAndUniversal 属性にアクセスできます ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |
| WinRMRemoteWMIUsers_ (Windows Server 2012) | users コンテナー ドメイン ローカル セキュリティ グループ |
このグループのメンバーは、管理プロトコル (Windows リモート管理サービスを介した WS-Management など) を介して WMI リソースにアクセスできます。 これは、ユーザーへのアクセスを許可する WMI 名前空間にのみ適用されます。 ユーザーの直接権利: なし 継承されたユーザー権利: ネットワークからこのコンピューターにアクセスする ドメインにワークステーションを追加 走査チェックのバイパス プロセス ワーキング セットの増加 |