Active Directory セキュリティ グループ
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016
既定の Active Directory のセキュリティ グループ、グループ スコープ、グループ機能について説明します。
Active Directory のセキュリティ グループとは
Active Directory には、ユーザー アカウントとコンピューター アカウントという 2 つの形式の共通セキュリティ プリンシパルがあります。 これらのアカウントは、人またはコンピューターのいずれかである物理エンティティを表します。 ユーザー アカウントは、一部のアプリケーションの専用サービス アカウントとしても使用できます。
セキュリティ グループは、ユーザー アカウント、コンピューター アカウント、およびその他のグループを管理可能な単位に収集する方法です。
Windows Server オペレーティング システムでは、いくつかの組み込みアカウントとセキュリティ グループが、特定のタスクを実行するための適切な権限とアクセス許可を使用して事前構成されています。 Active Directory では、管理責任は次の 2 種類の管理者に分けられます。
サービス管理者: ドメイン コントローラーの管理や AD DS の構成など、Active Directory Domain Services (AD DS) の保守と提供を担当します。
データ管理者: AD DS およびドメイン メンバー サーバーとワークステーションに保存されているデータの保守を担当します。
Active Directory セキュリティ グループのしくみ
グループを使用して、ユーザー アカウント、コンピューター アカウント、およびその他のグループを管理可能な単位に収集します。 個々のユーザーではなくグループで作業すると、ネットワークのメンテナンスと管理を簡素化化できます。
Active Directory には、次の 2 種類のグループがあります。
セキュリティ グループ: 共有リソースにアクセス許可を割り当てるために使用します。
配布グループ: 電子メール配布リストを作成するために使用します。
セキュリティ グループ
セキュリティ グループを使用すると、ネットワーク上のリソースへのアクセスを効率的に割り当てることができます。 セキュリティ グループを使用することで、次のことが可能になります。
Active Directory のセキュリティ グループにユーザーの権利を割り当てる。
ユーザー権限をセキュリティ グループに割り当てて、そのグループのメンバーがドメインまたはフォレストの範囲内で実行できる操作を決定します。 ユーザー権限は、管理者がドメイン内のユーザーの管理者ロールを定義するのに役立つように、Active Directory のインストール時に一部のセキュリティ グループに対して自動的に割り当てられます。
たとえば、Active Directory の Backup Operators グループに追加したユーザーは、ドメイン内の各ドメイン コントローラーにあるファイルとディレクトリをバックアップおよび復元できます。 ユーザーがこれらのアクションを実行できるのは、既定でユーザー権限の "ファイルとディレクトリのバックアップ" と "ファイルとディレクトリの復元" が自動的に Backup Operators グループに割り当てられるためです。 そのため、このグループのメンバーは、そのグループに割り当てられているユーザー権限を継承します。
グループ ポリシーを使用すると、セキュリティ グループにユーザー権限を割り当てて特定のタスクを委任できます。 グループ ポリシーの使用の詳細については、「ユーザー権利の割り当て」を参照してください。
リソースのセキュリティ グループにアクセス許可を割り当てる。
アクセス許可は、ユーザー権利とは異なります。 アクセス許可は、共有リソースのセキュリティ グループに割り当てられます。 アクセス許可により、リソースにアクセスできるユーザーと、フル コントロールや読み取りなどのアクセス レベルが決まります。 ドメイン オブジェクトに設定された一部のアクセス許可は、Account Operators グループや Domain Admins グループなどの既定のセキュリティ グループにさまざまなレベルのアクセスを許可するため、自動的に割り当てられます。
セキュリティ グループは、リソースとオブジェクトに対するアクセス許可を定義する随意アクセス制御リスト (DACL) に一覧表示されます。 管理者は、ファイル共有やプリンターなどのリソースに対するアクセス許可を割り当てるときに、個々のユーザーではなくセキュリティ グループにこれらのアクセス許可を割り当てる必要があります。 このアクセス許可は、個々のユーザーに複数回割り当てられるのではなく、グループに 1 回割り当てられます。 グループに追加された各アカウントは、Active Directory でそのグループに割り当てられている権限を受け取ります。 ユーザーは、そのグループに対して定義されているアクセス許可を受け取ります。
セキュリティ グループを電子メール エンティティとして使用できます。 電子メール メッセージをセキュリティ グループに送信すると、そのメッセージはセキュリティ グループのすべてのメンバーに送信されます。
配布グループ
配布グループは、Exchange Serverなどの電子メール アプリケーションを使用してユーザーのコレクションに電子メールを送信する場合にのみ使用できます。 配布グループはセキュリティが有効になっていないため、DACL に含めることはできません。
グループのスコープ
各グループには、ドメイン ツリー内またはフォレスト内で、そのグループが適用される範囲を特定するスコープがあります。 グループのスコープにより、ネットワーク内のどこでグループにアクセス許可を付与できるかが定義されます。 Active Directory により、次の 3 つのグループ スコープが定義されます。
ユニバーサル
グローバル
ドメイン ローカル
注意
これら 3 つのスコープに加えて、Builtin コンテナー内の既定のグループには、組み込みローカルのグループ スコープがあります。 このグループ スコープおよびグループの種類は変更できません。
次の表で、3 つのグループ スコープと、それらがセキュリティ グループとしてどのように機能するかについて説明します。
| Scope | 考えられるメンバー | スコープ変換 | アクセス許可を付与できる | 考えられる所属グループ |
|---|---|---|---|---|
| ユニバーサル | 同じフォレスト内の任意のドメインのアカウント 同じフォレスト内の任意のドメインのグローバル グループ 同じフォレスト内の任意のドメインのその他のユニバーサル グループ |
グループが他のユニバーサル グループのメンバーでない場合は、ドメイン ローカル スコープに変換可能 グループに他のユニバーサル グループが含まれていない場合は、グローバル スコープに変換可能 |
同じフォレストまたは信頼しているフォレスト内の任意のドメイン | 同じフォレスト内のその他のユニバーサル グループ 同じフォレストまたは信頼しているフォレスト内のドメイン ローカル グループ 同じフォレスト内または信頼しているフォレスト内のコンピューター上のローカル グループ |
| グローバル | 同じドメインのアカウント 同じドメインの他のグローバル グループ |
グループが他のグローバル グループのメンバーでない場合は、ユニバーサル スコープに変換可能 | 同じフォレスト内の任意のドメイン、または信頼しているドメインまたはフォレスト | 同じフォレスト内の任意のドメインのユニバーサル グループ 同じドメインの他のグローバル グループ 同じフォレスト内の任意のドメイン、または信頼しているドメインのドメイン ローカル グループ |
| ドメイン ローカル | 任意のドメインまたは任意の信頼されたドメインのアカウント 任意のドメインまたは任意の信頼されたドメインのグローバル グループ 同じフォレスト内の任意のドメインのユニバーサル グループ 同じドメインの他のドメイン ローカル グループ 他のフォレストおよび外部ドメインのアカウント、グローバル グループ、ユニバーサル グループ |
グループに他のドメイン ローカル グループが含まれていない場合は、ユニバーサル スコープに変換可能 | 同じドメイン内 | 同じドメインの他のドメイン ローカル グループ 既知のセキュリティ ID (SID) を持つ組み込みグループを除き、同じドメイン内のコンピューター上のローカル グループ |
特殊 ID グループ
特殊 ID はグループと呼ばれます。 特殊 ID グループは、変更できる特定のメンバーシップはないものの、状況に応じて、さまざまな時点でさまざまなユーザーを表すことができます。 これらのグループには、Creator Owner、Batch、Authenticated User などがあります。
詳細については、「特殊 ID グループ」を参照してください。
既定のセキュリティ グループ
Domain Admins グループなどの既定のグループはセキュリティ グループであり、Active Directory ドメインの作成時に自動的に作成されます。 これらの定義済みのグループは、共有リソースへのアクセス制御や、ドメイン全体の管理に関する特定の役割を委任するために活用できます。
多くの既定のグループに対しては、自動的に一連のユーザー権限が割り当てられます。これらの権限は、グループのメンバーに対し、ローカル システムへのログオン、ファイルとフォルダーのバックアップなど特定の操作をドメイン内で実行することを許可するものです。 たとえば、Backup Operators グループのメンバーは、ドメイン内のすべてのドメイン コントローラーのバックアップ操作を実行できます。
ユーザーをグループに追加すると、そのユーザーは、グループに割り当てられているすべてのユーザー権限 (共有リソースに対してグループに割り当てられているすべてのアクセス許可を含む) を受け取ります。
既定のグループは、Builtin コンテナーと、Active Directory ユーザーとコンピューターの Users コンテナーにあります。 Builtin コンテナーには、ドメイン ローカル スコープで定義されているグループが含まれます。 Users コンテナーには、グローバル スコープで定義されたグループと、ドメイン ローカル スコープで定義されたグループが含まれます。 これらのコンテナー内のグループは、同じドメイン内の他のグループや組織単位に移動することはできますが、他のドメインに移動することはできません。
この記事に記載されている一部の管理グループと、これらのグループのすべてのメンバーは、特定のセキュリティ記述子を定期的にチェックして適用するバックグラウンド プロセスによって保護されています。 この記述子は、保護されたオブジェクトに関連付けられているセキュリティ情報を含むデータ構造です。 このプロセスにより、管理アカウントまたはグループの 1 つでセキュリティ記述子を変更しようとする未承認の試行が成功した場合、保護された設定で上書きされます。
セキュリティ記述子は AdminSDHolder オブジェクトに存在します。 いずれかのサービス管理者グループまたはそのメンバー アカウントのアクセス許可を変更する場合は、AdminSDHolder オブジェクトのセキュリティ記述子を変更して、一貫して適用されるようにする必要があります。 これらの変更を行う場合は、保護されているすべての管理アカウントに適用される既定の設定も変更しているため、注意してください。
既定の Active Directory セキュリティ グループ
次のリストで、Active Directory の Builtin と Users の各コンテナーにある既定のグループについて説明します。
- Access Control Assistance Operators
- Account Operators
- Administrators
- Allowed RODC Password Replication
- Backup Operators
- Certificate Service DCOM Access
- Cert Publishers
- Cloneable Domain Controllers
- Cryptographic Operators
- Denied RODC Password Replication
- Device Owners
- DHCP Administrators
- DHCP Users
- Distributed COM Users
- DnsUpdateProxy
- DnsAdmins
- Domain Admins
- Domain Computers
- Domain Controllers
- Domain Guests
- Domain Users
- Enterprise Admins
- Enterprise Key Admins
- Enterprise Read-only Domain Controllers
- イベント ログ リーダー
- Group Policy Creator Owners
- ゲスト
- Hyper-V 管理者
- IIS_IUSRS
- Incoming Forest Trust Builders
- Key Admins
- Network Configuration Operators
- Performance Log Users
- パフォーマンス モニター ユーザー
- Pre–Windows 2000 Compatible Access
- 演算子を印刷します。
- Protected Users
- RAS and IAS Servers
- RDS エンドポイント サーバー
- RDS Management Servers
- RDS Remote Access Servers
- Read-only Domain Controllers
- Remote Desktop Users
- リモート管理ユーザー
- レプリケーター
- Schema Admins
- Server Operators
- Storage Replica Administrators
- System Managed Accounts
- Terminal Server License Servers
- ユーザー
- Windows Authorization Access
- WinRMRemoteWMIUsers_
Access Control Assistance Operators
このグループのメンバーは、コンピューター上のリソースの承認属性とアクセス許可をリモートでクエリできます。
Access Control Assistance Operators グループは、既定の Active Directory セキュリティ グループの表に記載されている Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-579 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | |
| 既定のユーザー権利 | なし |
Account Operators
Account Operators グループは、制限付きアカウント作成特権をユーザーに付与します。 このグループのメンバーは、ユーザー、ローカル グループ、グローバル グループのアカウントなど、ほとんどの種類のアカウントを作成および変更できます。 グループ メンバーは、ドメイン コントローラーにローカルでログインできます。
Account Operators グループのメンバーは、Administrator ユーザー アカウント、管理者のユーザー アカウント、または Administrators、Server Operators、Account Operators、Backup Operators、Print Operators の各グループを管理できません。 このグループのメンバーは、ユーザー権限を変更できません。
Account Operators グループは、既定の Active Directory セキュリティ グループ リストの Windows Server オペレーティング システムに適用されます。
注意
既定では、この組み込みグループにはメンバーが存在しません。 このグループを使用すると、ドメイン内のユーザーとグループ (独自のメンバーシップや Server Operators グループのメンバーシップを含む) を作成および管理できます。 このグループは、Server Operators を変更できるため、サービス管理者グループと見なされ、ドメイン コントローラーの設定を変更できます。 ベスト プラクティスとして、このグループのメンバーシップは空のままにし、委任された管理には使用しないでください。 このグループの名前変更、削除はできません。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-548 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | はい |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | ローカルでのログオンを許可する: SeInteractiveLogonRight |
管理者
Administrators グループのメンバーは、コンピューターへの完全かつ無制限のアクセス権を持っています。 コンピューターがドメイン コントローラーに昇格された場合、Administrators グループのメンバーはそのドメインに無制限にアクセスできます。
Administrators グループは、既定の Active Directory セキュリティ グループ リストの Windows Server オペレーティング システムに適用されます。
注意
Administrators グループには、メンバーがシステムを完全に制御できる機能が組み込まれています。 このグループの名前変更、削除はできません。 この組み込みグループは、そのドメイン内のすべてのドメイン コントローラーへのアクセスを制御し、すべての管理グループのメンバーシップを変更できます。 次のグループのメンバーは、Administrators グループのメンバーシップ (既定のサービス Administrators、ドメイン内のDomain Admins、Enterprise Admins) を変更できます。 このグループには、ディレクトリ内の任意のオブジェクトまたはドメイン コントローラ上の任意のリソースの所有権を取得する特別な特権があります。 このアカウントは、サービス管理者グループと見なされます。それは、そのメンバーがドメイン内のドメイン コントローラーへのフル アクセスを持つためです。
このセキュリティ グループには、Windows Server 2008 以降の次の変更が含まれています。
既定のユーザー権限の変更: Windows Server 2008 には、[ターミナル サービスを通したログオンを許可する] がありましたが、これは [リモート デスクトップ サービスを使ったログオンを許可] に置き換えられました。
[ドッキング ステーションからコンピューターを削除] は、Windows Server 2012 R2 で削除されました。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-544 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | Administrator、Domain Admins、Enterprise Admins |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | はい |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | プロセスのメモリ クォータの増加: SeIncreaseQuotaPrivilege ネットワークからこのコンピューターにアクセスする: SeNetworkLogonRight ローカル ログオンを許可: SeInteractiveLogonRight リモート デスクトップ サービスを使ったログオンを許可: SeRemoteInteractiveLogonRight ファイルとディレクトリのバックアップ: SeBackupPrivilege 走査チェックのバイパス: SeChangeNotifyPrivilege システム時刻の変更: SeSystemTimePrivilege タイム ゾーンの変更: SeTimeZonePrivilege ページ ファイルの作成: SeCreatePagefilePrivilege グローバル オブジェクトの作成: SeCreateGlobalPrivilege シンボリック リンクの作成: SeCreateSymbolicLinkPrivilege プログラムのデバッグ: SeDebugPrivilege コンピューターとユーザー アカウントに委任時の信頼を付与: SeEnableDelegationPrivilege リモート コンピューターからの強制シャットダウン: SeRemoteShutdownPrivilege 認証後にクライアントを偽装: SeImpersonatePrivilege スケジューリング優先順位の繰り上げ: SeIncreaseBasePriorityPrivilege デバイス ドライバーのロードとアンロード: SeLoadDriverPrivilege バッチ ジョブとしてログオン: SeBatchLogonRight 監査とセキュリティ ログの管理: SeSecurityPrivilege ファームウェア環境値の修正: SeSystemEnvironmentPrivilege ボリュームの保守タスクを実行: SeManageVolumePrivilege システム パフォーマンスのプロファイル: SeSystemProfilePrivilege 単一プロセスのプロファイル: SeProfileSingleProcessPrivilege ドッキング ステーションからコンピューターを削除: SeUndockPrivilege ファイルとディレクトリの復元: SeRestorePrivilege システムのシャットダウン: SeShutdownPrivilege ファイルとその他のオブジェクトの所有権の取得: SeTakeOwnershipPrivilege |
Allowed RODC Password Replication
このセキュリティ グループの目的は、読み取り専用ドメイン コントローラー (RODC) パスワード レプリケーション ポリシーを管理することです。 既定ではこのグループにはメンバーがいないため、新しい RODC ではユーザーの資格情報がキャッシュされない状態になります。 Denied RODC Password Replication グループには、さまざまな高い特権を持つアカウントとセキュリティ グループが含まれています。 Denied RODC Password Replication グループは、Allowed RODC Password Replication グループよりも優先されます。
Allowed RODC Password Replication グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<ドメイン>-571 |
| 型 | ドメイン ローカル |
| 既定のコンテナー | CN=Users DC=<ドメイン>, DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | |
| 既定のユーザー権利 | なし |
Backup Operators
Backup Operators グループのメンバーは、ファイルを保護しているアクセス許可にかかわらず、コンピューター上のすべてのファイルのバックアップと復元を行うことができます。 Backup Operators は、コンピューターにログオンしてシャットダウンすることもできます。 このグループの名前変更、削除はできません。 既定では、この組み込みグループにはメンバーがなく、ドメイン コントローラーでバックアップ操作と復元操作を実行できます。 次のグループのメンバーは、Backup Operators グループのメンバーシップ (既定のサービス Administrators、ドメイン内のDomain Admins、Enterprise Admins) を変更できます。 Backup Operators グループのメンバーは、管理者グループのメンバーシップを変更できません。 このグループのメンバーは、サーバーの設定変更やディレクトリの構成変更を行うことはできませんが、ドメイン コントローラー上のファイル (オペレーティング システム ファイルを含む) を置き換えるために必要なアクセス許可を持っています。 このグループのメンバーはドメイン コントローラー上のファイルを置き換えることができるため、サービス管理者と見なされます。
Backup Operators グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-551 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | はい |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | ローカル ログオンを許可: SeInteractiveLogonRight ファイルとディレクトリのバックアップ: SeBackupPrivilege バッチ ジョブとしてログオン: SeBatchLogonRight ファイルとディレクトリの復元: SeRestorePrivilege システムのシャットダウン: SeShutdownPrivilege |
Certificate Service DCOM Access
このグループのメンバーは、企業内の証明機関に接続できます。
Certificate Service DCOM Access グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-<ドメイン>-574 |
| 型 | ドメイン ローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | |
| 既定のユーザー権利 | なし |
Cert Publishers
Cert Publishers グループのメンバーには、Active Directory の User オブジェクトの証明書を発行する権限があります。
Cert Publishers グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<ドメイン>-517 |
| 型 | ドメイン ローカル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | Denied RODC Password Replication |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | なし |
Cloneable Domain Controllers
ドメイン コントローラーである Cloneable Domain Controllers グループのメンバーを複製できます。 Windows Server 2012 R2 と Windows Server 2012 では、既存の仮想ドメイン コントローラーをコピーしてドメイン コントローラーを展開できます。 仮想環境では、Sysprep.exe を使用して、サーバーをドメイン コントローラーに昇格させ、各ドメイン コントローラーを展開するための追加の構成要件 (このセキュリティ グループへの仮想ドメイン コントローラーの追加を含む) を完了して準備されたサーバー イメージを繰り返し展開する必要がなくなりました。
詳細については、「Active Directory Domain Services (AD DS) の仮想化 (レベル 100) の概要」を参照してください。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<ドメイン>-522 |
| 型 | グローバル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | |
| 既定のユーザー権利 | なし |
Cryptographic Operators
このグループのメンバーは、暗号化の操作の実行を承認されます。 このセキュリティ グループは、Common Criteria モードで IPsec 用に Windows ファイアウォールを構成するために、Windows Vista Service Pack 1 (SP1) で追加されました。
Cryptographic Operators グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
このセキュリティ グループは、Windows Vista SP1 で導入され、以降のバージョンでは変更されていません。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-569 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | |
| 既定のユーザー権利 | なし |
Denied RODC Password Replication
Denied RODC Password Replication グループのメンバーのパスワードを RODC にレプリケートすることはできません。
このセキュリティ グループの目的は、RODC パスワード レプリケーション ポリシーを管理することです。 このグループには、さまざまな高い特権を持つアカウントとセキュリティ グループが含まれています。 Denied RODC Password Replication グループは、Allowed RODC Password Replication グループよりも優先されます。
このセキュリティ グループには、Windows Server 2008 以降の次の変更が含まれています。
- Windows Server 2012 では、Cert Publishers が含まれるように既定のメンバーが変更されました。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<ドメイン>-572 |
| 型 | ドメイン ローカル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | Cert Publishers |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | |
| このグループの管理をサービス管理者以外に委任することができるか | |
| 既定のユーザー権利 | なし |
Device Owners
Device Owners グループにメンバーがいない場合は、このセキュリティ グループの既定の構成を変更しないことをお勧めします。 既定の構成を変更すると、このグループに依存する将来のシナリオが妨げられる可能性があります。 現在、Device Owners グループは Windows では使用されていません。
Device Owners グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-583 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | グループは移動できますが、お勧めしません |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | ローカル ログオンを許可: SeInteractiveLogonRight ネットワークからこのコンピューターにアクセスする: SeNetworkLogonRight 走査チェックのバイパス: SeChangeNotifyPrivilege タイム ゾーンの変更: SeTimeZonePrivilege |
DHCP Administrators
DHCP Administrators グループのメンバーは、動的ホスト構成プロトコル (DHCP) データベースをバックアップおよび復元する権限など、サーバーのスコープのさまざまな領域を作成、削除、管理できます。 このグループには管理者権限がありますが、このロールは DHCP サービスに限定されているため、Administrators グループには含まれません。
DHCP Administrators グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<domain> |
| Type | ドメイン ローカル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | ユーザー |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | グループは移動できますが、お勧めしません |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | なし |
DHCP Users
DHCP Users グループのメンバーは、アクティブまたは非アクティブなスコープを確認し、割り当てられている IP アドレスを確認し、DHCP サーバーが正しく構成されていない場合は接続の問題を表示できます。 このグループは、DHCP サーバーへの読み取り専用アクセスに制限されます。
DHCP Users グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<domain> |
| Type | ドメイン ローカル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | ユーザー |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | グループは移動できますが、お勧めしません |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | なし |
Distributed COM Users
Distributed COM Users グループのメンバーは、コンピューター上で分散 COM オブジェクトを起動、アクティブ化、使用できます。 Microsoft コンポーネント オブジェクト モデル (COM) は、対話可能なバイナリ ソフトウェア コンポーネントを作成するための、プラットフォームに依存しない、オブジェクト指向の分散システムです。 分散コンポーネント オブジェクト モデル (DCOM) を使用すると、アプリケーションを自分とアプリケーションに最も意味のある場所に分散できます。 このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター ("フレキシブル シングル マスター操作" または "FSMO" とも呼ばれます) の役割を保持するまで SID として表示されます。
Distributed COM Users グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-562 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | |
| 既定のユーザー権利 | なし |
DnsUpdateProxy
DnsUpdateProxy グループのメンバーは DNS クライアントです。 DHCP サーバーなど、他のクライアントに代わって動的更新を実行することが許可されています。 DHCP サーバーが、動的更新を使用して、DHCP クライアントに代わってホスト (A) およびポインター (PTR) リソース レコードを動的に登録するように構成されている場合、DNS サーバーは古くなったリソース レコードを開発できます。 このセキュリティ グループにクライアントを追加すると、このシナリオが軽減されます。
ただし、セキュリティで保護されていないレコードから保護する、または DnsUpdateProxy グループのメンバーがセキュリティで保護された動的更新のみを許可するゾーンにレコードを登録できるようにするには、専用のユーザー アカウントを作成し、このアカウントの資格情報 (ユーザー名、パスワード、ドメイン) を使用して DNS 動的更新を実行するように DHCP サーバーを構成する必要があります。 複数の DHCP サーバーが、1 つの専用ユーザー アカウントの資格情報を使用できます。 このグループは、ドメイン内のドメイン コントローラーに DNS サーバーの役割がインストールされているか、以前にインストールされていた場合にのみ存在します。
詳細については、「DNS レコードの所有権と DnsUpdateProxy グループ」を参照してください。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<ドメイン>-<variable RI> |
| 型 | グローバル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | はい |
| このグループの管理をサービス管理者以外に委任することができるか | |
| 既定のユーザー権利 | なし |
DnsAdmins
DnsAdmins グループのメンバーは、ネットワーク DNS 情報にアクセスできます。 既定のアクセス許可は、次を許可します: 読み取り、書き込み、すべての子オブジェクトの作成、子オブジェクトの削除、特殊なアクセス許可。 このグループは、ドメイン内のドメイン コントローラーに DNS サーバーの役割がインストールされているか、以前にインストールされていた場合にのみ存在します。
セキュリティと DNS の詳細については、「DNSSEC in Windows Server 2012」を参照してください。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<ドメイン>-<variable RI> |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | はい |
| このグループの管理をサービス管理者以外に委任することができるか | |
| 既定のユーザー権利 | なし |
Domain Admins
Domain Admins セキュリティ グループのメンバーは、ドメインを管理する権限を持ちます。 既定では、Domain Admins グループは、ドメイン コントローラーを含め、ドメインに参加しているすべてのコンピューターの Administrators グループのメンバーです。 Domain Admins グループは、グループの任意のメンバーによってドメインの Active Directory に作成されるすべてのオブジェクトの既定の所有者です。 グループのメンバーがファイルなどの他のオブジェクトを作成する場合、既定の所有者は Administrators グループです。
Domain Admins グループは、ドメイン内のすべてのドメイン コントローラーへのアクセスを制御し、ドメイン内のすべての管理者アカウントのメンバーシップを変更できます。 そのドメイン内のサービス管理者グループのメンバー (Administrators と Domain Admins) と Enterprise Admins グループのメンバーは、Domain Admins メンバーシップを変更できます。 このグループは、ドメイン内のドメイン コントローラーにメンバーがフル アクセスできるため、サービス管理者アカウントと見なされます。
Domain Admins グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<ドメイン>-512 |
| 型 | グローバル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | 管理者 |
| ~の既定のメンバー | Administrators |
| AdminSDHolder で保護されているか | はい |
| 既定のコンテナーから移動することができるか | はい |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | 「Administrators」を参照 |
Domain Computers
このグループには、ドメイン コントローラーを除く、ドメインに参加しているすべてのコンピューターとサーバーを含めることができます。 既定では、自動的に作成されるすべてのコンピューター アカウントがこのグループのメンバーになります。
Domain Computers グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<ドメイン>-515 |
| 型 | グローバル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | ドメイン コントローラーを除く、ドメインに参加しているすべてのコンピューター |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | はい (ただし必須ではない) |
| このグループの管理をサービス管理者以外に委任することができるか | はい |
| 既定のユーザー権利 | なし |
ドメイン コントローラー
Domain Controllers グループには、ドメイン内のすべてのドメイン コントローラーを含めることができます。 新しいドメイン コントローラーは、このグループに自動的に追加されます。
Domain Controllers グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<ドメイン>-516 |
| 型 | グローバル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | ドメインのすべてのドメイン コントローラーのコンピューター アカウント |
| ~の既定のメンバー | Denied RODC Password Replication |
| AdminSDHolder で保護されているか | はい |
| 既定のコンテナーから移動することができるか | いいえ |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | なし |
Domain Guests
Domain Guests グループには、ドメインの組み込みの Guest アカウントが含まれます。 このグループのメンバーがドメインに参加しているコンピューターでローカル ゲストとしてサインインすると、ローカル コンピューターにドメイン プロファイルが作成されます。
Domain Guests グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<ドメイン>-514 |
| 型 | グローバル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | ゲスト |
| ~の既定のメンバー | ゲスト |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | グループは移動できますが、お勧めしません |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | 「Guests」を参照 |
Domain Users
Domain Users グループには、ドメイン内のすべてのユーザー アカウントが含まれます。 ドメインにユーザー アカウントを作成すると、このグループに自動的に追加されます。
既定では、ドメインに自動的に作成されるすべてのユーザー アカウントがこのグループのメンバーになります。 このグループを使用して、ドメイン内のすべてのユーザーを表すことができます。 たとえば、すべてのドメイン ユーザーがプリンターにアクセスできるようにする場合は、プリンターに対するアクセス許可をこのグループに割り当てるか、プリンターに対するアクセス許可を持つプリント サーバー上の Local グループに Domain Users グループを追加します。
Domain Users グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<ドメイン>-513 |
| 型 | グローバル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | 管理者 |
| krbtgt | |
| ~の既定のメンバー | ユーザー |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | はい |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | 「Users」を参照 |
Enterprise Admins
Enterprise Admins グループは、ドメインの Active Directory フォレストのルート ドメインにのみ存在します。 ドメインがネイティブ モードの場合、このグループはユニバーサル グループです。 ドメインが混合モードの場合、このグループはグローバル グループです。 このグループのメンバーは、子ドメインの追加など、Active Directory でフォレスト全体の変更を行う権限を持ちます。
既定では、フォレスト ルート ドメインの Administrator アカウントだけが、このグループのメンバーです。 このグループは、フォレスト内のすべてのドメインの Administrators グループに自動的に追加され、すべてのドメイン コントローラーを構成するための完全なアクセスを提供します。 このグループのメンバーは、すべての管理グループのメンバーシップを変更できます。 ルート ドメイン内の既定のサービス管理者グループのメンバーは、Enterprise Admins メンバーシップを変更できます。 このグループは、サービス管理者アカウントと見なされます。
Enterprise Admins グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<ルート ドメイン>-519 |
| 型 | ドメインがネイティブ モードの場合はユニバーサル、それ以外の場合はグローバル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | 管理者 |
| ~の既定のメンバー | Administrators |
| AdminSDHolder で保護されているか | はい |
| 既定のコンテナーから移動することができるか | はい |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | 「Administrators」を参照 |
Enterprise Key Admins
このグループのメンバーは、フォレスト内のキー オブジェクトに対して管理アクションを実行できます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<ドメイン>-527 |
| 型 | グローバル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | はい |
| 既定のコンテナーから移動することができるか | はい |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | なし |
Enterprise Read-only Domain Controllers
このグループのメンバーは、エンタープライズの RODC です。 RODC は、アカウント パスワードを除いて、すべての Active Directory オブジェクトと、書き込み可能なドメイン コント ローラーを保持する属性を保持します。 ただし、RODC に格納されているデータベースに変更を行うことはできません。 変更は、書き込み可能なドメイン コントローラーで行ってから、RODC にレプリケートする必要があります。
RODC は、ブランチ オフィスでよく見られるいくつかの問題に対処します。 これらの場所にはドメイン コントローラーがないか、書き込み可能なドメイン コントローラーがあっても、それをサポートするための物理的なセキュリティ、ネットワーク帯域幅、またはローカルの専門知識がない可能性があります。
詳細については、読み取り専用ドメイン コントローラーとはに関するページを参照してください
Enterprise Read-only Domain Controllers グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<ルート ドメイン>-498 |
| 型 | ユニバーサル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | はい |
| 既定のコンテナーから移動することができるか | |
| このグループの管理をサービス管理者以外に委任することができるか | |
| 既定のユーザー権利 | なし |
イベント ログ リーダー
このグループのメンバーは、ローカル コンピューターからイベント ログを読み取ることができます。 このグループは、サーバーがドメイン コントローラーに昇格されるときに作成されます。
Event Log Readers グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-573 |
| 型 | ドメイン ローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | |
| 既定のユーザー権利 | なし |
Group Policy Creator Owners
このグループは、ドメイン内のグループ ポリシー オブジェクトの作成、編集、削除する権限を持ちます。 既定では、このグループのメンバーは Administrator のみです。
このセキュリティ グループで使用できるその他の機能については、「グループ ポリシーの概要」を参照してください。
Group Policy Creator Owners グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<ドメイン>-520 |
| 型 | グローバル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | 管理者 |
| ~の既定のメンバー | Denied RODC Password Replication |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | いいえ |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | 「Denied RODC Password Replication」を参照 |
ゲスト
Guests グループのメンバーは、Guests アカウントにさらに制限がある点を除き、既定では Users グループのメンバーと同じアクセス権を持ちます。 既定では、メンバーは Guest アカウントのみです。 Guests グループを使用すると、コンピューターの組み込みゲスト アカウントに対する制限付き特権で、あまり使用しないユーザーまたは 1 回限りのユーザーがサインインできます。
Guests グループのメンバーがサインアウトすると、プロファイル全体が削除されます。 プロファイルの削除には、ユーザーのレジストリ ハイブ情報、カスタム デスクトップ アイコン、その他のユーザー固有の設定など、%userprofile% ディレクトリに格納されているすべてのものが含まれます。 これは、ゲストがシステムにサインインするために一時的なプロファイルを使用する必要があることを意味します。 このセキュリティ グループは、グループ ポリシー設定と対話します。 "このセキュリティ グループが有効になっている場合は、一時的なプロファイルを持つユーザーはログオンしないでください。" この設定にアクセスするには、[コンピューターの構成]>[管理用テンプレート]>[システム]>[ユーザー プロファイル] の順に移動します。
注意
Guest アカウントは、Guest セキュリティ グループの既定のメンバーです。 そのドメインに実際のアカウントを持っていない人は Guest アカウントを使用できます。 アカウントが無効になっている (ただし削除はされていない) ユーザーでも、Guest アカウントは使用できます。 Guest アカウントではパスワードは要求されません。 Guest アカウントには、他のユーザー アカウントと同じように、権限とアクセス許可を設定できます。 Guest アカウントは、既定で、ビルトイン Guests グループと Domain Guests Global グループのメンバーに含まれています。これによりユーザーはドメインにサインインできます。 既定では Guest アカウントは無効になっており、無効のままにしておくことをお勧めします。
Guests グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-546 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | Domain Guests |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | なし |
Hyper-V 管理者
Hyper-V Administrators グループのメンバーは、Hyper-V のすべての機能に対する完全で無制限のアクセスを許可されます。 このグループにメンバーを追加すると、Administrators グループに必要なメンバーの数を減らし、アクセスをさらに分離できます。
注意
Windows Server 2012 より前は、Hyper-V の機能へのアクセスは、Administrators グループのメンバーシップによって部分的に制御されていました。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-578 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | |
| 既定のユーザー権利 | なし |
IIS_IUSRS
IIS_IUSRS は、インターネット インフォメーション サービス (IIS) の IIS 7 以降で使用される組み込みグループです。 組み込みのアカウントとグループは、オペレーティング システムによって常に一意の SID を持つことが保証されます。 IIS 7 は、新しいアカウントとグループで使用される実際の名前がローカライズされないように、IUSR_MachineName アカウントと IIS_WPG グループを IIS_IUSRS グループに置き換えます。 たとえば、インストールする Windows オペレーティング システムの言語に関係なく、IIS アカウント名は常に IUSR になり、グループ名は IIS_IUSRS になります。
詳細については、「IIS 7 の組み込みのユーザーとグループのアカウントについて」を参照してください。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-568 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | IUSR |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | |
| このグループの管理をサービス管理者以外に委任することができるか | |
| 既定のユーザー権利 | なし |
Incoming Forest Trust Builders
Incoming Forest Trust Builders グループのメンバーは、このフォレストに対する着信の一方向の信頼を作成できます。 Active Directory では、ドメインおよびフォレストの信頼関係を通じて、複数のドメインまたはフォレスト間でセキュリティが提供されます。 信頼間で認証が行われる前に、Windows でユーザー、コンピューター、またはサービスによって要求されるドメインに、要求元アカウントのログオン ドメインとの信頼関係があるかどうかを判断する必要があります。
この判断を行うために、Windows セキュリティ システムによって、要求を受信するサーバーのドメイン コントローラーと、要求元アカウントのドメインにある DC との間の信頼パスが計算されます。 セキュリティで保護されたチャネルは、ドメイン間の信頼関係を通じて他の Active Directory ドメインに拡張されます。 このセキュリティで保護されたチャネルは、ユーザーとグループの SID を含む、セキュリティ情報を取得して検証するために使用されます。
このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター (FSMO) の役割を保持するまで SID として表示されます。 このグループの名前変更、削除はできません。
詳細については、ドメインとフォレストの信頼のしくみ: ドメインとフォレストの信頼に関するページを参照してください。
Incoming Forest Trust Builders グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-557 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | なし |
Key Admins
このグループのメンバーは、ドメイン内のキー オブジェクトに対して管理アクションを実行できます。
Key Admins グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<ドメイン>-526 |
| 型 | グローバル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | はい |
| 既定のコンテナーから移動することができるか | はい |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | なし |
Network Configuration Operators
Network Configuration Operators グループのメンバーは、ネットワーク機能の構成を管理するために次の管理特権を持つことができます。
ローカル エリア ネットワーク (LAN) 接続の伝送制御プロトコル/インターネット プロトコル (TCP/IP) プロパティを変更する。これには、IP アドレス、サブネット マスク、デフォルト ゲートウェイ、ネーム サーバーが含まれます。
すべてのユーザーが使用できる LAN 接続またはリモート アクセス接続の名前を変更する。
LAN 接続を有効または無効にする。
ユーザーのすべてのリモート アクセス接続のプロパティを変更する。
ユーザーのすべてのリモート アクセス接続を削除する。
ユーザーのすべてのリモート アクセス接続の名前を変更する。
コマンド
ipconfig、ipconfig /release、ipconfig /renewを発行する。SIM カードをサポートするモバイル ブロードバンド デバイスの PIN ブロック解除キー (PUK) を入力する。
このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター (FSMO) の役割を保持するまで SID として表示されます。 このグループの名前変更、削除はできません。
Network Configuration Operators グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-556 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | はい |
| 既定のユーザー権利 | なし |
パフォーマンス ログ ユーザー
Performance Log Users グループのメンバーは、Administrators グループのメンバーでなくても、パフォーマンス カウンター、ログ、アラートをサーバー上でローカルに管理したり、リモート クライアントから管理したりできます。 このセキュリティ グループのメンバーは、具体的に次のことができます。
Performance Monitor Users グループのメンバーが利用できるすべての機能を利用できます。
グループに [バッチ ジョブとしてログオン] ユーザー権限が割り当てられた後に、データ コレクター セットを作成および変更できます。
警告
Performance Log Users グループのメンバーである場合、作成するデータ コレクター セットを、ご自分の資格情報で実行するように構成する必要があります。
注意
Windows Server 2016 以降では、Performance Log Users グループのメンバーはデータ コレクター セットを作成できません。 Performance Log Users グループのメンバーがデータ コレクター セットの作成を試みると、アクセスが拒否されるため、アクションを完了できません。
データ コレクター セットでは、Windows カーネル トレース イベント プロバイダーを使用できません。
Performance Log Users グループのメンバーがデータのログ記録を開始したり、データ コレクター セットを変更したりするには、そのグループに対して [バッチ ジョブとしてログオン] ユーザー権限を最初に割り当てておく必要があります。 このユーザー権限を割り当てるには、Microsoft 管理コンソール (MMC) のローカル セキュリティ ポリシー スナップインを使用します。
このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター (FSMO) の役割を保持するまで SID として表示されます。 このアカウントの名前変更、削除、移動はできません。
Performance Log Users グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-559 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | はい |
| 既定のユーザー権利 | バッチ ジョブとしてログオン: SeBatchLogonRight |
パフォーマンス モニター ユーザー
このグループのメンバーは、Administrators グループまたは Performance Log Users グループのメンバーでなくても、ドメイン内のドメイン コントローラーのパフォーマンス カウンターをローカルで、およびリモート クライアントから監視できます。 Windows パフォーマンス モニターは MMC スナップインの 1 つで、システム パフォーマンスを分析するためのツールを提供します。 1 つのコンソールから、アプリケーションとハードウェアのパフォーマンスを監視したり、ログに収集するデータをカスタマイズしたり、警告と自動操作のしきい値を定義したり、レポートを生成したり、さまざまな方法で以前のパフォーマンス データを表示したりすることができます。
このセキュリティ グループのメンバーは、具体的に次のことができます。
Users グループのメンバーが利用できるすべての機能を利用できます。
パフォーマンス モニターでリアルタイムのパフォーマンス データを表示できます。
データの表示中にパフォーマンス モニターの表示プロパティを変更できます。
データ コレクター セットを作成または変更することはできません。
警告
Performance Monitor Users グループのメンバーは、データ コレクション セットを構成できません。
このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター (FSMO) の役割を保持するまで SID として表示されます。 このグループの名前変更、削除はできません。
Performance Monitor Users グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-558 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | はい |
| 既定のユーザー権利 | なし |
Pre–Windows 2000 Compatible Access
Pre–Windows 2000 Compatible Access グループのメンバーには、ドメイン内のすべてのユーザーとグループに対する読み取りアクセス権があります。 このグループは、Windows NT 4.0 以前を実行しているコンピューターの下位互換性のために提供されています。 既定では、特殊 ID グループ Everyone はこのグループのメンバーです。 Windows NT 4.0 以前を実行している場合にのみ、このグループにユーザーを追加します。
警告
このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター (FSMO) の役割を保持するまで SID として表示されます。
Pre–Windows 2000 Compatible Access グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-554 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | Pre–Windows 2000 Compatible アクセス許可モードを選択した場合、Everyone と Anonymous がメンバーになります。 Windows 2000 のみのアクセス許可モードを選択した場合、Authenticated Users がメンバーになります。 |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | ネットワークからこのコンピューターにアクセスする: SeNetworkLogonRight 走査チェックのバイパス: SeChangeNotifyPrivilege |
演算子を印刷します。
このグループのメンバーは、ドメイン内のドメイン コントローラーに接続されているプリンターを管理、作成、共有、削除できます。 また、ドメイン内の Active Directory プリンター オブジェクトを管理することもできます。 このグループのメンバーは、ドメイン内のドメイン コントローラーにローカルでサインインしてシャットダウンできます。
このグループには、既定のメンバーは設定されていません。 このグループのメンバーは、ドメイン内のすべてのドメイン コントローラーでデバイス ドライバーを読み込んでアンロードできるため、ユーザーの追加には注意が必要です。 このグループの名前変更、削除はできません。
Print Operators グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
詳細については、「Windows Server 2012 で委任された印刷管理者とプリンターのアクセス許可設定を割り当てる」を参照してください。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-550 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | はい |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | ローカル ログオンを許可: SeInteractiveLogonRight デバイス ドライバーのロードとアンロード: SeLoadDriverPrivilege システムのシャットダウン: SeShutdownPrivilege |
Protected Users
Protected Users グループのメンバーには、認証プロセス中の資格情報の侵害に対する追加の保護があります。
このセキュリティ グループは、企業内の資格情報を効率的に保護および管理する戦略の一環として設計されています。 このグループのメンバーのアカウントには、構成可能ではない保護が自動的に適用されます。 Protected Users グループのメンバーであるということは、既定で制限的であり、予防的にセキュリティで保護されることを示します。 アカウントの保護を変更できる唯一の方法は、セキュリティ グループからアカウントを削除することです。
このドメイン関連のグローバル グループは、Windows Server 2012 R2 および Windows 8.1 オペレーティング システム以降のデバイスとホスト コンピューターで構成不可能な保護をトリガーします。 また、Windows Server 2016 または Windows Server 2012 R2 を実行しているプライマリ ドメイン コントローラーがあるドメイン内のドメイン コントローラーで、構成不可能な保護もトリガーします。 この保護により、ユーザーがセキュリティ侵害が発生していないコンピューターからネットワーク上のコンピューターにサインインする際に、資格情報のメモリ フットプリントが大幅に減ります。
Windows でサポートされている認証方法の動作の変更があるため、アカウントのドメイン機能レベルに応じて、Protected Users グループのメンバーはさらに保護されます。
Protected Users グループのメンバーは、NTLM、Digest Authentication、または CredSSP のセキュリティ サポート プロバイダー (SSP) を使用して認証することはできません。 Windows 10 または Windows 8.1 を実行しているデバイスではパスワードがキャッシュされないため、アカウントが Protected User グループのメンバーである場合、そのデバイスはドメインに対する認証に失敗します。
Kerberos プロトコルは、事前認証プロセスで強度の低い DES または RC4 暗号化タイプを使用しません。 少なくとも AES 暗号スイートをサポートするようにドメインを構成する必要があります。
Kerberos の制約付き委任または制約なしの委任で、ユーザーのアカウントを委任することはできません。 ユーザーが Protected Users グループのメンバーである場合、他のシステムへの以前の接続が失敗する可能性があります。
Active Directory 管理センターで認証ポリシーとサイロを使用して、4 時間という既定の Kerberos の Ticket Granting Ticket (TGT) の有効期間設定を変更できます。 既定の設定では、4 時間が経過すると、ユーザーは再び認証を行う必要があります。
Protected Users グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
このグループは、Windows Server 2012 R2 で導入されました。 このグループの機能の詳細については、「Protected Users セキュリティ グループ」を参照してください。
次の表に、Protected Users グループのプロパティを示します。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<domain>-525 |
| 型 | グローバル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | はい |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | なし |
RAS and IAS Servers
RAS and IAS Servers グループのメンバーであるコンピューターは、適切に構成されている場合は、リモート アクセス サービスを使用できます。 既定では、このグループにはメンバーはいません。 ルーティングとリモート アクセス サービス (RRAS) を実行しているコンピューターと、インターネット認証サービス (IAS) やネットワーク ポリシー サーバーなどのリモート アクセス サービスは、グループに自動的に追加されます。 このグループのメンバーは、アカウントの読み取り制限、ログオン情報の読み取り、リモート アクセス情報の読み取りなど、User オブジェクトの特定のプロパティにアクセスできます。
RAS and IAS Servers グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<ドメイン>-553 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | はい |
| このグループの管理をサービス管理者以外に委任することができるか | はい |
| 既定のユーザー権利 | なし |
RDS エンドポイント サーバー
RDS エンドポイント サーバー グループのメンバーであるサーバーは、仮想マシンを実行し、ユーザーの RemoteApp プログラムと個人用仮想デスクトップが実行されるセッションをホストできます。 このグループは、RD 接続ブローカーを実行しているサーバーで設定する必要があります。 展開で使用されるセッション ホスト サーバーと RD 仮想化ホスト サーバーは、このグループに属している必要があります。
リモート デスクトップ サービス (RDS) の詳細については、リモート デスクトップ サービスでデスクトップとアプリをホストするに関するページを参照してください。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-576 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | |
| 既定のユーザー権利 | なし |
RDS Management Servers
RDS Management Servers グループのメンバーであるサーバーを使用して、RDS を実行しているサーバーで日常的な管理操作を実行できます。 このグループは、RDS 展開内のすべてのサーバーに設定する必要があります。 RDS Central Management サービスを実行しているサーバーをこのグループに含める必要があります。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-577 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | |
| 既定のユーザー権利 | なし |
RDS Remote Access Servers
RDS Remote Access Servers グループ内のサーバーは、ユーザーに RemoteApp プログラムと個人用仮想デスクトップへのアクセスを提供します。 インターネットに接続する展開では、通常、これらのサーバーはエッジ ネットワークに展開されます。 このグループは、RD 接続ブローカーを実行しているサーバーで設定する必要があります。 展開で使用されている RD ゲートウェイ サーバーと RD Web アクセス サーバーは、このグループに属している必要があります。
詳細については、リモート デスクトップ サービスでデスクトップとアプリをホストするに関するページを参照してください。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-575 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | |
| 既定のユーザー権利 | なし |
Read-Only Domain Controllers
このグループは、ドメイン内の RODC で構成されます。 RODC により、ブランチ オフィスのような物理的なセキュリティが保証されないシナリオや、エクストラネットやアプリケーション向けの役割のように、すべてのドメイン パスワードのローカル ストレージが主要な脅威と見なされるシナリオで、組織がドメイン コントローラーを簡単に展開することが可能になります。
RODC の管理をドメイン ユーザーまたはセキュリティ グループに委任できるため、RODC は Domain Admins グループのメンバーであるユーザーが存在しないサイトに適しています。 RODC には、次の機能があります。
読み取り専用 AD DS データベースが含まれている
一方向レプリケーション
資格情報のキャッシュ
管理者役割の分離
読み取り専用ドメイン ネーム システム (DNS) が含まれている
詳細については、「読み取り専用ドメイン コントローラーの計画と展開について」を参照してください。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<ドメイン>-521 |
| 型 | グローバル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | Denied RODC Password Replication |
| AdminSDHolder で保護されているか | はい |
| 既定のコンテナーから移動することができるか | はい |
| このグループの管理をサービス管理者以外に委任することができるか | |
| 既定のユーザー権利 | 「Denied RODC Password Replication」を参照 |
Remote Desktop Users
RD セッション ホスト サーバーで Remote Desktop Users グループを使用して、RD セッション ホスト サーバーにリモート接続するためのアクセス許可をユーザーとグループに付与します。 このグループの名前変更、削除はできません。 このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター (FSMO) の役割を保持するまで SID として表示されます。
Remote Desktop Users グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-555 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | はい |
| 既定のユーザー権利 | なし |
リモート管理ユーザー
Remote Management Users グループのメンバーは、Windows リモート管理サービスを介した WS-Management のような管理プロトコルを介して Windows Management Instrumentation (WMI) リソースにアクセスできます。 WMI リソースへのアクセスは、ユーザーへのアクセスを許可する WMI 名前空間にのみ適用されます。
Remote Management Users グループを使用して、ユーザーがサーバー マネージャー コンソールを使用してサーバーを管理できるようにします。 WinRMRemoteWMIUsers\_ グループを使用して、ユーザーが Windows PowerShell コマンドをリモートで実行できるようにします。
詳細については、「MI の新機能」と「WMI について」を参照してください。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-580 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | |
| 既定のユーザー権利 | なし |
レプリケーター
Replicator グループのメンバーであるコンピューターでは、ドメイン内のファイル レプリケーションがサポートされています。 Windows Server オペレーティング システムでは、ファイル レプリケーション サービス (FRS) を使用して、システム ボリューム フォルダー (sysvol フォルダー) に格納されているシステム ポリシーとログオン スクリプトガレプリケートされます。 各ドメイン コントローラーでは、ネットワーク クライアントがアクセスするための sysvol フォルダーのコピーが保持されます。 FRS を使用すると、分散ファイル システム (DFS) のデータをレプリケートし、DFS によって定義されているレプリカ セット内の各メンバーの内容を同期することもできます。 FRS を使用すると、複数のサーバー上の共有ファイルとフォルダーを同時にコピーして管理できます。 変更が発生すると、内容がサイト内では直ちに、サイト間ではスケジュールに従って同期されます。
警告
Windows Server 2008 R2 では、FRS を使用して DFS フォルダーまたはカスタム (sysvol 以外) データをレプリケートすることはできません。 Windows Server 2008 R2 ドメイン コントローラーでは、FRS を使用してドメイン コントローラー間で sysvol フォルダー共有リソースをレプリケートするドメイン内の sysvol フォルダー共有リソースの内容を、引き続き FRS を使用してレプリケートできます。 ただし、Windows Server 2008 R2 サーバーでは、FRS を使用して sysvol フォルダー共有リソースを除くレプリカ セットの内容をレプリケートすることはできません。 DFS レプリケーション サービスは FRS に代わるものです。 DFS レプリケーションを使用すると、sysvol フォルダー共有リソース、DFS フォルダー、およびその他のカスタム (sysvol 以外) データの内容をレプリケートできます。 sysvol 以外のすべての FRS レプリカ セットを DFS レプリケーションに移行する必要があります。
詳細については、次のトピックを参照してください。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-552 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | はい |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | |
| 既定のユーザー権利 | なし |
Schema Admins
Schema Admins グループのメンバーは、Active Directory スキーマを変更できます。 このグループは、ドメインの Active Directory フォレストのルート ドメインにのみ存在します。 ドメインがネイティブ モードの場合、このグループはユニバーサル グループです。 ドメインが混合モードの場合、このグループはグローバル グループです。
このグループには、Active Directory でスキーマを変更する権限があります。 既定では、フォレスト ルート ドメインの Administrator アカウントだけが、このグループのメンバーです。 このグループには、スキーマへの完全な管理アクセス権があります。
ルート ドメイン内のサービス管理者グループは、このグループのメンバーシップを変更できます。 このグループは、ディレクトリ全体の構造と内容を制御するスキーマをメンバーが変更できるため、サービス管理者アカウントと見なされます。
詳細については、「Active Directory スキーマとは」をご覧ください
Schema Admins グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<ルート ドメイン>-518 |
| 型 | ドメインがネイティブ モードの場合はユニバーサル、それ以外の場合はグローバル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | 管理者 |
| ~の既定のメンバー | Denied RODC Password Replication |
| AdminSDHolder で保護されているか | はい |
| 既定のコンテナーから移動することができるか | はい |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | 「Denied RODC Password Replication」を参照 |
Server Operators
Server Operators グループのメンバーは、ドメイン コントローラーを管理できます。 このグループはドメイン コントローラーにのみ存在します。 既定では、このグループにはメンバーはいません。 Server Operators グループのメンバーは、対話形式でのサーバーへのサインイン、ネットワーク共有リソースの作成と削除、サービスの開始と停止、ファイルのバックアップと復元、コンピューターのハード ディスク ドライブのフォーマット、コンピューターのシャットダウンなどのアクションを実行できます。 このグループの名前変更、削除はできません。
既定では、この組み込みグループにはメンバーが存在しません。 このグループは、ドメイン コントローラーのサーバー構成オプションにアクセスできます。 そのメンバーシップは、ドメイン内のサービス管理者グループ Administrators および Domain Admins と、フォレスト ルート ドメイン内の Enterprise Admins グループによって制御されます。 このグループのメンバーは、管理グループのメンバーシップを変更できません。 このグループは、メンバーがドメイン コントローラーに物理的にアクセスできるため、サービス管理者アカウントと見なされます。 このグループのメンバーは、バックアップや復元などのメンテナンス タスクを実行でき、ドメイン コントローラーにインストールされているバイナリを変更できます。 次の表のグループの既定のユーザー権限を参照してください。
Server Operators グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-549 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | はい |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | ローカル ログオンを許可: SeInteractiveLogonRight ファイルとディレクトリのバックアップ: SeBackupPrivilege システム時刻の変更: SeSystemTimePrivilege タイム ゾーンの変更: SeTimeZonePrivilege リモート コンピューターからの強制シャットダウン: SeRemoteShutdownPrivilege ファイルとディレクトリの復元: SeRestorePrivilege システムのシャットダウン: SeShutdownPrivilege |
Storage Replica Administrators
Storage Replica Administrators グループのメンバーは、記憶域レプリカのすべての機能に対する完全かつ無制限のアクセス権を持ちます。 Storage Replica Administrators グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-582 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | はい |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | なし |
System Managed Accounts
System Managed Accounts グループのメンバーシップは、システムによって管理されます。
System Managed Accounts グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-581 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | ユーザー |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | はい |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | なし |
Terminal Server License Servers
Terminal Server License Servers グループのメンバーは、ライセンス発行に関する情報を使用して Active Directory のユーザー アカウントを更新できます。 このグループは、ユーザーごとの TS CAL (接続ユーザー数) を追跡および報告するために使用されます。 TS CAL (接続ユーザー数) では、無制限の数のクライアント コンピューターまたはデバイスからターミナル サーバーのインスタンスにアクセスする権利が 1 人のユーザーに付与されます。 このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター (FSMO) の役割を保持するまで SID として表示されます。 このグループの名前変更、削除はできません。
このセキュリティ グループの詳細については、「Terminal Server License Server セキュリティ グループの構成」を参照してください。
Terminal Server License Servers グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-561 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| 既定のコンテナーから移動することができるか | 移動できない |
| AdminSDHolder で保護されているか | いいえ |
| このグループの管理をサービス管理者以外に委任することができるか | はい |
| 既定のユーザー権利 | なし |
ユーザー
Users グループのメンバーは、偶発的または意図的なシステム全体の変更を行うことはできません。 このグループのメンバーは、ほとんどのアプリケーションを実行できます。 オペレーティング システムの初回インストール後の唯一のメンバーは、Authenticated Users グループです。 コンピューターがドメインに参加すると、Domain Users グループがコンピューターの Users グループに追加されます。
ユーザーは、アプリケーションの実行、ローカルおよびネットワークのプリンターの使用、コンピューターのシャットダウン、コンピューターのロックなどのタスクを実行できます。 ユーザーは、アプリケーションのインストール プログラムがユーザーごとのインストールをサポートしている場合にのみ使用できるアプリケーションをインストールできます。 このグループの名前変更、削除はできません。
Users グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
このセキュリティ グループには、Windows Server 2008 以降の次の変更が含まれています。
Windows Server 2008 R2 で、Interactive が既定のメンバーリストに追加されました。
Windows Server 2012では、既定のメンバーの一覧が Domain Users から "なし" に変更されました。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-545 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | Authenticated Users |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | No |
| 既定のユーザー権利 | なし |
Windows Authorization Access
このグループのメンバーは、User オブジェクトの計算された token GroupsGlobalAndUniversal 属性にアクセスできます。 一部のアプリケーションには、ユーザー アカウント オブジェクトまたは AD DS のコンピューター アカウント オブジェクトで token-groups-global-and-universal (TGGAU) 属性を読み取る機能があります。 Win32 関数の中には、TGGAU 属性を読みやすくするものがあります。 この属性を読み取るアプリケーション、またはこの属性を読み取る API ("関数") を呼び出すアプリケーションは、呼び出し元のセキュリティ コンテキストが属性にアクセスできない場合は成功しません。 このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター (FSMO) の役割を保持するまで SID として表示されます。 このグループの名前変更、削除はできません。
Windows Authorization Access グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-32-560 |
| 型 | 組み込みローカル |
| 既定のコンテナー | CN=Builtin、DC=<ドメイン>、DC= |
| 既定メンバー | Enterprise Domain Controllers |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | 移動できない |
| このグループの管理をサービス管理者以外に委任することができるか | はい |
| 既定のユーザー権利 | なし |
WinRMRemoteWMIUsers_
Windows Server 2012 と Windows 8 で、[セキュリティの詳細設定] ユーザー インターフェイスに [共有] タブが追加されました。 このタブには、リモート ファイル共有のセキュリティ プロパティが表示されます。 この情報を表示するには、ファイル サーバーが実行されている Windows Server のバージョンに応じて、次のアクセス許可とメンバーシップが必要です。
WinRMRemoteWMIUsers_ グループは、既定の Active Directory セキュリティ グループの Windows Server オペレーティング システムに適用されます。
ファイル共有が、サポートされているバージョンのオペレーティング システムが実行されているサーバーでホストされている場合:
WinRMRemoteWMIUsers__ グループまたは BUILTIN\Administrators グループのメンバーである必要があります。
ファイル共有に対する読み取りアクセス許可が必要です。
ファイル共有が、Windows Server 2012 より前のバージョンの Windows Server が実行されているサーバーでホストされている場合:
BUILTIN\Administrators グループのメンバーである必要があります。
ファイル共有に対する読み取りアクセス許可が必要です。
Windows Server 2012 で、アクセス拒否アシスタンス機能によって、Authenticated Users グループがローカル WinRMRemoteWMIUsers__ グループに追加されました。 アクセス拒否アシスタンス機能が有効になっている場合、ファイル共有に対する読み取りアクセス許可を持つすべての認証済みユーザーは、ファイル共有のアクセス許可を表示できます。
注意
WinRMRemoteWMIUsers__ グループを使用すると、Windows PowerShell コマンドをリモートで実行できます。 これに対し、ユーザーが サーバー マネージャー コンソールを使用してサーバーを管理できるようにするには、通常、Remote Management Users グループを使用します。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<ドメイン>-<variable RI> |
| 型 | ドメイン ローカル |
| 既定のコンテナー | CN=Users, DC=<domain>, DC= |
| 既定メンバー | なし |
| ~の既定のメンバー | なし |
| AdminSDHolder で保護されているか | No |
| 既定のコンテナーから移動することができるか | はい |
| このグループの管理をサービス管理者以外に委任することができるか | |
| 既定のユーザー権利 | なし |