よく知られている SID

既知の セキュリティ識別子 (SID) は、汎用グループと汎用ユーザーを識別します。 たとえば、次のグループとユーザーを識別する既知の SID があります。

  • すべてのユーザーを含むグループである Everyone または World。
  • CREATOR_OWNER。継承可能な ACE のプレースホルダーとして使用されます。 ACE が継承されると、システムはCREATOR_OWNER SID をオブジェクトの作成者の SID に置き換えます。
  • ローカル コンピューター上の組み込みドメインの Administrators グループ。

このセキュリティ モデルを使用するすべてのセキュリティ で保護されたシステム (Windows以外のオペレーティング システムを含む) で意味のあるユニバーサルよく知られた SID があります。 さらに、Windows システムでのみ意味のある既知の SID があります。

Windows API は、既知の識別子機関と相対識別子 (RID) 値の定数のセットを定義します。 これらの定数を使用して、既知の SID を作成できます。 次の例では、SECURITY_WORLD_SID_AUTHORITY定数とSECURITY_WORLD_RID定数を組み合わせて、すべてのユーザー (Everyone または World) を表す特殊なグループのユニバーサルよく知られている SID を表示します。

S-1-1-0

この例では、S が文字列を SID として識別し、最初の 1 が SID のリビジョン レベル、残りの 2 桁がSECURITY_WORLD_SID_AUTHORITY定数とSECURITY_WORLD_RID定数である SID の文字列表記を使用します。

AllocateAndInitializeSid 関数を使用すると、識別子機関の値と最大 8 つのサブ認証値を組み合わせて SID を構築できます。 たとえば、ログオンしているユーザーが特定の既知のグループのメンバーであるかどうかを判断するには、 AllocateAndInitializeSid を呼び出して既知のグループの SID を作成し、 EqualSid 関数を使用してその SID をユーザーの アクセス トークン内のグループ SID と比較します。 例については、「 C++ でのアクセス トークンでの SID の検索」を参照してください。 AllocateAndInitializeSid によって割り当てられた SID を解放するには、FreeSid 関数を呼び出す必要があります。

このセクションの残りの部分には、既知の SID のテーブルと、既知の SID の構築に使用できる識別子機関とサブ認証定数のテーブルが含まれています。

一般的な既知の SID を次 に示します

ユニバーサルよく知られている SID 文字列値 識別
Null SID
S-1-0-0
メンバーのないグループ。 これは、SID 値が不明な場合によく使用されます。
World
S-1-1-0
すべてのユーザーを含むグループ。
ローカル
S-1-2-0
システムにローカル (物理的に) 接続されている ターミナル にログオンするユーザー。
作成者の所有者 ID
S-1-3-0
新しいオブジェクトを作成したユーザーのセキュリティ識別子に置き換えられるセキュリティ識別子。 この SID は、継承可能な ACE で使用されます。
Creator Group ID
S-1-3-1
新しいオブジェクトを作成したユーザーのプライマリ グループ SID に置き換えられるセキュリティ識別子。 継承可能な ACE でこの SID を使用します。

次の表に、定義済みの識別子機関定数を示します。 最初の 4 つの値は、汎用の既知の SID で使用されます。最後の値は、既知Windows SID と共に使用されます。

識別子機関 文字列値
SECURITY_NULL_SID_AUTHORITY
0
S-1-0
SECURITY_WORLD_SID_AUTHORITY
1
S-1-1
SECURITY_LOCAL_SID_AUTHORITY
2
S-1-2
SECURITY_CREATOR_SID_AUTHORITY
3
S-1-3
SECURITY_NT_AUTHORITY
5
S-1-5

次の RID 値は、 汎用の既知の SID と共に使用されます。 識別子機関列には、RID を組み合わせてユニバーサル既知の SID を作成できる識別子機関のプレフィックスが表示されます。

相対識別子機関 文字列値
SECURITY_NULL_RID
0
S-1-0
SECURITY_WORLD_RID
0
S-1-1
SECURITY_LOCAL_RID
0
S-1-2
SECURITY_LOCAL_LOGON_RID
1
S-1-2
SECURITY_CREATOR_OWNER_RID
0
S-1-3
SECURITY_CREATOR_GROUP_RID
1
S-1-3

SECURITY_NT_AUTHORITY (S-1-5) 定義済みの識別子機関は、ユニバーサルではないが、Windowsインストールでのみ意味のある SID を生成します。 SECURITY_NT_AUTHORITYで次の RID 値を使用して、既知の SID を作成できます。

常時 文字列値 識別
SECURITY_DIALUP_RID
S-1-5-1
ダイヤルアップ モデムを使用して 端末 にログオンするユーザー。 これはグループ識別子です。
SECURITY_NETWORK_RID
S-1-5-2
ネットワーク経由でログオンするユーザー。 これは、ネットワーク経由でログオンしたときにプロセスのトークンに追加されるグループ識別子です。 対応するログオンの種類がLOGON32_LOGON_NETWORK。
SECURITY_BATCH_RID
S-1-5-3
バッチ キュー機能を使用してログオンするユーザー。 これは、バッチ ジョブとしてログに記録されたときにプロセスのトークンに追加されるグループ識別子です。 対応するログオンの種類がLOGON32_LOGON_BATCH。
SECURITY_INTERACTIVE_RID
S-1-5-4
対話型操作のためにログオンするユーザー。 これは、対話形式でログオンしたときにプロセスのトークンに追加されるグループ識別子です。 対応するログオンの種類がLOGON32_LOGON_INTERACTIVE。
SECURITY_LOGON_IDS_RID
S-1-5-5-XY-
ログオン セッション。 これは、特定のログオン セッション内の プロセス のみが、そのセッションのウィンドウ ステーション オブジェクトにアクセスできるようにするために使用されます。 これらの SID の X 値と Y 値は、ログオン セッションごとに異なります。 SECURITY_LOGON_IDS_RID_COUNT値は、この識別子 (5 XY-) 内の RID の数です
SECURITY_SERVICE_RID
S-1-5-6
サービスとしてログオンする権限を持つアカウント。 これは、サービスとしてログに記録されたときにプロセスのトークンに追加されるグループ識別子です。 対応するログオンの種類がLOGON32_LOGON_SERVICE。
SECURITY_ANONYMOUS_LOGON_RID
S-1-5-7
匿名ログオン、または null セッション ログオン。
SECURITY_PROXY_RID
S-1-5-8
プロキシ。
SECURITY_ENTERPRISE_CONTROLLERS_RID
S-1-5-9
コントローラーをEnterpriseします。
SECURITY_PRINCIPAL_SELF_RID
S-1-5-10
PRINCIPAL_SELFセキュリティ識別子は、ユーザーまたはグループ オブジェクトの ACL で使用できます。 アクセス チェック中に、システムは SID をオブジェクトの SID に置き換えます。 PRINCIPAL_SELF SID は、ACE を継承するユーザーまたはグループ オブジェクトに適用される継承可能な ACE を指定する場合に便利です。 これは、スキーマの既定の セキュリティ記述子 で作成されたオブジェクトの SID を表す唯一の方法です。
SECURITY_AUTHENTICATED_USER_RID
S-1-5-11
認証されたユーザー。
SECURITY_RESTRICTED_CODE_RID
S-1-5-12
制限付きコード。
SECURITY_TERMINAL_SERVER_RID
S-1-5-13
ターミナル サービス。 ターミナル サーバーにログオンするユーザーのセキュリティ トークンに自動的に追加されます。
SECURITY_LOCAL_SYSTEM_RID
S-1-5-18
オペレーティング システムで使用される特別なアカウント。
SECURITY_NT_NON_UNIQUE
S-1-5-21
SIDS は一意ではありません。
SECURITY_BUILTIN_DOMAIN_RID
S-1-5-32
組み込みのシステム ドメイン。
SECURITY_WRITE_RESTRICTED_CODE_RID
S-1-5-33
制限付きコードを記述します。

次の RID は、各ドメインに対して相対的です。

RID 識別
DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP
0x0000023E 分散コンポーネント オブジェクト モデル (DCOM) を使用して証明機関に接続できるユーザーのグループ。
DOMAIN_USER_RID_ADMIN
0x000001F4 ドメイン内の管理ユーザー アカウント。
DOMAIN_USER_RID_GUEST
0x000001F5 ドメイン内のゲスト ユーザー アカウント。 アカウントを持たないユーザーは、このアカウントに自動的にログオンできます。
DOMAIN_GROUP_RID_ADMINS
0x00000200 ドメイン管理者のグループ。 このアカウントは、サーバー オペレーティング システムを実行しているシステムにのみ存在します。
DOMAIN_GROUP_RID_USERS
0x00000201 ドメイン内のすべてのユーザー アカウントを含むグループ。 すべてのユーザーがこのグループに自動的に追加されます。
DOMAIN_GROUP_RID_GUESTS
0x00000202 ドメイン内のゲスト グループ アカウント。
DOMAIN_GROUP_RID_COMPUTERS
0x00000203 ドメイン コンピューターのグループ。 ドメイン内のすべてのコンピューターは、このグループのメンバーです。
DOMAIN_GROUP_RID_CONTROLLERS
0x00000204 ドメイン コントローラーのグループ。 ドメイン内のすべての DC は、このグループのメンバーです。
DOMAIN_GROUP_RID_CERT_ADMINS
0x00000205 証明書の発行元のグループ。 証明書サービスを実行しているコンピューターは、このグループのメンバーです。
DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS
0x000001F2 エンタープライズ読み取り専用ドメイン コントローラーのグループ。
DOMAIN_GROUP_RID_SCHEMA_ADMINS
0x00000206 スキーマ管理者のグループ。 このグループのメンバーは、Active Directory スキーマを変更できます。
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS
0x00000207 エンタープライズ管理者のグループ。 このグループのメンバーは、Active Directory フォレスト内のすべてのドメインにフル アクセスできます。 Enterprise管理者は、新しいドメインの追加や削除などのフォレスト レベルの操作を担当します。
DOMAIN_GROUP_RID_POLICY_ADMINS
0x00000208 ポリシー管理者のグループ。
DOMAIN_GROUP_RID_READONLY_CONTROLLERS
0x00000209 読み取り専用ドメイン コントローラーのグループ。
DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS
0x0000020A 複製可能なドメイン コントローラーのグループ。
DOMAIN_GROUP_RID_CDC_RESERVED
0x0000020C 予約済み CDC グループ。
DOMAIN_GROUP_RID_PROTECTED_USERS
0x0000020D 保護されたユーザー グループ。
DOMAIN_GROUP_RID_KEY_ADMINS
0x0000020E キー管理者グループ。
DOMAIN_GROUP_RID_ENTERPRISE_KEY_ADMINS
0x0000020F エンタープライズ キー管理者グループ

次の RID を使用して、必須の整合性レベルを指定します。

RID 識別
SECURITY_MANDATORY_UNTRUSTED_RID
0x00000000
信頼。
SECURITY_MANDATORY_LOW_RID
0x00001000
整合性が低い。
SECURITY_MANDATORY_MEDIUM_RID
0x00002000
中程度の整合性。
SECURITY_MANDATORY_MEDIUM_PLUS_RID
SECURITY_MANDATORY_MEDIUM_RID + 0x100
中程度の高い整合性。
SECURITY_MANDATORY_HIGH_RID
0X00003000
高い整合性。
SECURITY_MANDATORY_SYSTEM_RID
0x00004000
システムの整合性。
SECURITY_MANDATORY_PROTECTED_PROCESS_RID
0x00005000
保護されたプロセス。

次の表に、ローカル グループ (エイリアス) の既知の SID を形成するために使用できるドメイン相対 RID の例を示します。 ローカル グループとグローバル グループの詳細については、「 ローカル グループ関数グループ関数」を参照してください。

RID [Key] 識別
DOMAIN_ALIAS_RID_ADMINS
0x00000220
S-1-5-32-544
ドメインの管理に使用されるローカル グループ。
DOMAIN_ALIAS_RID_USERS
0x00000221
S-1-5-32-545
ドメイン内のすべてのユーザーを表すローカル グループ。
DOMAIN_ALIAS_RID_GUESTS
0x00000222
S-1-5-32-546
ドメインのゲストを表すローカル グループ。
DOMAIN_ALIAS_RID_POWER_USERS
0x00000223
S-1-5-32-547
複数のユーザーのワークステーションとしてではなく、個人のコンピューターであるかのようにシステムを扱うことを期待するユーザーまたはユーザーのセットを表すために使用されるローカル グループ。
DOMAIN_ALIAS_RID_ACCOUNT_OPS
0x00000224
S-1-5-32-548
サーバー オペレーティング システムを実行しているシステムにのみ存在するローカル グループ。 このローカル グループでは、管理者以外のアカウントを制御できます。
DOMAIN_ALIAS_RID_SYSTEM_OPS
0x00000225
S-1-5-32-549
サーバー オペレーティング システムを実行しているシステムにのみ存在するローカル グループ。 このローカル グループは、セキュリティ機能を含まないシステム管理機能を実行します。 ネットワーク共有の確立、プリンターの制御、ワークステーションのロック解除、その他の操作の実行を行います。
DOMAIN_ALIAS_RID_PRINT_OPS
0x00000226
S-1-5-32-550
サーバー オペレーティング システムを実行しているシステムにのみ存在するローカル グループ。 このローカル グループは、プリンターと印刷キューを制御します。
DOMAIN_ALIAS_RID_BACKUP_OPS
0x00000227
S-1-5-32-551
ファイルのバックアップと復元の特権の割り当てを制御するために使用されるローカル グループ。
DOMAIN_ALIAS_RID_REPLICATOR
0x00000228
S-1-5-32-552
プライマリ ドメイン コントローラーからバックアップ ドメイン コントローラーにセキュリティ データベースをコピーするローカル グループ。 これらのアカウントは、システムでのみ使用されます。
DOMAIN_ALIAS_RID_RAS_SERVERS
0x00000229
S-1-5-32-553
RAS および IAS サーバーを表すローカル グループ。 このグループは、ユーザー オブジェクトのさまざまな属性へのアクセスを許可します。
DOMAIN_ALIAS_RID_PREW2KCOMPACCESS
0x0000022A
S-1-5-32-554
2000 Server を実行しているシステムにのみ存在するローカル グループWindows。 詳細については、「 匿名アクセスの許可」を参照してください。
DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS
0x0000022B
S-1-5-32-555
すべてのリモート デスクトップ ユーザーを表すローカル グループ。
DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS
0x0000022C
S-1-5-32-556
ネットワーク構成を表すローカル グループ。
DOMAIN_ALIAS_RID_INCOMING_FOREST_TRUST_BUILDERS
0x0000022D
S-1-5-32-557
フォレスト信頼ユーザーを表すローカル グループ。
DOMAIN_ALIAS_RID_MONITORING_USERS
0x0000022E
S-1-5-32-558
監視されているすべてのユーザーを表すローカル グループ。
DOMAIN_ALIAS_RID_LOGGING_USERS
0x0000022F
S-1-5-32-559
ユーザーのログ記録を担当するローカル グループ。
DOMAIN_ALIAS_RID_AUTHORIZATIONACCESS
0x00000230
S-1-5-32-560
承認されたすべてのアクセスを表すローカル グループ。
DOMAIN_ALIAS_RID_TS_LICENSE_SERVERS
0x00000231
S-1-5-32-561
ターミナル サービスとリモート アクセスを許可するサーバー オペレーティング システムを実行しているシステムにのみ存在するローカル グループ。
DOMAIN_ALIAS_RID_DCOM_USERS
0x00000232
S-1-5-32-562
分散コンポーネント オブジェクト モデル (DCOM) を使用できるユーザーを表すローカル グループ。
DOMAIN_ALIAS_RID_IUSERS
0X00000238
S-1-5-32-568
インターネット ユーザーを表すローカル グループ。
DOMAIN_ALIAS_RID_CRYPTO_OPERATORS
0x00000239
S-1-5-32-569
暗号化演算子へのアクセスを表すローカル グループ。
DOMAIN_ALIAS_RID_CACHEABLE_PRINCIPALS_GROUP
0x0000023B
S-1-5-32-571
キャッシュできるプリンシパルを表すローカル グループ。
DOMAIN_ALIAS_RID_NON_CACHEABLE_PRINCIPALS_GROUP
0x0000023C
S-1-5-32-572
キャッシュできないプリンシパルを表すローカル グループ。
DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP
0x0000023D
S-1-5-32-573
イベント ログ リーダーを表すローカル グループ。
DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP
0x0000023E
S-1-5-32-574
分散コンポーネント オブジェクト モデル (DCOM) を使用して証明機関に接続できるユーザーのローカル グループ。
DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_SERVERS
0x0000023F
S-1-5-32-575
RDS リモート アクセス サーバーを表すローカル グループ。
DOMAIN_ALIAS_RID_RDS_ENDPOINT_SERVERS 0x00000240
S-1-5-32-576
エンドポイント サーバーを表すローカル グループ。
DOMAIN_ALIAS_RID_RDS_MANAGEMENT_SERVERS 0x00000241
S-1-5-32-577
管理サーバーを表すローカル グループ。
DOMAIN_ALIAS_RID_HYPER_V_ADMINS 0x00000242
S-1-5-32-578
Hyper-v 管理者を表すローカル グループ
DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS 0x00000243
S-1-5-32-579
アクセス制御アシスタンス OPS を表すローカル グループ。
DOMAIN_ALIAS_RID_REMOTE_MANAGEMENT_USERS 0x00000244
S-1-5-32-580
リモート管理ユーザーを表すローカル グループ。
DOMAIN_ALIAS_RID_DEFAULT_ACCOUNT 0x00000245
S-1-5-32-581
既定のアカウントを表すローカル グループ。
DOMAIN_ALIAS_RID_STORAGE_REPLICA_ADMINS 0x00000246
S-1-5-32-582
記憶域レプリカ管理者を表すローカル グループ。
DOMAIN_ALIAS_RID_DEVICE_OWNERS 0x00000247
S-1-5-32-583
表すローカル グループを使用すると、デバイス所有者に対して設定を行うことができます。

WELL_KNOWN_SID_TYPE列挙は、一般的に使用される SID の一覧を定義します。 さらに、 セキュリティ記述子定義言語 (SDDL) では 、SID 文字列 を使用して、既知の SID を文字列形式で参照します。