Windows で規定されているセキュリティ識別子(SID)
Windows サーバー オペレーティング システムの既知のセキュリティ識別子を簡単にまとめたものです。
セキュリティ識別子 (SID) は、Windows オペレーティング システムでセキュリティ プリンシパルまたはセキュリティグループの識別に使用される可変長の一意の値です。既知の SID は、一般ユーザーまたは一般グループを識別する SID のグループです。これらの値は、すべてのオペレーティング システムで共通です。
| SID | 名前 | 説明 |
|---|---|---|
| S-1-0 | Null Authority | 識別子機関 |
| S-1-0-0 | Nobody | セキュリティ プリンシパルなし |
| S-1-1 | World Authority | 識別子機関 |
| S-1-1-0 | Everyone | すべてのユーザーを含む (匿名ユーザーやゲストも含む) グループ。メンバシップはオペレーティング システムにより制御されます。注 : Windows XP Service Pack 2 (SP2) を実行しているコンピュータでは、匿名ユーザーはデフォルトで Everyone グループに含まれなくなりました。 |
| S-1-2 | Local Authority | 識別子機関 |
| S-1-3 | Creator Authority | 識別子機関 |
| S-1-3-0 | Creator Owner | 継承可能なアクセス制御エントリ (ACE) のプレースホルダ。ACE の継承時、この SID は、システムによりオブジェクト作成者の SID で置き換えられます。 |
| S-1-3-1 | Creator Group | 継承可能な ACE のプレースホルダ。ACE の継承時、この SID は、システムによりオブジェクト作成者のプライマリ グループの SID で置き換えられます。プライマリ グループは POSIX サブシステムでのみ使用されます。 |
| S-1-3-2 | Creator Owner Server | この SID は Windows 2000 では使用されません。 |
| S-1-3-3 | Creator Group Server | この SID は Windows 2000 では使用されません。 |
| S-1-4 | Non-unique Authority | 識別子機関 |
| S-1-5 | NT Authority | 識別子機関 |
| S-1-5-1 | Dialup | ダイヤルアップ接続経由でログオンしたユーザーすべてを含むグループ。メンバシップはオペレーティング システムにより制御されます。 |
| S-1-5-2 | Network | ネットワーク接続経由でログオンしたユーザーすべてを含むグループ。メンバシップはオペレーティング システムにより制御されます。 |
| S-1-5-3 | Batch | バッチ キュー機能経由でログオンしたユーザーすべてを含むグループ。メンバシップはオペレーティング システムにより制御されます。 |
| S-1-5-4 | Interactive | 対話型でログオンしたユーザーすべてを含むグループ。メンバシップはオペレーティング システムにより制御されます。 |
| S-1-5-5-X-Y | Logon Session | ログオン セッション。この SID の X と Y の値は、セッションごとに異なります。 |
| S-1-5-6 | Service | サービスとしてログオンしたセキュリティ プリンシパルすべてを含むグループ。メンバシップはオペレーティング システムにより制御されます。 |
| S-1-5-7 | Anonymous | 匿名でログオンしたユーザーすべてを含むグループ。メンバシップはオペレーティング システムにより制御されます。 |
| S-1-5-8 | Proxy | この SID は Windows 2000 では使用されません。 |
| S-1-5-9 | Enterprise Domain Controllers | Active Directory ディレクトリ サービスを使用するフォレスト内のドメイン コントローラすべてを含むグループ。メンバシップはオペレーティング システムにより制御されます。 |
| S-1-5-10 | Principal Self | Active Directory 内のアカウント オブジェクトまたはグループ オブジェクト上の継承可能な ACE のプレースホルダ。ACE の継承時、この SID は、システムにより、アカウントを保持するセキュリティ プリンシパルの SID で置き換えられます。 |
| S-1-5-11 | Authenticated Users | ログオン時に ID が認証されたユーザーすべてを含むグループ。メンバシップはオペレーティング システムにより制御されます。 |
| S-1-5-12 | Restricted Code | この SID は将来の使用のために予約されています。 |
| S-1-5-13 | Terminal Server Users | ターミナル サービス サーバーにログオンしたユーザーすべてを含むグループ。メンバシップはオペレーティング システムにより制御されます。 |
| S-1-5-18 | Local System | オペレーティング システムにより使用されるサービス アカウント。 |
| S-1-5-19 | NT Authority | ローカル サービス。 |
| S-1-5-20 | NT Authority | ネットワーク サービス。 |
| S-1-5-domain-500 | Administrator | システム管理者のユーザー アカウント。デフォルトでは、これは、システム全体に対するフル コントロールが与えられている唯一のユーザーです。 |
| S-1-5-domain-501 | Guest | 個別のアカウントを持たない人のためのユーザー アカウント。このユーザー アカウントはパスワードを必要としません。デフォルトでは、Guest アカウントは無効です。 |
| S-1-5-domain-502 | KRBTGT | キー配布センター (KDC) サービスにより使用されるサービス アカウント。 |
| S-1-5-domain-512 | Domain Admins | メンバがドメインを管理することが承認されているグローバル グループ。デフォルトでは、Domain Admins グループは、ドメインに参加しているすべてのコンピュータ (ドメイン コントローラを含む) 上で Administrators グループのメンバです。Domain Admins は、グループ内の任意のメンバが作成した任意のオブジェクトのデフォルトの所有者です。 |
| S-1-5-domain-513 | Domain Users | デフォルトで、ドメイン内のすべてのユーザー アカウントを含むグローバル グループ。ドメイン内でユーザーを作成すると、デフォルトでこのグループに追加されます。 |
| S-1-5-domain-514 | Domain Guests | デフォルトで、ドメインのビルトイン Guest アカウントだけをメンバとして持つグローバル グループ。 |
| S-1-5-domain-515 | Domain Computers | ドメインに参加しているクライアントとサーバーのすべてを含むグローバル グループ。 |
| S-1-5-domain-516 | Domain Controllers | ドメイン内のすべてのドメイン コントローラを含むグローバル グループ。新しいドメイン コントローラは、デフォルトでこのグループに追加されます。 |
| S-1-5-domain-517 | Cert Publishers | エンタープライズ証明機関 (CA) を実行しているすべてのコンピュータを含むグローバル グループ。Cert Publishers は、Active Directory 内のユーザー オブジェクトに対して証明書を発行する権限があります。 |
| S-1-5-domain-518 | Schema Admins | ネイティブモード ドメインではユニバーサル グループ、混合モード ドメインではグローバル グループです。Active Directory でスキーマ変更を行う権限があります。デフォルトでは、このグループの唯一のメンバは、フォレストのルート ドメインの Administrator アカウントです。 |
| S-1-5-domain-519 | Enterprise Admins | ネイティブモード ドメインではユニバーサル グループ、混合モード ドメインではグローバル グループです。Active Directory で、子ドメインの追加など、フォレスト全体の変更を行う権限があります。デフォルトでは、このグループの唯一メンバは、フォレストのルート ドメインの Administrator アカウントです。 |
| S-1-5-domain-520 | Group Policy Creator Owners | Active Directory で、新しいグループ ポリシー オブジェクトを作成する権限があるグローバル グループです。デフォルトでは、このグループの唯一のメンバは、Administrator です。 |
| S-1-5-domain-533 | RAS and IAS Servers | ドメイン ローカル グループです。デフォルトで、このグループにはメンバがいません。このグループのサーバーは、Active Directory ドメイン ローカル グループ内のユーザーオブジェクトに対するアカウント制限の読み取りとログオン情報の読み取りのアクセス権限を持ちます。 |
| S-1-5-domain-544 | Administrators | ビルトイン グループ。オペレーティングシステムの最初のインストール後、このグループの唯一のメンバは、Administrator アカウントです。コンピュータがドメインに参加すると、Domain Admins グループが Administrators グループに追加されます。また、サーバーがドメイン コントローラになると、Enterprise Admins グループが Administrators グループに追加されます。 |
| S-1-5-domain-545 | Users | ビルトイン グループ。オペレーティングシステムの最初のインストール後、このグループの唯一のメンバは、Authenticated Users グループです。コンピュータがドメインに参加すると、Domain Users グループがコンピュータの Users グループに追加されます。 |
| S-1-5-domain-546 | Guests | ビルトイン グループ。オペレーティング システムの最初のインストール後、このグループの唯一のメンバは、Guest アカウントです。Guests グループにより、たまにしかログオンしないユーザーまたは一度だけのユーザーが、制限された権限でコンピュータのビルトイン Guest アカウントにログオンすることができます。 |
| S-1-5-domain-547 | Power Users | ビルトイン グループ。デフォルトでは、このグループにメンバはいません。Power Users は、ローカルユーザーとローカル グループの作成、Power Users が作成したアカウントの変更と削除、および Power Users、Users および Guests グループからのユーザーの削除が可能です。また、Power Users は、プログラムのインストール、ローカルプリンタの作成、管理と削除、およびファイル共有の作成と削除が可能です。 |
| S-1-5-domain-548 | Account Operators | ドメイン コントローラ上のみで存在するビルトイン グループ。デフォルトでは、このグループにメンバはいません。デフォルトで Account Operators は、Active Directory 内のすべてのコンテナおよび組織単位 (OU) (ビルトインコンテナおよびドメイン コントローラ OU を除く) に含まれるユーザー、グループ、およびコンピュータのアカウントを作成、変更および削除する権限があります。 |
| S-1-5-domain-549 | Server Operators | ドメイン コントローラ上のみで存在するビルトイン グループ。デフォルトでは、このグループにメンバはいません。Server Operators は、サーバーに対する対話型ログオン、ネットワーク共有の作成と削除、サービスの開始と停止、ファイルのバックアップと復元、コンピュータのハードディスクのフォーマットおよびコンピュータのシャットダウンを実行することができます。 |
| S-1-5-domain-550 | Print Operators | ドメイン コントローラ上のみで存在するビルトイン グループ。デフォルトでは、このグループの唯一のメンバは Domain Users グループです。Print Operators は、プリンタとドキュメント キューの管理を行うことができます。 |
| S-1-5-domain-551 | Backup Operators | ビルトイン グループ。デフォルトでは、このグループにメンバはいません。Backup Operators は、ファイルを保護するアクセス許可にかかわらず、コンピュータ上のすべてのファイルをバックアップおよび復元することができます。また、Backup Operators は、コンピュータにログオンしてシャットダウンすることもできます。 |
| S-1-5-domain-552 | Replicators | ドメイン コントローラ上でファイル複製サービスが使用するビルトイン グループ。デフォルトでは、このグループにメンバはいません。このグループにユーザーを追加しないでください。 |
Windows Server 2003 ドメイン コントローラが、プライマリ ドメイン コントローラ (PDC) 操作マスタの役割を持つ場合、以下のグループが、SID として表示されます ("操作マスタ" は、FSMO (Flexible Single Master Operations) としても知られています)。Windows Server 2003 ドメインコントローラがドメインに追加される際に作成される追加の新しいビルトイン アカウントは、以下のとおりです。
| SID | 名前 | 説明 |
|---|---|---|
| S-1-5-32-554 | BUILTIN\Pre-Windows 2000 Compatible Access | Windows 2000 によって追加されるエイリアス。ドメイン内のすべてのユーザーとグループに対する読み取りアクセスを許可する後方互換のためのグループです。 |
| S-1-5-32-555 | BUILTIN\Remote Desktop Users | エイリアス。このグループのメンバにはリモートからログオンする権利が与えられます。 |
| S-1-5-32-556 | BUILTIN\Network Configuration Operators | エイリアス。このグループのメンバは、ネットワーク機能の構成を管理するために、いくつかの管理特権を持っています。 |
| S-1-5-32-557 | BUILTIN\Incoming Forest Trust Builders | エイリアス。このグループのメンバは、このフォレストへの入力方向 (一方向) の信頼を作成することができます。 |
| S-1-5-32-558 | BUILTIN\Performance Monitor Users | エイリアス。このグループのメンバは、このコンピュータを監視するためのリモート アクセス権限を持っています。 |
| S-1-5-32-559 | BUILTIN\Performance Log Users | エイリアス。このグループのメンバは、このコンピュータでパフォーマンス カウンタのログをスケジュールするためのリモート アクセス権限を持っています。 |
| S-1-5-32-560 | BUILTIN\Windows Authorization Access Group | エイリアス。このグループのメンバは、ユーザー オブジェクトの tokenGroupsGlobalAndUniversal 属性へのアクセス権限を持っています。 |
| S-1-5-32-561 | BUILTIN\Terminal Server License Servers | エイリアス。ターミナル サーバー ライセンス サーバー用のグループです。 |
関連情報
