特殊 ID グループ
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016
Windows アクセス制御に使用される Windows Server の特殊 ID グループ ("セキュリティ グループ" とも呼ばれる) について説明します。
特殊 ID グループとは
特殊 ID グループは、Active Directory の Users および BuiltIn コンテナーに一覧表示される Active Directory セキュリティ グループに似ています。 特殊 ID グループは、ネットワーク内のリソースへのアクセス権を割り当てるための効率的な手段となります。 特殊 ID グループを使用すると、次のことができます。
Active Directory のセキュリティ グループにユーザーの権利を割り当てる。
セキュリティ グループにリソースに対するアクセス許可を割り当てる。
Windows Server での特殊 ID グループの機能
この記事の冒頭にある「適用対象」に示されている Windows Server オペレーティング システムのバージョンのどれかを実行しているサーバーには、複数の特殊 ID グループが存在します。 これらの特殊 ID グループは、変更できる特定のメンバーシップはないものの、状況に応じて、さまざまな時点でさまざまなユーザーを表すことができます。
特定のリソースに対する権限とアクセス許可を特殊 ID グループに割り当てることができますが、特殊 ID グループのメンバーシップを表示または変更することはできません。 グループ スコープは、特殊 ID グループには適用されません。 ユーザーは、サインインまたは特定のリソースへのアクセス時に、特殊 ID グループに自動的に割り当てられます。
Active Directory のセキュリティ グループとグループ スコープの詳細については、「Active Directory セキュリティ グループ」を参照してください。
既定の特殊 ID グループ
Windows Server の既定の特殊 ID グループについて、次の一覧で説明します。
- Anonymous Logon
- Attested key property
- Authenticated Users
- Authentication authority asserted identity
- Batch
- Console logon
- Creator Group (CREATOR GROUP)
- Creator Owner
- Dialup
- ダイジェスト認証
- Enterprise Domain Controllers
- Enterprise Read-only Domain Controllers
- すべてのユーザー
- Fresh Public Key identity
- 対話
- IUSR
- キー信頼
- Local Service
- LocalSystem
- MFA key property
- Network
- Network Service
- NTLM 認証
- Other Organization
- Owner Rights
- Principal Self
- Proxy
- Read-only Domain Controller
- Remote Interactive Logon
- 制限あり
- SChannel Authentication
- サービス
- Service asserted identity
- Terminal Server User
- This Organization
- Window Manager\Window Manager Group
Anonymous Logon
匿名ログオンを介してシステムにアクセスするすべてのユーザーには、Anonymous Logon ID が割り当てられます。 この ID を使用すると、企業サーバーで公開されている Web ページなどのリソースに匿名でアクセスできます。 Anonymous Logon グループは、既定では Everyone グループのメンバーではありません。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-7 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
Attested key property
キー信頼オブジェクトが構成証明プロパティを持っていたことを意味するセキュリティ識別子 (SID)。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-18-6 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
Authenticated Users
サインイン プロセスを通してシステムにアクセスするすべてのユーザーには、Authenticated Users ID が割り当てられます。 この ID を使用すると、組織内のすべての作業者がアクセスできる共有フォルダー内のファイルなど、ドメイン内の共有リソースにアクセスできます。 メンバーシップはオペレーティング システムによって制御されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-11 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | ネットワークからこのコンピューターにアクセスする: SeNetworkLogonRight ドメインにワークステーションを追加: SeMachineAccountPrivilege 走査チェックのバイパス: SeChangeNotifyPrivilege |
Authentication authority asserted identity
クライアントの ID が、クライアント資格情報の所有証明に基づいて、認証機関によってアサートされていることを示す SID。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-18-1 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
Batch
バッチ ジョブとして、またはバッチ キューを介してシステムにアクセスするすべてのユーザーまたはプロセスには、Batch ID が割り当てられます。 この ID を使用すると、バッチ ジョブは、一時ファイルを削除する夜間クリーンアップ ジョブなどのスケジュールされたタスクを実行できます。 メンバーシップはオペレーティング システムによって制御されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-3 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
Console logon
物理コンソールにログオンしているユーザーを含むグループ。 この SID を使用して、ユーザーがコンソールへの物理的なアクセスを許可されているかどうかに基づいて異なる権限を付与するセキュリティ ポリシーを実装できます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-2-1 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
Creator Group (CREATOR GROUP)
この特殊 ID グループのメンバーは、ファイルまたはディレクトリを作成したユーザーです。 Windows Server オペレーティング システムでは、この ID を使用して、ファイルまたはディレクトリの作成者にアクセス許可が自動的に付与されます。
継承可能なアクセス制御エントリ (ACE) にプレースホルダー SID が作成されます。 ACE が継承されると、この SID はシステムによって、オブジェクトの現在の所有者のプライマリ グループの SID に置き換えられます。 プライマリ グループは POSIX サブシステムでのみ使用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-3-1 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
Creator Owner (作成所有者)
この特殊 ID グループのメンバーは、ファイルまたはディレクトリを作成したユーザーです。 Windows Server オペレーティング システムでは、この ID を使用して、ファイルまたはディレクトリの作成者にアクセス許可が自動的に付与されます。 継承可能な ACE にプレースホルダー SID が作成されます。 ACE が継承されると、この SID はシステムによって、オブジェクトの現在の所有者の SID に置き換えられます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-3-0 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
Dialup (DIALUP)
ダイヤルアップ接続を介してシステムにアクセスするユーザーには、Dialup ID が割り当てられます。 この ID は、ダイヤルアップ ユーザーを他の種類の認証済みユーザーと区別します。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-1 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
ダイジェスト認証
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-64-21 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
Enterprise Domain Controllers
このグループには、Active Directory フォレスト内のすべてのドメイン コントローラーが含まれます。 エンタープライズ全体での役割と責任を持つドメイン コントローラーには、Enterprise Domain Controllers ID が割り当てられます。 この ID を使用すると、ドメイン コントローラーは推移的な信頼関係を使用して、エンタープライズ内で特定のタスクを実行できます。 メンバーシップはオペレーティング システムによって制御されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-9 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | ネットワークからこのコンピューターにアクセスする: SeNetworkLogonRight ローカル ログオンを許可: SeInteractiveLogonRight |
Enterprise Read-only Domain Controllers
このグループには、Active Directory フォレスト内のすべてのドメイン コントローラーが含まれます。 エンタープライズ全体での役割と責任を持つドメイン コントローラーには、Enterprise Domain Controllers ID が割り当てられます。 読み取り専用ドメイン コントローラー (RODC) は、アカウント パスワードを除いて、書き込み可能なドメイン コントローラーが保持するすべての Active Directory オブジェクトと属性を保持します。 メンバーシップはオペレーティング システムによって制御されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<RootDomain> |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
Everyone
Everyone グループのメンバーは、対話型、ネットワーク、ダイヤルアップ、認証済みのすべてのユーザーです。 この特殊 ID グループは、システム リソースへの幅広いアクセスを提供します。 ユーザーがネットワークにログオンすると、そのユーザーが Everyone グループに自動的に追加されます。 メンバーシップはオペレーティング システムによって制御されます。
Windows 2000 以前を実行しているコンピューターでは、Everyone グループに既定のメンバーとして Anonymous Logon グループが含まれていました。 Windows Server 2003 以降、Everyone グループには Authenticated Users と Guest のみが含まれています。 Everyone グループに Anonymous Logon グループは含まれていません。 Anonymous Logon グループを含むように Everyone グループの設定を変更するには、レジストリ エディターで Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa キーに移動し、everyoneincludesanonymous DWORD の値を 1 に設定します。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-1-0 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | ネットワークからこのコンピューターにアクセスする: SeNetworkLogonRight 走査チェックのバイパス: SeChangeNotifyPrivilege |
Fresh Public Key identity
クライアントの ID が、クライアント公開キー資格情報の現在の所有証明に基づいて、認証機関によってアサートされていることを示す SID。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-18-3 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
Interactive
ローカル システムにログオンしているすべてのユーザーには、Interactive ID が割り当てられます。 この ID を使用すると、ローカル ユーザーのみがリソースにアクセスできます。 ユーザーが現在ログオンしているコンピューター上の特定のリソースにアクセスすると、そのユーザーが Interactive グループに自動的に追加されます。 メンバーシップはオペレーティング システムによって制御されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-4 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
IUSR
このアカウントは、匿名認証が有効になっている場合にインターネット インフォメーション サービス (IIS) によって既定で使用されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-17 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
キー信頼
クライアントの ID が、キー信頼オブジェクトを使用した公開キー資格情報の所有証明に基づくことを意味する SID。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-18-4 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
Local Service
Local Service アカウントは、Authenticated User アカウントに似ています。 Local Service アカウントのメンバーは、リソースおよびオブジェクトに対して Users グループのメンバーと同じレベルのアクセス権限を持ちます。 このようなアクセス制限は、個々のサービスまたはプロセスが危害を受けそうになった場合のシステム保護に役立ちます。 Local Service アカウントとして実行されるサービスは、匿名の資格情報を使用した NULL セッションとしてネットワーク リソースにアクセスします。 アカウントの名前は NT AUTHORITY\LocalService です。 このアカウントにパスワードはありません。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-19 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | プロセスのメモリ クォータの増加: SeIncreaseQuotaPrivilege 走査チェックのバイパス: SeChangeNotifyPrivilege システム時刻の変更: SeSystemtimePrivilege タイム ゾーンの変更: SeTimeZonePrivilege グローバル オブジェクトの作成: SeCreateGlobalPrivilege セキュリティ監査の生成: SeAuditPrivilege 認証後にクライアントを偽装: SeImpersonatePrivilege プロセス レベル トークンの置き換え: SeAssignPrimaryTokenPrivilege |
LocalSystem
LocalSystem アカウントは、オペレーティング システムによって使用されるサービス アカウントです。 LocalSystem アカウントは、システムへのフル アクセスが可能な強力なアカウントであり、ネットワーク上のコンピューターとして機能します。 サービスがドメイン コントローラーの LocalSystem アカウントにログオンすると、そのサービスはドメイン全体にアクセスできます。 一部のサービスは、LocalSystem アカウントにログオンするように既定で構成されています。 既定のサービス設定は変更しないでください。 アカウントの名前は LocalSystem です。 このアカウントにパスワードはありません。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-18 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
MFA key property
キー信頼オブジェクトに多要素認証 (MFA) プロパティがあったことを意味する SID。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-18-5 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
ネットワーク
このグループには、ネットワーク接続を介してログオンしているすべてのユーザーが暗黙的に含まれます。 ネットワーク経由でシステムにアクセスするすべてのユーザーに、Network ID が割り当てられます。 この ID を使用すると、リモート ユーザーのみがリソースにアクセスできます。 ユーザーがネットワーク経由で特定のリソースにアクセスすると、そのユーザーが Network グループに自動的に追加されます。 メンバーシップはオペレーティング システムによって制御されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-2 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
Network Service
Network Service アカウントは、Authenticated User アカウントに似ています。 Network Service アカウントのメンバーは、リソースおよびオブジェクトに対して Users グループのメンバーと同じレベルのアクセス権限を持ちます。 このようなアクセス制限は、個々のサービスまたはプロセスが危害を受けそうになった場合のシステム保護に役立ちます。 ネットワーク サービス アカウントとして実行されるサービスは、コンピューター アカウントの資格情報を使用してネットワーク リソースにアクセスします。 アカウントの名前は、NT AUTHORITY\NetworkService です。 このアカウントにパスワードはありません。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-20 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | プロセスのメモリ クォータの増加: SeIncreaseQuotaPrivilege 走査チェックのバイパス: SeChangeNotifyPrivilege グローバル オブジェクトの作成: SeCreateGlobalPrivilege セキュリティ監査の生成: SeAuditPrivilege 認証後にクライアントを偽装: SeImpersonatePrivilege プロセス レベル トークンの置き換え: SeAssignPrimaryTokenPrivilege |
NTLM 認証
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-64-10 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
Other Organization
このグループには、ダイヤルアップ接続を介してシステムにログオンしているすべてのユーザーが暗黙的に含まれます。 メンバーシップはオペレーティング システムによって制御されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-1000 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
Owner Rights
Owner Rights グループは、オブジェクトの現在の所有者を表します。 この SID を持つ ACE がオブジェクトに適用されると、オブジェクト所有者の暗黙的な READ_CONTROL と WRITE_DAC のアクセス許可がシステムで無視されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-3-4 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
Principal Self
この ID は、Active Directory のユーザー、グループ、またはコンピューター オブジェクトの ACE のプレースホルダーです。 Principal Self にアクセス許可を付与するときは、オブジェクトによって表されるセキュリティ プリンシパルにアクセス許可を付与します。 アクセス チェック中に、Principal Self の SID がオペレーティング システムによって、オブジェクトで表されるセキュリティ プリンシパルの SID に置き換えられます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-10 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
プロキシ
SECURITY_NT_AUTHORITY プロキシを識別します。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-8 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
Read-only Domain Controller
このグループには、フォレスト内で Active Directory データベースに対する読み取り専用権限を持つすべての RODC が含まれます。 これを使用すると、物理セキュリティが不足しているか、保証されていない場合に、ドメイン コントローラーを展開できます。 メンバーシップはオペレーティング システムによって制御されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-21-<domain> |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
Note
フォレストに RODC アカウントが作成されると、Denied RODC Password Replication グループが自動的に作成されます。 Denied RODC Password Replication グループにはパスワードをレプリケートできません。
Remote Interactive Logon
この ID は、リモート デスクトップ プロトコル接続を使用してコンピューターに現在ログオンしているすべてのユーザーを表します。 このグループは、Interactive グループのサブセットです。 Remote Interactive Logon SID を含むアクセス トークンには、Interactive SID も含まれます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-14 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
制限付き
制限付き機能を持つユーザーとコンピューターには、Restricted ID が割り当てられます。 この ID グループは、RunAs サービスを使用してアプリケーションを実行するなど、制限付きセキュリティ コンテキストで実行されているプロセスによって使用されます。 Restricted セキュリティ レベルでコードを実行すると、Restricted SID がユーザーのアクセス トークンに追加されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-12 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
SChannel Authentication
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-64-14 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
サービス
システムにアクセスするすべてのサービスには、Service ID が割り当てられます。 この ID グループには、サービスとしてサインインしているすべてのセキュリティ プリンシパルが含まれます。 この ID によって、Windows Server サービスで実行されているプロセスへのアクセスが許可されます。 メンバーシップはオペレーティング システムによって制御されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-6 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | グローバル オブジェクトの作成: SeCreateGlobalPrivilege 認証後にクライアントを偽装: SeImpersonatePrivilege |
Service asserted identity
クライアントの ID がサービスによってアサートされていることを示す SID。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-18-2 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
Terminal Server User
ターミナル サービスを介してシステムにアクセスするすべてのユーザーには、Terminal Server User ID が割り当てられます。 この ID を使用すると、ユーザーはターミナル サーバー アプリケーションにアクセスしたり、ターミナル サーバー サービスで他の必要なタスクを実行したりできます。 メンバーシップはオペレーティング システムによって制御されます。
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-13 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
This Organization
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-15 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | なし |
Window Manager\Window Manager Group
| 属性 | 値 |
|---|---|
| 既知の SID/RID | S-1-5-90 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals, CN=Configuration, DC=<forestRootDomain> |
| 既定のユーザー権利 | 走査チェックのバイパス: SeChangeNotifyPrivilege プロセス ワーキング セットの増加: SeIncreaseWorkingSetPrivilege |