Active Directory セキュリティ グループ

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

この記事では、既定の Active Directory セキュリティ グループについて説明します。

Active Directory には、ユーザー アカウントとコンピューター アカウントという 2 つの形式の一般的なセキュリティ プリンシパルがあります。 これらのアカウントは、物理エンティティ (個人またはコンピューター) を表します。 ユーザー アカウントは、一部のアプリケーションの専用サービス アカウントとしても使用できます。 セキュリティ グループは、ユーザー アカウント、コンピューター アカウント、およびその他のグループを管理可能な単位に収集するために使用されます。

Windows Server オペレーティング システムには、特定のタスクを実行するための適切な権限とアクセス許可で事前構成された組み込みのアカウントとセキュリティ グループがいくつかあります。 Active Directory には、次の 2 種類の管理責任があります。

  • サービス管理者: ドメイン コントローラーの管理や AD DS の構成など、Active Directory Domain Services (AD DS) の保守と配信を担当します。

  • データ管理者: AD DS およびドメイン メンバー サーバーとワークステーションに格納されているデータの管理を担当します。

Active Directory グループについて

グループは、ユーザー アカウント、コンピューター アカウント、およびその他のグループを管理可能な単位に収集するために使用されます。 個々のユーザーではなくグループを操作すると、ネットワークのメンテナンスと管理が簡単になります。

Active Directory には、次の 2 種類のグループがあります。

  • 配布グループ: 電子メール配布リストを作成するために使用します。

  • セキュリティ グループ: 共有リソースにアクセス許可を割り当てるために使用されます。

配布グループ

配布グループは、電子メール アプリケーション (Exchange Server など) でのみ使用して、ユーザーのコレクションに電子メールを送信できます。 配布グループはセキュリティが有効になっていません。そのため、配布グループを随意アクセス制御リスト (DACL) に追加することはできません。

セキュリティ グループ

セキュリティ グループを使用すると、ネットワーク上のリソースへのアクセスを効率的に割り当てることができます。 セキュリティ グループを使用することで、次のことが可能になります。

  • Active Directory のセキュリティ グループにユーザー権限を割り当てます。

    ユーザー権限がセキュリティ グループに割り当てられ、そのグループのメンバーがドメインまたはフォレストのスコープ内で実行できる操作を決定します。 Active Directory がインストールされると、ユーザー権限が一部のセキュリティ グループに自動的に割り当てられ、管理者がドメインでユーザーの管理ロールを定義するのに役立ちます。

    たとえば、Active Directory の Backup Operators グループに追加されたユーザーは、ドメイン内の各ドメイン コントローラーにあるファイルとディレクトリをバックアップおよび復元できます。 これは、既定では、ユーザー権限のバックアップ ファイルとディレクトリと復元ファイルとディレクトリが Backup Operators グループに自動的に割り当てられるためです。 そのため、このグループのメンバーは、そのグループに割り当てられているユーザー権限を継承します。

    グループ ポリシーを使用して、セキュリティ グループにユーザー権限を割り当てて、特定のタスクを委任できます。 グループ ポリシーの使用の詳細については、「ユーザー権利の割り当て」を参照してください。

  • リソースのセキュリティ グループにアクセス許可を割り当てます。

    アクセス許可は、ユーザー権限とは異なります。 アクセス許可は、共有リソースのセキュリティ グループに割り当てられます。 アクセス許可によって、リソースにアクセスできるユーザーと、フル コントロールなどのアクセス レベルが決まります。 ドメイン オブジェクトに設定された一部のアクセス許可は、Account Operators グループや Domain Admins グループなどの既定のセキュリティ グループにさまざまなレベルのアクセスを許可するため、自動的に割り当てられます。

    セキュリティ グループは、リソースとオブジェクトに対するアクセス許可を定義する DACL に一覧表示されます。 リソース (ファイル共有、プリンターなど) のアクセス許可を割り当てる場合、管理者は、個々のユーザーではなくセキュリティ グループにこれらのアクセス許可を割り当てる必要があります。 アクセス許可は、個々のユーザーに数回ではなく、グループに 1 回割り当てられます。 グループに追加された各アカウントは、Active Directory のそのグループに割り当てられた権限と、そのグループに対して定義されているアクセス許可を受け取るユーザーを受け取ります。

配布グループと同様に、セキュリティ グループは電子メール エンティティとして使用できます。 グループに電子メール メッセージを送信すると、グループのすべてのメンバーにメッセージが送信されます。

グループのスコープ

グループの特性は、ドメイン ツリー内またはフォレスト内で、そのグループが適用される範囲を特定するスコープによって表されます。 グループのスコープは、グループにアクセス許可を付与できる場所を定義します。 Active Directory では、次の 3 つのグループ スコープが定義されています。

  • ユニバーサル

  • グローバル

  • ドメイン ローカル

注意

これら 3 つのスコープに加えて、 組み込み コンテナーの既定のグループには、組み込みローカルのグループ スコープがあります。 このグループ スコープとグループの種類は変更できません。

次の表に、3 つのグループ スコープと、セキュリティ グループの各スコープに関する詳細情報を示します。

Scope 使用できるメンバー スコープ変換 アクセス許可を付与できます の可能なメンバー
ユニバーサル 同じフォレスト内の任意のドメインのアカウント

同じフォレスト内の任意のドメインのグローバル グループ

同じフォレスト内の任意のドメインのその他のユニバーサル グループ

次の型に変換可能

グループが他のユニバーサル グループのメンバーでない場合のドメイン ローカル スコープ

グループに他のユニバーサル グループが含まれていない場合は、グローバル スコープに変換できます

同じフォレストまたは信頼しているフォレスト内の任意のドメインで 同じフォレスト内のその他のユニバーサル グループ

Domain

同じフォレスト内または信頼しているフォレスト内のローカル グループ

同じフォレストまたは信頼しているフォレスト内のコンピューター上のローカル グループ

グローバル 同じドメインのアカウント

同じドメインの他のグローバル グループ

グループが他のグローバル グループのメンバーでない場合は、ユニバーサル スコープに変換できます 同じフォレスト内の任意のドメイン、またはドメインまたはフォレストを信頼している場合 同じフォレスト内の任意のドメインのユニバーサル グループ

同じドメインの他のグローバル グループ

同じフォレスト内の任意のドメインまたは信頼しているドメインのドメイン ローカル グループ

ドメイン ローカル 任意のドメインまたは任意の信頼されたドメインのアカウント

任意のドメインまたは任意の信頼されたドメインのグローバル グループ

同じフォレスト内の任意のドメインのユニバーサル グループ

同じドメインの他のドメイン ローカル グループ

他のフォレストおよび外部ドメインのアカウント、グローバル グループ、ユニバーサル グループ

グループに他のドメイン ローカル グループが含まれていない場合は、ユニバーサル スコープに変換できます 同じドメイン内 同じドメインの他のドメイン ローカル グループ

既知の SID を持つ組み込みグループを除く、同じドメイン内のコンピューター上のローカル グループ

特殊な ID グループ

特殊な ID はグループと呼ばれます。 特別な ID グループには、変更できる特定のメンバーシップはありませんが、状況に応じて、異なるユーザーを表すことができます。 これらのグループの一部には、作成者所有者、Batch、および認証済みユーザーが含まれます。

特殊 ID グループの詳細については、「特殊 ID について」 参照してください。

既定のセキュリティ グループ

Domain Admins グループなどの既定のグループはセキュリティ グループであり、Active Directory ドメインの作成時に自動的に作成されます。 これらの定義済みグループを使用すると、共有リソースへのアクセスを制御したり、特定のドメイン全体の管理ロールを委任したりできます。

多くの既定のグループに対しては、自動的に一連のユーザー権利が割り当てられます。これらの権利は、グループのメンバーに対し、ローカル システムへのログオン、ファイルとフォルダーのバックアップなど特定の操作をドメイン内で実行することを許可するものです。 たとえば、Backup Operators グループのメンバーには、ドメイン内のすべてのドメイン コントローラーのバックアップ操作を実行する権利が与えられます。

グループにユーザーを追加すると、ユーザーは、グループに割り当てられているすべてのユーザー権限 (共有リソースに対してグループに割り当てられているすべてのアクセス許可を含む) を受け取ります。

既定のグループは、組み込みコンテナーとActive Directory ユーザーとコンピューターの Users コンテナーにあります。 組み込みコンテナーには、ドメイン ローカル スコープで定義されているグループが含まれています。 Users コンテナーには、グローバル スコープで定義されたグループと、ドメイン ローカル スコープで定義されているグループが含まれます。 これらのコンテナー内にあるグループは、ドメイン内の他のグループまたは組織単位 (OU) に移動できますが、他のドメインに移動することはできません。

この記事に記載されている一部の管理グループと、これらのグループのすべてのメンバーは、特定のセキュリティ記述子を定期的にチェックして適用するバックグラウンド プロセスによって保護されます。 この記述子は、保護されたオブジェクトに関連付けられているセキュリティ情報を含むデータ構造です。 このプロセスにより、管理アカウントまたはグループの 1 つでセキュリティ記述子を変更しようとして承認されていない試行が成功した場合は、保護された設定で上書きされます。

セキュリティ記述子は 、AdminSDHolder オブジェクトに存在します。 つまり、いずれかのサービス管理者グループまたはそのメンバー アカウントのアクセス許可を変更する場合は、 AdminSDHolder オブジェクトのセキュリティ記述子を変更して、一貫して適用する必要があります。 保護されているすべての管理アカウントに適用される既定の設定も変更するため、これらの変更を行うときは注意してください。

既定の Active Directory セキュリティ グループ

次の一覧では、Windows Server オペレーティング システムの Builtin コンテナーと Users コンテナーにある既定のグループについて説明します。

Access Controlアシスタンスオペレーター

このグループのメンバーは、コンピューター上のリソースの承認属性とアクセス許可をリモートで照会できます。

Access Control アシスタンス オペレーター グループは、既定の Active Directory セキュリティ グループの表に一覧表示されている Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-32-579
Type 組み込みローカル
既定のコンテナー CN=BuiltIn、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか?
既定のユーザー権限 なし

Account Operators

アカウントオペレーター グループは、制限されたアカウント作成特権をユーザーに付与します。 このグループのメンバーは、ユーザー、ローカル グループ、グローバル グループなど、ほとんどの種類のアカウントを作成および変更でき、メンバーはドメイン コントローラーにローカルでログインできます。

Account Operators グループのメンバーは、管理者ユーザー アカウント、管理者のユーザー アカウント、または 管理者サーバーオペレーターアカウントオペレーターバックアップオペレーター、または 印刷オペレーター グループを管理できません。 このグループのメンバーは、ユーザー権限を変更できません。

[アカウントオペレーター] グループは、[ 既定の Active Directory セキュリティ グループ ] リストの Windows Server オペレーティング システムに適用されます。

注意

既定では、この組み込みグループにはメンバーがなく、独自のメンバーシップやサーバーオペレーター グループのユーザーとグループをドメイン内に作成および管理できます。 このグループは、サーバー オペレーターを変更できるため、サービス管理者グループと見なされます。これにより、ドメイン コントローラーの設定を変更できます。 ベスト プラクティスとして、このグループのメンバーシップは空のままにし、委任された管理には使用しないでください。 このグループの名前変更、削除、移動はできません。

属性
SID/RID のWell-Known S-1-5-32-548
Type 組み込みローカル
既定のコンテナー CN=BuiltIn、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか はい
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 ローカルでのログオンを許可する: SeInteractiveLogonRight

Administrators

Administrators グループのメンバーは、コンピューターへの完全かつ無制限のアクセス権を持っているか、コンピューターがドメイン コントローラーに昇格され、メンバーがドメインに無制限にアクセスできる場合です。

管理者は、 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

注意

Administrators グループには、メンバーがシステムを完全に制御できる機能が組み込まれています。 このグループの名前変更、削除、移動はできません。 この組み込みグループは、そのドメイン内のすべてのドメイン コントローラーへのアクセスを制御し、すべての管理グループのメンバーシップを変更できます。 メンバーシップは、既定のサービス管理者、ドメイン内のドメイン管理者、またはエンタープライズ管理者というグループのメンバーによって変更できます。 このグループには、ディレクトリ内の任意のオブジェクトまたはドメイン コントローラー上の任意のリソースの所有権を取得する特別な特権があります。 このアカウントは、そのメンバーがドメイン内のドメイン コントローラーにフル アクセスできるため、サービス管理者グループと見なされます。

このセキュリティ グループには、Windows Server 2008 以降の次の変更が含まれています。

属性
SID/RID のWell-Known S-1-5-32-544
Type 組み込みローカル
既定のコンテナー CN=BuiltIn、DC=<domain>、DC=
既定メンバー 管理者、ドメイン管理者、エンタープライズ管理者
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか はい
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 プロセスのメモリ クォータを調整する: SeIncreaseQuotaPrivilege

ネットワークからこのコンピューターにアクセスする: SeNetworkLogonRight

ローカルでのログオンを許可する: SeInteractiveLogonRight

リモート デスクトップ サービス経由でログオンを許可する: SeRemoteInteractiveLogonRight

ファイルとディレクトリのバックアップ: SeBackupPrivilege

走査チェックをバイパスする: SeChangeNotifyPrivilege

システム時刻を変更する: SeSystemTimePrivilege

タイム ゾーンを変更する: SeTimeZonePrivilege

ページファイルの作成: SeCreatePagefilePrivilege

グローバル オブジェクトの作成: SeCreateGlobalPrivilege

シンボリック リンクの作成: SeCreateSymbolicLinkPrivilege

プログラムのデバッグ: SeDebugPrivilege

委任に対してコンピューターとユーザー アカウントを信頼できるようにする: SeEnableDelegationPrivilege

リモート システムからの強制的なシャットダウン: SeRemoteShutdownPrivilege

認証後にクライアントを偽装する: SeImpersonatePrivilege

スケジュールの優先度を上げる: SeIncreaseBasePriorityPrivilege

デバイス ドライバーの読み込みとアンロード: SeLoadDriverPrivilege

バッチ ジョブとしてログオンする: SeBatchLogonRight

監査とセキュリティ ログの管理: SeSecurityPrivilege

ファームウェア環境の値を変更する: SeSystemEnvironmentPrivilege

ボリューム メンテナンス タスクの実行: SeManageVolumePrivilege

プロファイル システムのパフォーマンス: SeSystemProfilePrivilege

プロファイルの 1 つのプロセス: SeProfileSingleProcessPrivilege

ドッキング ステーションからコンピューターを削除する: SeUndockPrivilege

ファイルとディレクトリの復元: SeRestorePrivilege

システムをシャットダウンする: SeShutdownPrivilege

ファイルまたはその他のオブジェクトの所有権を取得する: SeTakeOwnershipPrivilege

許可される RODC パスワード レプリケーション グループ

このセキュリティ グループの目的は、RODC パスワード レプリケーション ポリシーを管理することです。 このグループには既定でメンバーがないため、新しい読み取り専用ドメイン コントローラーがユーザー資格情報をキャッシュしないという条件が発生します。 拒否された RODC パスワード レプリケーション グループには、さまざまな高い特権アカウントとセキュリティ グループが含まれています。 拒否 RODC パスワード レプリケーション グループは、許可される RODC パスワード レプリケーション グループよりも優先されます。

許可される RODC パスワード レプリケーションは、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-21-domain-571<>
Type ドメイン ローカル
既定のコンテナー CN=Users DC=<domain,DC>=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか?
既定のユーザー権限 なし

Backup Operators

Backup Operators グループのメンバーは、それらのファイルを保護するアクセス許可に関係なく、コンピューター上のすべてのファイルをバックアップおよび復元できます。 バックアップオペレーターは、コンピューターにログオンしてシャットダウンすることもできます。 このグループの名前変更、削除、移動はできません。 既定では、この組み込みグループにはメンバーがなく、ドメイン コントローラーに対してバックアップ操作と復元操作を実行できます。 そのメンバーシップは、既定のサービス管理者、ドメイン内のドメイン管理者、またはエンタープライズ管理者のグループによって変更できます。 管理グループのメンバーシップを変更することはできません。 このグループのメンバーは、サーバー設定を変更したり、ディレクトリの構成を変更したりすることはできませんが、ドメイン コントローラー上のファイル (オペレーティング システム ファイルを含む) を置き換えるために必要なアクセス許可を持っています。 このため、このグループのメンバーはサービス管理者と見なされます。

バックアップオペレーターは、上記の 既定の Active Directory セキュリティ グループ の一覧にある Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-32-551
Type 組み込みローカル
既定のコンテナー CN=BuiltIn、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか はい
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 ローカルでのログオンを許可する: SeInteractiveLogonRight

ファイルとディレクトリのバックアップ: SeBackupPrivilege

バッチ ジョブとしてログオンする: SeBatchLogonRight

ファイルとディレクトリの復元: SeRestorePrivilege

システムをシャットダウンする: SeShutdownPrivilege

Certificate Service DCOM Access

このグループのメンバーは、企業内の証明機関に接続できます。

証明書サービス DCOM アクセスは、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-32-domain-574<>
Type ドメイン ローカル
既定のコンテナー CN=Builtin、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか?
既定のユーザー権限 なし

Cert Publishers

Cert Publishers グループのメンバーは、Active Directory のユーザー オブジェクトの証明書を発行する権限を持ちます。

Cert Publishers は、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-21-domain-517<>
Type ドメイン ローカル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー なし
~の既定のメンバー 拒否された RODC パスワード レプリケーション グループ
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 なし

複製可能なドメイン コントローラー

ドメイン コントローラーである複製可能なドメイン コントローラー グループのメンバーを複製できます。 Windows Server 2012 R2 とWindows Server 2012では、既存の仮想ドメイン コントローラーをコピーしてドメイン コントローラーを展開できます。 仮想環境では、sysprep.exeを使用して準備されたサーバー イメージを繰り返し展開し、サーバーをドメイン コントローラーに昇格させ、各ドメイン コントローラーを展開するための追加の構成要件 (このセキュリティ グループへの仮想ドメイン コントローラーの追加を含む) を完了する必要がなくなりました。

詳細については、「Active Directory Domain Services (AD DS) の仮想化 (レベル 100) の概要」を参照してください。

属性
SID/RID のWell-Known S-1-5-21-domain-522<>
Type グローバル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか?
既定のユーザー権限 なし

Cryptographic Operators

このグループのメンバーは、暗号化の操作の実行を承認されます。 このセキュリティ グループは、共通条件モードで IPsec 用 Windows ファイアウォールを構成するために、Windows Vista Service Pack 1 (SP1) に追加されました。

暗号化演算子は、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

このセキュリティ グループは Windows Vista Service Pack 1 で導入されましたが、以降のバージョンでは変更されていません。

属性
SID/RID のWell-Known S-1-5-32-569
Type 組み込みローカル
既定のコンテナー CN=Builtin、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか?
既定のユーザー権限 なし

拒否された RODC パスワード レプリケーション グループ

拒否された RODC パスワード レプリケーション グループのメンバーは、読み取り専用ドメイン コントローラーにパスワードをレプリケートできません。

このセキュリティ グループの目的は、RODC パスワード レプリケーション ポリシーを管理することです。 このグループには、さまざまな高い特権アカウントとセキュリティ グループが含まれています。 拒否 RODC パスワード レプリケーション グループは、 許可される RODC パスワード レプリケーション グループよりも優先されます。

このセキュリティ グループには、Windows Server 2008 以降の次の変更が含まれています。

属性
SID/RID のWell-Known S-1-5-21-domain-572<>
Type ドメイン ローカル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー Cert Publishers

Domain Admins

ドメイン コントローラー

Enterprise Admins

Group Policy Creator Owners

読み取り専用ドメイン コントローラー

Schema Admins

~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか
このグループの管理をサービス以外の管理者に委任しても安全ですか?
既定のユーザー権限 なし

デバイスの所有者

Microsoft では、このセキュリティ グループのメンバーが 0 である既定の構成を変更することはお勧めしません。 既定の構成を変更すると、このグループに依存する将来のシナリオが妨げられる可能性があります。 このグループは現在、Windows では使用されていません。

デバイス所有者は、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-32-583
Type 組み込みローカル
既定のコンテナー CN=BuiltIn、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できますが、推奨されません
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 ローカルでのログオンを許可する: SeInteractiveLogonRight

ネットワークからこのコンピューターにアクセスする: SeNetworkLogonRight

走査チェックをバイパスする: SeChangeNotifyPrivilege

タイム ゾーンを変更する: SeTimeZonePrivilege

DHCP Administrators

DHCP 管理者グループのメンバーは、DHCP データベースをバックアップおよび復元する権限を含め、サーバー スコープのさまざまな領域を作成、削除、および管理できます。 このグループは管理者権限を持ちますが、このロールは DHCP サービスに限定されるため、管理者グループの一部ではありません。

DHCP 管理者グループは、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-21-domain<>
Type 組み込みローカル
既定のコンテナー CN=BuiltIn、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー ユーザー
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動することはできますが、推奨されません
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 なし

DHCP Users

DHCP ユーザー グループのメンバーは、DHCP サーバーが正しく構成されていない場合に、アクティブ、非アクティブ、割り当てられている IP アドレス、接続の問題を確認できます。 このグループは、DHCP サーバーへの読み取り専用アクセスに制限されます。

DHCP ユーザー グループは、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-21-domain<>
Type 組み込みローカル
既定のコンテナー CN=BuiltIn、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー ユーザー
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動することはできますが、推奨されません
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 なし

Distributed COM Users

分散 COM ユーザー グループのメンバーは、コンピューター上で分散 COM オブジェクトを起動、アクティブ化、および使用できます。 Microsoft コンポーネント オブジェクト モデル (COM) は、対話できるバイナリ ソフトウェア コンポーネントを作成するための、プラットフォームに依存しない分散オブジェクト指向システムです。 分散コンポーネント オブジェクト モデル (DCOM) を使用すると、ユーザーとアプリケーションに最も意味のある場所にアプリケーションを分散できます。 このグループは、ドメイン コントローラーが作成されるまで SID (セキュリティ識別子) として表示されます。 プライマリ ドメイン コントローラーと、操作マスターロール (フレキシブル シングル マスター操作または FSMO とも呼ばれます) を保持します。

分散 COM ユーザーは、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-32-562
Type 組み込みローカル
既定のコンテナー CN=Builtin、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか?
既定のユーザー権限 なし

DnsUpdateProxy

DnsUpdateProxy グループのメンバーは DNS クライアントです。 他のクライアント (DHCP サーバーなど) に代わって動的更新を実行できます。 DNS サーバーは、DHCP サーバーが動的更新を使用して DHCP クライアントの代わりにホスト (A) およびポインター (PTR) リソース レコードを動的に登録するように構成されている場合に、古いリソース レコードを開発できます。 このセキュリティ グループにクライアントを追加すると、このシナリオが軽減されます。

ただし、セキュリティで保護されていないレコードから保護したり、DnsUpdateProxy グループのメンバーがセキュリティで保護された動的更新のみを許可するゾーンにレコードを登録できるようにするには、専用のユーザー アカウントを作成し、このアカウントの資格情報 (ユーザー名、パスワード、ドメイン) を使用して DNS 動的更新を実行するように DHCP サーバーを構成する必要があります。 複数の DHCP サーバーで、1 つの専用ユーザー アカウントの資格情報を使用できます。 このグループは、DNS サーバーの役割がドメイン内のドメイン コントローラーにインストールされている場合、または一度インストールされた場合にのみ存在します。

詳細については、 DNS レコードの所有権と DnsUpdateProxy グループを参照してください。

属性
SID/RID のWell-Known S-1-5-21-domain-variable<>< RI>
Type グローバル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか はい
このグループの管理をサービス以外の管理者に委任しても安全ですか?
既定のユーザー権限 なし

DnsAdmins

DnsAdmins グループのメンバーは、ネットワーク DNS 情報にアクセスできます。 既定の権限は次のとおりです。許可: 読み取り、書き込み、すべての子オブジェクトの作成、子オブジェクトの削除、特別な権限。 このグループは、DNS サーバーの役割がドメイン内のドメイン コントローラーにインストールされている場合、または一度インストールされた場合にのみ存在します。

セキュリティと DNS の詳細については、Windows Server 2012の DNSSEC を参照してください。

属性
SID/RID のWell-Known S-1-5-21-domain-variable<>< RI>
Type 組み込みローカル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか はい
このグループの管理をサービス以外の管理者に委任しても安全ですか?
既定のユーザー権限 なし

Domain Admins

Domain Admins セキュリティ グループのメンバーは、ドメインを管理する権限を持ちます。 既定では、Domain Admins グループは、ドメイン コントローラーを含め、ドメインに参加しているすべてのコンピューターの Administrators グループのメンバーです。 Domain Admins グループは、グループの任意のメンバーによってドメインの Active Directory に作成されるすべてのオブジェクトの既定の所有者です。 グループのメンバーがファイルなどの他のオブジェクトを作成する場合、既定の所有者は Administrators グループです。

Domain Admins グループは、ドメイン内のすべてのドメイン コントローラーへのアクセスを制御し、ドメイン内のすべての管理アカウントのメンバーシップを変更できます。 メンバーシップは、そのドメイン内のサービス管理者グループのメンバー (管理者とドメイン管理者)、および Enterprise Admins グループのメンバーによって変更できます。 メンバーはドメイン内のドメイン コントローラーにフル アクセスできるため、これはサービス管理者アカウントと見なされます。

ドメイン管理者は、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-21-domain-512<>
Type グローバル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー 管理者
~の既定のメンバー Administrators

拒否された RODC パスワード レプリケーション グループ

ADMINSDHOLDER で保護されているか はい
既定のコンテナーから移動することができるか はい
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 管理者を参照する

拒否された RODC パスワード レプリケーション グループを参照してください

Domain Computers

このグループには、ドメイン コントローラーを除き、ドメインに参加しているすべてのコンピューターとサーバーを含めることができます。 既定では、自動的に作成されるすべてのコンピューター アカウントがこのグループのメンバーになります。

ドメイン コンピューターは、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-21-domain-515<>
Type グローバル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー ドメイン コントローラーを除く、ドメインに参加しているすべてのコンピューター
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか はい (ただし必須ではありません)
このグループの管理をサービス以外の管理者に委任しても安全ですか? はい
既定のユーザー権限 なし

ドメイン コントローラー

ドメイン コントローラー グループには、ドメイン内のすべてのドメイン コントローラーを含めることができます。 新しいドメイン コントローラーがこのグループに自動的に追加されます。

ドメイン コントローラーは、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-21-domain-516<>
Type グローバル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー ドメインのすべてのドメイン コントローラーのコンピューター アカウント
~の既定のメンバー 拒否された RODC パスワード レプリケーション グループ
ADMINSDHOLDER で保護されているか はい
既定のコンテナーから移動することができるか いいえ
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 なし

Domain Guests

ドメイン ゲスト グループには、ドメインの組み込みのゲスト アカウントが含まれます。 このグループのメンバーがドメインに参加しているコンピューターでローカル ゲストとしてサインインすると、ローカル コンピューターにドメイン プロファイルが作成されます。

ドメイン ゲストは、上記の 既定の Active Directory セキュリティ グループ の一覧にある Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-21-domain-514<>
Type グローバル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー ゲスト
~の既定のメンバー ゲスト
ADMINSDHOLDER で保護されているか はい
既定のコンテナーから移動することができるか 移動できますが、推奨されません
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 ゲストの表示

Domain Users

ドメイン ユーザー グループには、ドメイン内のすべてのユーザー アカウントが含まれます。 ドメインにユーザー アカウントを作成すると、このグループに自動的に追加されます。

既定では、ドメインに作成されたすべてのユーザー アカウントは、自動的にこのグループのメンバーになります。 このグループは、ドメイン内のすべてのユーザーを表すために使用できます。 たとえば、すべてのドメイン ユーザーにプリンターへのアクセス権を付与する場合は、プリンターのアクセス許可をこのグループに割り当てたり、プリンターに対するアクセス許可を持つプリンター サーバー上のローカル グループにドメイン ユーザー グループを追加したりできます。

ドメイン ユーザーは、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-21-domain-513<>
Type グローバル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー 管理者
krbtgt
~の既定のメンバー ユーザー
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか はい
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 ユーザーの表示

Enterprise Admins

Enterprise Admins グループは、ドメインの Active Directory フォレストのルート ドメインにのみ存在します。 ドメインがネイティブ モードの場合はユニバーサル グループです。ドメインが混在モードの場合はグローバル グループです。 このグループのメンバーは、子ドメインの追加など、Active Directory でフォレスト全体の変更を行う権限を与えられます。

既定では、グループの唯一のメンバーはフォレスト ルート ドメインの管理者アカウントです。 このグループは、フォレスト内のすべてのドメインの Administrators グループに自動的に追加され、すべてのドメイン コントローラーを構成するための完全なアクセスが提供されます。 このグループのメンバーは、すべての管理グループのメンバーシップを変更できます。 メンバーシップは、ルート ドメイン内の既定のサービス管理者グループによってのみ変更できます。 これはサービス管理者アカウントと見なされます。

Enterprise Admins は、上記の 既定の Active Directory セキュリティ グループ の一覧にある Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-21-root< domain-519>
Type ユニバーサル (ドメインがネイティブ モードの場合) それ以外のグローバル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー 管理者
~の既定のメンバー Administrators

拒否された RODC パスワード レプリケーション グループ

ADMINSDHOLDER で保護されているか はい
既定のコンテナーから移動することができるか はい
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 「管理者」を参照してください

「拒否された RODC パスワード レプリケーション グループ」を参照してください

Enterprise Key Admins

このグループのメンバーは、フォレスト内のキー オブジェクトに対して管理アクションを実行できます。

属性
SID/RID のWell-Known S-1-5-21-domain-527<>
Type グローバル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか はい
既定のコンテナーから移動することができるか はい
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 なし

Enterprise Read-Only Domain Controllers

このグループのメンバーは、エンタープライズのドメイン コントローラーRead-Onlyされます。 アカウント パスワードを除き、読み取り専用ドメイン コントローラーは、書き込み可能なドメイン コントローラーが保持するすべての Active Directory オブジェクトと属性を保持します。 ただし、読み取り専用ドメイン コントローラーに格納されているデータベースに変更を加えることはできません。 書き込み可能なドメイン コントローラーで変更を行い、読み取り専用ドメイン コントローラーにレプリケートする必要があります。

読み取り専用ドメイン コントローラーは、ブランチ オフィスでよく見られるいくつかの問題に対処します。 これらの場所にはドメイン コントローラーがない可能性があります。 または、書き込み可能なドメイン コントローラーを持っていても、それをサポートするための物理的なセキュリティ、ネットワーク帯域幅、またはローカルの専門知識がない場合もあります。

詳細については、「 RODC とは」を参照してください。

Enterprise Read-Only ドメイン コントローラーは、上記の 既定の Active Directory セキュリティ グループ の一覧にある Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-21-root< domain-498>
Type ユニバーサル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか はい
既定のコンテナーから移動することができるか
このグループの管理をサービス以外の管理者に委任しても安全ですか?
既定のユーザー権限 なし

イベント ログ リーダー

このグループのメンバーは、ローカル コンピューターからイベント ログを読み取ることができます。 グループは、サーバーがドメイン コントローラーに昇格されるときに作成されます。

イベント ログ リーダーは、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-32-573
Type ドメイン ローカル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか?
既定のユーザー権限 なし

Group Policy Creator Owners

このグループは、ドメイン内のオブジェクトグループ ポリシー作成、編集、または削除する権限を持ちます。 既定では、グループの唯一のメンバーは Administrator です。

このセキュリティ グループで使用できるその他の機能については、「グループ ポリシーの概要」を参照してください。

グループ ポリシー作成者の所有者は、上記の既定の Active Directory セキュリティ グループの一覧にある Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-21-domain-520<>
Type グローバル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー 管理者
~の既定のメンバー 拒否された RODC パスワード レプリケーション グループ
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか いいえ
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 拒否された RODC パスワード レプリケーション グループを参照してください

ゲスト

ゲスト グループのメンバーは、ゲスト アカウントにさらに制限がある点を除き、既定では Users グループのメンバーと同じアクセス権を持ちます。 既定では、メンバーはゲスト アカウントのみです。 ゲスト グループを使用すると、コンピューターの組み込みゲスト アカウントに対する制限付き特権で、時折または 1 回限りのユーザーがサインインできます。

ゲスト グループのメンバーがサインアウトすると、プロファイル全体が削除されます。 これには、ユーザーのレジストリ ハイブ情報、カスタム デスクトップ アイコン、その他のユーザー固有の設定など、 %userprofile% ディレクトリに格納されているすべてのものが含まれます。 これは、ゲストがシステムにサインインするために一時的なプロファイルを使用する必要があることを意味します。 このセキュリティ グループは、グループ ポリシー設定と対話します。 一時プロファイルが 有効になっている場合は、ユーザーにログオンしないでください。 この設定は、次のパスの下にあります: コンピューター構成 > 管理用テンプレート > システム > ユーザー プロファイル

注意

ゲスト アカウントは、ゲスト セキュリティ グループの既定のメンバーです。 そのドメインに実際のアカウントを持っていない人は Guest アカウントを使用できます。 アカウントが無効になっている (削除されていない) ユーザーは、ゲスト アカウントを使用することもできます。ゲスト アカウントにはパスワードは必要ありません。 ゲスト アカウントの権限とアクセス許可は、任意のユーザー アカウントと同様に設定できます。 既定では、ゲスト アカウントは組み込みのゲスト グループと Domain Guests グローバル グループのメンバーです。これにより、ユーザーはドメインにサインインできます。 既定では Guest アカウントは無効になっており、無効のままにしておくことをお勧めします。

ゲストは、上記の 既定の Active Directory セキュリティ グループ の一覧にある Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-32-546
Type 組み込みローカル
既定のコンテナー CN=BuiltIn、DC=<domain>、DC=
既定メンバー Domain Guests
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 なし

Hyper-V 管理者

Hyper-V Administrators グループのメンバーは、Hyper-V のすべての機能に完全かつ無制限にアクセスできます。 このグループにメンバーを追加すると、Administrators グループに必要なメンバーの数を減らし、アクセスをさらに分離できます。

注意

Windows Server 2012する前は、Hyper-V の機能へのアクセスは、管理者グループのメンバーシップによって部分的に制御されていました。

属性
SID/RID のWell-Known S-1-5-32-578
Type 組み込みローカル
既定のコンテナー CN=BuiltIn、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか?
既定のユーザー権限 なし

IIS_IUSRS

IIS_IUSRSは、IIS 7.0 以降のインターネット インフォメーション サービスで使用される組み込みグループです。 組み込みのアカウントとグループは、オペレーティング システムによって常に一意の SID を持つことが保証されます。 IIS 7.0 では、新しいアカウントとグループで使用される実際の名前がローカライズされないように、IUSR_MachineName アカウントとIIS_WPG グループがIIS_IUSRS グループに置き換えられます。 たとえば、インストールする Windows オペレーティング システムの言語に関係なく、IIS アカウント名は常に IUSR になり、グループ名はIIS_IUSRSされます。

詳細については、「 IIS 7 Built-Inユーザー アカウントとグループ アカウントについて」を参照してください。

属性
SID/RID のWell-Known S-1-5-32-568
Type 組み込みローカル
既定のコンテナー CN=BuiltIn、DC=<domain>、DC=
既定メンバー IUSR
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか
このグループの管理をサービス以外の管理者に委任しても安全ですか?
既定のユーザー権限 なし

Incoming Forest Trust Builders

受信フォレスト信頼ビルダー グループのメンバーは、このフォレストに対する受信一方向の信頼を作成できます。 Active Directory は、ドメインとフォレストの信頼関係を通じて、複数のドメインまたはフォレスト間でセキュリティを提供します。 信頼を超えて認証を行う前に、ユーザー、コンピューター、またはサービスによって要求されているドメインが、要求するアカウントのログオン ドメインと信頼関係を持っているかどうかを Windows が判断する必要があります。

この決定を行うために、Windows セキュリティ システムは、要求を受け取るサーバーのドメイン コントローラーと、要求するアカウントのドメイン内のドメイン コントローラーの間の信頼パスを計算します。 セキュリティで保護されたチャネルは、ドメイン間の信頼関係を通じて他の Active Directory ドメインに拡張されます。 このセキュリティで保護されたチャネルは、ユーザーとグループのセキュリティ識別子 (SID) を含む、セキュリティ情報を取得して検証するために使用されます。

Note

このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター ロール (フレキシブル シングル マスター操作または FSMO とも呼ばれます) を保持するまで SID として表示されます。

詳細については、「 ドメインとフォレストの信頼のしくみ: ドメインとフォレストの信頼」を参照してください。

受信フォレスト信頼ビルダーは、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

注意

このグループの名前変更、削除、移動はできません。

属性
SID/RID のWell-Known S-1-5-32-557
Type 組み込みローカル
既定のコンテナー CN=Builtin、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 なし

Key Admins

このグループのメンバーは、ドメイン内のキー オブジェクトに対して管理アクションを実行できます。

キー管理者は、上記の 既定の Active Directory セキュリティ グループ の一覧にある Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-21-domain-526<>
Type グローバル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか はい
既定のコンテナーから移動することができるか はい
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 なし

Network Configuration Operators

ネットワーク構成オペレーター グループのメンバーは、ネットワーク機能の構成を管理するための次の管理特権を持つことができます。

  • IP アドレス、サブネット マスク、既定のゲートウェイ、ネーム サーバーを含むローカル エリア ネットワーク (LAN) 接続の伝送制御プロトコル/インターネット プロトコル (TCP/IP) プロパティを変更します。

  • すべてのユーザーが使用できる LAN 接続またはリモート アクセス接続の名前を変更します。

  • LAN 接続を有効または無効にします。

  • ユーザーのすべてのリモート アクセス接続のプロパティを変更します。

  • ユーザーのすべてのリモート アクセス接続を削除します。

  • ユーザーのすべてのリモート アクセス接続の名前を変更します。

  • ipconfigipconfig /release、または ipconfig /renew コマンドを発行します。

  • SIM カードをサポートするモバイル ブロードバンド デバイスの PIN ブロック解除キー (PUK) を入力します。

注意

このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター ロール (フレキシブル シングル マスター操作または FSMO とも呼ばれます) を保持するまで SID として表示されます。

ネットワーク構成オペレーターは、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

注意

このグループの名前変更、削除、移動はできません。

属性
SID/RID のWell-Known S-1-5-32-556
Type 組み込みローカル
既定のコンテナー CN=Builtin、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか? はい
既定のユーザー権限 なし

パフォーマンス ログ ユーザー

パフォーマンス ログ ユーザー グループのメンバーは、管理者グループのメンバーにならずに、サーバー上およびリモート クライアントからローカルでパフォーマンス カウンター、ログ、アラートを管理できます。 具体的には、このセキュリティ グループのメンバーは次のとおりです。

  • Performance Monitor Users グループのメンバーが利用できるすべての機能を利用できます。

  • グループに バッチ ジョブ ユーザーとしてログオン 権限が割り当てられた後、データ コレクター セットを作成および変更できます。

    警告

    パフォーマンス ログ ユーザー グループのメンバーである場合は、資格情報で実行するように作成するデータ コレクター セットを構成する必要があります。

    注意

    Windows Server 2016以降では、パフォーマンス ログ ユーザー グループのメンバーがデータ コレクター セットを作成することはできません。 パフォーマンス ログ ユーザー グループのメンバーがデータ コレクター セットの作成を試みると、アクセスが拒否されるため、作成を完了できません。

  • データ コレクター セットで Windows カーネル トレース イベント プロバイダーを使用できません。

パフォーマンス ログ ユーザー グループのメンバーがデータ ログを開始したり、データ コレクター セットを変更したりするには、まず、 グループにバッチ ジョブ ユーザー権限としてログオンを 割り当てる必要があります。 このユーザー権利を割り当てるには、Microsoft 管理コンソールのローカル セキュリティ ポリシー スナップインを使用します。

注意

このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター ロール (フレキシブル シングル マスター操作または FSMO とも呼ばれます) を保持するまで SID として表示されます。

パフォーマンス ログ ユーザーは、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

注意

このアカウントの名前変更、削除、移動はできません。

属性
SID/RID のWell-Known S-1-5-32-559
Type 組み込みローカル
既定のコンテナー CN=Builtin、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか? はい
既定のユーザー権限 バッチ ジョブとしてログオンする: SeBatchLogonRight

パフォーマンス モニター ユーザー

このグループのメンバーは、管理者グループまたはパフォーマンス ログ ユーザー グループのメンバーにならずに、ドメイン内のドメイン コントローラーのパフォーマンス カウンターをローカルおよびリモート クライアントから監視できます。 Windows パフォーマンス モニター は、システム パフォーマンスを分析するためのツールを提供する Microsoft 管理コンソール (MMC) スナップインです。 1 つのコンソールから、アプリケーションとハードウェアのパフォーマンスを監視したり、ログに収集するデータをカスタマイズしたり、アラートと自動アクションのしきい値を定義したり、レポートを生成したり、さまざまな方法で過去のパフォーマンス データを表示したりできます。

具体的には、このセキュリティ グループのメンバーは次のとおりです。

  • Users グループのメンバーが利用できるすべての機能を利用できます。

  • パフォーマンス モニターでリアルタイムのパフォーマンス データを表示できます。

  • データの表示中にパフォーマンス モニター表示プロパティを変更できます。

  • データ コレクター セットを作成または変更することはできません。

警告

Performance Monitor Users グループのメンバーとして実行するようにデータ コレクター セットを構成することはできません。

注意

このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター ロール (フレキシブル シングル マスター操作または FSMO とも呼ばれます) を保持するまで SID として表示されます。 このグループの名前変更、削除、移動はできません。

パフォーマンス モニター ユーザーは、上記の既定の Active Directory セキュリティ グループの一覧の Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-32-558
Type 組み込みローカル
既定のコンテナー CN=Builtin、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか? はい
既定のユーザー権限 なし

Windows 2000 以前の互換性のあるアクセス

Pre-Windows 2000 互換アクセス グループのメンバーには、ドメイン内のすべてのユーザーとグループに対する読み取りアクセス権があります。 このグループは、Windows NT 4.0 以前を実行しているコンピューターの下位互換性のために提供されています。 既定では、特別な ID グループ Everyone は、このグループのメンバーです。 ユーザーをこのグループに追加するのは、ユーザーが 4.0 以前Windows NT実行している場合のみです。

警告

このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター ロール (フレキシブル シングル マスター操作または FSMO とも呼ばれます) を保持するまで SID として表示されます。

Pre-Windows 2000 互換アクセスは、上記の 既定の Active Directory セキュリティ グループ の一覧にある Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-32-554
Type 組み込みローカル
既定のコンテナー CN=Builtin、DC=<domain>、DC=
既定メンバー Pre-Windows 2000 互換アクセス許可モードを選択した場合、Everyone と Anonymous はメンバーです。 Windows 2000 専用アクセス許可モードを選択した場合、認証済みユーザーはメンバーです。
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 ネットワークからこのコンピューターにアクセスする: SeNetworkLogonRight

走査チェックをバイパスする: SeChangeNotifyPrivilege

このグループのメンバーは、ドメイン内のドメイン コントローラーに接続されているプリンターを管理、作成、共有、および削除できます。 また、ドメイン内の Active Directory プリンター オブジェクトを管理することもできます。 このグループのメンバーは、ドメイン内のドメイン コントローラーにローカルでサインインしてシャットダウンできます。

このグループには、既定のメンバーは設定されていません。 このグループのメンバーは、ドメイン内のすべてのドメイン コントローラーでデバイス ドライバーを読み込んでアンロードできるため、ユーザーを追加する場合は注意が必要です。 このグループの名前変更、削除、移動はできません。

印刷演算子は、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

詳細については、「Windows Server 2012で委任された印刷管理者とプリンターのアクセス許可設定を割り当てる」を参照してください。

属性
SID/RID のWell-Known S-1-5-32-550
Type 組み込みローカル
既定のコンテナー CN=Builtin、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか はい
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 ローカルでのログオンを許可する: SeInteractiveLogonRight

デバイス ドライバーの読み込みとアンロード: SeLoadDriverPrivilege

システムをシャットダウンする: SeShutdownPrivilege

Protected Users

Protected Users グループのメンバーには、認証プロセス中の資格情報の侵害に対する追加の保護が付与されます。

このセキュリティ グループは、企業内の資格情報を効率的に保護および管理する戦略の一環として設計されています。 このグループのメンバーには、アカウントに構成不可能な保護が自動的に適用されます。 Protected Users グループのメンバーであるということは、既定で制限的であり、予防的にセキュリティで保護されることを示します。 アカウントの保護を変更する唯一の方法は、セキュリティ グループからアカウントを削除することです。

このドメイン関連のグローバル グループは、Windows Server 2012 R2 およびWindows 8.1 オペレーティング システム以降、デバイスとホスト コンピューターで構成不可能な保護をトリガーします。 また、R2 またはWindows Server 2016を実行しているプライマリ ドメイン コントローラーを使用して、ドメイン 内のドメイン コントローラーで構成不可能な保護Windows Server 2012トリガーします。 その結果、ユーザーがセキュリティ侵害が発生していないコンピューターからネットワーク上のコンピューターにサインインする場合、資格情報のメモリ使用量は大幅に減ります。

Windows でサポートされている認証方法の動作の変更があるため、アカウントのドメイン機能レベルに応じて、Protected Users グループのメンバーはさらに保護されます。

  • Protected Users グループのメンバーは、NTLM、ダイジェスト認証、または CredSSP のセキュリティ サポート プロバイダー (SP) を使用して認証することはできません。 パスワードは、Windows 8.1またはWindows 10を実行しているデバイスにキャッシュされないため、アカウントが Protected User グループのメンバーである場合、デバイスはドメインに対する認証に失敗します。

  • Kerberos プロトコルは、事前認証プロセスで強度の低い DES または RC4 暗号化タイプを使用しません。 つまり、少なくとも AES 暗号スイートをサポートするようにドメインを構成する必要があります。

  • Kerberos の制約付き委任または制約なしの委任で、ユーザーのアカウントを委任することはできません。 つまり、ユーザーが Protected Users グループのメンバーである場合、他のシステムへの以前の接続が失敗する可能性があります。

  • 既定の Kerberos チケット許可チケット (TGT) の有効期間の設定は、Active Directory 管理センターからアクセスできる認証ポリシーとサイロを使用して構成できます。 つまり、4 時間が経過すると、ユーザーは再び認証する必要があります。

保護されたユーザーは、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

このグループは、Windows Server 2012 R2 で導入されました。 このグループのしくみの詳細については、「 保護されたユーザーセキュリティ グループ」を参照してください。

次の表は、Protected Users グループのプロパティの一覧です。

属性
既知の SID/RID S-1-5-21-<domain>-525
グローバル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか はい
このグループの管理をサービス管理者以外に委任することができるか No
既定のユーザー権利 なし

RAS and IAS Servers

RAS および IAS サーバー グループのメンバーであるコンピューターは、適切に構成されている場合、リモート アクセス サービスの使用が許可されます。 既定では、このグループにはメンバーがありません。 ルーティングおよびリモート アクセス サービスを実行しているコンピューターは、IAS サーバーやネットワーク ポリシー サーバーなど、グループに自動的に追加されます。 このグループのメンバーは、アカウントの制限の読み取り、ログオン情報の読み取り、リモート アクセス情報の読み取りなど、ユーザー オブジェクトの特定のプロパティにアクセスできます。

RAS および IAS サーバーは、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-21-domain-553<>
Type 組み込みローカル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか はい
このグループの管理をサービス以外の管理者に委任しても安全ですか? はい
既定のユーザー権限 なし

RDS エンドポイント サーバー

RDS エンドポイント サーバー グループのメンバーであるサーバーは、ユーザー RemoteApp プログラムと個人用仮想デスクトップが実行される仮想マシンとホスト セッションを実行できます。 このグループは、リモート デスクトップ接続ブローカーを実行しているサーバーに設定する必要があります。 展開で使用されるセッション ホスト サーバーと RD 仮想化ホスト サーバーは、このグループに存在する必要があります。

リモート デスクトップ サービスの詳細については、「リモート デスクトップ サービス でデスクトップとアプリをホストする」を参照してください。

属性
SID/RID のWell-Known S-1-5-32-576
Type 組み込みローカル
既定のコンテナー CN=Builtin、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか?
既定のユーザー権限 なし

RDS 管理サーバー

RDS 管理サーバー グループのメンバーであるサーバーは、リモート デスクトップ サービスを実行しているサーバーで日常的な管理アクションを実行するために使用できます。 このグループは、リモート デスクトップ サービス展開内のすべてのサーバーに設定する必要があります。 RDS Central Management サービスを実行しているサーバーをこのグループに含める必要があります。

属性
SID/RID のWell-Known S-1-5-32-577
Type 組み込みローカル
既定のコンテナー CN=Builtin、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか?
既定のユーザー権限 なし

RDS リモート アクセス サーバー

RDS リモート アクセス サーバー グループ内のサーバーは、ユーザーに RemoteApp プログラムと個人用仮想デスクトップへのアクセスを提供します。 インターネットに接続する展開では、通常、これらのサーバーはエッジ ネットワークにデプロイされます。 このグループは、リモート デスクトップ接続ブローカーを実行しているサーバーに設定する必要があります。 展開で使用される RD ゲートウェイ サーバーと RD Web アクセス サーバーは、このグループに存在する必要があります。

詳細については、「 リモート デスクトップ サービスでデスクトップとアプリをホストする」を参照してください。

属性
SID/RID のWell-Known S-1-5-32-575
Type 組み込みローカル
既定のコンテナー CN=Builtin、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか?
既定のユーザー権限 なし

Read-Only Domain Controllers

このグループは、ドメイン内の読み取り専用ドメイン コントローラーで構成されます。 読み取り専用ドメイン コントローラーを使用すると、ブランチ オフィスの場所など、物理的なセキュリティを保証できないシナリオや、すべてのドメイン パスワードのローカル ストレージが、エクストラネットやアプリケーション向けロールなどの主要な脅威と見なされるシナリオで、ドメイン コントローラーを簡単に展開できます。

読み取り専用ドメイン コントローラーの管理はドメイン ユーザーまたはセキュリティ グループに委任できるため、読み取り専用ドメイン コントローラーは、Domain Admins グループのメンバーであるユーザーがいないサイトに適しています。 読み取り専用ドメイン コントローラーには、次の機能が含まれます。

  • 読み取り専用 AD DS データベース

  • 一方向レプリケーション

  • 資格情報のキャッシュ

  • 管理者役割の分離

  • 読み取り専用ドメイン ネーム システム (DNS)

読み取り専用ドメイン コントローラーの展開の詳細については、「 Read-Only ドメイン コントローラーの計画と展開について」を参照してください。

属性
SID/RID のWell-Known S-1-5-21-domain-521<>
Type グローバル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー なし
~の既定のメンバー 拒否された RODC パスワード レプリケーション グループ
ADMINSDHOLDER で保護されているか はい
既定のコンテナーから移動することができるか はい
このグループの管理をサービス以外の管理者に委任しても安全ですか?
既定のユーザー権限 「拒否された RODC パスワード レプリケーション グループ」を参照してください

Remote Desktop Users

RD セッション ホスト サーバー上のリモート デスクトップ ユーザー グループは、RD セッション ホスト サーバーにリモート接続するためのアクセス許可をユーザーとグループに付与するために使用されます。 このグループの名前変更、削除、移動はできません。 これは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター ロール (フレキシブル シングル マスター操作または FSMO とも呼ばれます) を保持するまで SID として表示されます。

リモート デスクトップ ユーザーは、上記の [既定の Active Directory セキュリティ グループ ] リストの Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-32-555
Type 組み込みローカル
既定のコンテナー CN=Builtin、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか? はい
既定のユーザー権限 なし

リモート管理ユーザー

リモート管理ユーザー グループのメンバーは、管理プロトコル (Windows リモート管理サービスを介したWS-Managementなど) 経由で WMI リソースにアクセスできます。 これは、ユーザーへのアクセスを許可する WMI 名前空間にのみ適用されます。

リモート管理ユーザー グループを使用すると、ユーザーはサーバー マネージャー コンソールを使用してサーバーを管理できます。一方、WinRMRemoteWMIUsers\_ グループを使用すると、Windows PowerShell コマンドをリモートで実行できます。

詳細については、「 MI の新機能 」と「 WMI について」を参照してください。

属性
SID/RID のWell-Known S-1-5-32-580
Type 組み込みローカル
既定のコンテナー CN=Builtin、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか?
既定のユーザー権限 なし

レプリケーター

レプリケーター グループのメンバーであるコンピューターは、ドメイン内のファイル レプリケーションをサポートします。 Windows Server オペレーティング システムは、ファイル レプリケーション サービス (FRS) を使用して、システム ボリューム (SYSVOL) に格納されているシステム ポリシーとログオン スクリプトをレプリケートします。 各ドメイン コントローラーは、ネットワーク クライアントがアクセスするための SYSVOL のコピーを保持します。 FRS では、分散ファイル システム (DFS) のデータをレプリケートして、DFS で定義されているレプリカ セット内の各メンバーの内容を同期することもできます。 FRS では、複数のサーバー上の共有ファイルとフォルダーを同時にコピーおよび管理できます。 変更が発生すると、コンテンツはサイト内で直ちに、サイト間のスケジュールによって同期されます。

警告

Windows Server 2008 R2 では、DFS フォルダーまたはカスタム (SYSVOL 以外) データをレプリケートするために FRS を使用することはできません。 Windows Server 2008 R2 ドメイン コントローラーでは、FRS を使用して、ドメイン コントローラー間で SYSVOL 共有リソースをレプリケートするために FRS を使用するドメイン内の SYSVOL 共有リソースの内容をレプリケートできます。ただし、Windows Server 2008 R2 サーバーでは、FRS を使用して、SYSVOL 共有リソースとは別に設定されたレプリカの内容をレプリケートすることはできません。 DFS レプリケーション サービスは FRS の代わりであり、SYSVOL 共有リソース、DFS フォルダー、およびその他のカスタム (SYSVOL 以外) データの内容をレプリケートするために使用できます。 SYSVOL 以外のすべての FRS レプリカ セットを DFS レプリケーションに移行する必要があります。

詳細については、次を参照してください。

属性
SID/RID のWell-Known S-1-5-32-552
Type 組み込みローカル
既定のコンテナー CN=Builtin、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか はい
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか?
既定のユーザー権限 なし

Schema Admins

Schema Admins グループのメンバーは、Active Directory スキーマを変更できます。 このグループは、ドメインの Active Directory フォレストのルート ドメインにのみ存在します。 ドメインがネイティブ モードの場合はユニバーサル グループです。ドメインが混在モードの場合はグローバル グループです。

このグループは、Active Directory でスキーマの変更を行う権限を持ちます。 既定では、グループの唯一のメンバーはフォレスト ルート ドメインの管理者アカウントです。 このグループには、スキーマへの完全な管理アクセス権があります。

このグループのメンバーシップは、ルート ドメイン内の任意のサービス管理者グループによって変更できます。 これはサービス管理者アカウントと見なされます。そのメンバーは、ディレクトリ全体の構造とコンテンツを管理するスキーマを変更できるためです。

詳細については、「 Active Directory スキーマとは」を参照してください。

スキーマ管理者は、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-21-root< domain-518>
Type ユニバーサル (ドメインがネイティブ モードの場合) それ以外のグローバル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー 管理者
~の既定のメンバー 拒否された RODC パスワード レプリケーション グループ
ADMINSDHOLDER で保護されているか はい
既定のコンテナーから移動することができるか はい
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 「拒否された RODC パスワード レプリケーション グループ」を参照してください

Server Operators

サーバー オペレーター グループのメンバーは、ドメイン コントローラーを管理できます。 このグループは、ドメイン コントローラーにのみ存在します。 既定では、グループにはメンバーがありません。 Server Operators グループのメンバーは、対話形式でサーバーにサインインし、ネットワーク共有リソースの作成と削除、サービスの開始と停止、ファイルのバックアップと復元、コンピューターのハード ディスク ドライブのフォーマット、およびコンピューターのシャットダウンを実行できます。 このグループの名前変更、削除、移動はできません。

既定では、この組み込みグループにはメンバーがなく、ドメイン コントローラーのサーバー構成オプションにアクセスできます。 そのメンバーシップは、サービス管理者グループの管理者とドメイン管理者、およびフォレスト ルート ドメインの Enterprise Admins グループによって制御されます。 このグループのメンバーは、管理グループ メンバーシップを変更できません。 これは、メンバーがドメイン コントローラーに物理的にアクセスできるため、サービス管理者アカウントと見なされます。 バックアップや復元などのメンテナンス タスクを実行でき、ドメイン コントローラーにインストールされているバイナリを変更できます。 次の表の既定のユーザー権限を参照してください。

サーバーオペレーターは、上記の 既定の Active Directory セキュリティ グループ の一覧にある Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-32-549
Type 組み込みローカル
既定のコンテナー CN=Builtin、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか はい
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 ローカルでのログオンを許可する: SeInteractiveLogonRight

ファイルとディレクトリのバックアップ: SeBackupPrivilege

システム時刻の変更: SeSystemTimePrivilege

タイム ゾーンを変更する: SeTimeZonePrivilege

リモート システムからの強制的なシャットダウン: SeRemoteShutdownPrivilege

ファイルとディレクトリの復元: SeRestorePrivilege のファイルとディレクトリを復元する

システムをシャットダウンする: SeShutdownPrivilege

記憶域レプリカ管理者

このグループのメンバーは、記憶域レプリカのすべての機能に完全かつ無制限にアクセスできます。 記憶域レプリカ管理者は、上記の 既定の Active Directory セキュリティ グループ の一覧にある Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-32-582
Type 組み込みローカル
既定のコンテナー CN=BuiltIn、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか はい
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 なし

[システム管理アカウント] グループ

このグループのメンバーは、システムによって管理されます。

システム管理アカウントは、上記の 既定の Active Directory セキュリティ グループ の一覧にある Windows Server オペレーティング システムに適用されます。

属性
SID/RID のWell-Known S-1-5-32-581
Type 組み込みローカル
既定のコンテナー CN=BuiltIn、DC=<domain>、DC=
既定メンバー ユーザー
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか はい
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 なし

Terminal Server License Servers

ターミナル サーバー ライセンス サーバー グループのメンバーは、ライセンスの発行に関する情報を使用して Active Directory のユーザー アカウントを更新できます。 これは、TS Per User CAL の使用状況を追跡およびレポートするために使用されます。 TS Per User CAL を使用すると、1 人のユーザーが無制限の数のクライアント コンピューターまたはデバイスからターミナル サーバーにアクセスできます。 このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター ロール (フレキシブル シングル マスター操作または FSMO とも呼ばれます) を保持するまで SID として表示されます。

このセキュリティ グループの詳細については、「 ターミナル サービス ライセンス サーバーセキュリティグループの構成」を参照してください。

ターミナル サーバー ライセンス サーバーは、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

注意

このグループの名前変更、削除、移動はできません。

属性
SID/RID のWell-Known S-1-5-32-561
Type 組み込みローカル
既定のコンテナー CN=Builtin、DC=<domain>、DC=
既定メンバー なし
~の既定のメンバー なし
既定のコンテナーから移動することができるか 移動できません
ADMINSDHOLDER で保護されているか No
このグループの管理をサービス以外の管理者に委任しても安全ですか? はい
既定のユーザー権限 なし

ユーザー

Users グループのメンバーは、システム全体で偶発的または意図的な変更を行うことを防ぎ、ほとんどのアプリケーションを実行できます。 オペレーティング システムの初期インストール後、唯一のメンバーは Authenticated Users グループです。 コンピューターがドメインに参加すると、ドメイン ユーザー グループがコンピューターのユーザー グループに追加されます。

ユーザーは、アプリケーションの実行、ローカル プリンターとネットワーク プリンターの使用、コンピューターのシャットダウン、コンピューターのロックなどのタスクを実行できます。 ユーザーは、アプリケーションのインストール プログラムがユーザーごとのインストールをサポートしている場合にのみ使用できるアプリケーションをインストールできます。 このグループの名前変更、削除、移動はできません。

ユーザーは、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

このセキュリティ グループには、Windows Server 2008 以降の次の変更が含まれています。

  • Windows Server 2008 R2 では、INTERACTIVE が既定のメンバーリストに追加されました。

  • Windows Server 2012では、既定の [メンバーの一覧] が [ドメイン ユーザー] から [なし] に変更されました。

属性
SID/RID のWell-Known S-1-5-32-545
Type 組み込みローカル
既定のコンテナー CN=Builtin、DC=<domain>、DC=
既定メンバー Authenticated Users

Domain Users

インテラクティブ

~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか? いいえ
既定のユーザー権限 なし

Windows Authorization Access Group

このグループのメンバーは、User オブジェクトの計算されたトークン GroupsGlobalAndUniversal 属性にアクセスできます。 一部のアプリケーションには、ユーザー アカウント オブジェクトまたはActive Directory Domain Servicesのコンピューター アカウント オブジェクトで token-groups-global-and-universal (TGGAU) 属性を読み取る機能があります。 一部の Win32 関数を使用すると、TGGAU 属性を読みやすくなります。 この属性を読み取るアプリケーション、またはこの属性を読み取る API (関数と呼ばれます) を呼び出すアプリケーションは、呼び出し元のセキュリティ コンテキストが属性にアクセスできない場合は成功しません。 このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター ロール (フレキシブル シングル マスター操作または FSMO とも呼ばれます) を保持するまで SID として表示されます。

Windows 承認アクセスは、上記の 既定の Active Directory セキュリティ グループ の一覧にある Windows Server オペレーティング システムに適用されます。

注意

このグループの名前変更、削除、移動はできません。

属性
SID/RID のWell-Known S-1-5-32-560
Type 組み込みローカル
既定のコンテナー CN=Builtin、DC=<domain>、DC=
既定メンバー Enterprise Domain Controllers
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか 移動できません
このグループの管理をサービス以外の管理者に委任しても安全ですか? はい
既定のユーザー権利 なし

WinRMRemoteWMIUsers_

Windows 8とWindows Server 2012で、[セキュリティの詳細設定] ユーザー インターフェイスに [共有] タブが追加されました。 このタブには、リモート ファイル共有のセキュリティ プロパティが表示されます。 この情報を表示するには、ファイル サーバーが実行されている Windows Server のバージョンに応じて、次のアクセス許可とメンバーシップが必要です。

WinRMRemoteWMIUsers_は、上記の 既定の Active Directory セキュリティ グループ の一覧の Windows Server オペレーティング システムに適用されます。

  • サポートされているバージョンのオペレーティング システムを実行しているサーバーでファイル共有がホストされている場合:

    • WinRMRemoteWMIUsers__ グループまたは BUILTIN\Administrators グループのメンバーである必要があります。

    • ファイル共有に対する読み取りアクセス許可が必要です。

  • ファイル共有が、Windows Server 2012より前のバージョンの Windows Server を実行しているサーバーでホストされている場合:

    • BUILTIN\Administrators グループのメンバーである必要があります。

    • ファイル共有に対する読み取りアクセス許可が必要です。

Windows Server 2012では、アクセス拒否アシスタンス機能によって、Authenticated Users グループがローカル WinRMRemoteWMIUsers__ グループに追加されます。 したがって、アクセス拒否アシスタンス機能が有効になっている場合、ファイル共有に対する読み取りアクセス許可を持つすべての認証済みユーザーは、ファイル共有のアクセス許可を表示できます。

注意

WinRMRemoteWMIUsers__ グループでは、Windows PowerShell コマンドをリモートで実行できます。一般に、リモート管理ユーザー グループを使用して、サーバー マネージャー コンソールを使用してサーバーを管理できます。

属性
SID/RID のWell-Known S-1-5-21-domain-variable<>< RI>
Type ドメイン ローカル
既定のコンテナー CN=Users, DC=<domain>, DC=
既定メンバー なし
~の既定のメンバー なし
ADMINSDHOLDER で保護されているか No
既定のコンテナーから移動することができるか はい
このグループの管理をサービス以外の管理者に委任しても安全ですか?
既定のユーザー権限 なし

関連項目