セキュリティ識別子

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

この記事では、Windows Server オペレーティング システムのアカウントとグループに関するセキュリティ識別子の動作について説明します。

セキュリティ識別子とは

セキュリティ識別子 (SID) は、セキュリティ プリンシパルまたはセキュリティ グループを一意に識別するために使用されます。 セキュリティ プリンシパルは、ユーザー アカウント、コンピューター アカウント、ユーザーまたはコンピューター アカウントのセキュリティ コンテキストで実行されるスレッドまたはプロセスなど、オペレーティング システムによって認証できる任意のエンティティを表すことができます。

各アカウントまたはグループ、またはアカウントのセキュリティ コンテキストで実行されているプロセスには、Windows ドメイン コントローラーなどの機関によって発行される一意の SID があります。 セキュリティ データベースに格納されます。 システムは、アカウントまたはグループの作成時に特定のアカウントまたはグループを識別する SID を生成します。 SID がユーザーまたはグループの一意の識別子として使用されている場合は、別のユーザーまたはグループを識別するためにもう一度使用することはできません。

ユーザーがサインインするたびに、システムはそのユーザーのアクセス トークンを作成します。 アクセス トークンには、ユーザーの SID、ユーザー権限、およびユーザーが属するすべてのグループの SID が含まれます。 このトークンは、ユーザーがそのコンピューターで実行するアクションに対するセキュリティ コンテキストを提供します。

特定のユーザーとグループに割り当てられる一意に作成されたドメイン固有の SID に加えて、汎用グループと汎用ユーザーを識別する既知の SID もあります。 たとえば、すべてのユーザーと World SID は、すべてのユーザーを含むグループを識別します。 既知の SID には、すべてのオペレーティング システムで一定の値が保持されます。

SID は、Windows セキュリティ モデルの基本的な構成要素です。 Windows Server オペレーティング システムのセキュリティ インフラストラクチャの承認およびアクセス制御テクノロジの特定のコンポーネントと連携します。 これは、ネットワーク リソースへのアクセスを保護し、より安全なコンピューティング環境を提供するのに役立ちます。

この記事の内容は、[適用先] リストで参照されている Windows オペレーティング システムのサポートされているバージョンを実行しているコンピューター に適用 されます。

セキュリティ識別子のしくみ

ユーザーはアカウント名を使用してアカウントを参照しますが、オペレーティング システムは内部的に、セキュリティ識別子 (SID) を使用してアカウントのセキュリティ コンテキストで実行されるアカウントとプロセスを参照します。 ドメイン アカウントの場合、セキュリティ プリンシパルの SID は、ドメインの SID とアカウントの相対識別子 (RID) を連結して作成されます。 SID はスコープ (ドメインまたはローカル) 内で一意であり、再利用されることはありません。

オペレーティング システムは、アカウントまたはグループの作成時に特定のアカウントまたはグループを識別する SID を生成します。 ローカル アカウントまたはグループの SID は、コンピューター上のローカル セキュリティ機関 (LSA) によって生成され、レジストリのセキュリティで保護された領域に他のアカウント情報と共に格納されます。 ドメイン アカウントまたはグループの SID はドメイン セキュリティ機関によって生成され、ユーザーまたはグループ オブジェクトの属性としてActive Directory Domain Servicesに格納されます。

ローカル アカウントとグループごとに、SID は作成されたコンピューターに対して一意です。 コンピューター上の 2 つのアカウントまたはグループが同じ SID を共有することはありません。 同様に、すべてのドメイン アカウントとグループに対して、SID は企業内で一意です。 つまり、1 つのドメインで作成されたアカウントまたはグループの SID が、企業内の他のドメインで作成されたアカウントまたはグループの SID と一致することはありません。

SID は常に一意のままです。 セキュリティ当局は、同じ SID を 2 回発行することはなく、削除されたアカウントに対して SID を再利用することはありません。 たとえば、Windows ドメインのユーザー アカウントを持つユーザーが仕事を辞めた場合、管理者は Active Directory アカウント (アカウントを識別する SID など) を削除します。 後で同じ会社の別のジョブに戻った場合、管理者は新しいアカウントを作成し、Windows Server オペレーティング システムによって新しい SID が生成されます。 新しい SID が古い SID と一致しません。そのため、古いアカウントからのユーザーのアクセスは新しいアカウントに転送されません。 両方のアカウントは、まったく異なる 2 つのセキュリティ プリンシパルを表します。

セキュリティ識別子のアーキテクチャ

セキュリティ識別子は、可変数の値を含むバイナリ形式のデータ構造です。 構造体の最初の値には、SID 構造体に関する情報が含まれています。 残りの値は階層 (電話番号と同様) に配置され、SID 発行機関 ("NT 機関" など)、SID 発行ドメイン、および特定のセキュリティ プリンシパルまたはグループを識別します。 次の図は、SID の構造を示しています。

ドメインと相対識別子を説明するセキュリティ識別子アーキテクチャ グラフ

SID の個々の値を次の表に示します。

解説 説明
リビジョン 特定の SID で使用される SID 構造体のバージョンを示します。
識別子機関 特定の種類のセキュリティ プリンシパルに対して SID を発行できる最高レベルの権限を識別します。 たとえば、Everyone グループの SID の識別子機関の値は 1 (世界機関) です。 特定の Windows Server アカウントまたはグループの SID の識別子機関の値は 5 (NT 機関) です。
サブ認証 SID 内の最も重要な情報を保持します。これは、1 つ以上のサブ認証値のシリーズに含まれています。 系列の最後の値までのすべての値は、企業内のドメインを一括して識別します。 シリーズのこの部分は、ドメイン識別子と呼ばれます。 系列の最後の値 (相対識別子 (RID) と呼ばれます) は、ドメインに関連する特定のアカウントまたはグループを識別します。

SID のコンポーネントは、標準表記を使用して、SID がバイナリから文字列形式に変換されるときに視覚化しやすくなります。

S-R-X-Y1-Y2-Yn-1-Yn

この表記法では、SID のコンポーネントは次の表に示すように表されます。

解説 説明
S 文字列が SID であることを示します
R リビジョン レベルを示します
X 識別子機関の値を示します
Y 一連のサブ認証値を表します。 n は値の数です

SID の最も重要な情報は、一連のサブ認証値に含まれています。 シリーズの最初の部分 (-Y1-Y2-Yn-1) はドメイン識別子です。 SID のこの要素は、複数のドメインを持つ企業で重要になります。ドメイン識別子は、1 つのドメインによって発行される SID と、企業内の他のすべてのドメインによって発行される SID を区別するためです。 エンタープライズ内の 2 つのドメインは、同じドメイン識別子を共有しません。

一連のサブ認証値 (-Yn) の最後の項目は、相対識別子です。 1 つのアカウントまたはグループを、ドメイン内の他のすべてのアカウントとグループと区別します。 どのドメイン内の 2 つのアカウントまたはグループも、同じ相対識別子を共有しません。

たとえば、組み込みの Administrators グループの SID は、次の文字列として標準化された SID 表記で表されます。

S-1-5-32-544

この SID には、次の 4 つのコンポーネントがあります。

  • リビジョン レベル (1)

  • 識別子機関の値 (5、NT 機関)

  • ドメイン識別子 (32、組み込み)

  • 相対識別子 (544、管理者)

組み込みアカウントとグループの SID は、常に同じドメイン識別子値 32 を持ちます。 この値は、Windows Server オペレーティング システムのバージョンを実行しているすべてのコンピューターに存在する、 組み込みドメインを識別します。 スコープ内でローカルであるため、あるコンピューターの組み込みアカウントとグループを別のコンピューターの組み込みアカウントとグループと区別する必要はありません。 これらは 1 台のコンピューターに対してローカルであるか、ネットワーク ドメインのドメイン コントローラーの場合は、1 台のコンピューターとして動作している複数のコンピューターに対してローカルです。

組み込みアカウントとグループは、 組み込み ドメインのスコープ内で相互に区別する必要があります。 したがって、各アカウントとグループの SID には、一意の相対識別子があります。 544 の相対識別子値は、組み込みの Administrators グループに固有です。 最終的な値が 544 の SID を持つ 組み込み ドメイン内の他のアカウントまたはグループはありません。

別の例では、グローバル グループの SID である Domain Admins について考えてみましょう。 企業内のすべてのドメインには Domain Admins グループがあり、各グループの SID は異なります。 次の例は、Contoso, Ltd. ドメイン (Contoso\Domain Admins) の Domain Admins グループの SID を表します。

S-1-5-21-1004336348-1177238915-682003330-512

Contoso\Domain Admins の SID には次のものが含まれます。

  • リビジョン レベル (1)

  • 識別子機関 (5、NT 機関)

  • ドメイン識別子 (21-1004336348-1177238915-682003330,Contoso)

  • 相対識別子 (512、ドメイン管理者)

Contoso\Domain Admins の SID は、ドメイン識別子 21-1004336348-1177238915-682003330 によって、同じ企業内の他の Domain Admins グループの SID と区別されます。 企業内の他のドメインでは、この値をドメイン識別子として使用しません。 Contoso\Domain Admins の SID は、Contoso ドメイン内に作成された他のアカウントとグループの SID と、その相対識別子 512 によって区別されます。 最終値が 512 の SID を持つドメイン内の他のアカウントまたはグループはありません。

相対識別子の割り当て

アカウントとグループがローカルの Security Accounts Manager (SAM) によって管理されるアカウント データベースに格納されている場合、システムは、各アカウントとスタンドアロン コンピューター上に作成するグループの一意の相対識別子を生成するのが非常に簡単です。 スタンドアロン コンピューター上の SAM は、以前に使用した相対識別子の値を追跡し、二度と使用しないようにすることができます。

ただし、ネットワーク ドメインでは、一意の相対識別子の生成はより複雑なプロセスです。 Windows Server ネットワーク ドメインには、複数のドメイン コントローラーを含めることができます。 各ドメイン コントローラーには、Active Directory アカウント情報が格納されます。 つまり、ネットワーク ドメインには、ドメイン コントローラーと同じ数のアカウント データベースのコピーが存在します。 さらに、アカウント データベースのすべてのコピーはマスター コピーです。 新しいアカウントとグループは、任意のドメイン コントローラーに作成できます。 1 つのドメイン コントローラーで Active Directory に加えられた変更は、ドメイン内の他のすべてのドメイン コントローラーにレプリケートされます。 アカウント データベースの 1 つのマスター コピーの変更を他のすべてのマスター コピーにレプリケートするプロセスは、マルチマスター操作と呼ばれます。

一意の相対識別子を生成するプロセスは、単一マスター操作です。 1 つのドメイン コントローラーに相対識別子 (RID) マスターの役割が割り当てられ、ドメイン内の各ドメイン コントローラーに一連の相対識別子が割り当てられます。 Active Directory の 1 つのドメイン コントローラーのレプリカに新しいドメイン アカウントまたはグループが作成されると、SID が割り当てられます。 新しい SID の相対識別子は、ドメイン コントローラーによる相対識別子の割り当てから取得されます。 相対識別子の提供が低くなれば、ドメイン コントローラーは RID マスターから別のブロックを要求します。

各ドメイン コントローラーは、相対識別子のブロック内の各値を 1 回だけ使用します。 RID マスターは、相対識別子値の各ブロックを 1 回だけ割り当てます。 このプロセスにより、ドメインに作成されたすべてのアカウントとグループに一意の相対識別子が設定されます。

セキュリティ識別子とグローバル一意識別子

新しいドメイン ユーザーまたはグループ アカウントが作成されると、Active Directory はユーザーまたはグループ オブジェクトの ObjectSID プロパティにアカウントの SID を格納します。 また、新しいオブジェクトにグローバル一意識別子 (GUID) が割り当てられます。これは、企業だけでなく世界中でも一意の 128 ビット値です。 GUID は、ユーザー オブジェクトとグループ オブジェクトだけでなく、Active Directory によって作成されるすべてのオブジェクトに割り当てられます。 各オブジェクトの GUID は、 その ObjectGUID プロパティに格納されます。

Active Directory では、内部的に GUID を使用してオブジェクトを識別します。 たとえば、GUID は、グローバル カタログで発行されるオブジェクトのプロパティの 1 つです。 ユーザー オブジェクト GUID のグローバル カタログを検索すると、ユーザーが企業内のどこかにアカウントを持っている場合、結果が生成されます。 実際、 ObjectGUID で任意のオブジェクトを検索することが、検索するオブジェクトを最も信頼できる方法である可能性があります。 他のオブジェクト プロパティの値は変更できますが、 ObjectGUID プロパティは 変更されません。 オブジェクトに GUID が割り当てられると、その値は一生保持されます。

ユーザーがあるドメインから別のドメインに移動すると、ユーザーは新しい SID を取得します。 グループ オブジェクトの SID は、グループが作成されたドメインにとどまるため、変更されません。 ただし、ユーザーが移動した場合、アカウントは一緒に移動できます。 従業員が北米からヨーロッパに移動しても、同じ会社にとどまっている場合、企業の管理者は、従業員の User オブジェクトを Contoso\NoAm から Contoso\Europe に移動できます。 管理者がこれを行う場合、アカウントの User オブジェクトには新しい SID が必要です。 NoAm で発行される SID のドメイン識別子の部分は、NoAm に固有です。そのため、ヨーロッパのユーザーのアカウントの SID には別のドメイン識別子があります。 SID の相対識別子部分は、ドメインに対して一意です。そのため、ドメインが変更されると、相対識別子も変更されます。

ユーザー オブジェクトがあるドメインから別のドメインに移動する場合は、ユーザー アカウントに対して新しい SID を生成し、 ObjectSID プロパティに格納する必要があります。 新しい値がプロパティに書き込まれる前に、前の値が User オブジェクト SIDHistory の別のプロパティにコピーされます。 このプロパティは、複数の値を保持できます。 ユーザー オブジェクトが別のドメインに移動するたびに、新しい SID が生成され、 ObjectSID プロパティに格納され、 SIDHistory の古い SID の一覧に別の値が追加されます。 ユーザーがサインインして正常に認証されると、ドメイン認証サービスは、ユーザーの現在の SID、ユーザーの古い SID、ユーザーのグループの SID など、ユーザーに関連付けられているすべての SID について Active Directory にクエリを実行します。 これらの SID はすべて認証クライアントに返され、ユーザーのアクセス トークンに含まれます。 ユーザーがリソースへのアクセスを試みると、アクセス トークン内のいずれかの SID ( SIDHistory の SID のいずれかを含む) で、ユーザー アクセスを許可または拒否できます。

ジョブに基づいてユーザーのリソースへのアクセスを許可または拒否する場合は、個人ではなく、グループへのアクセスを許可または拒否する必要があります。 そうすることで、ユーザーがジョブを変更したり、他の部署に移動したりするときに、特定のグループからジョブを削除して他の部署に追加することで、簡単にアクセスを調整できます。

ただし、リソースへの個々のユーザー アクセスを許可または拒否する場合は、ユーザーのアカウント ドメインが変更された回数に関係なく、そのユーザーのアクセス権は変わりません。 SIDHistory プロパティを使用すると、これを実現できます。 ユーザーがドメインを変更する場合、リソースのアクセス制御リスト (ACL) を変更する必要はありません。 ACL にユーザーの古い SID があるが、新しい SID がない場合、古い SID はユーザーのアクセス トークンに残ります。 これはユーザーのグループの SID の中に一覧表示され、ユーザーは古い SID に基づいてアクセスを許可または拒否されます。

既知の SID

特定の SID の値は、すべてのシステムで一定です。 これらは、オペレーティング システムまたはドメインがインストールされるときに作成されます。 汎用ユーザーまたは汎用グループを識別するため、既知の SID と呼ばれます。

Windows 以外のオペレーティング システムを含め、このセキュリティ モデルを使用するすべてのセキュリティで保護されたシステムで意味のあるユニバーサル既知の SID があります。 さらに、Windows オペレーティング システムでのみ意味のある既知の SID もあります。

次の表は、ユニバーサル既知の SID の一覧です。

ユニバーサル Well-Known SID 識別
S-1-0-0 Null SID メンバーのないグループ。 これは、SID 値が不明な場合によく使用されます。
S-1-1-0 World すべてのユーザーを含むグループ。
S-1-2-0 ローカル システムにローカルに (物理的に) 接続されているターミナルにログオンするユーザー。
S-1-2-1 コンソール ログオン 物理コンソールにログオンしているユーザーを含むグループ。
S-1-3-0 作成者の所有者 ID 新しいオブジェクトを作成したユーザーのセキュリティ識別子に置き換えられるセキュリティ識別子。 この SID は、継承可能な ACE で使用されます。
S-1-3-1 作成者グループ ID 新しいオブジェクトを作成したユーザーのプライマリ グループ SID に置き換えられるセキュリティ識別子。 継承可能な ACE でこの SID を使用します。
S-1-3-2 Creator Owner Server (CREATOR OWNER SERVER)
S-1-3-3 Creator Group Server (CREATOR GROUP SERVER)
S-1-3-4 所有者の権利 オブジェクトの現在の所有者を表すグループ。 この SID を持つ ACE がオブジェクトに適用されると、システムはオブジェクト所有者の暗黙的なREAD_CONTROLとWRITE_DACアクセス許可を無視します。
S-1-4 一意でない機関 識別子の機関を表す SID。
S-1-5 NT Authority (NT AUTHORITY) 識別子の機関を表す SID。
S-1-5-80-0 すべてのサービス システムで構成されているすべてのサービス プロセスを含むグループ。 メンバーシップはオペレーティング システムによって制御されます。

次の表に、定義済みの識別子機関定数を示します。 最初の 4 つの値はユニバーサル既知の SID で使用され、残りの値は適用 対象リストで 指定された Windows オペレーティング システムの既知の SID で使用されます。

識別子機関 SID 文字列プレフィックス
SECURITY_NULL_SID_AUTHORITY 0 S-1-0
SECURITY_WORLD_SID_AUTHORITY 1 S-1-1
SECURITY_LOCAL_SID_AUTHORITY 2 S-1-2
SECURITY_CREATOR_SID_AUTHORITY 3 S-1-3
SECURITY_NT_AUTHORITY 5 S-1-5
SECURITY_AUTHENTICATION_AUTHORITY 18 S-1-18

次の RID 値は、汎用の既知の SID と共に使用されます。 識別子機関列には、RID を組み合わせてユニバーサル既知の SID を作成できる識別子機関のプレフィックスが表示されます。

相対識別子機関 識別子機関
SECURITY_NULL_RID 0 S-1-0
SECURITY_WORLD_RID 0 S-1-1
SECURITY_LOCAL_RID 0 S-1-2
SECURITY_CREATOR_OWNER_RID 0 S-1-3
SECURITY_CREATOR_GROUP_RID 1 S-1-3

SECURITY_NT_AUTHORITY (S-1-5) 定義済みの識別子機関は、ユニバーサルではなく、この記事の冒頭にある「適用対象」リストで指定されている Windows オペレーティング システムのインストールでのみ意味のある SID 生成します。 次の表に、よく知られている SID を示します。

SID 表示名 説明
S-1-5-1 Dialup (DIALUP) ダイヤルアップ接続を介してシステムにログオンしているすべてのユーザーを含むグループ。
S-1-5-113 ローカル アカウント この SID は、"管理者" または同等のアカウントではなく、ローカル アカウントへのネットワーク ログオンを制限するときに使用できます。 この SID は、名前に関係なく、アカウントの種類別にローカル ユーザーとグループのネットワーク ログオンをブロックする場合に有効です。
S-1-5-114 ローカル アカウントと Administrators グループのメンバー この SID は、"管理者" または同等のアカウントではなく、ローカル アカウントへのネットワーク ログオンを制限するときに使用できます。 この SID は、名前に関係なく、アカウントの種類別にローカル ユーザーとグループのネットワーク ログオンをブロックする場合に有効です。
S-1-5-2 ネットワーク ネットワーク接続経由でログオンしているすべてのユーザーを含むグループ。 対話型ユーザーのアクセス トークンには、ネットワーク SID は含まれません。
S-1-5-3 Batch タスク スケジューラ ジョブなど、バッチ キュー機能を使用してログオンしたすべてのユーザーを含むグループ。
S-1-5-4 Interactive 対話形式でログオンするすべてのユーザーを含むグループ。 ユーザーは、リモート コンピューターからリモート デスクトップ サービス接続を開くか、Telnet などのリモート シェルを使用して、対話型ログオン セッションを開始できます。 いずれの場合も、ユーザーのアクセス トークンには対話型 SID が含まれます。 ユーザーがリモート デスクトップ サービス接続を使用してサインインする場合、ユーザーのアクセス トークンにはリモート 対話型ログオン SID も含まれます。
S-1-5-5- X-Y ログオン セッション これらの SID の X 値と Y 値は、特定のログオン セッションを一意に識別します。
S-1-5-6 サービス サービスとしてサインインしたすべてのセキュリティ プリンシパルを含むグループ。
S-1-5-7 Anonymous Logon ユーザー名とパスワードを指定せずにコンピューターに接続したユーザー。

匿名ログオン ID は、匿名 Web アクセスにインターネット インフォメーション サービス (IIS) によって使用される ID とは異なります。 IIS では、Web サイト上のリソースに匿名アクセスするために、実際のアカウント (既定では IUSR_ComputerName) が使用されます。 厳密に言えば、特定されていないユーザーがアカウントを使用している場合でもセキュリティ プリンシパルが知られているため、このようなアクセスは匿名ではありません。 IUSR_ComputerName (またはアカウントに名前を付けます) にはパスワードがあり、サービスの開始時に IIS ログがアカウントに記録されます。 その結果、IIS の "匿名" ユーザーは認証済みユーザーのメンバーですが、匿名ログオンはメンバーではありません。

S-1-5-8 プロキシ 現在は適用されません。この SID は使用されません。
S-1-5-9 Enterprise Domain Controllers ドメインのフォレスト内のすべてのドメイン コントローラーを含むグループ。
S-1-5-10 セルフ Active Directory のユーザー、グループ、またはコンピューター オブジェクトの ACE のプレースホルダー。 Self にアクセス許可を付与する場合は、オブジェクトによって表されるセキュリティ プリンシパルに権限を付与します。 アクセス チェック中に、オペレーティング システムは Self の SID を、オブジェクトで表されるセキュリティ プリンシパルの SID に置き換えます。
S-1-5-11 Authenticated Users 認証された ID を持つすべてのユーザーとコンピューターを含むグループ。 認証されたユーザーは、ゲスト アカウントにパスワードがある場合でも、ゲストは含まれません。

このグループには、現在のドメインだけでなく、信頼されたドメインからの認証済みセキュリティ プリンシパルも含まれます。

S-1-5-12 制限付きコード 制限付きセキュリティ コンテキストで実行されているプロセスによって使用される ID。 Windows および Windows Server オペレーティング システムでは、ソフトウェア制限ポリシーで 3 つのセキュリティ レベルのいずれかをコードに割り当てることができます。

制限

付き制限付

禁止コードが制限付きセキュリティ レベルで実行されると、制限付き SID がユーザーのアクセス トークンに追加されます。

S-1-5-13 Terminal Server User リモート デスクトップ サービスが有効になっているサーバーにサインインするすべてのユーザーを含むグループ。
S-1-5-14 リモート対話型ログオン リモート デスクトップ接続を使用してコンピューターにログオンするすべてのユーザーを含むグループ。 このグループは、対話型グループのサブセットです。 リモート 対話型ログオン SID を含むアクセス トークンには、対話型 SID も含まれます。
S-1-5-15 This Organization 同じ組織のすべてのユーザーを含むグループ。 Active Directory アカウントにのみ含まれており、ドメイン コントローラーによってのみ追加されます。
S-1-5-17 IUSR 既定のインターネット インフォメーション サービス (IIS) ユーザーが使用するアカウント。
S-1-5-18 システム (または LocalSystem) オペレーティング システムと LocalSystem としてサインインするように構成されているサービスによってローカルで使用される ID。

システムは、管理者の非表示のメンバーです。 つまり、システムとして実行されているプロセスには、組み込みの Administrators グループの SID がアクセス トークンに含まれます。

システムとしてローカルで実行されているプロセスがネットワーク リソースにアクセスする場合は、コンピューターのドメイン ID を使用してアクセスします。 リモート コンピューター上のアクセス トークンには、ローカル コンピューターのドメイン アカウントの SID と、コンピューターがメンバーであるセキュリティ グループの SID (ドメイン コンピューターや認証済みユーザーなど) が含まれます。

S-1-5-19 NT 機関 (LocalService) コンピューターにローカルで、広範なローカル アクセスを必要とせず、認証されたネットワーク アクセスを必要としないサービスによって使用される ID。 LocalService として実行されるサービスは、ローカル リソースに通常のユーザーとしてアクセスし、匿名ユーザーとしてネットワーク リソースにアクセスします。 その結果、LocalService として実行されるサービスの権限は、LocalSystem としてローカルおよびネットワーク上で実行されるサービスよりも大幅に少なくなります。
S-1-5-20 Network Service 広範なローカル アクセスを必要とせず、認証されたネットワーク アクセスが必要なサービスによって使用される ID。 NetworkService として実行されているサービスは、通常のユーザーとしてローカル リソースにアクセスし、コンピューターの ID を使用してネットワーク リソースにアクセスします。 その結果、NetworkService として実行されるサービスは、LocalSystem として実行されるサービスと同じネットワーク アクセス権を持っていますが、ローカル アクセスが大幅に削減されました。
S-1-5-domain-500 管理者 システム管理者のユーザー アカウント。 すべてのコンピューターにはローカル管理者アカウントがあり、すべてのドメインにはドメイン管理者アカウントがあります。

管理者アカウントは、オペレーティング システムのインストール時に作成された最初のアカウントです。 アカウントを削除、無効化、またはロックアウトすることはできませんが、名前を変更することはできます。

既定では、管理者アカウントは Administrators グループのメンバーであり、そのグループから削除することはできません。

S-1-5-domain-501 ゲスト 個々のアカウントを持たないユーザーのユーザー アカウント。 すべてのコンピューターにはローカル ゲスト アカウントがあり、すべてのドメインにはドメインゲスト アカウントがあります。

既定では、ゲストは Everyone グループとゲスト グループのメンバーです。 ドメイン ゲスト アカウントは、ドメイン ゲスト グループとドメイン ユーザー グループのメンバーでもあります。

匿名ログオンとは異なり、ゲストは実際のアカウントであり、対話形式でログオンするために使用できます。 ゲスト アカウントにはパスワードは必要ありませんが、パスワードを持つことができます。

S-1-5-domain-502 KRBTGT キー配布センター (KDC) サービスによって使用されるユーザー アカウント。 このアカウントはドメイン コントローラーにのみ存在します。
S-1-5-domain-512 Domain Admins ドメインの管理が許可されているメンバーを持つグローバル グループ。 既定では、Domain Admins グループは、ドメイン コントローラーを含め、ドメインに参加しているすべてのコンピューターの Administrators グループのメンバーです。

Domain Admins は、グループの任意のメンバーによってドメインの Active Directory に作成されるすべてのオブジェクトの既定の所有者です。 グループのメンバーがファイルなどの他のオブジェクトを作成する場合、既定の所有者は Administrators グループです。

S-1-5-domain-513 Domain Users ドメイン内のすべてのユーザーを含むグローバル グループ。 Active Directory で新しい User オブジェクトを作成すると、ユーザーがこのグループに自動的に追加されます。
S-1-5-domain-514 Domain Guests グローバル グループ (既定では、ドメインの組み込みゲスト アカウント) は 1 つだけです。
S-1-5-domain-515 Domain Computers ドメイン コントローラーを除く、ドメインに参加しているすべてのコンピューターを含むグローバル グループ。
S-1-5-domain-516 ドメイン コントローラー ドメイン内のすべてのドメイン コントローラーを含むグローバル グループ。 このグループには、新しいドメイン コントローラーが自動的に追加されます。
S-1-5-domain-517 Cert Publishers エンタープライズ証明機関をホストするすべてのコンピューターを含むグローバル グループ。

証明書パブリッシャーは、Active Directory のユーザー オブジェクトの証明書を発行する権限を持ちます。

S-1-5-root domain-518 Schema Admins フォレスト ルート ドメインにのみ存在するグループ。 ドメインがネイティブ モードの場合はユニバーサル グループであり、ドメインが混在モードの場合はグローバル グループです。 スキーマ管理者グループは、Active Directory でスキーマを変更する権限を持ちます。 既定では、グループの唯一のメンバーはフォレスト ルート ドメインの管理者アカウントです。
S-1-5-root domain-519 Enterprise Admins フォレスト ルート ドメインにのみ存在するグループ。 ドメインがネイティブ モードの場合はユニバーサル グループであり、ドメインが混在モードの場合はグローバル グループです。

Enterprise Admins グループには、子ドメインの追加、サイトの構成、DHCP サーバーの承認、エンタープライズ証明機関のインストールなど、フォレスト インフラストラクチャに変更を加える権限があります。

既定では、Enterprise Admins の唯一のメンバーは、フォレスト ルート ドメインの管理者アカウントです。 グループは、フォレスト内のすべての Domain Admins グループの既定のメンバーです。

S-1-5-domain-520 Group Policy Creator Owners Active Directory で新しいグループ ポリシー オブジェクトを作成する権限を持つグローバル グループ。 既定では、グループの唯一のメンバーは Administrator です。

グループ ポリシー作成者の所有者のメンバーによって作成されたオブジェクトは、作成する個々のユーザーによって所有されます。 このように、グループ ポリシー Creator Owners グループは、他の管理グループ (管理者やドメイン管理者など) とは異なります。 これらのグループのメンバーによって作成されるオブジェクトは、個人ではなくグループによって所有されます。

S-1-5-domain-553 RAS and IAS Servers ローカル ドメイン グループ。 既定では、このグループにはメンバーがありません。 ルーティングとリモート アクセス サービスを実行しているコンピューターは、自動的にグループに追加されます。

このグループのメンバーは、アカウントの読み取り制限、ログオン情報の読み取り、リモート アクセス情報の読み取りなど、ユーザー オブジェクトの特定のプロパティにアクセスできます。

S-1-5-32-544 Administrators 組み込みのグループ。 オペレーティング システムの初期インストール後、グループの唯一のメンバーは管理者アカウントです。 コンピューターがドメインに参加すると、Domain Admins グループが Administrators グループに追加されます。 サーバーがドメイン コントローラーになると、Enterprise Admins グループも Administrators グループに追加されます。
S-1-5-32-545 ユーザー 組み込みのグループ。 オペレーティング システムの初期インストール後、唯一のメンバーは Authenticated Users グループです。
S-1-5-32-546 ゲスト 組み込みのグループ。 既定では、メンバーはゲスト アカウントのみです。 ゲスト グループを使用すると、コンピューターの組み込みゲスト アカウントに対する制限付き特権で、時折または 1 回限りのユーザーがログオンできるようになります。
S-1-5-32-547 Power Users 組み込みのグループ。 既定では、グループにはメンバーがありません。 Power ユーザーは、ローカル ユーザーとグループを作成できます。作成したアカウントを変更および削除する。をクリックして、Power Users、Users、および Guests グループからユーザーを削除します。 パワーユーザーはプログラムをインストールすることもできます。ローカル プリンターを作成、管理、削除する。ファイル共有を作成および削除します。
S-1-5-32-548 Account Operators ドメイン コントローラーにのみ存在する組み込みグループ。 既定では、グループにはメンバーがありません。 既定では、アカウントオペレーターには、組み込みコンテナーとドメイン コントローラー OU を除く、Active Directory のすべてのコンテナーと組織単位のユーザー、グループ、およびコンピューターのアカウントを作成、変更、削除するアクセス許可があります。 アカウントオペレーターには、管理者グループとドメイン管理者グループを変更する権限も、それらのグループのメンバーのアカウントを変更する権限もありません。
S-1-5-32-549 Server Operators 説明: ドメイン コントローラーにのみ存在する組み込みグループ。 既定では、グループにはメンバーがありません。 サーバーオペレーターは、対話形式でサーバーにログオンできます。ネットワーク共有を作成および削除する。サービスの開始と停止。ファイルのバックアップと復元。コンピュータのハードディスクをフォーマットする。をクリックし、コンピューターをシャットダウンします。
S-1-5-32-550 演算子を印刷します。 ドメイン コントローラーにのみ存在する組み込みグループ。 既定では、唯一のメンバーはドメイン ユーザー グループです。 印刷オペレーターは、プリンターとドキュメント キューを管理できます。
S-1-5-32-551 Backup Operators 組み込みのグループ。 既定では、グループにはメンバーがありません。 バックアップオペレーターは、それらのファイルを保護するアクセス許可に関係なく、コンピューター上のすべてのファイルをバックアップおよび復元できます。 バックアップオペレーターは、コンピューターにログオンしてシャットダウンすることもできます。
S-1-5-32-552 Replicators ドメイン コントローラー上のファイル レプリケーション サービスによって使用される組み込みグループ。 既定では、グループにはメンバーがありません。 このグループにユーザーを追加しないでください。
S-1-5-32-554 Builtin\Pre-Windows 2000 互換アクセス Windows 2000 によって追加されたエイリアス。 ドメイン内のすべてのユーザーとグループに対する読み取りアクセスを許可する下位互換性グループ。
S-1-5-32-555 Builtin\Remote Desktop Users エイリアス。 このグループのメンバーには、リモートでログオンする権限が付与されます。
S-1-5-32-556 Builtin\Network 構成演算子 エイリアス。 このグループのメンバーは、ネットワーク機能の構成を管理するための管理特権を持つことができます。
S-1-5-32-557 Builtin\Incoming Forest Trust Builders エイリアス。 このグループのメンバーは、このフォレストに対する一方行の受信信頼を作成できます。
S-1-5-32-558 Builtin\パフォーマンス モニター Users エイリアス。 このグループのメンバーは、このコンピューターを監視するためのリモート アクセス権を持ちます。
S-1-5-32-559 Builtin\Performance Log Users エイリアス。 このグループのメンバーは、このコンピューター上のパフォーマンス カウンターのログ記録をスケジュールするためのリモート アクセス権を持ちます。
S-1-5-32-560 Builtin\Windows 承認アクセス グループ エイリアス。 このグループのメンバーは、User オブジェクトの計算された tokenGroupsGlobalAndUniversal 属性にアクセスできます。
S-1-5-32-561 Builtin\Terminal Server ライセンス サーバー エイリアス。 ターミナル サーバー ライセンス サーバーのグループ。 Windows Server 2003 Service Pack 1 がインストールされると、新しいローカル グループが作成されます。
S-1-5-32-562 Builtin\Distributed COM ユーザー エイリアス。 コンピューター上のすべての呼び出し、アクティブ化、または起動要求へのアクセスを制御するコンピューター全体のアクセス制御を提供する COM のグループ。
S-1-5-32-568 Builtin\IIS_IUSRS エイリアス。 IIS ユーザー用の組み込みグループ アカウント。
S-1-5-32-569 組み込み\暗号化演算子 組み込みのローカル グループ。 メンバーは、暗号化操作の実行を承認されます。
S-1-5-32-573 Builtin\Event Log Reader 組み込みのローカル グループ。 このグループのメンバーは、ローカル コンピューターからイベント ログを読み取ることができます。
S-1-5-32-574 Builtin\Certificate Service DCOM Access 組み込みのローカル グループ。 このグループのメンバーは、企業内の証明機関に接続できます。
S-1-5-32-575 Builtin\RDS リモート アクセス サーバー 組み込みのローカル グループ。 このグループのサーバーを使用すると、RemoteApp プログラムおよび個人用仮想デスクトップのユーザーは、これらのリソースにアクセスできます。 インターネットに接続する展開では、通常、これらのサーバーはエッジ ネットワークに展開されます。 このグループは、リモート デスクトップ接続ブローカーを実行しているサーバーに設定する必要があります。 展開で使用されている RD ゲートウェイ サーバーと RD Web アクセス サーバーは、このグループに含まれる必要があります。
S-1-5-32-576 Builtin\RDS エンドポイント サーバー 組み込みのローカル グループ。 このグループ内のサーバーは、ユーザーの RemoteApp プログラムと個人用仮想デスクトップが実行される仮想マシンとホスト セッションを実行します。 このグループは、リモート デスクトップ接続ブローカーを実行しているサーバーに設定する必要があります。 展開で使用される RD セッション ホスト サーバーと RD 仮想化ホスト サーバーは、このグループに含まれる必要があります。
S-1-5-32-577 Builtin\RDS 管理サーバー 組み込みのローカル グループ。 このグループのサーバーは、リモート デスクトップ サービスを実行しているサーバーで日常的な管理操作を実行できます。 このグループは、リモート デスクトップ サービス展開内のすべてのサーバーに設定する必要があります。 RDS Central Management サービスを実行しているサーバーをこのグループに含める必要があります。
S-1-5-32-578 Builtin\Hyper-V Administrators 組み込みのローカル グループ。 このグループのメンバーは、Hyper-V のすべての機能に対する制限のない完全なアクセスが許可されます。
S-1-5-32-579 Builtin\Access Control アシスタンス オペレーター 組み込みのローカル グループ。 このグループのメンバーは、このコンピューター上のリソースの承認属性とアクセス許可をリモートでクエリできます。
S-1-5-32-580 組み込み\リモート管理ユーザー 組み込みのローカル グループ。 このグループのメンバーは、管理プロトコル (Windows リモート管理サービスを介した WS-Management など) を介して WMI リソースにアクセスできます。 これは、ユーザーへのアクセスを許可する WMI 名前空間にのみ適用されます。
S-1-5-64-10 NTLM 認証 NTLM 認証パッケージがクライアントを認証するときに使用される SID。
S-1-5-64-14 SChannel 認証 SChannel 認証パッケージがクライアントを認証するときに使用される SID。
S-1-5-64-21 ダイジェスト認証 ダイジェスト認証パッケージがクライアントを認証するときに使用される SID。
S-1-5-80 NT サービス NT サービス アカウント プレフィックスとして使用される SID。
S-1-5-80-0 すべてのサービス システムで構成されているすべてのサービス プロセスを含むグループ。 メンバーシップはオペレーティング システムによって制御されます。 SID S-1-5-80-0 は NT SERVICES\ALL SERVICES と等しくなります。 この SID は、Windows Server 2008 R2 で導入されました。
S-1-5-83-0 NT VIRTUAL MACHINE\Virtual Machines 組み込みグループ。 グループは、Hyper-V の役割がインストールされるときに作成されます。 グループのメンバーシップは、Hyper-V 管理サービス (VMMS) によって管理されます。 このグループには、 シンボリック リンクの作成 権限 (SeCreateSymbolicLinkPrivilege) と 、サービスとしてのログオン 権限 (SeServiceLogonRight) が必要です。

次の RID は、各ドメインに対して相対的です。

RID 10 進値 識別
DOMAIN_USER_RID_ADMIN 500 ドメイン内の管理ユーザー アカウント。
DOMAIN_USER_RID_GUEST 501 ドメイン内のゲスト ユーザー アカウント。 アカウントを持っていないユーザーは、このアカウントに自動的にサインインできます。
DOMAIN_GROUP_RID_USERS 513 ドメイン内のすべてのユーザー アカウントを含むグループ。 すべてのユーザーがこのグループに自動的に追加されます。
DOMAIN_GROUP_RID_GUESTS 514 ドメイン内のグループ ゲスト アカウント。
DOMAIN_GROUP_RID_COMPUTERS 515 ドメイン コンピューター グループ。 ドメイン内のすべてのコンピューターがこのグループのメンバーです。
DOMAIN_GROUP_RID_CONTROLLERS 516 ドメイン コントローラー グループ。 ドメイン内のすべてのドメイン コントローラーは、このグループのメンバーです。
DOMAIN_GROUP_RID_CERT_ADMINS 517 証明書の発行元のグループ。 Active Directory 証明書サービスを実行しているコンピューターは、このグループのメンバーです。
DOMAIN_GROUP_RID_SCHEMA_ADMINS 518 スキーマ管理者のグループ。 このグループのメンバーは、Active Directory スキーマを変更できます。
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS 519 エンタープライズ管理者のグループ。 このグループのメンバーは、Active Directory フォレスト内のすべてのドメインにフル アクセスできます。 エンタープライズ管理者は、新しいドメインの追加や削除などのフォレスト レベルの操作を担当します。
DOMAIN_GROUP_RID_POLICY_ADMINS 520 ポリシー管理者のグループ。

次の表に、ローカル グループの既知の SID を形成するために使用されるドメイン相対 RID の例を示します。

RID 10 進値 識別
DOMAIN_ALIAS_RID_ADMINS 544 ドメインの管理者。
DOMAIN_ALIAS_RID_USERS 545 ドメイン内のすべてのユーザー。
DOMAIN_ALIAS_RID_GUESTS 546 ドメインのゲスト。
DOMAIN_ALIAS_RID_POWER_USERS 547 システムを複数のユーザーのワークステーションとしてではなく、自分のパーソナル コンピューターのように扱うことを期待するユーザーまたはユーザーのセット。
DOMAIN_ALIAS_RID_BACKUP_OPS 551 ファイルのバックアップと復元のユーザー権限の割り当てを制御するために使用されるローカル グループ。
DOMAIN_ALIAS_RID_REPLICATOR 552 プライマリ ドメイン コントローラーからバックアップ ドメイン コントローラーにセキュリティ データベースをコピーするローカル グループ。 これらのアカウントは、システムでのみ使用されます。
DOMAIN_ALIAS_RID_RAS_SERVERS 553 リモート アクセスとインターネット認証サービス (IAS) を実行しているサーバーを表すローカル グループ。 このグループは、User オブジェクトのさまざまな属性へのアクセスを許可します。

セキュリティ識別子の機能の変更

次の表では、次の一覧で指定されている Windows オペレーティング システムでの SID 実装の変更について説明します。

変更 オペレーティング システムのバージョン 説明とリソース
ほとんどのオペレーティング システム ファイルは、TrustedInstaller セキュリティ識別子 (SID) によって所有されています Windows Server 2008、Windows Vista この変更の目的は、管理者または LocalSystem アカウントで実行されているプロセスがオペレーティング システム ファイルを自動的に置き換えないようにすることです。
制限付き SID チェックが実装されている Windows Server 2008、Windows Vista SID を制限する場合、Windows は 2 つのアクセス チェックを実行します。 1 つ目は通常のアクセス チェックで、2 つ目はトークン内の制限 SID に対する同じアクセス チェックです。 プロセスがオブジェクトにアクセスできるようにするには、両方のアクセス チェックに合格する必要があります。

機能 SID

機能セキュリティ識別子 (SID) は、ユニバーサル Windows アプリケーションにリソース (ドキュメント、カメラ、場所など) へのアクセスを許可する、許可できない権限トークンを表す一意かつ不変の識別子機能に使用されます。 機能が "持つ" アプリには、その機能が関連付けられているリソースへのアクセス権が付与され、機能が "持っていない" アプリはリソースへのアクセスを拒否されます。

オペレーティング システムが認識しているすべての機能 SID は、パス 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities' の Windows レジストリに格納されます。 この場所には、ファースト パーティまたはサード パーティのアプリケーションによって Windows に追加されたすべての機能 SID が追加されます。

Windows 10 バージョン 1909、64 ビット Enterprise エディションから取得したレジストリ キーの例

AllCachedCapabilities に次のレジストリ キーが表示される場合があります。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

すべての機能 SID のプレフィックスは S-1-15-3 です

Windows 11、バージョン 21H2、64 ビット Enterprise エディションから取得したレジストリ キーの例

AllCachedCapabilities に次のレジストリ キーが表示される場合があります。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

すべての機能 SID のプレフィックスは S-1-15-3 です

関連項目