付録 B: Active Directory の特権アカウントとグループAppendix B: Privileged Accounts and Groups in Active Directory

適用先:Windows Server 2016 では、Windows Server 2012 R2、Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

付録 B: Active Directory の特権アカウントとグループAppendix B: Privileged Accounts and Groups in Active Directory

Active Directory の "Privileged" アカウントとグループは、強力な権限、特権、およびアクセス許可が付与され、Active Directory とドメインに参加しているシステムでほぼすべての操作を実行できるようにするものです。"Privileged" accounts and groups in Active Directory are those to which powerful rights, privileges, and permissions are granted that allow them to perform nearly any action in Active Directory and on domain-joined systems. この付録では、まず、権利、特権、およびアクセス許可について説明し、次に、Active Directory 内の "最高の特権" アカウントとグループ、つまり最も強力なアカウントとグループに関する情報を示します。This appendix begins by discussing rights, privileges, and permissions, followed by information about the "highest privilege" accounts and groups in Active Directory,that is, the most powerful accounts and groups.

また、Active Directory の組み込みアカウントと既定のアカウントおよびグループについても、権限に加えて情報が提供されます。Information is also provided about built-in and default accounts and groups in Active Directory, in addition to their rights. 最上位の特権アカウントとグループをセキュリティで保護するための特定の構成に関する推奨事項は別の付録として提供されていますが、この付録では、セキュリティ保護に重点を置いているユーザーとグループを特定するのに役立つ背景情報を提供します。Although specific configuration recommendations for securing the highest privilege accounts and groups are provided as separate appendices, this appendix provides background information that helps you identify the users and groups you should focus on securing. そのためには、攻撃者が悪用して Active Directory のインストールを破棄することもできます。You should do so because they can be leveraged by attackers to compromise and even destroy your Active Directory installation.

Active Directory の権限、権限、および権限Rights, Privileges, and Permissions in Active Directory

権利、アクセス許可、および特権の違いは、Microsoft のドキュメント内でも、混乱を招く可能性があります。The differences between rights, permissions, and privileges can be confusing and contradictory, even within documentation from Microsoft. このセクションでは、このドキュメントで使用される各の特性について説明します。This section describes some of the characteristics of each as they are used in this document. これらの説明は、これらの用語を異なる方法で使用する可能性があるため、他の Microsoft ドキュメントに対して権威を持つものとは見なさないでください。These descriptions should not be considered authoritative for other Microsoft documentation, because it may use these terms differently.

権限と特権Rights and Privileges

権限と特権は、実質的には、ユーザー、サービス、コンピューター、グループなどのセキュリティプリンシパルに付与されるシステム全体の機能と同じです。Rights and privileges are effectively the same system-wide capabilities that are granted to security principals such as users, services, computers, or groups. 通常、IT プロフェッショナルが使用するインターフェイスでは、これらは "権限" または "ユーザー権利" と呼ばれ、グループポリシーオブジェクトによって割り当てられることがよくあります。In interfaces typically used by IT professionals, these are usually referred to as "rights" or "user rights," and they are often assigned by Group Policy Objects. 次のスクリーンショットは、セキュリティプリンシパルに割り当てることができる最も一般的なユーザー権利の一部を示しています (Windows Server 2012 ドメインの既定のドメインコントローラー GPO を表します)。The following screenshot shows some of the most common user rights that can be assigned to security principals (it represents the Default Domain Controllers GPO in a Windows Server 2012 domain). これらの権限の一部は Active Directory に適用されます。たとえば、[ コンピューターアカウントとユーザーアカウントを委任に対して信頼できる ようにする] ユーザー権利は、Windows オペレーティングシステムに適用されます ( システム時刻の変更 など)。Some of these rights apply to Active Directory, such as the Enable computer and user accounts to be trusted for delegation user right, while other rights apply to the Windows operating system, such as Change the system time.

特権アカウントとグループ

グループポリシーオブジェクトエディターなどのインターフェイスでは、割り当て可能なすべての機能がユーザー権限として広く参照されています。In interfaces such as the Group Policy Object Editor, all of these assignable capabilities are referred to broadly as user rights. ただし実際には、一部のユーザー権限はプログラムによって権限として参照されますが、プログラムは特権として参照されます。In reality however, some user rights are programmatically referred to as rights, while others are programmatically referred to as privileges. 表 B-1: ユーザー権利と特権では、最も一般的に割り当てられているユーザー権限とそのプログラム定数が提供されます。Table B-1: User Rights and Privileges provides some of the most common assignable user rights and their programmatic constants. グループポリシーおよびその他のインターフェイスは、これらのすべてをユーザー権限と呼びますが、プログラムによって権限として識別されるものもあれば、権限として定義されるものもあります。Although Group Policy and other interfaces refer to all of these as user rights, some are programmatically identified as rights, while others are defined as privileges.

次の表に一覧表示されている各ユーザー権利の詳細については、Microsoft TechNet サイトの「Windows Server 2008 R2 の脅威と脆弱性の対策に関するガイド」の表のリンクを参照してください。For more information about each of the user rights listed in the following table, use the links in the table or see Threats and Countermeasures Guide: User Rights in the Threats and Vulnerabilities Mitigation guide for Windows Server 2008 R2 on the Microsoft TechNet site. Windows Server 2008 に適用される情報については、Microsoft TechNet サイトの「脅威と脆弱性の対策」ドキュメントの「ユーザー権利」を参照してください。For information applicable to Windows Server 2008, please see User Rights in the Threats and Vulnerabilities Mitigation documentation on the Microsoft TechNet site. このドキュメントの執筆時点では、Windows Server 2012 に対応するドキュメントはまだ公開されていません。As of the writing of this document, corresponding documentation for Windows Server 2012 is not yet published.

注意

このドキュメントでは、特に指定がない限り、権利と特権を識別するために "権利" と "ユーザー権利" という用語を使用します。For the purposes of this document, the terms "rights" and "user rights" are used to identify rights and privileges unless otherwise specified.

表 B-1: ユーザーの権利と特権Table B-1: User Rights and Privileges
グループポリシーのユーザー権利User Right in Group Policy 定数の名前Name of Constant
資格情報マネージャーに信頼された呼び出し側としてアクセスAccess Credential Manager as a trusted caller SeTrustedCredManAccessPrivilegeSeTrustedCredManAccessPrivilege
ネットワークからこのコンピューターにアクセスするAccess this computer from the network SeNetworkLogonRightSeNetworkLogonRight
オペレーティング システムの一部として機能Act as part of the operating system SeTcbPrivilegeSeTcbPrivilege
ドメインにワークステーションを追加Add workstations to domain SeMachineAccountPrivilegeSeMachineAccountPrivilege
プロセスのメモリ クォータの増加Adjust memory quotas for a process SeIncreaseQuotaPrivilegeSeIncreaseQuotaPrivilege
ローカルログオンを許可するAllow log on locally SeInteractiveLogonRightSeInteractiveLogonRight
ターミナルサービスを使用したログオンを許可するAllow log on through Terminal Services SeRemoteInteractiveLogonRightSeRemoteInteractiveLogonRight
ファイルとディレクトリのバックアップBack up files and directories SeBackupPrivilegeSeBackupPrivilege
走査チェックのバイパスBypass traverse checking SeChangeNotifyPrivilegeSeChangeNotifyPrivilege
システム時刻の変更Change the system time SeSystemtimePrivilegeSeSystemtimePrivilege
タイム ゾーンの変更Change the time zone SeTimeZonePrivilegeSeTimeZonePrivilege
ページ ファイルの作成Create a pagefile SeCreatePagefilePrivilegeSeCreatePagefilePrivilege
トークンオブジェクトを作成するCreate a token object SeCreateTokenPrivilegeSeCreateTokenPrivilege
グローバル オブジェクトの作成Create global objects SeCreateGlobalPrivilegeSeCreateGlobalPrivilege
永続的共有オブジェクトの作成Create permanent shared objects SeCreatePermanentPrivilegeSeCreatePermanentPrivilege
シンボリック リンクの作成Create symbolic links SeCreateSymbolicLinkPrivilegeSeCreateSymbolicLinkPrivilege
プログラムのデバッグDebug programs SeDebugPrivilegeSeDebugPrivilege
ネットワークからこのコンピューターへのアクセスを拒否Deny access to this computer from the network SeDenyNetworkLogonRightSeDenyNetworkLogonRight
バッチジョブとしてのログオンを拒否するDeny log on as a batch job SeDenyBatchLogonRightSeDenyBatchLogonRight
サービスとしてのログオン権限を拒否するDeny log on as a service SeDenyServiceLogonRightSeDenyServiceLogonRight
ローカルでのログオンを拒否するDeny log on locally SeDenyInteractiveLogonRightSeDenyInteractiveLogonRight
ターミナルサービスを使用したログオンを拒否するDeny log on through Terminal Services SeDenyRemoteInteractiveLogonRightSeDenyRemoteInteractiveLogonRight
コンピューターおよびユーザーアカウントが委任に対して信頼されるようにするEnable computer and user accounts to be trusted for delegation SeEnableDelegationPrivilegeSeEnableDelegationPrivilege
リモート コンピューターからの強制シャットダウンForce shutdown from a remote system SeRemoteShutdownPrivilegeSeRemoteShutdownPrivilege
セキュリティ監査の生成Generate security audits SeAuditPrivilegeSeAuditPrivilege
認証後にクライアントを偽装するImpersonate a client after authentication SeImpersonatePrivilegeSeImpersonatePrivilege
プロセス ワーキング セットの増加Increase a process working set SeIncreaseWorkingSetPrivilegeSeIncreaseWorkingSetPrivilege
スケジューリング優先順位の繰り上げIncrease scheduling priority SeIncreaseBasePriorityPrivilegeSeIncreaseBasePriorityPrivilege
デバイスドライバーの読み込みとアンロードLoad and unload device drivers SeLoadDriverPrivilegeSeLoadDriverPrivilege
メモリ内のページをロックするLock pages in memory SeLockMemoryPrivilegeSeLockMemoryPrivilege
バッチジョブとしてログオンするLog on as a batch job SeBatchLogonRightSeBatchLogonRight
サービスとしてログオンLog on as a service SeServiceLogonRightSeServiceLogonRight
監査とセキュリティログの管理Manage auditing and security log SeSecurityPrivilegeSeSecurityPrivilege
オブジェクト ラベルの変更Modify an object label SeRelabelPrivilegeSeRelabelPrivilege
ファームウェアの環境値を変更するModify firmware environment values SeSystemEnvironmentPrivilegeSeSystemEnvironmentPrivilege
ボリュームの保守タスクを実行Perform volume maintenance tasks SeManageVolumePrivilegeSeManageVolumePrivilege
単一プロセスのプロファイルProfile single process SeProfileSingleProcessPrivilegeSeProfileSingleProcessPrivilege
システム パフォーマンスのプロファイルProfile system performance SeSystemProfilePrivilegeSeSystemProfilePrivilege
ドッキング ステーションからコンピューターを削除Remove computer from docking station SeUndockPrivilegeSeUndockPrivilege
プロセス レベル トークンの置き換えReplace a process level token SeAssignPrimaryTokenPrivilegeSeAssignPrimaryTokenPrivilege
ファイルとディレクトリの復元Restore files and directories SeRestorePrivilegeSeRestorePrivilege
システムのシャットダウンShut down the system SeShutdownPrivilegeSeShutdownPrivilege
ディレクトリ サービス データの同期化Synchronize directory service data SeSyncAgentPrivilegeSeSyncAgentPrivilege
ファイルまたはその他のオブジェクトの所有権を取得するTake ownership of files or other objects SeTakeOwnershipPrivilegeSeTakeOwnershipPrivilege

アクセス許可Permissions

アクセス許可は、ファイルシステム、レジストリ、サービス、Active Directory オブジェクトなどのセキュリティ保護可能なオブジェクトに適用されるアクセス制御です。Permissions are access controls that are applied to securable objects such as the file system, registry, service, and Active Directory objects. セキュリティ保護可能な各オブジェクトには、関連付けられているアクセス制御リスト (ACL) があります。これには、オブジェクトに対してさまざまな操作を実行する権限をセキュリティプリンシパル (ユーザー、サービス、コンピューター、またはグループ) に許可または拒否するアクセス制御エントリ (Ace) が含まれています。Each securable object has an associated access control list (ACL), which contains access control entries (ACEs) that grant or deny security principals (users, services, computers, or groups) the ability to perform various operations on the object. たとえば、Active Directory 内の多くのオブジェクトの Acl には、認証されたユーザーがオブジェクトに関する全般的な情報を読み取ることができる Ace が含まれていますが、機密情報の読み取りやオブジェクトの変更は許可されていません。For example, the ACLs for many objects in Active Directory contain ACEs that allow Authenticated Users to read general information about the objects, but do not grant them the ability to read sensitive information or to change the objects. 各ドメインの組み込みゲストアカウントを除き、ログオンして Active Directory フォレストまたは信頼されたフォレストのドメインコントローラーによって認証されるすべてのセキュリティプリンシパルには、認証されたユーザーのセキュリティ識別子 (SID) が既定でアクセストークンに追加されています。With the exception of each domain's built-in Guest account, every security principal that logs on and is authenticated by a domain controller in an Active Directory forest or a trusted forest has the Authenticated Users Security Identifier (SID) added to its access token by default. このため、ユーザー、サービス、またはコンピューターアカウントがドメイン内のユーザーオブジェクトの全般プロパティを読み取ろうとすると、読み取り操作は成功します。Therefore, whether a user, service, or computer account attempts to read general properties on user objects in a domain, the read operation is successful.

セキュリティプリンシパルが、Ace が定義されておらず、プリンシパルのアクセストークンに存在する SID を含んでいるオブジェクトにアクセスしようとすると、プリンシパルはオブジェクトにアクセスできません。If a security principal attempts to access an object for which no ACEs are defined and that contain a SID that is present in the principal's access token, the principal cannot access the object. さらに、オブジェクトの ACL 内の ACE に、ユーザーのアクセストークンと一致する SID の拒否エントリが含まれている場合、通常、"拒否" ACE は競合する "許可" ACE をオーバーライドします。Moreover, if an ACE in an object's ACL contains a deny entry for a SID that matches the user's access token, the "deny" ACE will generally override a conflicting "allow" ACE. Windows のアクセス制御の詳細については、MSDN web サイトの「 Access Control 」を参照してください。For more information about access control in Windows, see Access Control on the MSDN website.

このドキュメントでは、アクセス許可とは、セキュリティ保護可能なオブジェクトのセキュリティプリンシパルに対して許可または拒否される機能を指します。Within this document, permissions refers to capabilities that are granted or denied to security principals on securable objects. ユーザー権限とアクセス許可の間に競合がある場合は、通常、ユーザー権限が優先されます。Whenever there is a conflict between a user right and a permission, the user right generally takes precedence. たとえば、Active Directory 内のオブジェクトが、管理者によるオブジェクトへの読み取りおよび書き込みアクセスを拒否する ACL で構成されている場合、ドメインの Administrators グループのメンバーであるユーザーは、そのオブジェクトに関する多くの情報を表示できません。For example, if an object in Active Directory has been configured with an ACL that denies Administrators all read and write access to an object, a user who is a member of the domain's Administrators group will be unable to view much information about the object. ただし、管理者グループには、ユーザー権利 "ファイルまたは他のオブジェクトの所有権を取得する" 権限が付与されているため、ユーザーは、問題のオブジェクトの所有権を取得し、オブジェクトの ACL を書き直して、管理者にオブジェクトのフルコントロールを与えることができます。However, because the Administrators group is granted the user right "Take ownership of files or other objects," the user can simply take ownership of the object in question, then rewrite the object's ACL to grant Administrators full control of the object.

このため、このドキュメントでは、アカウントとグループの機能を制限するのではなく、日常の管理に強力なアカウントとグループを使用しないようにすることをお勧めします。It is for this reason that this document encourages you to avoid using powerful accounts and groups for day-to-day administration, rather than trying to restrict the capabilities of the accounts and groups. 強力な資格情報にアクセスできるユーザーが、その資格情報を使用してセキュリティ保護可能なリソースにアクセスできるようにすることは、実質的に停止することはありません。It is not effectively possible to stop a determined user who has access to powerful credentials from using those credentials to gain access to any securable resource.

組み込みの特権アカウントとグループBuilt-in Privileged Accounts and Groups

Active Directory は、管理の委任と、権限とアクセス許可を割り当てる際の最小限の特権の原則を示すことを目的としています。Active Directory is intended to facilitate delegation of administration and the principle of least privilege in assigning rights and permissions. "通常の" ユーザーが Active Directory ドメインにアカウントを持っている場合、既定では、ディレクトリに格納されているものの多くを読み取ることができますが、ディレクトリ内のデータのごく限られたセットのみを変更することができます。"Regular" users who have accounts in an Active Directory domain are, by default, able to read much of what is stored in the directory, but are able to change only a very limited set of data in the directory. 追加の特権を必要とするユーザーは、ディレクトリに組み込まれているさまざまな特権グループのメンバーシップを付与することができます。これにより、ロールに関連する特定のタスクを実行できますが、職務に関係のないタスクを実行することはできません。Users who require additional privilege can be granted membership in various privileged groups that are built into the directory so that they may perform specific tasks related to their roles, but cannot perform tasks that are not relevant to their duties.

Active Directory では、3つの組み込みグループがあります。これは、ディレクトリ内の最上位の特権グループ (Enterprise Admins (EA) グループ、Domain Admins (DA) グループ、および組み込み管理者 (BA) グループで構成されます。Within Active Directory, there are three built-in groups that comprise the highest privilege groups in the directory: the Enterprise Admins (EA) group, the Domain Admins (DA) group, and the built-in Administrators (BA) group.

4番目のグループである Schema Admins (SA) グループには、悪用されると Active Directory フォレスト全体が破損または破壊される可能性があるという特権がありますが、このグループの機能は EA、DA、および BA グループよりも制限されています。A fourth group, the Schema Admins (SA) group, has privileges that, if abused, can damage or destroy an entire Active Directory forest, but this group is more restricted in its capabilities than the EA, DA, and BA groups.

これらの4つのグループに加えて、Active Directory にはいくつかの追加の組み込みおよび既定のアカウントとグループがあります。それぞれに、特定の管理タスクを実行できる権限とアクセス許可が付与されています。In addition to these four groups, there are a number of additional built-in and default accounts and groups in Active Directory, each of which is granted rights and permissions that allow specific administrative tasks to be performed. この付録では、Active Directory の組み込みまたは既定のグループの詳細については説明しませんが、インストールに表示される可能性が最も高いグループとアカウントの表を提供します。Although this appendix does not provide a thorough discussion of every built-in or default group in Active Directory, it does provide a table of the groups and accounts that you're most likely to see in your installations.

たとえば、Active Directory フォレストに Microsoft Exchange Server をインストールすると、ドメイン内の組み込みコンテナーとユーザーコンテナーに、追加のアカウントとグループが作成される場合があります。For example, if you install Microsoft Exchange Server into an Active Directory forest, additional accounts and groups may be created in the Built-in and Users containers in your domains. この付録では、ネイティブの役割と機能に基づいて Active Directory の組み込みコンテナーとユーザーコンテナーに作成されるグループとアカウントについてのみ説明します。This appendix describes only the groups and accounts that are created in the Built-in and Users containers in Active Directory, based on native roles and features. エンタープライズソフトウェアのインストールによって作成されたアカウントとグループは含まれません。Accounts and groups that are created by the installation of enterprise software are not included.

Enterprise AdminsEnterprise Admins

Enterprise Admins (EA) グループは、フォレストのルートドメインにあります。既定では、フォレスト内のすべてのドメインの組み込みの Administrators グループのメンバーです。The Enterprise Admins (EA) group is located in the forest root domain, and by default, it is a member of the built-in Administrators group in every domain in the forest. フォレストルートドメインの組み込みの Administrator アカウントは、EA グループの唯一の既定のメンバーです。The Built-in Administrator account in the forest root domain is the only default member of the EA group. EAs には、フォレスト全体の変更に影響を与える権限とアクセス許可が付与されます。EAs are granted rights and permissions that allow them to affect forest-wide changes. これらは、ドメインの追加や削除、フォレストの信頼の確立、フォレストの機能レベルの引き上げなど、フォレスト内のすべてのドメインに影響を与える変更です。These are changes that affect all domains in the forest, such as adding or removing domains, establishing forest trusts, or raising forest functional levels. 適切に設計および実装された委任モデルでは、最初にフォレストを構築するとき、または、送信フォレストの信頼を確立するなどの特定のフォレスト全体の変更を行うときにのみ、EA のメンバーシップが必要になります。In a properly designed and implemented delegation model, EA membership is required only when first constructing the forest or when making certain forest-wide changes such as establishing an outbound forest trust.

既定では、EA グループはフォレストルートドメインの [ユーザー] コンテナーにあり、フォレストルートドメインが Windows 2000 Server 混在モードで実行されている場合を除き、ユニバーサルセキュリティグループです。この場合、グループはグローバルセキュリティグループです。The EA group is located by default in the Users container in the forest root domain, and it is a universal security group, unless the forest root domain is running in Windows 2000 Server mixed mode, in which case the group is a global security group. 一部の権限は EA グループに直接付与されますが、このグループの権限の多くは、フォレスト内の各ドメインの Administrators グループのメンバであるため、EA グループによって実際に継承されます。Although some rights are granted directly to the EA group, many of this group's rights are actually inherited by the EA group because it is a member of the Administrators group in each domain in the forest. Enterprise Admins には、ワークステーションまたはメンバーサーバーに対する既定の権限はありません。Enterprise Admins have no default rights on workstations or member servers.

Domain AdminsDomain Admins

フォレスト内の各ドメインには独自のドメイン管理者 (DA) グループがあります。これは、ドメインに参加しているすべてのコンピューターのローカル Administrators グループのメンバーに加えて、そのドメインの組み込み管理者 (BA) グループのメンバーになります。Each domain in a forest has its own Domain Admins (DA) group, which is a member of that domain's built-in Administrators (BA) group in addition to a member of the local Administrators group on every computer that is joined to the domain. ドメインの DA グループの既定のメンバーは、そのドメインの組み込みの Administrator アカウントのみです。The only default member of the DA group for a domain is the Built-in Administrator account for that domain.

DAs は、ドメイン内ではすべて強力ですが、EAs にはフォレスト全体の特権があります。DAs are all-powerful within their domains, while EAs have forest-wide privilege. 適切に設計および実装された委任モデルでは、DA メンバーシップが必要になるのは、ドメイン内のすべてのコンピューターに対して高いレベルの特権を持つアカウントが必要な場合、または特定のドメイン全体の変更を行う必要がある場合です。In a properly designed and implemented delegation model, DA membership should be required only in "break glass" scenarios, which are situations in which an account with high levels of privilege on every computer in the domain is needed, or when certain domain wide changes must be made. ネイティブ Active Directory の委任メカニズムでは、緊急のシナリオでのみ DA アカウントを使用できる程度の委任が可能ですが、効果的な委任モデルの構築には時間がかかることがあり、多くの組織はサードパーティ製アプリケーションを使用してプロセスを迅速に実行できます。Although native Active Directory delegation mechanisms do allow delegation to the extent that it is possible to use DA accounts only in emergency scenarios, constructing an effective delegation model can be time consuming, and many organizations use third-party applications to expedite the process.

DA グループは、ドメインの [ユーザー] コンテナーにあるグローバルセキュリティグループです。The DA group is a global security group located in the Users container for the domain. フォレスト内のドメインごとに1つの DA グループがあり、DA グループの唯一の既定のメンバーはドメインの組み込みの Administrator アカウントです。There is one DA group for each domain in the forest, and the only default member of a DA group is the domain's Built-in Administrator account. ドメインの DA グループはドメインの BA グループとドメインに参加しているすべてのシステムのローカル管理者グループに入れ子になっているので、DAs にはドメイン管理者に付与されたアクセス許可だけでなく、ドメインに参加しているすべてのシステムのローカルの Administrators グループに付与された権限とアクセス許可も継承されます。Because a domain's DA group is nested in the domain's BA group and every domain-joined system's local Administrators group, DAs not only have permissions that are specifically granted to Domain Admins, but they also inherit all rights and permissions granted to the domain's Administrators group and the local Administrators group on all systems joined to the domain.

管理者Administrators

組み込み管理者 (BA) グループは、DAs と EAs が入れ子になっているドメインの組み込みコンテナー内のドメインローカルグループであり、このグループには、ディレクトリおよびドメインコントローラーの直接の権限とアクセス許可の多くが付与されています。The built-in Administrators (BA) group is a domain local group in a domain's Built-in container into which DAs and EAs are nested, and it is this group that is granted many of the direct rights and permissions in the directory and on domain controllers. ただし、ドメインの Administrators グループには、メンバーサーバーまたはワークステーションに対する権限はありません。However, the Administrators group for a domain does not have any privileges on member servers or on workstations. ドメインに参加しているコンピューターのローカル管理者グループのメンバーシップは、ローカルの特権が付与されている場所です。ここで説明するグループのうち、既定では、ドメインに参加しているすべてのコンピューターのローカル管理者グループのメンバーであるのは、DAs だけです。Membership in domain-joined computers' local Administrators group is where local privilege is granted; and of the groups discussed, only DAs are members of all domain-joined computers' local Administrators groups by default.

Administrators グループは、ドメインの組み込みコンテナー内のドメインローカルグループです。The Administrators group is a domain-local group in the domain's Built-in container. 既定では、すべてのドメインの BA グループには、ローカルドメインの組み込みの Administrator アカウント、ローカルドメインの DA グループ、およびフォレストのルートドメインの EA グループが含まれます。By default, every domain's BA group contains the local domain's Built-in Administrator account, the local domain's DA group, and the forest root domain's EA group. Active Directory およびドメインコントローラーにおける多くのユーザー権限は、EAs や DAs ではなく、管理者グループのみに付与されます。Many user rights in Active Directory and on domain controllers are granted specifically to the Administrators group, not to EAs or DAs. ドメインの BA グループには、ほとんどのディレクトリオブジェクトに対するフルコントロールアクセス許可が付与され、ディレクトリオブジェクトの所有権を取得できます。A domain's BA group is granted full control permissions on most directory objects, and can take ownership of directory objects. EA および DA グループにはフォレストとドメインで特定のオブジェクト固有のアクセス許可が付与されますが、グループの多くの機能は、実際には BA グループのメンバーシップから "継承" されます。Although EA and DA groups are granted certain object-specific permissions in the forest and domains, much of the power of groups is actually "inherited" from their membership in BA groups.

注意

これらはこれらの特権グループの既定の構成ですが、3つのグループのいずれかのメンバーは、ディレクトリを操作して他のすべてのグループのメンバーシップを取得できます。Although these are the default configurations of these privileged groups, a member of any one of the three groups can manipulate the directory to gain membership in any of the other groups. 場合によっては、他のユーザーにとっては難しいこともありますが、潜在的な特権の観点からは、3つのグループすべてが実質的に同等であると見なされる必要があります。In some cases, it is trivial to achieve, while in others it is more difficult, but from the perspective of potential privilege, all three groups should be considered effectively equivalent.

Schema AdminsSchema Admins

スキーマ管理者 (SA) グループは、フォレストのルートドメイン内のユニバーサルグループであり、EA グループと同様に、そのドメインの組み込みの Administrator アカウントだけが既定のメンバーになります。The Schema Admins (SA) group is a universal group in the forest root domain and has only that domain's Built-in Administrator account as a default member, similar to the EA group. SA グループのメンバーシップを使用すると、攻撃者は、Active Directory フォレスト全体のフレームワークである Active Directory スキーマを危険にさらすことができますが、SAs にはスキーマ以外の既定の権限とアクセス許可がほとんどありません。Although membership in the SA group can allow an attacker to compromise the Active Directory schema, which is the framework for the entire Active Directory forest, SAs have few default rights and permissions beyond the schema.

SA グループのメンバーシップを慎重に管理して監視する必要がありますが、一部の点では、このグループは、前に説明した3つの最上位の特権グループに限定されます。これは、特権の範囲が非常に狭いためです。つまり、SAs にはスキーマ以外の管理者権限はありません。You should carefully manage and monitor membership in the SA group, but in some respects, this group is "less privileged" than the three highest privileged groups described earlier because the scope of its privilege is very narrow; that is, SAs have no administrative rights anywhere other than the schema.

Active Directory の追加の組み込みおよび既定のグループAdditional Built-in and Default Groups in Active Directory

ディレクトリへの管理の委任を容易にするために、Active Directory には、特定の権限とアクセス許可が付与されているさまざまな組み込みおよび既定のグループが付属しています。To facilitate delegating administration in the directory, Active Directory ships with various built-in and default groups that have been granted specific rights and permissions. これらのグループについては、次の表で簡単に説明します。These groups are described briefly in the following table.

次の表に、Active Directory の組み込みグループと既定のグループの一覧を示します。The following table lists the built-in and default groups in Active Directory. 既定では、両方のグループのセットが存在します。ただし、組み込みのグループは Active Directory の組み込みコンテナーに配置され、既定では Active Directory の [ユーザー] コンテナーに既定のグループが配置されます (既定では)。Both sets of groups exist by default; however, built-in groups are located (by default) in the Built-in container in Active Directory, while default groups are located (by default) in the Users container in Active Directory. 組み込みコンテナー内のグループはすべてドメインローカルグループですが、Users コンテナー内のグループは、3つの個別のユーザーアカウント (Administrator、Guest、および Krbtgt) に加えて、ドメインローカルグループ、グローバルグループ、ユニバーサルグループの組み合わせです。Groups in the Built-in container are all Domain Local groups, while groups in the Users container are a mixture of Domain Local, Global, and Universal groups, in addition to three individual user accounts (Administrator, Guest, and Krbtgt).

この付録の前半で説明した最上位の特権グループに加えて、一部の組み込みアカウントと既定のアカウントおよびグループには昇格された特権が付与され、保護されていて、セキュリティで保護された管理ホストでのみ使用される必要があります。In addition to the highest privileged groups described earlier in this appendix, some built-in and default accounts and groups are granted elevated privileges and should also be protected and used only on secure administrative hosts. これらのグループとアカウントは、表 B-1 の網掛けされた行にあります。 Active Directory の組み込みグループと既定のグループとアカウントです。These groups and accounts can be found in the shaded rows in Table B-1: Built-in and Default Groups and Accounts in Active Directory. これらのグループとアカウントには、Active Directory またはドメインコントローラーを侵害するために誤用される可能性のある権限とアクセス許可が付与されているため、 「付録 C: Active Directory の保護されたアカウントとグループ」で説明されているように、追加の保護が行われます。Because some of these groups and accounts are granted rights and permissions that can be misused to compromise Active Directory or domain controllers, they are afforded additional protections as described in Appendix C: Protected Accounts and Groups in Active Directory.

表 B-1: Active Directory の組み込みアカウントと既定のアカウントおよびグループTable B-1: Built-in and Default Accounts and Groups in Active Directory
アカウントまたはグループAccount or Group 既定のコンテナー、グループのスコープ、および種類Default Container, Group Scope and Type 説明と既定のユーザー権利Description and Default User Rights
Access Control アシスタンスオペレーター (Windows Server 2012 の Active Directory)Access Control Assistance Operators (Active Directory in Windows Server 2012) 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

このグループのメンバーは、このコンピューター上のリソースに対する承認属性とアクセス許可をリモートで照会できます。Members of this group can remotely query authorization attributes and permissions for resources on this computer.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

Account OperatorsAccount Operators 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

メンバーは、ドメインユーザーとグループアカウントを管理できます。Members can administer domain user and group accounts.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

[Administrator account] (管理者アカウント)Administrator account users コンテナーUsers container

グループではありませんNot a group

ドメインを管理するためのビルトインアカウント。Built-in account for administering the domain.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

プロセスのメモリ クォータの増加Adjust memory quotas for a process

ローカル ログオンを許可Allow log on locally

リモート デスクトップ サービスを使ったログオンを許可Allow log on through Remote Desktop Services

ファイルとディレクトリのバックアップBack up files and directories

走査チェックのバイパスBypass traverse checking

システム時刻の変更Change the system time

タイム ゾーンの変更Change the time zone

ページ ファイルの作成Create a pagefile

グローバル オブジェクトの作成Create global objects

シンボリック リンクの作成Create symbolic links

プログラムのデバッグDebug programs

コンピューターとユーザー アカウントに委任時の信頼を付与Enable computer and user accounts to be trusted for delegation

リモート コンピューターからの強制シャットダウンForce shutdown from a remote system

認証後にクライアントを借用するImpersonate a client after authentication

プロセス ワーキング セットの増加Increase a process working set

スケジューリング優先順位の繰り上げIncrease scheduling priority

デバイス ドライバーのロードとアンロードLoad and unload device drivers

バッチ ジョブとしてログオンLog on as a batch job

監査ログとセキュリティ ログの管理Manage auditing and security log

ファームウェア環境値の修正Modify firmware environment values

ボリュームの保守タスクを実行Perform volume maintenance tasks

単一プロセスのプロファイルProfile single process

システム パフォーマンスのプロファイルProfile system performance

ドッキング ステーションからコンピューターを削除Remove computer from docking station

ファイルとディレクトリの復元Restore files and directories

システムのシャットダウンShut down the system

ファイルとその他のオブジェクトの所有権の取得Take ownership of files or other objects

管理者グループAdministrators group 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

管理者は、ドメインに対する完全で無制限のアクセス権を持ちます。Administrators have complete and unrestricted access to the domain.

直接ユーザー権限:Direct user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

プロセスのメモリ クォータの増加Adjust memory quotas for a process

ローカル ログオンを許可Allow log on locally

リモート デスクトップ サービスを使ったログオンを許可Allow log on through Remote Desktop Services

ファイルとディレクトリのバックアップBack up files and directories

走査チェックのバイパスBypass traverse checking

システム時刻の変更Change the system time

タイム ゾーンの変更Change the time zone

ページ ファイルの作成Create a pagefile

グローバル オブジェクトの作成Create global objects

シンボリック リンクの作成Create symbolic links

プログラムのデバッグDebug programs

コンピューターとユーザー アカウントに委任時の信頼を付与Enable computer and user accounts to be trusted for delegation

リモート コンピューターからの強制シャットダウンForce shutdown from a remote system

認証後にクライアントを借用するImpersonate a client after authentication

スケジューリング優先順位の繰り上げIncrease scheduling priority

デバイス ドライバーのロードとアンロードLoad and unload device drivers

バッチ ジョブとしてログオンLog on as a batch job

監査ログとセキュリティ ログの管理Manage auditing and security log

ファームウェア環境値の修正Modify firmware environment values

ボリュームの保守タスクを実行Perform volume maintenance tasks

単一プロセスのプロファイルProfile single process

システム パフォーマンスのプロファイルProfile system performance

ドッキング ステーションからコンピューターを削除Remove computer from docking station

ファイルとディレクトリの復元Restore files and directories

システムのシャットダウンShut down the system

ファイルとその他のオブジェクトの所有権の取得Take ownership of files or other objects

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

Allowed RODC Password Replication グループAllowed RODC Password Replication Group users コンテナーUsers container

ドメインローカルセキュリティグループDomain-local security group

このグループのメンバーは、ドメイン内のすべての読み取り専用ドメインコントローラーにパスワードをレプリケートできます。Members in this group can have their passwords replicated to all read-only domain controllers in the domain.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

Backup OperatorsBackup Operators 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

バックアップオペレーターは、ファイルのバックアップまたは復元のみを目的として、セキュリティ制限を上書きできます。Backup Operators can override security restrictions for the sole purpose of backing up or restoring files.

直接ユーザー権限:Direct user rights:

ローカル ログオンを許可Allow log on locally

ファイルとディレクトリのバックアップBack up files and directories

バッチ ジョブとしてログオンLog on as a batch job

ファイルとディレクトリの復元Restore files and directories

システムのシャットダウンShut down the system

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

Cert PublishersCert Publishers users コンテナーUsers container

ドメインローカルセキュリティグループDomain-local security group

このグループのメンバーは、ディレクトリに証明書を発行することが許可されています。Members of this group are permitted to publish certificates to the directory.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

証明書サービス DCOM アクセスCertificate Service DCOM Access 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

証明書サービスがドメインコントローラーにインストールされている場合 (推奨されません)、このグループは、ドメインユーザーとドメインコンピューターへの DCOM 登録アクセスを許可します。If Certificate Services is installed on a domain controller (not recommended), this group grants DCOM enrollment access to Domain Users and Domain Computers.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

複製可能ドメインコントローラー (Windows Server 2012AD DS の AD DS)Cloneable Domain Controllers (AD DS in Windows Server 2012AD DS) users コンテナーUsers container

グローバルセキュリティグループGlobal security group

ドメインコントローラであるこのグループのメンバは複製される可能性があります。Members of this group that are domain controllers may be cloned.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

Cryptographic OperatorsCryptographic Operators 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

メンバーは、暗号化操作を実行する権限を持っています。Members are authorized to perform cryptographic operations.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

デバッガーユーザーDebugger Users これは既定のグループでも組み込みグループでもありませんが、AD DS に存在する場合は、さらに調査が発生します。This is neither a default nor a built-in group, but when present in AD DS, is cause for further investigation. Debugger Users グループが存在することは、デバッグツールが、Visual Studio、SQL、Office、またはデバッグ環境を必要とサポートするその他のアプリケーションによって、システムにインストールされていることを示します。The presence of a Debugger Users group indicates that debugging tools have been installed on the system at some point, whether via Visual Studio, SQL, Office, or other applications that require and support a debugging environment. このグループは、コンピューターへのリモートデバッグアクセスを許可します。This group allows remote debugging access to computers. このグループがドメインレベルに存在する場合、デバッガーまたはデバッガーを含むアプリケーションがドメインコントローラーにインストールされていることを示します。When this group exists at the domain level, it indicates that a debugger or an application that contains a debugger has been installed on a domain controller.
Denied RODC Password Replication グループDenied RODC Password Replication Group users コンテナーUsers container

ドメインローカルセキュリティグループDomain-local security group

このグループのメンバーは、パスワードをドメイン内の読み取り専用ドメインコントローラーにレプリケートすることはできません。Members in this group cannot have their passwords replicated to any read-only domain controllers in the domain.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

DHCP 管理者DHCP Administrators users コンテナーUsers container

ドメインローカルセキュリティグループDomain-local security group

このグループのメンバーは、DHCP サーバーサービスへの管理アクセス権を持っています。Members of this group have administrative access to the DHCP Server service.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

DHCP ユーザーDHCP Users users コンテナーUsers container

ドメインローカルセキュリティグループDomain-local security group

このグループのメンバーは、DHCP サーバーサービスに対する表示のみのアクセス権を持ちます。Members of this group have view-only access to the DHCP Server service.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

Distributed COM UsersDistributed COM Users 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

このグループのメンバーは、このコンピューターで分散 COM オブジェクトの起動、アクティブ化、および使用を許可されています。Members of this group are allowed to launch, activate, and use distributed COM objects on this computer.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

DnsAdminsDnsAdmins users コンテナーUsers container

ドメインローカルセキュリティグループDomain-local security group

このグループのメンバーは、DNS サーバーサービスへの管理アクセス権を持っています。Members of this group have administrative access to the DNS Server service.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

DnsUpdateProxyDnsUpdateProxy users コンテナーUsers container

グローバルセキュリティグループGlobal security group

このグループのメンバーは、動的更新を実行できないクライアントに代わって動的更新を実行することが許可されている DNS クライアントです。Members of this group are DNS clients who are permitted to perform dynamic updates on behalf of clients that cannot themselves perform dynamic updates. このグループのメンバーは、通常、DHCP サーバーです。Members of this group are typically DHCP servers.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

Domain AdminsDomain Admins users コンテナーUsers container

グローバルセキュリティグループGlobal security group

ドメインの指定された管理者。ドメイン管理者は、ドメインに参加しているすべてのコンピューターのローカル管理者グループのメンバーであり、ドメインの Administrators グループに加えて、ローカルの Administrators グループに付与された権限とアクセス許可を受け取ります。Designated administrators of the domain; Domain Admins is a member of every domain-joined computer's local Administrators group and receives rights and permissions granted to the local Administrators group, in addition to the domain's Administrators group.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

プロセスのメモリ クォータの増加Adjust memory quotas for a process

ローカル ログオンを許可Allow log on locally

リモート デスクトップ サービスを使ったログオンを許可Allow log on through Remote Desktop Services

ファイルとディレクトリのバックアップBack up files and directories

走査チェックのバイパスBypass traverse checking

システム時刻の変更Change the system time

タイム ゾーンの変更Change the time zone

ページ ファイルの作成Create a pagefile

グローバル オブジェクトの作成Create global objects

シンボリック リンクの作成Create symbolic links

プログラムのデバッグDebug programs

コンピューターとユーザー アカウントに委任時の信頼を付与Enable computer and user accounts to be trusted for delegation

リモート コンピューターからの強制シャットダウンForce shutdown from a remote system

認証後にクライアントを借用するImpersonate a client after authentication

プロセス ワーキング セットの増加Increase a process working set

スケジューリング優先順位の繰り上げIncrease scheduling priority

デバイス ドライバーのロードとアンロードLoad and unload device drivers

バッチ ジョブとしてログオンLog on as a batch job

監査ログとセキュリティ ログの管理Manage auditing and security log

ファームウェア環境値の修正Modify firmware environment values

ボリュームの保守タスクを実行Perform volume maintenance tasks

単一プロセスのプロファイルProfile single process

システム パフォーマンスのプロファイルProfile system performance

ドッキング ステーションからコンピューターを削除Remove computer from docking station

ファイルとディレクトリの復元Restore files and directories

システムのシャットダウンShut down the system

ファイルとその他のオブジェクトの所有権の取得Take ownership of files or other objects

ドメインコンピューターDomain Computers users コンテナーUsers container

グローバルセキュリティグループGlobal security group

ドメインに参加しているすべてのワークステーションとサーバーは、このグループの既定のメンバーになります。All workstations and servers that are joined to the domain are by default members of this group.

既定の直接ユーザー権限: 存在Default direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

ドメイン コントローラーDomain Controllers users コンテナーUsers container

グローバルセキュリティグループGlobal security group

ドメイン内のすべてのドメインコントローラー。All domain controllers in the domain. 注: ドメインコントローラーは、ドメインコンピューターグループのメンバーではありません。Note: Domain controllers are not a member of the Domain Computers group.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

ドメインのゲストDomain Guests users コンテナーUsers container

グローバルセキュリティグループGlobal security group

ドメイン内のすべてのゲストAll guests in the domain

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

ドメインユーザーDomain Users users コンテナーUsers container

グローバルセキュリティグループGlobal security group

ドメイン内のすべてのユーザーAll users in the domain

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

Enterprise Admins (フォレストのルートドメインにのみ存在)Enterprise Admins (exists only in forest root domain) users コンテナーUsers container

ユニバーサルセキュリティグループUniversal security group

エンタープライズ管理者は、フォレスト全体の構成設定を変更するアクセス許可を持っています。Enterprise Admins は、すべてのドメインの管理者グループのメンバーであり、そのグループに付与された権限とアクセス許可を受け取ります。Enterprise Admins have permissions to change forest-wide configuration settings; Enterprise Admins is a member of every domain's Administrators group and receives rights and permissions granted to that group.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

プロセスのメモリ クォータの増加Adjust memory quotas for a process

ローカル ログオンを許可Allow log on locally

リモート デスクトップ サービスを使ったログオンを許可Allow log on through Remote Desktop Services

ファイルとディレクトリのバックアップBack up files and directories

走査チェックのバイパスBypass traverse checking

システム時刻の変更Change the system time

タイム ゾーンの変更Change the time zone

ページ ファイルの作成Create a pagefile

グローバル オブジェクトの作成Create global objects

シンボリック リンクの作成Create symbolic links

プログラムのデバッグDebug programs

コンピューターとユーザー アカウントに委任時の信頼を付与Enable computer and user accounts to be trusted for delegation

リモート コンピューターからの強制シャットダウンForce shutdown from a remote system

認証後にクライアントを借用するImpersonate a client after authentication

プロセス ワーキング セットの増加Increase a process working set

スケジューリング優先順位の繰り上げIncrease scheduling priority

デバイス ドライバーのロードとアンロードLoad and unload device drivers

バッチ ジョブとしてログオンLog on as a batch job

監査ログとセキュリティ ログの管理Manage auditing and security log

ファームウェア環境値の修正Modify firmware environment values

ボリュームの保守タスクを実行Perform volume maintenance tasks

単一プロセスのプロファイルProfile single process

システム パフォーマンスのプロファイルProfile system performance

ドッキング ステーションからコンピューターを削除Remove computer from docking station

ファイルとディレクトリの復元Restore files and directories

システムのシャットダウンShut down the system

ファイルとその他のオブジェクトの所有権の取得Take ownership of files or other objects

Enterprise Read-only Domain ControllersEnterprise Read-only Domain Controllers users コンテナーUsers container

ユニバーサルセキュリティグループUniversal security group

このグループには、フォレスト内のすべての読み取り専用ドメインコントローラーのアカウントが含まれます。This group contains the accounts for all read-only domain controllers in the forest.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

イベント ログ リーダーEvent Log Readers 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

のこのグループのメンバーは、ドメインコントローラーのイベントログを読み取ることができます。Members of this group in can read the event logs on domain controllers.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

Group Policy Creator OwnersGroup Policy Creator Owners users コンテナーUsers container

グローバルセキュリティグループGlobal security group

このグループのメンバーは、ドメイン内のグループポリシーオブジェクトを作成および変更できます。Members of this group can create and modify Group Policy Objects in the domain.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

ゲストGuest users コンテナーUsers container

グループではありませんNot a group

これは、認証されたユーザーの SID がアクセストークンに追加されていない AD DS ドメイン内の唯一のアカウントです。This is the only account in an AD DS domain that does not have the Authenticated Users SID added to its access token. そのため、Authenticated Users グループへのアクセスを許可するように構成されているすべてのリソースには、このアカウントからアクセスすることはできません。Therefore, any resources that are configured to grant access to the Authenticated Users group will not be accessible to this account. この動作は、Domain Guests グループおよび Guests グループのメンバーには当てはまりません。ただし、これらのグループのメンバーには、認証済みユーザー SID がアクセストークンに追加されています。This behavior is not true of members of the Domain Guests and Guests groups, however- members of those groups do have the Authenticated Users SID added to their access tokens.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

ゲストGuests 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

ゲストは既定で Users グループのメンバと同じアクセス権を持ちますが、ゲストアカウントは除きます。これは前述のように制限されています。Guests have the same access as members of the Users group by default, except for the Guest account, which is further restricted as described earlier.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

Hyper-v 管理者 (Windows Server 2012)Hyper-V Administrators (Windows Server 2012) 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

このグループのメンバーには、Hyper-v のすべての機能に対する完全で無制限のアクセス権が付与されています。Members of this group have complete and unrestricted access to all features of Hyper-V.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

IIS_IUSRSIIS_IUSRS 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

インターネットインフォメーションサービスによって使用される組み込みグループ。Built-in group used by Internet Information Services.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

入力方向のフォレストの信頼ビルダー (フォレストのルートドメインにのみ存在)Incoming Forest Trust Builders (exists only in forest root domain) 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

このグループのメンバーは、このフォレストに対して、一方向の信頼関係を作成できます。Members of this group can create incoming, one-way trusts to this forest. (出力方向のフォレストの信頼の作成は、Enterprise Admins 用に予約されています)。(Creation of outbound forest trusts is reserved for Enterprise Admins.)

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

KrbtgtKrbtgt users コンテナーUsers container

グループではありませんNot a group

Krbtgt アカウントは、ドメイン内の Kerberos キー配布センターのサービスアカウントです。The Krbtgt account is the service account for the Kerberos Key Distribution Center in the domain. このアカウントには、Active Directory に格納されているすべてのアカウントの資格情報へのアクセス権があります。This account has access to all accounts' credentials stored in Active Directory. このアカウントは既定で無効になっているため、有効にしないでください。This account is disabled by default and should never be enabled

ユーザーの権利: 該当なしUser rights: N/A

Network Configuration OperatorsNetwork Configuration Operators 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

このグループのメンバーには、ネットワーク機能の構成を管理できる特権が付与されます。Members of this group are granted privileges that allow them to manage configuration of networking features.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

パフォーマンス ログ ユーザーPerformance Log Users 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

このグループのメンバーは、パフォーマンスカウンターのログ記録のスケジュール設定、トレースプロバイダーの有効化、およびローカルでのコンピューターへのリモートアクセス経由でのイベントトレースの収集を行うことができます。Members of this group can schedule logging of performance counters, enable trace providers, and collect event traces locally and via remote access to the computer.

直接ユーザー権限:Direct user rights:

バッチ ジョブとしてログオンLog on as a batch job

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

パフォーマンス モニター ユーザーPerformance Monitor Users 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

このグループのメンバーは、ローカルおよびリモートでパフォーマンスカウンターデータにアクセスできます。Members of this group can access performance counter data locally and remotely.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

Pre-Windows 2000 Compatible AccessPre-Windows 2000 Compatible Access 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

このグループは、Windows 2000 Server より前のオペレーティングシステムとの下位互換性を維持するために存在し、メンバーがドメイン内のユーザーとグループの情報を読み取ることができるようにします。This group exists for backward compatibility with operating systems prior to Windows 2000 Server, and it provides the ability for members to read user and group information in the domain.

直接ユーザー権限:Direct user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

走査チェックのバイパスBypass traverse checking

継承されたユーザー権限:Inherited user rights:

ドメインにワークステーションを追加Add workstations to domain

プロセス ワーキング セットの増加Increase a process working set

演算子を印刷します。Print Operators 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

このグループのメンバーは、ドメインプリンターを管理できます。Members of this group can administer domain printers.

直接ユーザー権限:Direct user rights:

ローカル ログオンを許可Allow log on locally

デバイス ドライバーのロードとアンロードLoad and unload device drivers

システムのシャットダウンShut down the system

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

RAS および IAS サーバーRAS and IAS Servers users コンテナーUsers container

ドメインローカルセキュリティグループDomain-local security group

このグループのサーバーは、ドメイン内のユーザーアカウントのリモートアクセスプロパティを読み取ることができます。Servers in this group can read remote access properties on user accounts in the domain.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

RDS エンドポイントサーバー (Windows Server 2012)RDS Endpoint Servers (Windows Server 2012) 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

このグループのサーバーは、ユーザーの RemoteApp プログラムとパーソナル仮想デスクトップが実行される仮想マシンとホストセッションを実行します。Servers in this group run virtual machines and host sessions where users RemoteApp programs and personal virtual desktops run. このグループは、RD 接続ブローカーを実行しているサーバーに設定する必要があります。This group needs to be populated on servers running RD Connection Broker. 展開で使用されている RD セッションホストサーバーと RD 仮想化ホストサーバーは、このグループに存在する必要があります。RD Session Host servers and RD Virtualization Host servers used in the deployment need to be in this group.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

RDS 管理サーバー (Windows Server 2012)RDS Management Servers (Windows Server 2012) 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

このグループのサーバーは、リモートデスクトップサービスを実行しているサーバーで日常的な管理操作を実行できます。Servers in this group can perform routine administrative actions on servers running Remote Desktop Services. このグループは、リモートデスクトップサービス展開内のすべてのサーバーに設定する必要があります。This group needs to be populated on all servers in a Remote Desktop Services deployment. RDS Central Management サービスを実行しているサーバーをこのグループに含める必要があります。The servers running the RDS Central Management service must be included in this group.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

RDS リモートアクセスサーバー (Windows Server 2012)RDS Remote Access Servers (Windows Server 2012) 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

このグループのサーバーを使用すると、RemoteApp プログラムおよび個人用仮想デスクトップからこれらのリソースにアクセスできます。Servers in this group enable users of RemoteApp programs and personal virtual desktops access to these resources. インターネットに接続する展開では、通常、これらのサーバーはエッジネットワークに展開されます。In Internet-facing deployments, these servers are typically deployed in an edge network. このグループは、RD 接続ブローカーを実行しているサーバーに設定する必要があります。This group needs to be populated on servers running RD Connection Broker. 展開で使用されている RD ゲートウェイサーバーと RD Web アクセスサーバーは、このグループに存在する必要があります。RD Gateway servers and RD Web Access servers used in the deployment need to be in this group.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

Read-Only Domain ControllersRead-only Domain Controllers users コンテナーUsers container

グローバルセキュリティグループGlobal security group

このグループには、ドメイン内のすべての読み取り専用ドメインコントローラーが含まれます。This group contains all read-only domain controllers in the domain.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

Remote Desktop UsersRemote Desktop Users 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

このグループのメンバーには、RDP を使用してリモートでログオンする権限が付与されます。Members of this group are granted the right to log on remotely using RDP.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

リモート管理ユーザー (Windows Server 2012)Remote Management Users (Windows Server 2012) 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

このグループのメンバーは、管理プロトコル (Windows リモート管理サービスを介した WS-Management など) を介して WMI リソースにアクセスできます。Members of this group can access WMI resources over management protocols (such as WS-Management via the Windows Remote Management service). これは、ユーザーへのアクセスを許可する WMI 名前空間にのみ適用されます。This applies only to WMI namespaces that grant access to the user.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

レプリケーターReplicator 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

では、ドメイン内のレガシファイルレプリケーションがサポートされています。Supports legacy file replication in a domain.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

スキーマ管理者 (フォレストのルートドメインにのみ存在)Schema Admins (exists only in forest root domain) users コンテナーUsers container

ユニバーサルセキュリティグループUniversal security group

スキーマ管理者は、スキーマの書き込みが許可されている場合にのみ、Active Directory スキーマを変更できる唯一のユーザーです。Schema admins are the only users who can make modifications to the Active Directory schema, and only if the schema is write-enabled.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

Server OperatorsServer Operators 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

このグループのメンバーは、ドメインサーバーを管理できます。Members of this group can administer domain servers.

直接ユーザー権限:Direct user rights:

ローカル ログオンを許可Allow log on locally

ファイルとディレクトリのバックアップBack up files and directories

システム時刻の変更Change the system time

タイム ゾーンの変更Change the time zone

リモート コンピューターからの強制シャットダウンForce shutdown from a remote system

ファイルとディレクトリの復元Restore files and directories

システムのシャットダウンShut down the system

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

ターミナルサーバーライセンスサーバーTerminal Server License Servers 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

このグループのメンバーは、TS CAL (接続ユーザー数) の使用状況を追跡および報告するために、Active Directory のユーザーアカウントをライセンスの発行に関する情報で更新できます。Members of this group can update user accounts in Active Directory with information about license issuance, for the purpose of tracking and reporting TS Per User CAL usage

既定の直接ユーザー権限: 存在Default direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

ユーザーUsers 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

ユーザーには Active Directory で多くのオブジェクトと属性の読み取りを許可するアクセス許可がありますが、ほとんどは変更できません。Users have permissions that allow them to read many objects and attributes in Active Directory, although they cannot change most. ユーザーは、偶発的または意図的なシステム全体の変更を行うことができず、ほとんどのアプリケーションを実行できます。Users are prevented from making accidental or intentional system-wide changes and can run most applications.

直接ユーザー権限:Direct user rights:

プロセス ワーキング セットの増加Increase a process working set

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

Windows 認証アクセスグループWindows Authorization Access Group 組み込みコンテナーBuilt-in container

ドメインローカルセキュリティグループDomain-local security group

このグループのメンバーは、ユーザーオブジェクトの計算された Tokenグループ Globalanduniversal 属性にアクセスしますMembers of this group have access to the computed tokenGroupsGlobalAndUniversal attribute on User objects

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set

WinRMRemoteWMIUsers_ (Windows Server 2012)WinRMRemoteWMIUsers_ (Windows Server 2012) users コンテナーUsers container

ドメインローカルセキュリティグループDomain-local security group

このグループのメンバーは、管理プロトコル (Windows リモート管理サービスを介した WS-Management など) を介して WMI リソースにアクセスできます。Members of this group can access WMI resources over management protocols (such as WS-Management via the Windows Remote Management service). これは、ユーザーへのアクセスを許可する WMI 名前空間にのみ適用されます。This applies only to WMI namespaces that grant access to the user.

直接ユーザー権限: 存在Direct user rights: None

継承されたユーザー権限:Inherited user rights:

ネットワークからこのコンピューターにアクセスするAccess this computer from the network

ドメインにワークステーションを追加Add workstations to domain

走査チェックのバイパスBypass traverse checking

プロセス ワーキング セットの増加Increase a process working set