セキュリティ識別子Security identifiers

適用対象Applies to

  • Windows 10Windows 10
  • Windows Server 2016Windows Server 2016

IT プロフェッショナル向けのこのトピックでは、セキュリティ識別子と、Windows オペレーティングシステムのアカウントおよびグループに関連する機能について説明します。This topic for the IT professional describes security identifiers and how they work in regards to accounts and groups in the Windows operating system.

セキュリティ識別子とはWhat are security identifiers?

セキュリティ識別子 (SID) は、セキュリティプリンシパルまたはセキュリティグループを一意に識別するために使用されます。A security identifier (SID) is used to uniquely identify a security principal or security group. セキュリティプリンシパルは、ユーザーアカウント、コンピューターアカウント、ユーザーまたはコンピューターアカウントのセキュリティコンテキストで実行されるスレッドやプロセスなど、オペレーティングシステムによって認証できる任意のエンティティを表すことができます。Security principals can represent any entity that can be authenticated by the operating system, such as a user account, a computer account, or a thread or process that runs in the security context of a user or computer account.

アカウントのセキュリティコンテキストで実行されている各アカウントまたはグループ、またはプロセスには、Windows ドメインコントローラーなどの機関によって発行される一意の SID が含まれています。Each account or group, or process running in the security context of the account, has a unique SID that is issued by an authority, such as a Windows domain controller. セキュリティデータベースに格納されます。It is stored in a security database. システムによって、アカウントまたはグループが作成されたときに特定のアカウントまたはグループを識別する SID が生成されます。The system generates the SID that identifies a particular account or group at the time the account or group is created. SID がユーザーまたはグループの一意の識別子として使用されている場合は、別のユーザーまたはグループを識別するために、もう一度使用することはできません。When a SID has been used as the unique identifier for a user or group, it can never be used again to identify another user or group.

ユーザーがサインインするたびに、システムによってそのユーザーのアクセストークンが作成されます。Each time a user signs in, the system creates an access token for that user. アクセストークンには、ユーザーの SID、ユーザー権限、ユーザーが属しているグループの Sid が含まれます。The access token contains the user's SID, user rights, and the SIDs for any groups the user belongs to. このトークンは、ユーザーがそのコンピューターで実行するすべてのアクションのセキュリティコンテキストを提供します。This token provides the security context for whatever actions the user performs on that computer.

一意に作成された、特定のユーザーやグループに割り当てられるドメイン固有の Sid に加えて、汎用グループと汎用ユーザーを識別する既知の Sid もあります。In addition to the uniquely created, domain-specific SIDs that are assigned to specific users and groups, there are well-known SIDs that identify generic groups and generic users. たとえば、Everyone と World の Sid は、すべてのユーザーを含むグループを特定します。For example, the Everyone and World SIDs identify a group that includes all users. 既知の Sid は、すべてのオペレーティングシステムで一定の値を保持しています。Well-known SIDs have values that remain constant across all operating systems.

Sid は、Windows セキュリティモデルの基本的な構成要素です。SIDs are a fundamental building block of the Windows security model. Windows Server オペレーティングシステムのセキュリティインフラストラクチャで、承認およびアクセス制御技術の特定のコンポーネントを操作します。They work with specific components of the authorization and access control technologies in the security infrastructure of the Windows Server operating systems. これにより、ネットワークリソースへのアクセスが保護され、より安全なコンピューティング環境が提供されます。This helps protect access to network resources and provides a more secure computing environment.

このトピックの内容は、サポートされているバージョンの Windows オペレーティングシステムを実行しているコンピューター (このトピックの最初の [適用先] の一覧に示されている) に適用されます。The content in this topic applies to computers that are running the supported versions of the Windows operating system as designated in the Applies To list at the beginning of this topic.

セキュリティ識別子のしくみHow security identifiers work

ユーザーはアカウント名を使用してアカウントを参照していますが、オペレーティングシステムは、セキュリティ識別子 (Sid) を使って、アカウントとセキュリティコンテキストで実行されるアカウントとプロセスを内部的に参照しています。Users refer to accounts by using the account name, but the operating system internally refers to accounts and processes that run in the security context of the account by using their security identifiers (SIDs). ドメインアカウントの場合、セキュリティプリンシパルの SID は、ドメインの SID とアカウントの相対識別子 (RID) を連結して作成されます。For domain accounts, the SID of a security principal is created by concatenating the SID of the domain with a relative identifier (RID) for the account. Sid は、スコープ (ドメインまたはローカル) 内で一意であり、再利用されることはありません。SIDs are unique within their scope (domain or local), and they are never reused.

オペレーティングシステムによって、アカウントまたはグループが作成された時点で特定のアカウントまたはグループを識別する SID が生成されます。The operating system generates a SID that identifies a particular account or group at the time the account or group is created. ローカルアカウントまたはローカルグループの SID は、コンピューターのローカルセキュリティ機関 (LSA) によって生成され、他のアカウント情報と共に、レジストリのセキュリティで保護された領域に格納されます。The SID for a local account or group is generated by the Local Security Authority (LSA) on the computer, and it is stored with other account information in a secure area of the registry. ドメインアカウントまたはグループの SID は、ドメインセキュリティ機関によって生成され、ユーザーまたはグループオブジェクトの属性として Active Directory ドメインサービスに格納されます。The SID for a domain account or group is generated by the domain security authority, and it is stored as an attribute of the User or Group object in Active Directory Domain Services.

すべてのローカルアカウントとグループについて、SID は作成されたコンピューターに対して一意です。For every local account and group, the SID is unique for the computer where it was created. コンピューター上の2つのアカウントまたはグループが、同じ SID を共有することはありません。No two accounts or groups on the computer ever share the same SID. 同様に、ドメインアカウントとグループごとに、SID はエンタープライズ内で一意になります。Likewise, for every domain account and group, the SID is unique within an enterprise. つまり、あるドメインで作成されたアカウントまたはグループの SID が、エンタープライズ内の他のドメインで作成されたアカウントまたはグループの SID と一致しないことを意味します。This means that the SID for an account or group that is created in one domain will never match the SID for an account or group created in any other domain in the enterprise.

Sid は常に一意のままです。SIDs always remain unique. セキュリティ機関が同じ SID を2回発行することはなく、削除されたアカウントの Sid は再利用されることはありません。Security authorities never issue the same SID twice, and they never reuse SIDs for deleted accounts. たとえば、Windows ドメイン内のユーザーアカウントを持つユーザーが自分のジョブを残した場合、管理者は、アカウントを識別する SID などの Active Directory アカウントを削除します。For example, if a user with a user account in a Windows domain leaves her job, an administrator deletes her Active Directory account, including the SID that identifies the account. 後で同じ会社の別のジョブに戻ると、管理者が新しいアカウントを作成し、Windows Server オペレーティングシステムによって新しい SID が生成されます。If she later returns to a different job at the same company, an administrator creates a new account, and the Windows Server operating system generates a new SID. 新しい SID は古いものと一致しません。そのため、以前のアカウントからのユーザーのアクセス権が新しいアカウントに転送されることはありません。The new SID does not match the old one; so none of the user's access from her old account is transferred to the new account. 2つのアカウントは、2つの完全に異なるセキュリティプリンシパルを表します。Her two accounts represent two completely different security principals.

セキュリティ識別子のアーキテクチャSecurity identifier architecture

セキュリティ識別子は、可変数の値を含むバイナリ形式のデータ構造です。A security identifier is a data structure in binary format that contains a variable number of values. この構造体の最初の値には、SID 構造体に関する情報が含まれています。The first values in the structure contain information about the SID structure. 残りの値は、(電話番号と同じように) 階層に配置され、SID 発行機関 (たとえば、"NT Authority")、SID 発行ドメイン、特定のセキュリティプリンシパルまたはグループを識別します。The remaining values are arranged in a hierarchy (similar to a telephone number), and they identify the SID-issuing authority (for example, “NT Authority”), the SID-issuing domain, and a particular security principal or group. 次の図は、SID の構造を示しています。The following image illustrates the structure of a SID.

SID の個々の値については、次の表で説明します。The individual values of a SID are described in the following table.

コメントComment 説明Description
リビジョンRevision 特定の SID で使用される SID 構造体のバージョンを示します。Indicates the version of the SID structure that is used in a particular SID.
識別子機関Identifier authority 特定の種類のセキュリティプリンシパルに対して Sid を発行できる最高レベルの権限を特定します。Identifies the highest level of authority that can issue SIDs for a particular type of security principal. たとえば、Everyone グループの SID の [識別子の機関] の値は、1 (World Authority) です。For example, the identifier authority value in the SID for the Everyone group is 1 (World Authority). 特定の Windows Server アカウントまたはグループの SID の [識別子の機関] の値は、5 (NT Authority) です。The identifier authority value in the SID for a specific Windows Server account or group is 5 (NT Authority).
サブ機関Subauthorities >は SID で最も重要な情報を保持します。これは、一連の1つ以上の subauthority 値に含まれています。>Holds the most important information in a SID, which is contained in a series of one or more subauthority values. 系列内の最後の値は、企業内のドメインをまとめたものです。All values up to, but not including, the last value in the series collectively identify a domain in an enterprise. このシリーズの部分は、ドメイン識別子と呼ばれます。This part of the series is called the domain identifier. 系列の最後の値は、相対識別子 (RID) と呼ばれ、ドメインに関連する特定のアカウントまたはグループを示します。The last value in the series, which is called the relative identifier (RID), identifies a particular account or group relative to a domain.

SID が標準表記を使ってバイナリから文字列形式に変換される場合は、SID の構成要素がより簡単に視覚化されます。The components of a SID are easier to visualize when SIDs are converted from a binary to a string format by using standard notation:

S-R-X-Y1-Y2-Yn-1-Yn

この表記法では、SID の構成要素は、次の表に示すように表されます。In this notation, the components of a SID are represented as shown in the following table.

コメントComment 説明Description
SS 文字列が SID であることを示します。Indicates that the string is a SID
RR リビジョンレベルを示します。Indicates the revision level
X 識別子機関の値を示しますIndicates the identifier authority value
YY 一連の subauthority 値を表します。 nは値の個数です。Represents a series of subauthority values, where n is the number of values

SID の最も重要な情報は、一連の subauthority 値に含まれています。The SID's most important information is contained in the series of subauthority values. Series の最初の部分 (-Y1-Y2-1)** はドメイン識別子です。The first part of the series (-Y1-Y2-Yn-1) is the domain identifier. SID のこの要素は、複数のドメインを持つ企業にとって重要になります。ドメイン識別子は、企業内の他のすべてのドメインによって発行される sid から1つのドメインによって発行される Sid を区別するためです。This element of the SID becomes significant in an enterprise with several domains, because the domain identifier differentiates SIDs that are issued by one domain from SIDs that are issued by all other domains in the enterprise. エンタープライズ内の2つのドメインで同じドメイン識別子を共有することはできません。No two domains in an enterprise share the same domain identifier.

一連の subauthority 値の最後の項目 (-Yn) は相対識別子です。The last item in the series of subauthority values (-Yn) is the relative identifier. 1つのアカウントまたはグループを、ドメイン内の他のすべてのアカウントおよびグループと区別します。It distinguishes one account or group from all other accounts and groups in the domain. 同じ相対識別子を共有するのは、どのドメインにも2つのアカウントまたはグループはありません。No two accounts or groups in any domain share the same relative identifier.

たとえば、組み込みの Administrators グループの SID は、次の文字列として標準化された SID 表記で表されます。For example, the SID for the built-in Administrators group is represented in standardized SID notation as the following string:

S-1-5-32-544

この SID には、次の4つのコンポーネントがあります。This SID has four components:

  • リビジョンレベル (1)A revision level (1)

  • 識別子機関の値 (5、NT Authority)An identifier authority value (5, NT Authority)

  • ドメイン識別子 (32、ビルトイン)A domain identifier (32, Builtin)

  • 相対識別子 (544、管理者)A relative identifier (544, Administrators)

組み込みのアカウントおよびグループの Sid は、常に同じドメイン識別子の値 (32) が使用されます。SIDs for built-in accounts and groups always have the same domain identifier value: 32. この値は、Windows Server オペレーティングシステムを実行しているすべてのコンピューターに存在する、ビルトインドメインのドメインを示します。This value identifies the domain Builtin, which exists on every computer that is running a version of the Windows Server operating system. 1つのコンピューターの組み込みアカウントとグループは、スコープ内にローカルであるため、別のコンピューターのビルトインアカウントとグループと区別する必要はありません。It is never necessary to distinguish one computer's built-in accounts and groups from another computer's built-in accounts and groups because they are local in scope. これらは1台のコンピューターに対してローカルであるか、ネットワークドメインのドメインコントローラーの場合は、1つのコンピューターとして機能している複数のコンピューターに対してローカルになります。They are local to a single computer, or in the case of domain controllers for a network domain, they are local to several computers that are acting as one.

組み込みのアカウントとグループは、 Builtinドメインのスコープ内で相互に区別する必要があります。Built-in accounts and groups need to be distinguished from one another within the scope of the Builtin domain. したがって、各アカウントとグループの SID には、一意の相対識別子があります。Therefore, the SID for each account and group has a unique relative identifier. 544の相対識別子の値は、組み込みの管理者グループに固有のものです。A relative identifier value of 544 is unique to the built-in Administrators group. ビルトインドメイン内の他のアカウントまたはグループに、544の最終値を持つ SID が含まれていない。No other account or group in the Builtin domain has a SID with a final value of 544.

別の例として、ドメイン管理者のグローバルグループの SID について考えてみましょう。In another example, consider the SID for the global group, Domain Admins. エンタープライズ内のすべてのドメインには Domain Admins グループがあり、各グループの SID は異なります。Every domain in an enterprise has a Domain Admins group, and the SID for each group is different. 次の例は、Contoso、Ltd. domain (Contoso\Domain Admins) の Domain Admins グループの SID を示しています。The following example represents the SID for the Domain Admins group in the Contoso, Ltd. domain (Contoso\Domain Admins):

S-1-5-21-1004336348-1177238915-682003330-512

Contoso\Domain 管理者の SID は次のようになります。The SID for Contoso\Domain Admins has:

  • リビジョンレベル (1)A revision level (1)

  • 識別子機関 (5、NT Authority)An identifier authority (5, NT Authority)

  • ドメイン識別子 (21-1004336348-1177238915-682003330、Contoso)A domain identifier (21-1004336348-1177238915-682003330, Contoso)

  • 相対識別子 (512、ドメイン管理者)A relative identifier (512, Domain Admins)

Contoso\Domain Admins の SID は、ドメイン識別子: 21-1004336348-1177238915-682003330 によって、同じエンタープライズ内の他のドメイン管理者グループの Sid と区別されます。The SID for Contoso\Domain Admins is distinguished from the SIDs for other Domain Admins groups in the same enterprise by its domain identifier: 21-1004336348-1177238915-682003330. エンタープライズ内の他のドメインはこの値をドメイン識別子として使用しません。No other domain in the enterprise uses this value as its domain identifier. Contoso\Domain Admins の SID は、相対識別子512によって Contoso ドメインで作成された他のアカウントおよびグループの Sid と区別されます。The SID for Contoso\Domain Admins is distinguished from the SIDs for other accounts and groups that are created in the Contoso domain by its relative identifier, 512. ドメイン内の他のアカウントまたはグループに、512の最終値を持つ SID が含まれていない。No other account or group in the domain has a SID with a final value of 512.

相対識別子の割り当てRelative identifier allocation

ローカルセキュリティアカウントマネージャー (SAM) で管理されているアカウントデータベースにアカウントとグループが保存されている場合、システムは、各アカウントとスタンドアロンコンピューターで作成されたグループの固有の相対識別子を生成するのは非常に簡単です。When accounts and groups are stored in an account database that is managed by a local Security Accounts Manager (SAM), it is fairly easy for the system to generate a unique relative identifier for each account and in a group that it creates on a stand-alone computer. スタンドアロンコンピューター上の SAM は、以前に使用されていた相対的な識別子値を追跡し、それらの値を再利用しないようにすることができます。The SAM on a stand-alone computer can track the relative identifier values that it has used before and make sure that it never uses them again.

ただし、ネットワークドメインでは、一意の相対識別子の生成はより複雑なプロセスです。In a network domain, however, generating unique relative identifiers is a more complex process. Windows Server ネットワークドメインは、複数のドメインコントローラーを持つことができます。Windows Server network domains can have several domain controllers. 各ドメインコントローラーには Active Directory アカウント情報が格納されます。Each domain controller stores Active Directory account information. つまり、ネットワークドメインには、ドメインコントローラーのように、アカウントデータベースのコピーが多数あります。This means that, in a network domain, there are as many copies of the account database as there are domain controllers. さらに、アカウントデータベースのすべてのコピーはマスターコピーです。In addition to this, every copy of the account database is a master copy. 新しいアカウントとグループは、任意のドメインコントローラーで作成できます。New accounts and groups can be created on any domain controller. 1つのドメインコントローラーの Active Directory に加えた変更は、ドメイン内の他のすべてのドメインコントローラーにレプリケートされます。Changes that are made to Active Directory on one domain controller are replicated to all other domain controllers in the domain. アカウントデータベースの1つのマスターコピーの変更を他のすべてのマスターコピーにレプリケートするプロセスは、マルチマスター操作と呼ばれます。The process of replicating changes in one master copy of the account database to all other master copies is called a multimaster operation.

一意の相対識別子を生成するプロセスは、単一マスター操作です。The process of generating unique relative identifiers is a single-master operation. 1つのドメインコントローラーに相対識別子 (RID) マスターの役割が割り当てられており、ドメイン内の各ドメインコントローラーに一連の相対 id が割り当てられます。One domain controller is assigned the role of relative identifier (RID) master, and it allocates a sequence of relative identifiers to each domain controller in the domain. Active Directory の1つのドメインコントローラーのレプリカで新しいドメインアカウントまたはグループを作成すると、SID が割り当てられます。When a new domain account or group is created in one domain controller's replica of Active Directory, it is assigned a SID. 新しい SID の相対識別子は、ドメインコントローラーの相対的な識別子の割り当てから取得されます。The relative identifier for the new SID is taken from the domain controller's allocation of relative identifiers. 相対識別子の指定の実行が開始されると、ドメインコントローラーは RID マスターから別のブロックを要求します。When its supply of relative identifiers begins to run low, the domain controller requests another block from the RID master.

各ドメインコントローラーは、相対識別子のブロックの各値を1回のみ使用します。Each domain controller uses each value in a block of relative identifiers only once. RID マスターは、相対識別子値の各ブロックを1回だけ割り当てます。The RID master allocates each block of relative identifier values only once. このプロセスにより、ドメイン内で作成されるすべてのアカウントとグループに一意の相対識別子が確実に設定されます。This process assures that every account and group created in the domain has a unique relative identifier.

セキュリティ識別子とグローバル一意識別子Security identifiers and globally unique identifiers

新しいドメインユーザーまたはグループアカウントを作成すると、Active Directory によって、ユーザーまたはグループオブジェクトのObjectSIDプロパティにアカウントの SID が保存されます。When a new domain user or group account is created, Active Directory stores the account's SID in the ObjectSID property of a User or Group object. また、新しいオブジェクトにグローバル一意識別子 (GUID) を割り当てます。これは、企業内でのみでなく、世界中でも固有の128ビット値です。It also assigns the new object a globally unique identifier (GUID), which is a 128-bit value that is unique not only in the enterprise, but also across the world. Guid は、ユーザーオブジェクトとグループオブジェクトだけでなく Active Directory によって作成されるすべてのオブジェクトに割り当てられます。GUIDs are assigned to every object that is created by Active Directory, not only User and Group objects. 各オブジェクトの GUID は、そのObjectGUIDプロパティに格納されます。Each object's GUID is stored in its ObjectGUID property.

Active Directory では、内部で Guid を使ってオブジェクトを識別します。Active Directory uses GUIDs internally to identify objects. たとえば、GUID は、グローバルカタログで公開されているオブジェクトのプロパティの1つです。For example, the GUID is one of an object's properties that is published in the global catalog. ユーザーオブジェクト GUID のグローバルカタログを検索すると、そのユーザーが企業内のいずれかのアカウントを持っている場合に結果が得られます。Searching the global catalog for a User object GUID produces results if the user has an account somewhere in the enterprise. 実際には、 ObjectGUIDによってオブジェクトを検索する方法が最も確実であり、検索するオブジェクトを見つけることができます。In fact, searching for any object by ObjectGUID might be the most reliable way of finding the object you want to locate. 他のオブジェクトプロパティの値は変更できますが、 ObjectGUIDプロパティは変更されません。The values of other object properties can change, but the ObjectGUID property never changes. オブジェクトに GUID を割り当てると、その値は有効なままになります。When an object is assigned a GUID, it keeps that value for life.

ユーザーが別のドメインに移動した場合は、新しい SID が取得されます。If a user moves from one domain to another, the user gets a new SID. グループオブジェクトの SID は、作成元のドメインに保持されるため、変更されません。The SID for a group object does not change because groups stay in the domain where they were created. ただし、ユーザーが移動した場合は、そのアカウントも一緒に移動することができます。However, if people move, their accounts can move with them. 従業員が北米からヨーロッパに移動しても、同じ会社に留まる場合は、企業の管理者が従業員のユーザーオブジェクトを、たとえば、Contoso\NoAm から Contoso\Europe. に移動することができます。If an employee moves from North America to Europe, but stays in the same company, an administrator for the enterprise can move the employee's User object from, for example, Contoso\NoAm to Contoso\Europe. 管理者がこれを行う場合、アカウントのユーザーオブジェクトには新しい SID が必要です。If the administrator does this, the User object for the account needs a new SID. NoAm で発行される SID のドメイン識別子部分は、NoAm に対して一意です。そのため、ヨーロッパのユーザーアカウントの SID は、異なるドメイン識別子を持っています。The domain identifier portion of a SID that is issued in NoAm is unique to NoAm; so the SID for the user's account in Europe has a different domain identifier. SID の相対識別子部分は、ドメインに対して一意です。したがって、ドメインが変更されると、相対識別子も変更されます。The relative identifier portion of a SID is unique relative to the domain; so if the domain changes, the relative identifier also changes.

ユーザーオブジェクトがあるドメインから別のドメインに移動するときは、ユーザーアカウント用に新しい SID を生成し、 ObjectSIDプロパティに格納する必要があります。When a User object moves from one domain to another, a new SID must be generated for the user account and stored in the ObjectSID property. 新しい値がプロパティに書き込まれる前に、前の値がユーザーオブジェクトのSIDHistoryの別のプロパティにコピーされます。Before the new value is written to the property, the previous value is copied to another property of a User object, SIDHistory. このプロパティは、複数の値を保持することができます。This property can hold multiple values. ユーザーオブジェクトが別のドメインに移動するたびに、新しい SID が生成されてObjectSIDプロパティに格納され、別の値がSIDHistoryの古い sid の一覧に追加されます。Each time a User object moves to another domain, a new SID is generated and stored in the ObjectSID property, and another value is added to the list of old SIDs in SIDHistory. ユーザーがサインインして正常に認証されると、ドメイン認証サービスは、ユーザーの現在の SID、ユーザーの古い Sid、ユーザーのグループの Sid など、ユーザーに関連付けられているすべての Sid の Active Directory を照会します。When a user signs in and is successfully authenticated, the domain authentication service queries Active Directory for all the SIDs that are associated with the user, including the user's current SID, the user's old SIDs, and the SIDs for the user's groups. これらの Sid はすべて認証クライアントに返され、ユーザーのアクセストークンに含まれます。All these SIDs are returned to the authentication client, and they are included in the user's access token. ユーザーがリソースへのアクセス権を取得しようとすると、( SIDHistoryの sid の1つを含む) アクセストークンの任意の sid のいずれかが、ユーザーのアクセスを許可または拒否することができます。When the user tries to gain access to a resource, any one of the SIDs in the access token (including one of the SIDs in SIDHistory), can allow or deny the user access.

ユーザーが自分のジョブに基づいてリソースへのアクセスを許可または拒否する場合は、個人ではなく、グループへのアクセスを許可または拒否する必要があります。If you allow or deny users' access to a resource based on their jobs, you should allow or deny access to a group, not to an individual. こうすることで、ユーザーがジョブを変更したり、他の部署に移動したりしたときに、特定のグループから削除して他のユーザーに追加することで、簡単にアクセスできます。That way, when users change jobs or move to other departments, you can easily adjust their access by removing them from certain groups and adding them to others.

ただし、個々のユーザーに対してリソースへのアクセスを許可または拒否した場合、ユーザーのアカウントドメインが何回変更されても、そのユーザーのアクセスは変わらないようにする必要があります。However, if you allow or deny an individual user access to resources, you probably want that user's access to remain the same no matter how many times the user's account domain changes. SIDHistoryプロパティによって可能になります。The SIDHistory property makes this possible. ユーザーがドメインを変更しても、リソースのアクセス制御リスト (ACL) を変更する必要はありません。When a user changes domains, there is no need to change the access control list (ACL) on any resource. ACL にユーザーの古い SID が含まれていて、新しい SID がない場合は、以前の SID はユーザーのアクセストークンに残っています。If an ACL has the user's old SID, but not the new one, the old SID is still in the user's access token. これは、ユーザーのグループの Sid の一覧に表示され、ユーザーは古い SID に基づいてアクセスを許可または拒否されます。It is listed among the SIDs for the user's groups, and the user is granted or denied access based on the old SID.

既知の SidWell-known SIDs

特定の Sid の値は、すべてのシステムで定数になります。The values of certain SIDs are constant across all systems. これらは、オペレーティングシステムまたはドメインがインストールされたときに作成されます。They are created when the operating system or domain is installed. これらは、一般的なユーザーまたは汎用グループを識別するため、既知の Sid と呼ばれます。They are called well-known SIDs because they identify generic users or generic groups.

このセキュリティモデルを使用するセキュリティで保護されたすべてのシステム (Windows 以外のオペレーティングシステムを含む) で、意味のあるユニバーサル既知の Sid があります。There are universal well-known SIDs that are meaningful on all secure systems that use this security model, including operating systems other than Windows. さらに、Windows オペレーティングシステムでのみ意味を持つ既知の Sid もあります。In addition, there are well-known SIDs that are meaningful only on Windows operating systems.

次の表は、ユニバーサル既知の Sid を一覧にしたものです。The following table lists the universal well-known SIDs.

Value ユニバーサル既知の SIDUniversal Well-Known SID よりIdentifies
S-1-0-0S-1-0-0 Null SIDNull SID メンバーのないグループ。A group with no members. これは、SID 値が不明な場合によく使用されます。This is often used when a SID value is not known.
S-1-1-0S-1-1-0 WorldWorld すべてのユーザーを含むグループ。A group that includes all users.
S-1-2-0S-1-2-0 ローカルLocal ローカルで (物理的に) システムに接続されているターミナルにログオンしているユーザー。Users who log on to terminals that are locally (physically) connected to the system.
S-1-2-1S-1-2-1 コンソールログオンConsole Logon 物理コンソールにログオンしているユーザーを含むグループ。A group that includes users who are logged on to the physical console.
S-1-3-0S-1-3-0 Creator 所有者 IDCreator Owner ID 新しいオブジェクトを作成したユーザーのセキュリティ識別子で置き換えられるセキュリティ識別子。A security identifier to be replaced by the security identifier of the user who created a new object. この SID は、継承可能な Ace で使用されます。This SID is used in inheritable ACEs.
S-1-3-1S-1-3-1 Creator グループ IDCreator Group ID 新しいオブジェクトを作成したユーザーのプライマリグループ SID によって置き換えられるセキュリティ識別子。A security identifier to be replaced by the primary-group SID of the user who created a new object. この SID は、継承可能な Ace で使用します。Use this SID in inheritable ACEs.
S-1-3-2S-1-3-2 Creator Owner サーバーCreator Owner Server
S-1-3-3S-1-3-3 Creator グループサーバーCreator Group Server
S-1-3-4S-1-3-4 所有者権限Owner Rights オブジェクトの現在の所有者を表すグループ。A group that represents the current owner of the object. この SID を含む ACE がオブジェクトに適用されると、システムは暗黙的な READ_CONTROL を無視し、オブジェクト所有者のアクセス許可を WRITE_DAC します。When an ACE that carries this SID is applied to an object, the system ignores the implicit READ_CONTROL and WRITE_DAC permissions for the object owner.
S-1-4S-1-4 非固有の権限Non-unique Authority 識別子機関を表す SID です。A SID that represents an identifier authority.
S-1-5S-1-5 NT 権限NT Authority 識別子機関を表す SID です。A SID that represents an identifier authority.
S-1-5-80-0S-1-5-80-0 すべてのサービスAll Services システムで構成されているすべてのサービスプロセスを含むグループ。A group that includes all service processes configured on the system. メンバーシップは、オペレーティングシステムによって制御されます。Membership is controlled by the operating system.

次の表に、定義済みの識別子権限定数を示します。The following table lists the predefined identifier authority constants. 最初の4つの値は、ユニバーサル既知の Sid と共に使用され、最後の値は、[適用先] リストで指定されている Windows オペレーティングシステムの既知の sid と共に使用されます。The first four values are used with universal well-known SIDs, and the last value is used with well-known SIDs in Windows operating systems designated in the Applies To list.

識別子機関Identifier Authority Value SID 文字列プレフィックスSID String Prefix
SECURITY_NULL_SID_AUTHORITYSECURITY_NULL_SID_AUTHORITY 00 S-1-0S-1-0
SECURITY_WORLD_SID_AUTHORITYSECURITY_WORLD_SID_AUTHORITY 1 S-1-1S-1-1
SECURITY_LOCAL_SID_AUTHORITYSECURITY_LOCAL_SID_AUTHORITY 両面2 S-1-2S-1-2
SECURITY_CREATOR_SID_AUTHORITYSECURITY_CREATOR_SID_AUTHORITY -3 S-1-3S-1-3

以下の RID 値は、ユニバーサル既知の Sid と共に使用されます。The following RID values are used with universal well-known SIDs. [識別子の権限の欄には、ユニバーサル既知の SID を作成するために RID を組み合わせることができる識別子機関の接頭辞が表示されます。The Identifier authority column shows the prefix of the identifier authority with which you can combine the RID to create a universal well-known SID.

相対識別子機関Relative Identifier Authority Value 識別子機関Identifier Authority
SECURITY_NULL_RIDSECURITY_NULL_RID 00 S-1-0S-1-0
SECURITY_WORLD_RIDSECURITY_WORLD_RID 00 S-1-1S-1-1
SECURITY_LOCAL_RIDSECURITY_LOCAL_RID 00 S-1-2S-1-2
SECURITY_CREATOR_OWNER_RIDSECURITY_CREATOR_OWNER_RID 00 S-1-3S-1-3
SECURITY_CREATOR_GROUP_RIDSECURITY_CREATOR_GROUP_RID 1 S-1-3S-1-3

セキュリティ \ _NT \ _AUTHORITY (S-1-5) の定義済み識別子機関は、ユニバーサルではない Sid を生成し、このトピックの最初の「適用先」リストで指定されている Windows オペレーティングシステムのインストールでのみ意味を持ちます。The SECURITY_NT_AUTHORITY (S-1-5) predefined identifier authority produces SIDs that are not universal and are meaningful only in installations of the Windows operating systems that are designated in the Applies To list at the beginning of this topic. 次の表は、既知の Sid を一覧にしたものです。The following table lists the well-known SIDs.

SIDSID 表示名Display Name 説明Description
S-1-5-1S-1-5-1 DialupDialup ダイヤルアップ接続を使ってシステムにログオンしているすべてのユーザーを含むグループ。A group that includes all users who are logged on to the system by means of a dial-up connection.
S-1-5-113S-1-5-113 ローカルアカウントLocal account この SID は、"管理者" や同等のものではなく、ネットワークログオンをローカルアカウントに制限する場合に使用できます。You can use this SID when restricting network logon to local accounts instead of "administrator" or equivalent. この SID は、実際に名前が付けられているかどうかに関係なく、ローカルユーザーやグループに対してネットワークログオンをブロックする場合に効果的です。This SID can be effective in blocking network logon for local users and groups by account type regardless of what they are actually named.
S-1-5-114S-1-5-114 ローカルアカウントと管理者グループのメンバーLocal account and member of Administrators group この SID は、"管理者" や同等のものではなく、ネットワークログオンをローカルアカウントに制限する場合に使用できます。You can use this SID when restricting network logon to local accounts instead of "administrator" or equivalent. この SID は、実際に名前が付けられているかどうかに関係なく、ローカルユーザーやグループに対してネットワークログオンをブロックする場合に効果的です。This SID can be effective in blocking network logon for local users and groups by account type regardless of what they are actually named.
S-1-5-2S-1-5-2 ネットワークNetwork ネットワーク接続を使ってログオンしているすべてのユーザーを含むグループ。A group that includes all users who are logged on by means of a network connection. 対話型ユーザーのアクセストークンには、ネットワーク SID が含まれていません。Access tokens for interactive users do not contain the Network SID.
S-1-5-3S-1-5-3 バッチBatch タスクスケジューラジョブなどのバッチキュー機能を使ってログオンしているすべてのユーザーを含むグループ。A group that includes all users who have logged on by means of a batch queue facility, such as task scheduler jobs.
S-1-5-4S-1-5-4 双方Interactive 対話型でログインするすべてのユーザーを含むグループ。A group that includes all users who log on interactively. ユーザーは、リモートコンピューターからリモートデスクトップサービス接続を開くか、または Telnet などのリモートシェルを使って、キーボードで直接ログインして、対話形式のログオンセッションを開始できます。A user can start an interactive logon session by logging on directly at the keyboard, by opening a Remote Desktop Services connection from a remote computer, or by using a remote shell such as Telnet. どちらの場合も、ユーザーのアクセストークンには対話型 SID が含まれています。In each case, the user's access token contains the Interactive SID. ユーザーがリモートデスクトップサービス接続を使用してサインインした場合、ユーザーのアクセストークンにはリモート対話型ログオン SID も含まれます。If the user signs in by using a Remote Desktop Services connection, the user's access token also contains the Remote Interactive Logon SID.
S-1-5-5- X-YS-1-5-5- X-Y ログオンセッションLogon Session これらの Sid のXYの値は、特定のログオンセッションを一意に識別します。The X and Y values for these SIDs uniquely identify a particular logon session.
S-1-5-6S-1-5-6 サービスService サービスとしてサインインしているすべてのセキュリティプリンシパルを含むグループ。A group that includes all security principals that have signed in as a service.
S-1-5-7S-1-5-7 Anonymous LogonAnonymous Logon ユーザー名とパスワードを指定せずにコンピューターに接続したユーザー。A user who has connected to the computer without supplying a user name and password.
Anonymous Logon id は、匿名 web アクセス用のインターネットインフォメーションサービス (IIS) で使用される id とは異なります。The Anonymous Logon identity is different from the identity that is used by Internet Information Services (IIS) for anonymous web access. IIS では、web サイト上のリソースへの匿名アクセスについて、実際のアカウント (既定では IUSR_ ComputerName) が使用されます。IIS uses an actual account—by default, IUSR_ ComputerName, for anonymous access to resources on a website. ただし、このようなアクセスは匿名ではありません。これは、不明なユーザーがアカウントを使用していてもセキュリティプリンシパルが認識されるためです。Strictly speaking, such access is not anonymous because the security principal is known even though unidentified people are using the account. IUSR_ ComputerName (またはアカウントに名前を指定した場合) にはパスワードが設定されています。サービスが開始されると、IIS はアカウントにログインします。IUSR_ ComputerName (or whatever you name the account) has a password, and IIS logs on the account when the service starts. この結果、IIS の "匿名" ユーザーは認証済みユーザーのメンバーになりますが、Anonymous Logon は行われません。As a result, the IIS "anonymous" user is a member of Authenticated Users but Anonymous Logon is not.
S-1-5-8S-1-5-8 プロキシProxy 現在は適用されません: この SID は使用されません。Does not currently apply: this SID is not used.
S-1-5-9S-1-5-9 エンタープライズドメインコントローラーEnterprise Domain Controllers ドメインのフォレスト内のすべてのドメインコントローラーを含むグループ。A group that includes all domain controllers in a forest of domains.
S-1-5-10S-1-5-10 セルフSelf Active Directory のユーザー、グループ、またはコンピューターオブジェクトの ACE のプレースホルダー。A placeholder in an ACE for a user, group, or computer object in Active Directory. Self にアクセス許可を付与すると、そのオブジェクトによって表されるセキュリティプリンシパルに権限が付与されます。When you grant permissions to Self, you grant them to the security principal that is represented by the object. Access のチェックでは、SID は、オブジェクトによって表されるセキュリティプリンシパルの SID と共に、オペレーティングシステムによって自動的に置き換えられます。During an access check, the operating system replaces the SID for Self with the SID for the security principal that is represented by the object.
S-1-5-11S-1-5-11 認証済みユーザーAuthenticated Users 認証された id を持つすべてのユーザーとコンピューターを含むグループ。A group that includes all users and computers with identities that have been authenticated. 認証されたユーザーには、ゲストアカウントにパスワードがある場合でもゲストは含まれません。Authenticated Users does not include Guest even if the Guest account has a password.
このグループには、現在のドメインのみでなく、すべての信頼されたドメインの認証済みセキュリティプリンシパルが含まれます。This group includes authenticated security principals from any trusted domain, not only the current domain.
S-1-5-12S-1-5-12 制限されたコードRestricted Code 制限付きのセキュリティコンテキストで実行されているプロセスによって使用される id。An identity that is used by a process that is running in a restricted security context. Windows および Windows Server オペレーティングシステムでは、ソフトウェア制限ポリシーは、制限なし、制限あり、または禁止されているコードに、3つのセキュリティレベルのいずれかを割り当てることができます。In Windows and Windows Server operating systems, a software restriction policy can assign one of three security levels to code: unrestricted, restricted, or disallowed. 制限されたセキュリティレベルでコードが実行されると、制限された SID がユーザーのアクセストークンに追加されます。When code runs at the restricted security level, the Restricted SID is added to the user's access token.
S-1-5-13S-1-5-13 ターミナルサーバーユーザーTerminal Server User リモートデスクトップサービスが有効になっているサーバーにサインインしたすべてのユーザーを含むグループ。A group that includes all users who sign in to a server with Remote Desktop Services enabled.
S-1-5-14S-1-5-14 リモート対話型ログオンRemote Interactive Logon リモートデスクトップ接続を使用してコンピューターにログオンしているすべてのユーザーを含むグループ。A group that includes all users who log on to the computer by using a remote desktop connection. このグループは、対話型グループのサブセットです。This group is a subset of the Interactive group. リモート対話型ログオン SID を含むアクセストークンにも、対話型 SID が含まれています。Access tokens that contain the Remote Interactive Logon SID also contain the Interactive SID.
S-1-5-15S-1-5-15 組織This Organization 同じ組織内のすべてのユーザーを含むグループ。A group that includes all users from the same organization. Active Directory アカウントのみに含まれており、ドメインコントローラーによってのみ追加されます。Only included with Active Directory accounts and only added by a domain controller.
S-1-5-17S-1-5-17 IIS_USRSIIS_USRS 既定のインターネットインフォメーションサービス (IIS) ユーザーによって使用されるアカウント。An account that is used by the default Internet Information Services (IIS) user.
S-1-5-18S-1-5-18 システム (または LocalSystem)System (or LocalSystem) オペレーティングシステムによってローカルで使用される id と、LocalSystem としてサインインするように構成されているサービス。An identity that is used locally by the operating system and by services that are configured to sign in as LocalSystem.
システムは管理者の非表示メンバーです。System is a hidden member of Administrators. つまり、System として実行されているすべてのプロセスには、そのアクセストークン内の組み込みの Administrators グループの SID が含まれます。That is, any process running as System has the SID for the built-in Administrators group in its access token.
システムとしてローカルで実行されているプロセスがネットワークリソースにアクセスするときには、コンピューターのドメイン id を使用します。When a process that is running locally as System accesses network resources, it does so by using the computer's domain identity. リモートコンピューター上のアクセストークンには、ローカルコンピューターのドメインアカウントの SID と、コンピューターがメンバーであるセキュリティグループの sid (ドメインコンピューターや認証済みユーザーなど) が含まれます。Its access token on the remote computer includes the SID for the local computer's domain account plus SIDs for security groups that the computer is a member of, such as Domain Computers and Authenticated Users.
S-1-5-19S-1-5-19 NT Authority (LocalService)NT Authority (LocalService) コンピューターにローカルなサービスによって使用される id では、広範囲のローカルアクセスは必要ありません。また、認証されたネットワークアクセスは必要ありません。An identity that is used by services that are local to the computer, have no need for extensive local access, and do not need authenticated network access. LocalService として実行されるサービスは、通常ユーザーとしてローカルリソースにアクセスし、ネットワークリソースに匿名ユーザーとしてアクセスします。Services that run as LocalService access local resources as ordinary users, and they access network resources as anonymous users. このため、LocalService として実行されるサービスは、LocalSystem としてローカルおよびネットワーク上で実行されるサービスよりも、非常に少ない権限を持ちます。As a result, a service that runs as LocalService has significantly less authority than a service that runs as LocalSystem locally and on the network.
S-1-5-20S-1-5-20 ネットワークサービスNetwork Service 広範囲のローカルアクセスを必要とせず、認証済みのネットワークアクセスを必要とするサービスによって使用される id です。An identity that is used by services that have no need for extensive local access but do need authenticated network access. NetworkService として実行されているサービスは、ローカルリソースに通常のユーザーとしてアクセスし、コンピューターの id を使ってネットワークリソースにアクセスします。Services running as NetworkService access local resources as ordinary users and access network resources by using the computer's identity. このため、NetworkService として実行されるサービスは、LocalSystem として実行されるサービスと同じネットワークアクセスを持ちますが、ローカルアクセスが大幅に低下しています。As a result, a service that runs as NetworkService has the same network access as a service that runs as LocalSystem, but it has significantly reduced local access.
S-1-5-ドメイン-500S-1-5-domain-500 管理者Administrator システム管理者のユーザーアカウント。A user account for the system administrator. すべてのコンピューターにはローカル管理者アカウントがあり、すべてのドメインにはドメイン管理者アカウントがあります。Every computer has a local Administrator account and every domain has a domain Administrator account.
管理者アカウントは、オペレーティングシステムのインストール中に作成される最初のアカウントです。The Administrator account is the first account created during operating system installation. アカウントを削除、無効化、またはロック解除することはできませんが、名前を変更することはできます。The account cannot be deleted, disabled, or locked out, but it can be renamed.
既定では、管理者アカウントは管理者グループのメンバーであり、そのグループから削除することはできません。By default, the Administrator account is a member of the Administrators group, and it cannot be removed from that group.
S-1-5-ドメイン-501S-1-5-domain-501 ゲストGuest 個別のアカウントを持っていないユーザーのユーザーアカウント。A user account for people who do not have individual accounts. すべてのコンピューターにはローカルのゲストアカウントがあり、すべてのドメインにはドメインゲストアカウントがあります。Every computer has a local Guest account, and every domain has a domain Guest account.
既定では、Guest は Everyone と Guests グループのメンバーです。By default, Guest is a member of the Everyone and the Guests groups. また、ドメインのゲストアカウントは、ドメインのゲストとドメインユーザーグループのメンバーでもあります。The domain Guest account is also a member of the Domain Guests and Domain Users groups.
Anonymous Logon とは異なり、ゲストは実際のアカウントであり、対話形式でログオンするために使うことができます。Unlike Anonymous Logon, Guest is a real account, and it can be used to log on interactively. ゲストアカウントにはパスワードは必要ありませんが、パスワードを設定することはできます。The Guest account does not require a password, but it can have one.
S-1-5-ドメイン-502S-1-5-domain-502 krbtgtkrbtgt キー配布センター (KDC) サービスで使用されるユーザーアカウント。A user account that is used by the Key Distribution Center (KDC) service. アカウントは、ドメインコントローラーにのみ存在します。The account exists only on domain controllers.
S-1-5-ドメイン-512S-1-5-domain-512 ドメイン管理者Domain Admins ドメインを管理する権限が与えられているメンバーを含むグローバルグループ。A global group with members that are authorized to administer the domain. 既定では、domain Admins グループは、ドメインコントローラーなど、ドメインに参加したすべてのコンピューターの管理者グループのメンバーになっています。By default, the Domain Admins group is a member of the Administrators group on all computers that have joined the domain, including domain controllers.
[Domain Admins] は、グループのすべてのメンバーによってドメインの Active Directory 内に作成されるオブジェクトの既定の所有者です。Domain Admins is the default owner of any object that is created in the domain's Active Directory by any member of the group. グループのメンバーがファイルなどの他のオブジェクトを作成する場合、既定の所有者は [管理者] グループです。If members of the group create other objects, such as files, the default owner is the Administrators group.
S-1-5-ドメイン-513S-1-5-domain-513 ドメインユーザーDomain Users ドメイン内のすべてのユーザーを含むグローバルグループ。A global group that includes all users in a domain. Active Directory で新しいユーザーオブジェクトを作成すると、ユーザーはこのグループに自動的に追加されます。When you create a new User object in Active Directory, the user is automatically added to this group.
S-1-5-ドメイン-514S-1-5-domain-514 ドメインゲストDomain Guests 既定では、グローバルグループには、ドメインの組み込みのゲストアカウントであるメンバーが1つしかありません。A global group, which by default, has only one member: the domain's built-in Guest account.
S-1-5-ドメイン-515S-1-5-domain-515 ドメインコンピューターDomain Computers ドメインコントローラーを除く、ドメインに参加しているすべてのコンピューターを含むグローバルグループ。A global group that includes all computers that have joined the domain, excluding domain controllers.
S-1-5-ドメイン-516S-1-5-domain-516 ドメインコントローラーDomain Controllers ドメイン内のすべてのドメインコントローラーを含むグローバルグループ。A global group that includes all domain controllers in the domain. 新しいドメインコントローラーは、このグループに自動的に追加されます。New domain controllers are added to this group automatically.
S-1-5-ドメイン-517S-1-5-domain-517 Cert パブリッシャーCert Publishers エンタープライズ証明機関をホストするすべてのコンピューターを含むグローバルグループ。A global group that includes all computers that host an enterprise certification authority.
Cert パブリッシャーは、Active Directory のユーザーオブジェクトの証明書を発行することを許可されています。Cert Publishers are authorized to publish certificates for User objects in Active Directory.
S-1-5-ルートドメイン-518S-1-5-root domain-518 Schema AdminsSchema Admins フォレストのルートドメインにのみ存在するグループ。A group that exists only in the forest root domain. これは、ドメインがネイティブモードの場合はユニバーサルグループであり、ドメインが混在モードの場合はグローバルグループになります。It is a universal group if the domain is in native mode, and it is a global group if the domain is in mixed mode. Schema Admins グループは、Active Directory でスキーマを変更することを許可されています。The Schema Admins group is authorized to make schema changes in Active Directory. 既定では、グループの唯一のメンバーは、フォレストルートドメインの管理者アカウントです。By default, the only member of the group is the Administrator account for the forest root domain.
S-1-5-ルートドメイン-519S-1-5-root domain-519 エンタープライズ管理者Enterprise Admins フォレストのルートドメインにのみ存在するグループ。A group that exists only in the forest root domain. これは、ドメインがネイティブモードの場合はユニバーサルグループであり、ドメインが混在モードの場合はグローバルグループになります。It is a universal group if the domain is in native mode, and it is a global group if the domain is in mixed mode.
Enterprise Admins グループは、フォレストインフラストラクチャに変更を加えることを許可されています。これには、子ドメインの追加、サイトの構成、DHCP サーバーの承認、エンタープライズ証明機関のインストールなどがあります。The Enterprise Admins group is authorized to make changes to the forest infrastructure, such as adding child domains, configuring sites, authorizing DHCP servers, and installing enterprise certification authorities.
既定では、Enterprise Admins の唯一のメンバーは、フォレストルートドメインの管理者アカウントです。By default, the only member of Enterprise Admins is the Administrator account for the forest root domain. グループは、フォレスト内のすべての Domain Admins グループの既定のメンバーです。The group is a default member of every Domain Admins group in the forest.
S-1-5-ドメイン-520S-1-5-domain-520 グループポリシーの作成者Group Policy Creator Owners Active Directory で新しいグループポリシーオブジェクトを作成する権限を持つグローバルグループ。A global group that is authorized to create new Group Policy Objects in Active Directory. 既定では、グループの唯一のメンバーは管理者です。By default, the only member of the group is Administrator.
グループポリシー Creator の所有者のメンバーによって作成されたオブジェクトは、それらを作成した個々のユーザーによって所有されます。Objects that are created by members of Group Policy Creator Owners are owned by the individual user who creates them. このように、グループポリシーの作成者グループは、他の管理グループ (管理者、ドメイン管理者など) とは異なります。In this way, the Group Policy Creator Owners group is unlike other administrative groups (such as Administrators and Domain Admins). これらのグループのメンバーによって作成されたオブジェクトは、個人ではなくグループによって所有されます。Objects that are created by members of these groups are owned by the group rather than by the individual.
S-1-5-ドメイン-553S-1-5-domain-553 RAS と IAS サーバーRAS and IAS Servers ローカルドメイングループ。A local domain group. 既定では、このグループにはメンバーがありません。By default, this group has no members. ルーティングとリモートアクセスサービスを実行しているコンピューターは、自動的にグループに追加されます。Computers that are running the Routing and Remote Access service are added to the group automatically.
このグループのメンバーは、アカウントの制限の読み取り、ログオン情報の読み取り、リモートアクセスの情報の読み取りなど、ユーザーオブジェクトの特定のプロパティにアクセスできます。Members of this group have access to certain properties of User objects, such as Read Account Restrictions, Read Logon Information, and Read Remote Access Information.
S-1-5-32-544S-1-5-32-544 管理者Administrators ビルトイングループ。A built-in group. オペレーティングシステムを最初にインストールした後は、グループの唯一のメンバーが管理者アカウントになります。After the initial installation of the operating system, the only member of the group is the Administrator account. コンピューターがドメインに参加すると、[Domain Admins] グループが [管理者] グループに追加されます。When a computer joins a domain, the Domain Admins group is added to the Administrators group. サーバーがドメインコントローラーになると、[エンタープライズ管理者] グループも [管理者] グループに追加されます。When a server becomes a domain controller, the Enterprise Admins group also is added to the Administrators group.
S-1-5-32-545S-1-5-32-545 ユーザーUsers ビルトイングループ。A built-in group. オペレーティングシステムを最初にインストールした後、唯一のメンバーは [Authenticated Users] グループです。After the initial installation of the operating system, the only member is the Authenticated Users group.
S-1-5-32-546S-1-5-32-546 ゲストGuests ビルトイングループ。A built-in group. 既定では、唯一のメンバーはゲストアカウントです。By default, the only member is the Guest account. Guests グループを使用すると、臨時または1回のユーザーが、制限された権限でコンピューターの組み込みのゲストアカウントにログオンすることができます。The Guests group allows occasional or one-time users to log on with limited privileges to a computer's built-in Guest account.
S-1-5-32-547S-1-5-32-547 Power UsersPower Users ビルトイングループ。A built-in group. 既定では、グループにメンバーはありません。By default, the group has no members. Power users はローカルユーザーとグループを作成できます。作成したアカウントを変更および削除する[Power Users]、[ユーザー]、[ゲスト] の各グループからユーザーを削除します。Power users can create local users and groups; modify and delete accounts that they have created; and remove users from the Power Users, Users, and Guests groups. Power users は、プログラムをインストールすることもできます。ローカルプリンターの作成、管理、削除を行います。ファイル共有を作成および削除します。Power users also can install programs; create, manage, and delete local printers; and create and delete file shares.
S-1-5-32-548S-1-5-32-548 Account OperatorsAccount Operators ドメインコントローラーにのみ存在するビルトイングループ。A built-in group that exists only on domain controllers. 既定では、グループにメンバーはありません。By default, the group has no members. 既定では、Account Operators は、Builtin container と Domain Controllers OU を除き、すべてのコンテナーと組織単位のユーザー、グループ、コンピューターのアカウントを作成、変更、削除するアクセス許可を持っています。By default, Account Operators have permission to create, modify, and delete accounts for users, groups, and computers in all containers and organizational units of Active Directory except the Builtin container and the Domain Controllers OU. アカウントオペレーターには、管理者グループとドメイン管理者グループを変更するアクセス許可はありません。また、それらのグループのメンバーのアカウントを変更するアクセス許可も付与されません。Account Operators do not have permission to modify the Administrators and Domain Admins groups, nor do they have permission to modify the accounts for members of those groups.
S-1-5-32-549S-1-5-32-549 サーバー演算子Server Operators 説明: ドメインコントローラーにのみ存在するビルトイングループ。Description: A built-in group that exists only on domain controllers. 既定では、グループにメンバーはありません。By default, the group has no members. サーバーオペレーターは対話形式でサーバーにログオンできます。ネットワーク共有を作成または削除するサービスの開始と停止ファイルをバックアップして復元するコンピューターのハードディスクの書式を設定します。を選び、コンピューターをシャットダウンします。Server Operators can log on to a server interactively; create and delete network shares; start and stop services; back up and restore files; format the hard disk of the computer; and shut down the computer.
S-1-5-32-550S-1-5-32-550 Print 演算子Print Operators ドメインコントローラーにのみ存在するビルトイングループ。A built-in group that exists only on domain controllers. 既定では、唯一のメンバーは [Domain Users] グループです。By default, the only member is the Domain Users group. Print Operators は、プリンターとドキュメントキューを管理することができます。Print Operators can manage printers and document queues.
S-1-5-32-551S-1-5-32-551 バックアップオペレーターBackup Operators ビルトイングループ。A built-in group. 既定では、グループにメンバーはありません。By default, the group has no members. バックアップオペレーターは、ファイルを保護する権限に関係なく、コンピューター上のすべてのファイルをバックアップして復元することができます。Backup Operators can back up and restore all files on a computer, regardless of the permissions that protect those files. バックアップオペレーターは、コンピューターにログオンしてシャットダウンすることもできます。Backup Operators also can log on to the computer and shut it down.
S-1-5-32-552S-1-5-32-552 Replicators ドメインコントローラーのファイルレプリケーションサービスによって使用されるビルトイングループ。A built-in group that is used by the File Replication service on domain controllers. 既定では、グループにメンバーはありません。By default, the group has no members. このグループにユーザーを追加しないでください。Do not add users to this group.
S-1-5-64-10S-1-5-64-10 NTLM 認証NTLM Authentication NTLM 認証パッケージがクライアントを認証したときに使用される SIDA SID that is used when the NTLM authentication package authenticated the client
S-1-5-64-14S-1-5-64-14 SChannel 認証SChannel Authentication SChannel 認証パッケージがクライアントを認証したときに使用される SID。A SID that is used when the SChannel authentication package authenticated the client.
S-1-5-64-21S-1-5-64-21 ダイジェスト認証Digest Authentication ダイジェスト認証パッケージがクライアントを認証したときに使用される SID。A SID that is used when the Digest authentication package authenticated the client.
S-1-5-80S-1-5-80 NT サービスNT Service NT サービスアカウントのプレフィックスとして使用される SID。A SID that is used as an NT Service account prefix.
S-1-5-80-0S-1-5-80-0 すべてのサービスAll Services システムで構成されているすべてのサービスプロセスを含むグループ。A group that includes all service processes that are configured on the system. メンバーシップは、オペレーティングシステムによって制御されます。Membership is controlled by the operating system. SID S-1-5-80-0 は NT SERVICES\ALL サービスと同じです。SID S-1-5-80-0 equals NT SERVICES\ALL SERVICES. この SID は Windows Server 2008 R2 で導入されました。This SID was introduced in Windows Server 2008 R2.
S-1-5-83-0S-1-5-83-0 NT VIRTUAL MACHINE\Virtual マシンNT VIRTUAL MACHINE\Virtual Machines ビルトイングループ。A built-in group. このグループは、Hyper-v の役割がインストールされたときに作成されます。The group is created when the Hyper-V role is installed. グループのメンバーシップは、Hyper-v 管理サービス (VMMS) によって管理されます。Membership in the group is maintained by the Hyper-V Management Service (VMMS). このグループには、[シンボリックリンクの作成] 権利 (SeCreateSymbolicLinkPrivilege)、さらに [サービスとしてログオンする] (seservicelogonright) が必要です。This group requires the Create Symbolic Links right (SeCreateSymbolicLinkPrivilege), and also the Log on as a Service right (SeServiceLogonRight).
S-1-16-0S-1-16-0 信頼されていない必須レベルUntrusted Mandatory Level 信頼されていない整合性レベルを表す SID。A SID that represents an untrusted integrity level.
S-1-16-4096S-1-16-4096 必須レベル低Low Mandatory Level 低整合性レベルを表す SID。A SID that represents a low integrity level.
S-1-16-8192S-1-16-8192 メディア必須レベルMedium Mandatory Level この SID は、medium 整合性レベルを表します。This SID represents a medium integrity level.
S-1-16-8448S-1-16-8448 Medium Plus 必須レベルMedium Plus Mandatory Level Medium plus の整合性レベルを表す SID。A SID that represents a medium plus integrity level.
S-1-16-12288S-1-16-12288 高必須レベルHigh Mandatory Level 高整合性レベルを表す SID。A SID that represents a high integrity level.
S-1-16-16384S-1-16-16384 システムの必須レベルSystem Mandatory Level システムの整合性レベルを表す SID。A SID that represents a system integrity level.
S-1-16-20480S-1-16-20480 保護されたプロセスの必須レベルProtected Process Mandatory Level 保護されたプロセスの整合性レベルを表す SID。A SID that represents a protected-process integrity level.
S-1-16-28672S-1-16-28672 セキュリティで保護されたプロセスの必須レベルSecure Process Mandatory Level セキュリティで保護されたプロセス整合性レベルを表す SID。A SID that represents a secure process integrity level.

以下の Rid は各ドメインに関連しています。The following RIDs are relative to each domain.

RIDRID よりIdentifies
DOMAIN_USER_RID_ADMINDOMAIN_USER_RID_ADMIN ドメインの管理者ユーザーアカウント。The administrative user account in a domain.
DOMAIN_USER_RID_GUESTDOMAIN_USER_RID_GUEST ドメイン内のゲストユーザーアカウント。The guest-user account in a domain. アカウントを持っていないユーザーは、このアカウントに自動的にサインインすることができます。Users who do not have an account can automatically sign in to this account.
DOMAIN_GROUP_RID_USERSDOMAIN_GROUP_RID_USERS ドメイン内のすべてのユーザーアカウントを含むグループ。A group that contains all user accounts in a domain. このグループには、すべてのユーザーが自動的に追加されます。All users are automatically added to this group.
DOMAIN_GROUP_RID_GUESTSDOMAIN_GROUP_RID_GUESTS ドメイン内のグループゲストアカウント。The group Guest account in a domain.
DOMAIN_GROUP_RID_COMPUTERSDOMAIN_GROUP_RID_COMPUTERS ドメインコンピューターグループ。The Domain Computer group. ドメイン内のすべてのコンピューターは、このグループのメンバーになっています。All computers in the domain are members of this group.
DOMAIN_GROUP_RID_CONTROLLERSDOMAIN_GROUP_RID_CONTROLLERS ドメインコントローラーグループ。The Domain Controller group. ドメイン内のすべてのドメインコントローラーは、このグループのメンバーになっています。All domain controllers in the domain are members of this group.
DOMAIN_GROUP_RID_CERT_ADMINSDOMAIN_GROUP_RID_CERT_ADMINS 証明書発行元のグループ。The certificate publishers' group. Active Directory 証明書サービスを実行しているコンピューターは、このグループのメンバーです。Computers running Active Directory Certificate Services are members of this group.
DOMAIN_GROUP_RID_SCHEMA_ADMINSDOMAIN_GROUP_RID_SCHEMA_ADMINS スキーマ管理者のグループ。The schema administrators' group. このグループのメンバーは Active Directory スキーマを変更できます。Members of this group can modify the Active Directory schema.
DOMAIN_GROUP_RID_ENTERPRISE_ADMINSDOMAIN_GROUP_RID_ENTERPRISE_ADMINS エンタープライズ管理者のグループ。The enterprise administrators' group. このグループのメンバーは、Active Directory フォレスト内のすべてのドメインへのフルアクセス権を持っています。Members of this group have full access to all domains in the Active Directory forest. エンタープライズ管理者は、新しいドメインの追加や削除など、フォレストレベルの操作を担当します。Enterprise administrators are responsible for forest-level operations such as adding or removing new domains.
DOMAIN_GROUP_RID_POLICY_ADMINSDOMAIN_GROUP_RID_POLICY_ADMINS ポリシー管理者のグループ。The policy administrators' group.

次の表では、ローカルグループの既知の Sid を形成するために使用されるドメイン相対 Rid の例を示します。The following table provides examples of domain-relative RIDs that are used to form well-known SIDs for local groups.

RIDRID よりIdentifies
DOMAIN_ALIAS_RID_ADMINSDOMAIN_ALIAS_RID_ADMINS ドメインの管理者。Administrators of the domain.
DOMAIN_ALIAS_RID_USERSDOMAIN_ALIAS_RID_USERS ドメイン内のすべてのユーザー。All users in the domain.
DOMAIN_ALIAS_RID_GUESTSDOMAIN_ALIAS_RID_GUESTS ドメインのゲスト。Guests of the domain.
DOMAIN_ALIAS_RID_POWER_USERSDOMAIN_ALIAS_RID_POWER_USERS 複数のユーザー向けのワークステーションとしてではなく、個人のコンピューターであるかのようにシステムを扱うことを想定しているユーザーまたはユーザーのセット。A user or a set of users who expect to treat a system as if it were their personal computer rather than as a workstation for multiple users.
DOMAIN_ALIAS_RID_BACKUP_OPSDOMAIN_ALIAS_RID_BACKUP_OPS ファイルのバックアップと復元のユーザー権利の割り当てを制御するために使用されるローカルグループ。A local group that is used to control the assignment of file backup-and-restore user rights.
DOMAIN_ALIAS_RID_REPLICATORDOMAIN_ALIAS_RID_REPLICATOR プライマリドメインコントローラーからバックアップドメインコントローラーへのセキュリティデータベースのコピーを担当するローカルグループ。A local group that is responsible for copying security databases from the primary domain controller to the backup domain controllers. これらのアカウントは、システムによってのみ使用されます。These accounts are used only by the system.
DOMAIN_ALIAS_RID_RAS_SERVERSDOMAIN_ALIAS_RID_RAS_SERVERS リモートアクセスとインターネット認証サービス (IAS) を実行しているサーバーを表すローカルグループ。A local group that represents remote access and servers running Internet Authentication Service (IAS). このグループでは、ユーザーオブジェクトのさまざまな属性へのアクセスが許可されています。This group permits access to various attributes of User objects.

セキュリティ識別子の機能の変更Changes in security identifier's functionality

次の表では、リストに指定されている Windows オペレーティングシステムでの SID 実装の変更について説明します。The following table describes changes in SID implementation in the Windows operating systems that are designated in the list.

変更点Change オペレーティング システムのバージョンOperating system version 説明とリソースDescription and resources
ほとんどのオペレーティングシステムファイルは、TrustedInstaller セキュリティ識別子 (SID) によって所有されています。Most of the operating system files are owned by the TrustedInstaller security identifier (SID) Windows Server 2008、Windows Vista の場合Windows Server 2008, Windows Vista この変更の目的は、管理者として実行されているプロセス、または LocalSystem アカウントによって、オペレーティングシステムファイルが自動的に置き換えられないようにすることです。The purpose of this change is to prevent a process that is running as an administrator or under the LocalSystem account from automatically replacing the operating system files.
制限された SID チェックが実装されているRestricted SID checks are implemented Windows Server 2008、Windows Vista の場合Windows Server 2008, Windows Vista Sid の制限が存在する場合、Windows は2つのアクセスチェックを実行します。When restricting SIDs are present, Windows performs two access checks. 最初は通常のアクセスチェックであり、2つ目はトークンの制限された Sid に対するアクセスチェックと同じです。The first is the normal access check, and the second is the same access check against the restricting SIDs in the token. プロセスがオブジェクトにアクセスできるようにするには、両方のアクセスチェックに合格している必要があります。Both access checks must pass to allow the process to access the object.

機能の SidCapability SIDs

機能のセキュリティ識別子 (Sid) は、機能を一意に識別するために使用されます。変更Capability Security Identifiers (SIDs) are used to uniquely and immutably identify capabilities. 機能は、(ドキュメント、カメラ、場所などのリソースへのアクセスを許可する) 権限の unforgeable トークンをユニバーサル Windows アプリケーションに示します。Capabilities represent an unforgeable token of authority that grants access to resources (Examples: documents, camera, locations etc...) to Universal Windows Applications. "Has" という機能には、機能が関連付けられているリソースへのアクセス権が付与されています。また、その機能には、リソースへのアクセスが拒否されているものもあります。An App that “has” a capability is granted access to the resource the capability is associated with, and one that “does not have” a capability is denied access to the resource.

オペレーティングシステムが認識しているすべての機能 Sid は、"HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities" というパスの Windows レジストリに格納されています。All Capability SIDs that the operating system is aware of are stored in the Windows Registry in the path `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities'. 第1またはサードパーティのアプリケーションによって Windows に追加された機能 SID は、この場所に追加されます。Any Capability SID added to Windows by first or third-party applications will be added to this location.

Windows 10、バージョン1909、64ビット Enterprise edition から取得されたレジストリキーの例Examples of registry keys taken from Windows 10, version 1909, 64-bit Enterprise edition

AllCachedCapabilities の下に、次のレジストリキーが表示されることがあります。You may see the following registry keys under AllCachedCapabilities:

HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\ capabilityClass_DevUnlock HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\ capabilityClass_Enterprise HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\ capabilityClass_General HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\ capabilityClass_Restricted HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\ capabilityClass_WindowsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows

すべての機能 Sid のプレフィックスは S-1-15-3All Capability SIDs are prefixed by S-1-15-3

関連項目See also