既知の SID

既知のセキュリティ識別子 (SID) で、汎用グループと汎用ユーザーを識別できます。 たとえば、次のような既知の SID でグループとユーザーを識別できます。

  • Everyone または World。すべてのユーザーを含むグループです。
  • CREATOR_OWNER。継承可能な ACE のプレースホルダーとして使用されます。 ACE が継承された場合、CREATOR_OWNER SID がオブジェクトの作成者の SID に自動的に置き換えられます。
  • ローカル コンピューターの組み込みドメインの管理者グループ。

既知の汎用 SID も存在し、このセキュリティ モデルを使用するすべてのセキュア システム (Windows 以外の OS も含む) で機能します。 さらに、Windows システムでのみ機能する既知の SID もあります。

Windows API には、既知の識別子の機関、および相対識別子 (RID) の値の定数のセットが定義されています。 これらの定数を使用して、既知の SID を作成できます。 次の例は、SECURITY_WORLD_SID_AUTHORITY と SECURITY_WORLD_RID の定数を組み合わせて、すべてのユーザー (Everyone または World) を表す特別なグループの既知の汎用 SID を表示します。

S-1-1-0

次に、SID の文字列表記を使用する例を示します。S はこの文字列が SID であることを示します。最初の 1 は SID のリビジョン レベルであり、残り 2 桁は SECURITY_WORLD_SID_AUTHORITY 定数と SECURITY_WORLD_RID 定数を示します。

AllocateAndInitializeSid 関数を使用し、識別子の機関の値を最大 8 つのサブ認証の値と組み合わせることで SID を作成できます。 たとえば、ログオンしているユーザーが特定の既知のグループのメンバーであるかどうかを判断するには、AllocateAndInitializeSid を呼び出して既知のグループの SID を作成し、EqualSid 関数を使用して、その SID をユーザーのアクセス トークンにあるグループ SID と比較します。 その例を紹介するC++ でアクセス トークンに含まれる SID を検索するを参照してください。 FreeSid 関数を呼び出して、AllocateAndInitializeSid で割り当てられた SID を開放する必要があります。

このセクションの残りの部分で、既知の SID を作成する際に使用する既知の SID の表と、識別子の機関およびサブ機関の定数の表を示します。

いかに既知の汎用 SID をいくつか示します。

既知の汎用 SID 識別する内容
Null SID
文字列の値: S-1-0-0
メンバーのないグループ。 SID の値が不明な場合によく使用されます。
World
文字列の値: S-1-1-0
すべてのユーザーを含むグループ。
ローカル
文字列の値: S-1-2-0
システムにローカルで (物理的に) 接続している端末にログオンするユーザー。
Creator Owner ID
文字列の値: S-1-3-0
新しいオブジェクトを作成したユーザーのセキュリティ識別子に置き換えられるセキュリティ識別子。 この SID は継承可能な ACE で使用されます。
Creator Group ID
文字列の値: S-1-3-1
新しいオブジェクトを作成したユーザーのプライマリ グループ SID に置き換えられるセキュリティ識別子。 継承可能な ACE でこの SID を使用します。

次の表に、事前定義された識別子機関の定数を示します。 最初の 4 つの値は既知の汎用 SID で使用され、最後の値は Windows の既知の SID で使用されます。

識別子機関 Value 文字列値
SECURITY_NULL_SID_AUTHORITY 0 S-1-0
SECURITY_WORLD_SID_AUTHORITY 1 S-1-1
SECURITY_LOCAL_SID_AUTHORITY 2 S-1-2
SECURITY_CREATOR_SID_AUTHORITY 3 S-1-3
SECURITY_NT_AUTHORITY 5 S-1-5

次の RID 値は、既知の汎用 SID で使用されます。 識別子機関列には、既知の汎用 SID を作成するために RID と組み合わせることができる識別子機関のプレフィックスを示します。

相対識別子機関 Value 文字列値
SECURITY_NULL_RID 0 S-1-0
SECURITY_WORLD_RID 0 S-1-1
SECURITY_LOCAL_RID 0 S-1-2
SECURITY_LOCAL_LOGON_RID 1 S-1-2
SECURITY_CREATOR_OWNER_RID 0 S-1-3
SECURITY_CREATOR_GROUP_RID 1 S-1-3

SECURITY_NT_AUTHORITY (S-1-5) で事前定義された識別子機関は、汎用ではなく Windows でのみ機能する SID を生成します。 次の RID 値を SECURITY_NT_AUTHORITY に使用して、既知の SID を作成できます。

定数 識別する内容
SECURITY_DIALUP_RID
文字列の値: S-1-5-1
ダイヤルアップ モデムを使用して端末にログオンするユーザー。 次はグループ識別子です。
SECURITY_NETWORK_RID
文字列の値: S-1-5-2
ネットワーク経由でログオンするユーザー。 これは、プロセスがネットワーク経由でログオンされたときに、プロセスのトークンに追加されるグループ識別子です。 対応するログオンの種類は LOGON32_LOGON_NETWORK。
SECURITY_BATCH_RID
文字列の値: S-1-5-3
バッチ キュー機能を使用してログオンするユーザー。 次は、プロセスがバッチ ジョブとしてログに記録された場合に処理のトークンに追加されるグループ識別子です。 対応するログオンタイプは LOGON32_LOGON_BATCH です。
SECURITY_INTERACTIVE_RID
文字列の値: S-1-5-4
対話型の操作にログオンするユーザー。 これは、プロセスが対話形式でログオンされたときに、プロセスのトークンに追加されるグループ識別子です。 対応するログオンの種類は LOGON32_LOGON_INTERACTIVE。
SECURITY_LOGON_IDS_RID
文字列の値: S-1-5-5-*X*-*Y*
ログオン セッション。 特定のログオン セッション内のプロセスのみに、そのセッションのウィンドウ ステーション オブジェクトへのアクセスを許可するために使用されます。 これらの SID の X 値と Y 値は、ログオン セッションごとに異なります。 SECURITY_LOGON_IDS_RID_COUNT の値は、この識別子 (5-X-Y) に含まれる RID の数です。
SECURITY_SERVICE_RID
文字列の値: S-1-5-6
サービスとしてログオンする権限を持つアカウント。 これは、プロセスがサービスとしてログオンされたときに、プロセスのトークンに追加されるグループ識別子です。 対応するログオンの種類は LOGON32_LOGON_SERVICE。
SECURITY_ANONYMOUS_LOGON_RID
文字列の値: S-1-5-7
匿名ログオン、または null セッション ログオン。
SECURITY_PROXY_RID
文字列の値: S-1-5-8
プロキシ。
SECURITY_ENTERPRISE_CONTROLLERS_RID
文字列の値: S-1-5-9
エンタープライズ コントローラー。
SECURITY_PRINCIPAL_SELF_RID
文字列の値: S-1-5-10
PRINCIPAL_SELF セキュリティ識別子は、ユーザーまたはグループ オブジェクトの ACL で使用されます。 アクセス チェック中に、SID がオブジェクトの SID に自動的に置き換えられます。 PRINCIPAL_SELF SID は、ACE を継承するユーザーまたはグループ オブジェクトに適用される継承可能な ACE を指定する場合に便利です。 これが、スキーマの既定のセキュリティ記述子で作成されたオブジェクトの SID を表す唯一の方法です。
SECURITY_AUTHENTICATED_USER_RID
文字列の値: S-1-5-11
認証されたユーザー。
SECURITY_RESTRICTED_CODE_RID
文字列の値: S-1-5-12
制限されたコード。
SECURITY_TERMINAL_SERVER_RID
文字列の値: S-1-5-13
ターミナル サービス。 ターミナル サーバーにログオンするユーザーのセキュリティ トークンに自動的に追加されます。
SECURITY_LOCAL_SYSTEM_RID
文字列の値: S-1-5-18
オペレーティング システムで使用される特別なアカウント。
SECURITY_NT_NON_UNIQUE
文字列の値: S-1-5-21
SIDS は一意ではありません。
SECURITY_BUILTIN_DOMAIN_RID
文字列の値: S-1-5-32
組み込みシステムのドメイン。
SECURITY_WRITE_RESTRICTED_CODE_RID
文字列の値: S-1-5-33
書き込みが制限されたコード。

次の RID は、各ドメインに関連しています。

RID 識別する内容
DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP
値: 0x0000023E
分散コンポーネント オブジェクト モデル (DCOM) を使用して証明機関に接続できるユーザーのグループ。
DOMAIN_USER_RID_ADMIN
値: 0x000001F4
ドメイン内の管理ユーザー アカウント。
DOMAIN_USER_RID_GUEST
値: 0x000001F5
ドメイン内のゲスト ユーザー アカウント。 アカウントを持たないユーザーは、このアカウントで自動的にログオンされます。
DOMAIN_GROUP_RID_ADMINS
値: 0x00000200
ドメイン管理者のグループ。 このアカウントは、サーバーのオペレーティング システムを実行しているシステムにのみ存在します。
DOMAIN_GROUP_RID_USERS
値: 0x00000201
ドメイン内のすべてのユーザー アカウントを含むグループ。 このグループにはすべてのユーザーが自動的に追加されます。
DOMAIN_GROUP_RID_GUESTS
値: 0x00000202
ドメイン内のゲスト グループ アカウント。
DOMAIN_GROUP_RID_COMPUTERS
値: 0x00000203
ドメイン コンピューターのグループ。 ドメイン内のすべてのコンピューターが、このグループのメンバーです。
DOMAIN_GROUP_RID_CONTROLLERS
値: 0x00000204
ドメイン コントローラーのグループ。 ドメイン内のすべての DC が、このグループのメンバーです。
DOMAIN_GROUP_RID_CERT_ADMINS
値: 0x00000205
証明書の発行元グループ。 証明書サービスを実行しているコンピューターが、このグループのメンバーです。
DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS
値: 0x000001F2
エンタープライズの読み取り専用ドメイン コントローラーのグループ。
DOMAIN_GROUP_RID_SCHEMA_ADMINS
値: 0x00000206
スキーマ管理者のグループ。 このグループのメンバーは、Active Directory スキーマを変更できます。
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS
値: 0x00000207
エンタープライズ管理者のグループ。 このグループのメンバーには、Active Directory フォレスト内のすべてのドメインへのフル アクセス権があります。 エンタープライズ管理者は、新しいドメインの追加や削除などのフォレスト レベルの操作を担当します。
DOMAIN_GROUP_RID_POLICY_ADMINS
値: 0x00000208
ポリシー管理者のグループ。
DOMAIN_GROUP_RID_READONLY_CONTROLLERS
値: 0x00000209
読み取り専用ドメイン コントローラーのグループ。
DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS
値: 0x0000020A
複製可能なドメイン コントローラーのグループ。
DOMAIN_GROUP_RID_CDC_RESERVED
値: 0x0000020C
予約済み CDC グループ。
DOMAIN_GROUP_RID_PROTECTED_USERS
値: 0x0000020D
保護対象のユーザー グループ。
DOMAIN_GROUP_RID_KEY_ADMINS
値: 0x0000020E
キー管理者のグループ。
DOMAIN_GROUP_RID_ENTERPRISE_KEY_ADMINS
値: 0x0000020F
企業のキー管理者グループ。

次の RID は、必須の整合性レベルを指定するために使用されます。

RID Value 識別する内容
SECURITY_MANDATORY_UNTRUSTED_RID 0x00000000 非信頼。
SECURITY_MANDATORY_LOW_RID 0x00001000 低い整合性。
SECURITY_MANDATORY_MEDIUM_RID 0x00002000 中程度の整合性。
SECURITY_MANDATORY_MEDIUM_PLUS_RID SECURITY_MANDATORY_MEDIUM_RID + 0x100 中から高程度の整合性。
SECURITY_MANDATORY_HIGH_RID 0X00003000 高い整合性。
SECURITY_MANDATORY_SYSTEM_RID 0x00004000 システムの整合性。
SECURITY_MANDATORY_PROTECTED_PROCESS_RID 0x00005000 保護対象のプロセス。

次の表は、ローカル グループ (エイリアス) で既知の SID を形成するために使用できるドメイン相対 RID の例を示しています。 ローカル グループとグローバル グループの詳細については、ローカル グループ関数グループ関数を参照してください。

RID 識別する内容
DOMAIN_ALIAS_RID_ADMINS
値: 0x00000220
文字列の値: S-1-5-32-544
ドメインの管理に使用されるローカル グループ。
DOMAIN_ALIAS_RID_USERS
値: 0x00000221
文字列の値: S-1-5-32-545
ドメイン内のすべてのユーザーを表すローカル グループ。
DOMAIN_ALIAS_RID_GUESTS
値: 0x00000222
文字列の値: S-1-5-32-546
ドメインのゲストを表すローカル グループ。
DOMAIN_ALIAS_RID_POWER_USERS
値: 0x00000223
文字列の値: S-1-5-32-547
システムを複数のユーザーが使用するワークステーションではなく、個人のコンピューターのように扱うことを想定しているユーザーまたはユーザー セットを表すために使用されるローカル・グループ。
DOMAIN_ALIAS_RID_ACCOUNT_OPS
値: 0x00000224
文字列の値: S-1-5-32-548
サーバー オペレーティング システムを実行しているシステムにのみ存在するローカル グループ。 このローカル グループには、管理者以外のアカウントの制御が許可されます。
DOMAIN_ALIAS_RID_SYSTEM_OPS
値: 0x00000225
文字列の値: S-1-5-32-549
サーバー オペレーティング システムを実行しているシステムにのみ存在するローカル グループ。 このローカル グループは、セキュリティ機能を除くシステム管理機能を実行します。 ネットワーク共有の確立、プリンターの制御、ワークステーションのロック解除、その他の操作の実行を行います。
DOMAIN_ALIAS_RID_PRINT_OPS
値: 0x00000226
文字列の値: S-1-5-32-550
サーバー オペレーティング システムを実行しているシステムにのみ存在するローカル グループ。 このローカル グループは、プリンターと印刷キューを制御します。
DOMAIN_ALIAS_RID_BACKUP_OPS
値: 0x00000227
文字列の値: S-1-5-32-551
ファイルのバックアップと復元の特権の割り当てを制御するために使用されるローカル グループ。
DOMAIN_ALIAS_RID_REPLICATOR
値: 0x00000228
文字列の値: S-1-5-32-552
セキュリティ データベースをプライマリ ドメイン コントローラーからバックアップ ドメイン コントローラーにコピーするローカル グループ。 これらのアカウントは、システムでのみ使用されます。
DOMAIN_ALIAS_RID_RAS_SERVERS
値: 0x00000229
文字列の値: S-1-5-32-553
RAS および IAS サーバーを表すローカル グループ。 このグループは、User オブジェクトのさまざまな属性へのアクセスを許可します。
DOMAIN_ALIAS_RID_PREW2KCOMPACCESS
値: 0x0000022A
文字列の値: S-1-5-32-554
Windows 2000 Server を実行しているシステムにのみ存在するローカル グループ。 詳細については、匿名アクセスの許可を参照してください。
DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS
値: 0x0000022B
文字列の値: S-1-5-32-555
すべてのリモート デスクトップ ユーザーを表すローカル グループ。
DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS
値: 0x0000022C
文字列の値: S-1-5-32-556
ネットワーク構成を表すローカル グループ。
DOMAIN_ALIAS_RID_INCOMING_FOREST_TRUST_BUILDERS
値: 0x0000022D
文字列の値: S-1-5-32-557
フォレストの信頼ユーザーを表すローカル グループ。
DOMAIN_ALIAS_RID_MONITORING_USERS
値: 0x0000022E
文字列の値: S-1-5-32-558
監視対象のすべてのユーザーを表すローカル グループ。
DOMAIN_ALIAS_RID_LOGGING_USERS
値: 0x0000022F
文字列の値: S-1-5-32-559
ユーザーのログを記録するローカル グループ。
DOMAIN_ALIAS_RID_AUTHORIZATIONACCESS
値: 0x00000230
文字列の値: S-1-5-32-560
すべての承認されたアクセスを表すローカル グループ。
DOMAIN_ALIAS_RID_TS_LICENSE_SERVERS
値: 0x00000231
文字列の値: S-1-5-32-561
サーバー オペレーティング システムを実行し、ターミナル サービスおよびリモート アクセスを許可するシステムにのみ存在するローカル グループ。
DOMAIN_ALIAS_RID_DCOM_USERS
値: 0x00000232
文字列の値: S-1-5-32-562
分散コンポーネント オブジェクト モデル (DCOM) を使用できるユーザーを表すローカル グループ。
DOMAIN_ALIAS_RID_IUSERS
値: 0X00000238
文字列の値: S-1-5-32-568
インターネット ユーザーを表すローカル グループ。
DOMAIN_ALIAS_RID_CRYPTO_OPERATORS
値: 0x00000239
文字列の値: S-1-5-32-569
暗号化演算子へのアクセスを表すローカル グループ。
DOMAIN_ALIAS_RID_CACHEABLE_PRINCIPALS_GROUP
値: 0x0000023B
文字列の値: S-1-5-32-571
キャッシュ可能なプリンシパルを表すローカル グループ。
DOMAIN_ALIAS_RID_NON_CACHEABLE_PRINCIPALS_GROUP
値: 0x0000023C
文字列の値: S-1-5-32-572
キャッシュ可能ではないプリンシパルを表すローカル グループ。
DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP
値: 0x0000023D
文字列の値: S-1-5-32-573
イベント ログ リーダーを表すローカル グループ。
DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP
値: 0x0000023E
文字列の値: S-1-5-32-574
分散コンポーネント オブジェクト モデル (DCOM) を使用して証明機関に接続できるローカル ユーザーのグループ。
DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_SERVERS
値: 0x0000023F
文字列の値: S-1-5-32-575
RDS リモート アクセス サーバーを表すローカル グループ。
DOMAIN_ALIAS_RID_RDS_ENDPOINT_SERVERS
値: 0x00000240
文字列の値: S-1-5-32-576
エンドポイント サーバーを表すローカル グループ。
DOMAIN_ALIAS_RID_RDS_MANAGEMENT_SERVERS
値: 0x00000241
文字列の値: S-1-5-32-577
管理サーバーを表すローカル グループ。
DOMAIN_ALIAS_RID_HYPER_V_ADMINS
値: 0x00000242
文字列の値: S-1-5-32-578
Hyper-V 管理者を表すローカル グループ。
DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS
値: 0x00000243
文字列の値: S-1-5-32-579
アクセス制御支援 OPS を表すローカル グループ。
DOMAIN_ALIAS_RID_REMOTE_MANAGEMENT_USERS
値: 0x00000244
文字列の値: S-1-5-32-580
リモート管理ユーザーを表すローカル グループ。
DOMAIN_ALIAS_RID_DEFAULT_ACCOUNT
値: 0x00000245
文字列の値: S-1-5-32-581
既定のアカウントを表すローカル グループ。
DOMAIN_ALIAS_RID_STORAGE_REPLICA_ADMINS
値: 0x00000246
文字列の値: S-1-5-32-582
ストレージ レプリカ管理者を表すローカル グループ。
DOMAIN_ALIAS_RID_DEVICE_OWNERS
値: 0x00000247
文字列の値: S-1-5-32-583
デバイス所有者に必要な設定を行うことができるユーザーを表すローカル グループ。

WELL_KNOWN_SID_TYPE の列挙には、一般的に使用される SID の一覧を定義します。 また、セキュリティ記述子定義言語 (SDDL) では、SID 文字列を使用して既知の SID を文字列形式で参照します。