Active Directory セキュリティ グループ

この記事では、既定の Active Directory セキュリティ グループ、グループ スコープ、およびグループ関数について説明します。

Active Directory のセキュリティ グループとは

Active Directory には、ユーザー アカウントとコンピューター アカウントという 2 つの形式の一般的なセキュリティ プリンシパルがあります。 これらのアカウントは、個人またはコンピューターの物理エンティティを表します。 ユーザー アカウントは、一部のアプリケーションの専用サービス アカウントとしても使用できます。

セキュリティ グループは、ユーザー アカウント、コンピューター アカウント、およびその他のグループを管理可能な単位に収集する方法です。

Windows Server オペレーティング システム (OS) では、いくつかの組み込みアカウントとセキュリティ グループが、特定のタスクを実行するための適切な権限とアクセス許可で事前に構成されています。 Active Directory では、管理責任は次の 2 種類の管理者に分けられます。

• サービス管理者: ドメイン コントローラーの管理や AD DS の構成など、Active Directory Domain Services (AD DS) の保守と配信を担当します
• データ管理者: AD DS およびドメイン メンバー サーバーとワークステーションに格納されているデータの管理を担当します

Active Directory セキュリティ グループのしくみ

グループを使用して、ユーザー アカウント、コンピューター アカウント、およびその他のグループを管理可能な単位に収集できます。 個々のユーザーではなくグループで作業すると、ネットワークのメンテナンスと管理を簡素化化できます。

Active Directory には、次の 2 種類のグループがあります。

• セキュリティ グループ: 共有リソースにアクセス許可を割り当てるために使用されます。
• 配布グループ: 電子メール配布リストを作成するために使用します。

セキュリティ グループ

セキュリティ グループを使用すると、ネットワーク上のリソースへのアクセスを効率的に割り当てることができます。 セキュリティ グループを使用することで、次のことが可能になります。

• Active Directory のセキュリティ グループにユーザーの権利を割り当てる。

  ユーザー権限をセキュリティ グループに割り当てて、そのグループのメンバーがドメインまたはフォレストのスコープ内で実行できる操作を決定できます。 Active Directory がインストールされると、ユーザー権限は一部のセキュリティ グループに自動的に割り当てられ、管理者がドメインでユーザーの管理ロールを定義するのに役立ちます。

  たとえば、Active Directory の Backup Operators グループに追加したユーザーは、ドメイン内の各ドメイン コントローラーにあるファイルとディレクトリをバックアップおよび復元できます。 ユーザーがこれらのアクションを実行できるのは、既定でユーザー権限の "ファイルとディレクトリのバックアップ" と "ファイルとディレクトリの復元" が自動的に Backup Operators グループに割り当てられるためです。 そのため、このグループのメンバーは、そのグループに割り当てられているユーザー権限を継承します。

  グループ ポリシーを使用すると、セキュリティ グループにユーザー権限を割り当てて特定のタスクを委任できます。 グループ ポリシーの使用の詳細については、「ユーザー権利の割り当て」を参照してください。

• リソースのセキュリティ グループにアクセス許可を割り当てる。

  アクセス許可は、ユーザー権利とは異なります。 アクセス許可は、共有リソースのセキュリティ グループに割り当てられます。 アクセス許可により、リソースにアクセスできるユーザーと、フル コントロールや読み取りなどのアクセス レベルが決まります。 ドメイン オブジェクトに設定された一部のアクセス許可は、Account Operators グループや Domain Admins グループなどの既定のセキュリティ グループにさまざまなレベルのアクセスを許可するため、自動的に割り当てられます。

  セキュリティ グループは、リソースとオブジェクトに対するアクセス許可を定義する随意アクセス制御リスト (DACL) に一覧表示されます。 管理者は、ファイル共有やプリンターなどのリソースに対するアクセス許可を割り当てるときに、個々のユーザーではなくセキュリティ グループにこれらのアクセス許可を割り当てる必要があります。 このアクセス許可は、個々のユーザーに複数回割り当てられるのではなく、グループに 1 回割り当てられます。 グループに追加された各アカウントは、Active Directory のそのグループに割り当てられている権限を受け取ります。 ユーザーは、そのグループに対して定義されているアクセス許可を受け取ります。

セキュリティ グループを電子メール エンティティとして使用できます。 電子メール メッセージをセキュリティ グループに送信すると、そのメッセージはセキュリティ グループのすべてのメンバーに送信されます。

配布グループ

配布グループは、Exchange Serverなどの電子メール アプリケーションを使用してユーザーのコレクションに電子メールを送信する場合にのみ使用できます。 配布グループはセキュリティが有効になっていないため、DACL に含めることはできません。

グループ スコープ

各グループには、ドメイン ツリー内またはフォレスト内で、そのグループが適用される範囲を特定するスコープがあります。 グループのスコープは、グループにアクセス許可を付与できるネットワークの領域を定義します。 Active Directory では、次の 3 つのグループ スコープが定義されています。

• Universal
• Global
• ドメイン ローカル

次の表で、3 つのグループ スコープと、それらがセキュリティ グループとしてどのように機能するかについて説明します。

特殊 ID グループ

特別な ID グループは、特定の特別な ID がグループ化される場所です。 特殊な ID グループには、変更できる特定のメンバーシップはありませんが、状況に応じて異なる時間に異なるユーザーを表すことができます。 これらのグループには、Creator Owner、Batch、Authenticated User が含まれます。

詳細については、「特殊 ID グループ」を参照してください。

既定のセキュリティ グループ

Domain Admins グループなどの既定のグループは、Active Directory ドメインの作成時に自動的に作成されるセキュリティ グループです。 これらの定義済みグループは、共有リソースへのアクセスを制御し、特定のドメイン全体の管理ロールを委任するのに役立ちます。

多くの既定のグループには、一連のユーザー権限が自動的に割り当てられます。 これらの権限により、グループのメンバーは、ローカル システムへのサインインやファイルやフォルダーのバックアップなど、ドメイン内で特定のアクションを実行できます。 たとえば、Backup Operators グループのメンバーは、ドメイン内のすべてのドメイン コントローラーのバックアップ操作を実行できます。

ユーザーをグループに追加すると、そのユーザーは、グループに割り当てられているすべてのユーザー権限 (共有リソースに対してグループに割り当てられているすべてのアクセス許可を含む) を受け取ります。

既定のグループは、Active Directory ユーザーとコンピューター ツールの組み込みコンテナーまたは Users コンテナーにあります。 Builtin コンテナーには、ドメイン ローカル スコープで定義されているグループが含まれます。 Users コンテナーには、グローバル スコープで定義されたグループと、ドメイン ローカル スコープで定義されたグループが含まれます。 これらのコンテナー内にあるグループを、ドメイン内の他のグループまたは組織単位に移動できます。 ただし、他のドメインに移動することはできません。

この記事に記載されている一部の管理グループと、これらのグループのすべてのメンバーは、特定のセキュリティ記述子を定期的にチェックして適用するバックグラウンド プロセスによって保護されています。 この記述子は、保護されたオブジェクトに関連付けられているセキュリティ情報を含むデータ構造です。 このプロセスにより、管理アカウントまたはグループの 1 つでセキュリティ記述子を変更しようとする未承認の試行が成功した場合、保護された設定で上書きされます。

セキュリティ記述子は AdminSDHolder オブジェクトに存在します。 いずれかのサービス管理者グループまたはそのメンバー アカウントのアクセス許可を変更する場合は、AdminSDHolder オブジェクトのセキュリティ記述子を変更して、一貫して適用されるようにする必要があります。 これらの変更を行う場合は、保護されているすべての管理アカウントに適用される既定の設定も変更しているため、注意してください。

各既定のセキュリティ グループには、複数のコンポーネントで構成される一意の識別子があります。 これらのコンポーネントの中には、グループのドメイン内で一意の相対 ID (RID) があります。

既定の Active Directory セキュリティ グループ

次のリンクをクリックすると、組み込みコンテナーまたは Active Directory の Users コンテナーにある既定のグループの説明が表示されます。

• アクセス制御支援オペレーター
• アカウントオペレーター
• Administrators
• 許可される RODC パスワード レプリケーション
• バックアップ演算子
• 証明書サービスの DCOM アクセス
• Cert Publishers
• 複製可能なドメイン コントローラー
• 暗号化演算子
• 拒否された RODC パスワード レプリケーション
• デバイスの所有者
• DHCP 管理者
• DHCP ユーザー
• 分散 COM ユーザー
• DnsUpdateProxy
• DnsAdmins
• Domain Admins
• ドメイン コンピューター
• ドメイン コントローラー
• ドメイン ゲスト
• ドメイン ユーザー
• Enterprise Admins
• エンタープライズ キー管理者
• 企業向け読み取り専用ドメイン コントローラー
• イベント ログ リーダー
• グループ ポリシー作成者の所有者
• Guests
• Hyper-V 管理者
• IIS_IUSRS
• 受信フォレスト信頼ビルダー
• キー管理者
• ネットワーク構成オペレーター
• パフォーマンス ログ ユーザー
• パフォーマンス モニターのユーザー
• プレ Windows 2000 互換アクセス
• 印刷演算子
• 保護されたユーザー
• RAS および IAS サーバー
• RDS エンドポイント サーバー
• RDS 管理サーバー
• RDS リモート アクセス サーバー
• 読み取り専用ドメイン コントローラー
• リモート デスクトップ ユーザー
• リモート管理ユーザー
• Replicator
• スキーマ管理者
• サーバーオペレーター
• 記憶域レプリカ管理者
• システム管理アカウント
• ターミナル サーバー ライセンス サーバー
• Users
• Windows 承認アクセス
• WinRMRemoteWMIUsers__

アクセス制御支援オペレーター

このグループのメンバーは、コンピューター上のリソースの承認属性とアクセス許可をリモートでクエリできます。 このグループの名前変更、削除はできません。

アカウントオペレーター

Account Operators グループは、制限付きアカウント作成特権をユーザーに付与します。 このグループのメンバーは、ユーザー、ローカル グループ、グローバル グループのアカウントなど、ほとんどの種類のアカウントを作成および変更できます。 グループ メンバーは、ドメイン コントローラーにローカルでサインインできます。

Account Operators グループのメンバーは、ユーザー権限を変更できません。 また、このグループのメンバーは、次のアカウントとグループを管理できません。

• 管理者ユーザー アカウント
• 管理者のユーザー アカウント
• Administrators
• サーバーオペレーター
• アカウントオペレーター
• バックアップ演算子
• 印刷演算子

このグループの名前変更、削除はできません。

Administrators

Administrators グループのメンバーは、コンピューターへの完全かつ無制限のアクセス権を持っています。 コンピューターがドメイン コントローラーに昇格された場合、Administrators グループのメンバーはそのドメインに無制限にアクセスできます。

許可される RODC パスワード レプリケーション

このセキュリティ グループの目的は、読み取り専用ドメイン コントローラー (RODC) パスワード レプリケーション ポリシーを管理することです。 このグループには、既定ではメンバーがありません。 その結果、新しい RODC はユーザー資格情報をキャッシュしません。 Denied RODC Password Replication グループには、さまざまな高い特権を持つアカウントとセキュリティ グループが含まれています。 Denied RODC Password Replication グループは、Allowed RODC Password Replication グループよりも優先されます。 このグループの名前変更、削除はできません。

バックアップ演算子

Backup Operators グループのメンバーは、ファイルを保護しているアクセス許可にかかわらず、コンピューター上のすべてのファイルのバックアップと復元を行うことができます。 バックアップ オペレーターは、コンピューターにサインインしてシャットダウンすることもできます。 このグループの名前変更、削除はできません。 既定では、この組み込みグループにはメンバーがなく、ドメイン コントローラーでバックアップ操作と復元操作を実行できます。 次のグループのメンバーは、Backup Operators グループのメンバーシップ (既定のサービス管理者、ドメインの Domain Admins、Enterprise Admins) を変更できます。 Backup Operators グループのメンバーは、管理者グループのメンバーシップを変更できません。 このグループのメンバーは、サーバー設定を変更したり、ディレクトリの構成を変更したりすることはできませんが、ドメイン コントローラー上のファイル (OS ファイルを含む) を置き換えるために必要なアクセス許可を持っています。 このグループのメンバーはドメイン コントローラー上のファイルを置き換えることができるため、サービス管理者と見なされます。

証明書サービス DCOM アクセス

このグループのメンバーは、企業内の証明機関に接続できます。 このグループの名前変更、削除はできません。

Cert Publishers

Cert Publishers グループのメンバーは、Active Directory のユーザー オブジェクトの証明書を発行する権限を持ちます。 このグループの名前変更、削除はできません。

複製可能なドメイン コントローラー

ドメイン コントローラーである複製可能なドメイン コントローラー グループのメンバーを複製できます。 Windows Server 2012 R2 と Windows Server 2012 では、既存の仮想ドメイン コントローラーをコピーしてドメイン コントローラーを展開できます。 仮想環境では、 Sysprep.exe ツールを使用して準備したサーバー イメージを繰り返しデプロイすることはできません。 サーバーをドメイン コントローラーに昇格した後、各ドメイン コントローラーを展開するためのより多くの構成要件 (このセキュリティ グループへの仮想ドメイン コントローラーの追加を含む) を完了することも許可されません。 このグループの名前変更、削除はできません。

詳細については、「Active Directory Domain Services (AD DS) の安全な仮想化」を参照してください。

暗号化演算子

このグループのメンバーは、暗号化の操作の実行を承認されます。 このセキュリティ グループは、共通条件モードで IPsec 用の Windows ファイアウォールを構成します。 このグループの名前変更、削除はできません。

拒否された RODC パスワード レプリケーション

Denied RODC Password Replication グループのメンバーのパスワードを RODC にレプリケートすることはできません。

このセキュリティ グループの目的は、RODC パスワード レプリケーション ポリシーを管理することです。 このグループには、さまざまな高い特権を持つアカウントとセキュリティ グループが含まれています。 Denied RODC Password Replication グループは、Allowed RODC Password Replication グループよりも優先されます。

デバイスの所有者

Device Owners グループにメンバーがいない場合は、このセキュリティ グループの既定の構成を変更しないことをお勧めします。 既定の構成を変更すると、このグループに依存する将来のシナリオが妨げられる可能性があります。 現在、Device Owners グループは Windows では使用されていません。

DHCP 管理者

DHCP Administrators グループのメンバーは、サーバーのスコープのさまざまな領域を作成、削除、および管理できます。 グループ権限には、動的ホスト構成プロトコル (DHCP) データベースをバックアップおよび復元する機能が含まれます。 このグループには管理者権限がありますが、このロールは DHCP サービスに限定されているため、Administrators グループには含まれません。

DHCP ユーザー

DHCP ユーザー グループのメンバーは、割り当てられている IP アドレスを含め、アクティブまたは非アクティブなスコープを確認できます。 グループ メンバーは、DHCP サーバーが正しく構成されていない場合に、接続の問題を表示することもできます。 このグループは、DHCP サーバーへの読み取り専用アクセスに制限されます。

分散 COM ユーザー

分散 COM ユーザー グループのメンバーは、コンピューター上で分散コンポーネント オブジェクト モデル (DCOM) オブジェクトを起動、アクティブ化、および使用できます。 Microsoft コンポーネント オブジェクト モデル (COM) は、対話可能なバイナリ ソフトウェア コンポーネントを作成するための、プラットフォームに依存しない、オブジェクト指向の分散システムです。 DCOM オブジェクトを使用する場合は、ユーザーとアプリケーションに最も意味のある場所にアプリケーションを分散できます。 このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター ロールを保持するまで SID として表示されます。これは、 フレキシブル シングル マスター操作 (FSMO) ロールとも呼ばれます。 このグループの名前変更、削除はできません。

DnsUpdateProxy

DnsUpdateProxy グループのメンバーは、ドメイン ネーム システム (DNS) クライアントです。 DHCP サーバーなど、他のクライアントに代わって動的更新を実行することが許可されます。 DHCP サーバーが、動的更新を使用して、DHCP クライアントに代わってホスト (A) およびポインター (PTR) リソース レコードを動的に登録するように構成されている場合、DNS サーバーは古くなったリソース レコードを開発できます。 このセキュリティ グループにクライアントを追加すると、このシナリオが軽減されます。

セキュリティで保護されていないレコードから保護するか、DnsUpdateProxy グループのメンバーがセキュリティで保護された動的更新のみを許可するゾーンにレコードを登録できるようにするには、専用のユーザー アカウントを作成する必要があります。 また、このアカウントのユーザー名、パスワード、ドメインを使用して DNS 動的更新を実行するように DHCP サーバーを構成する必要があります。 複数の DHCP サーバーが、1 つの専用ユーザー アカウントの資格情報を使用できます。 このグループは、ドメイン内のドメイン コントローラーに DNS サーバーの役割がインストールされているか、以前にインストールされていた場合にのみ存在します。

詳細については、「DNS レコードの所有権と DnsUpdateProxy グループ」を参照してください。

DnsAdmins

DnsAdmins グループのメンバーは、ネットワーク DNS 情報にアクセスできます。 既定では、このグループのメンバーには、読み取り、書き込み、すべての子オブジェクトの作成、子オブジェクトの削除、および特別なアクセス許可の許可が割り当てられます。 このグループは、ドメイン内のドメイン コントローラーに DNS サーバーの役割がインストールされているか、以前にインストールされていた場合にのみ存在します。

セキュリティと DNS の詳細については、「DNSSEC in Windows Server 2012」を参照してください。

ドメイン管理者

Domain Admins セキュリティ グループのメンバーは、ドメインを管理する権限を持ちます。 既定では、Domain Admins グループは、ドメイン コントローラーを含め、ドメインに参加するすべてのコンピューターの Administrators グループのメンバーです。 Domain Admins グループは、グループのメンバーがドメインの Active Directory で作成したオブジェクトの既定の所有者です。 グループのメンバーがファイルなどの他のオブジェクトを作成する場合、既定の所有者は Administrators グループです。

Domain Admins グループは、ドメイン内のすべてのドメイン コントローラーへのアクセスを制御し、ドメイン内のすべての管理者アカウントのメンバーシップを変更できます。 そのドメイン内のサービス管理者グループのメンバー (Administrators と Domain Admins) と Enterprise Admins グループのメンバーは、Domain Admins メンバーシップを変更できます。 このグループは、メンバーがドメイン内のドメイン コントローラーへのフル アクセス権を持っているため、サービス管理者アカウントと見なされます。

ドメイン コンピューター

このグループには、ドメイン コントローラーを除く、ドメインに参加するすべてのコンピューターとサーバーを含めることができます。 既定では、作成されたすべてのコンピューター アカウントがこのグループのメンバーになります。

ドメイン コントローラー

Domain Controllers グループには、ドメイン内のすべてのドメイン コントローラーを含めることができます。 新しいドメイン コントローラーは、このグループに自動的に追加されます。

ドメイン ゲスト

ドメイン ゲスト グループには、ドメインの組み込みのゲスト アカウントが含まれています。 このグループのメンバーがドメインに参加しているコンピューターでローカル ゲストとしてサインインすると、ローカル コンピューターにドメイン プロファイルが作成されます。

ドメイン ユーザー

Domain Users グループには、ドメイン内のすべてのユーザー アカウントが含まれます。 ドメインにユーザー アカウントを作成すると、既定でこのグループに追加されます。

このグループを使用して、ドメイン内のすべてのユーザーを表すことができます。 たとえば、すべてのドメイン ユーザーがプリンターにアクセスできるようにする場合は、プリンターのアクセス許可をこのグループに割り当てることができます。 または、プリンターのアクセス許可を持つプリント サーバー上のローカル グループにドメイン ユーザー グループを追加できます。

エンタープライズ管理者

Enterprise Admins グループは、ドメインの Active Directory フォレストのルート ドメインにのみ存在します。 ドメインがネイティブ モードの場合、このグループはユニバーサル グループです。 ドメインが混合モードの場合、このグループはグローバル グループです。 このグループのメンバーは、子ドメインの追加など、Active Directory でフォレスト全体の変更を行う権限を持ちます。

既定では、フォレスト ルート ドメインの Administrator アカウントだけが、このグループのメンバーです。 このグループは、フォレスト内のすべてのドメインの Administrators グループに自動的に追加され、すべてのドメイン コントローラーを構成するための完全なアクセスを提供します。 このグループのメンバーは、すべての管理グループのメンバーシップを変更できます。 ルート ドメイン内の既定のサービス管理者グループのメンバーは、Enterprise Admins メンバーシップを変更できます。 このグループは、サービス管理者アカウントと見なされます。

エンタープライズ キー管理者

このグループのメンバーは、フォレスト内のキー オブジェクトに対して管理アクションを実行できます。

エンタープライズ用読み取り専用ドメイン コントローラー

このグループのメンバーは、エンタープライズの RODC です。 RODC は、アカウント パスワードを除いて、すべての Active Directory オブジェクトと、書き込み可能なドメイン コント ローラーを保持する属性を保持します。 ただし、RODC に格納されているデータベースに変更を行うことはできません。 変更は、書き込み可能なドメイン コントローラーで行ってから、RODC にレプリケートする必要があります。

RODC は、ブランチ オフィスでよく見られるいくつかの問題に対処します。 これらの場所にはドメイン コントローラーがないか、書き込み可能なドメイン コントローラーがあっても、それをサポートするための物理的なセキュリティ、ネットワーク帯域幅、またはローカルの専門知識がない可能性があります。

詳細については、「 RODC とは」を参照してください。

イベント ログ リーダー

このグループのメンバーは、ローカル コンピューターからイベント ログを読み取ることができます。 このグループは、サーバーがドメイン コントローラーに昇格されるときに作成されます。 このグループの名前変更、削除はできません。

グループ ポリシー作成者の所有者

このグループは、ドメイン内のグループ ポリシー オブジェクトの作成、編集、削除する権限を持ちます。 既定では、このグループのメンバーは Administrator のみです。

このセキュリティ グループで使用できるその他の機能については、「グループ ポリシーの概要」を参照してください。

Guests

ゲストとユーザー グループのメンバーには、既定で同様のアクセス権があります。 違いは、ゲスト アカウントにさらに制限がある点です。 既定では、ゲスト グループのメンバーはゲスト アカウントのみです。 ゲスト グループを使用すると、コンピューターの組み込みゲスト アカウントに対する制限付き特権で、不定期または 1 回限りのユーザーがサインインできるようになります。

Guests グループのメンバーがサインアウトすると、プロファイル全体が削除されます。 プロファイルの削除には、ユーザーのレジストリ ハイブ情報、カスタム デスクトップ アイコン、その他のユーザー固有の設定など、 %userprofile% ディレクトリに格納されているすべてのものが含まれます。 これは、ゲストがシステムにサインインするために一時的なプロファイルを使用する必要があることを意味します。 このセキュリティ グループは、次のグループ ポリシー設定と対話します。 ユーザーを一時プロファイルでログオンしないでください。 この設定にアクセスするには、グループ ポリシー管理エディターを開き、 コンピューターの構成>管理者テンプレート>System>User プロファイルに移動します。

このグループの名前変更、削除はできません。

Hyper-V 管理者

Hyper-V Administrators グループのメンバーは、Hyper-V のすべての機能に対する完全で無制限のアクセスを許可されます。 このグループにメンバーを追加すると、Administrators グループに必要なメンバーの数を減らし、アクセスをさらに分離できます。 このグループの名前変更、削除はできません。

IIS_IUSRS

IIS_IUSRSは、IIS 7 以降、インターネット インフォメーション サービス (IIS) によって使用される組み込みグループです。 OS により、組み込みのアカウントとグループごとに一意の SID が確保されます。 IIS 7 は、新しいアカウントとグループで使用される実際の名前がローカライズされないように、IUSR_MachineName アカウントと IIS_WPG グループを IIS_IUSRS グループに置き換えます。 たとえば、インストールする Windows OS の言語に関係なく、IIS アカウント名は IUSR、グループ名はIIS_IUSRS。

詳細については、「IIS 7 の組み込みのユーザーとグループのアカウントについて」を参照してください。

インカミングフォレストトラストビルダー

インカミングフォレストトラストビルダーグループのメンバーは、フォレストへの受信一方向の信頼関係を作成できます。 Active Directory は、ドメインとフォレストの信頼関係を通じて、複数のドメインまたはフォレスト間のセキュリティを提供します。 認証が信頼を超えて行われる前に、要求されたドメインが、要求先アカウントのサインイン ドメインと信頼関係を持つユーザー、コンピューター、またはサービスによって行われるかどうかを Windows が判断する必要があります。

この判断を行うために、Windows セキュリティ システムによって、要求を受信するサーバーのドメイン コントローラーと、要求元アカウントのドメインにある DC との間の信頼パスが計算されます。 セキュリティで保護されたチャネルは、ドメイン間の信頼関係を通じて他の Active Directory ドメインに拡張されます。 このセキュリティで保護されたチャネルは、ユーザーとグループの SID を含む、セキュリティ情報を取得して検証するために使用されます。

このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター (FSMO) の役割を保持するまで SID として表示されます。 このグループの名前変更、削除はできません。

詳細については、「ドメインとフォレストの信頼のしくみ」を参照してください。

キー管理者

このグループのメンバーは、ドメイン内のキー オブジェクトに対して管理アクションを実行できます。

ネットワーク構成オペレーター

ネットワーク構成オペレーター グループのメンバーには、ネットワーク機能の構成を管理するための次の管理特権があります。

• IP アドレス、サブネット マスク、既定のゲートウェイ、ネーム サーバーを含むローカル エリア ネットワーク (LAN) 接続の伝送制御プロトコル/インターネット プロトコル (TCP/IP) プロパティを変更する
• すべてのユーザーが使用できる LAN 接続またはリモート アクセス接続の名前を変更する
• LAN 接続を有効または無効にする
• ユーザーのすべてのリモート アクセス接続のプロパティを変更する
• ユーザーのすべてのリモート アクセス接続を削除する
• ユーザーのすべてのリモート アクセス接続の名前を変更する
• ipconfig、ipconfig /release、およびipconfig /renewコマンドを発行する
• SIM カードをサポートするモバイル ブロードバンド デバイスの PIN ブロック解除キー (PUK) を入力します

このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター (FSMO) の役割を保持するまで SID として表示されます。 このグループの名前変更、削除はできません。

パフォーマンス ログ ユーザー

Performance Log Users グループのメンバーは、Administrators グループのメンバーでなくても、パフォーマンス カウンター、ログ、アラートをサーバー上でローカルに管理したり、リモート クライアントから管理したりできます。 このセキュリティ グループのメンバーは、具体的に次のことができます。

• Performance Monitor Users グループのメンバーが利用できるすべての機能を利用できます。
• データ コレクター セットでは、Windows カーネル トレース イベント プロバイダーを使用できません。

Performance Log Users グループのメンバーがデータのログ記録を開始したり、データ コレクター セットを変更したりするには、そのグループに対して [バッチ ジョブとしてログオン] ユーザー権限を最初に割り当てておく必要があります。 このユーザー権限を割り当てるには、Microsoft 管理コンソール (MMC) のローカル セキュリティ ポリシー スナップインを使用します。

このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター (FSMO) の役割を保持するまで SID として表示されます。 このアカウントの名前変更、削除、移動はできません。

パフォーマンス モニター ユーザー

このグループのメンバーは、Administrators グループまたは Performance Log Users グループのメンバーでなくても、ドメイン内のドメイン コントローラーのパフォーマンス カウンターをローカルで、およびリモート クライアントから監視できます。 Windows パフォーマンス モニターは MMC スナップインの 1 つで、システム パフォーマンスを分析するためのツールを提供します。 1 つのコンソールから、アプリケーションとハードウェアのパフォーマンスを監視したり、ログに収集するデータをカスタマイズしたり、警告と自動操作のしきい値を定義したり、レポートを生成したり、さまざまな方法で以前のパフォーマンス データを表示したりすることができます。

このセキュリティ グループのメンバーは、具体的に次のことができます。

• Users グループのメンバーが利用できるすべての機能を利用できます。
• パフォーマンス モニターでリアルタイムのパフォーマンス データを表示できます。
• データの表示中にパフォーマンス モニターの表示プロパティを変更できます。
• データ コレクター セットを作成または変更することはできません。

このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター (FSMO) の役割を保持するまで SID として表示されます。 このグループの名前変更、削除はできません。

Windows 2000以前の互換性のあるアクセス

Pre–Windows 2000 Compatible Access グループのメンバーには、ドメイン内のすべてのユーザーとグループに対する読み取りアクセス権があります。 このグループは、Windows NT 4.0 以前を実行しているコンピューターの下位互換性のために提供されています。 既定では、特殊 ID グループ Everyone はこのグループのメンバーです。 Windows NT 4.0 以前を実行している場合にのみ、このグループにユーザーを追加します。

このグループの名前変更、削除はできません。

印刷演算子

このグループのメンバーは、ドメイン内のドメイン コントローラーに接続されているプリンターを管理、作成、共有、削除できます。 また、ドメイン内の Active Directory プリンター オブジェクトを管理することもできます。 このグループのメンバーは、ドメイン内のドメイン コントローラーにローカルでサインインしてシャットダウンできます。

このグループには、既定のメンバーは設定されていません。 このグループのメンバーは、ドメイン内のすべてのドメイン コントローラーでデバイス ドライバーを読み込んでアンロードできるため、ユーザーの追加には注意が必要です。 このグループの名前変更、削除はできません。

詳細については、「Windows Server 2012 で委任された印刷管理者とプリンターのアクセス許可設定を割り当てる」を参照してください。

保護されたユーザー

Protected Users グループのメンバーには、認証プロセス中の資格情報の侵害に対する追加の保護があります。

このセキュリティ グループは、企業内の資格情報を効率的に保護および管理する戦略の一環として設計されています。 このグループのメンバーは、アカウントに構成不可能な保護が自動的に適用されます。 Protected Users グループのメンバーであるということは、既定で制限的であり、予防的にセキュリティで保護されることを示します。 アカウントの保護を変更できる唯一の方法は、セキュリティ グループからアカウントを削除することです。

このドメイン関連のグローバル グループは、Windows Server 2012 R2 および Windows 8.1 以降、デバイスとホスト コンピューターで構成不可能な保護をトリガーします。 また、Windows Server 2012 R2 以降を実行するプライマリ ドメイン コントローラーを持つドメイン内のドメイン コントローラーで、構成不可能な保護をトリガーします。 この保護により、ユーザーが妥協のないコンピューターからネットワーク上のコンピューターにサインインするときの資格情報のメモリ占有領域が大幅に削減されます。

アカウントのドメインの機能レベルに応じて、保護されたユーザー グループのメンバーは、Windows でサポートされている認証方法の動作の変更により、さらに保護されます。

• Protected Users グループのメンバーは、次のセキュリティ サポート プロバイダー (SP): New Technology LAN Manager (NTLM)、Digest Authentication、または Credential Security Support Provider (CredSSP) を使用して認証することはできません。 パスワードは、Windows 10 または Windows 8.1 を実行しているデバイスにはキャッシュされません。 アカウントが Protected Users グループのメンバーである場合、デバイスはドメインに対する認証に失敗します。
• Kerberos プロトコルでは、事前認証プロセスで弱い Data Encryption Standard (DES) または Rivest Cipher 4 (RC4) 暗号化の種類は使用されません。 少なくとも Advanced Encryption Standard (AES) 暗号スイートをサポートするようにドメインを構成する必要があります。
• Kerberos の制約付き委任または制約のない委任では、ユーザーのアカウントを委任できません。 ユーザーが Protected Users グループのメンバーである場合、他のシステムへの以前の接続が失敗する可能性があります。
• Active Directory 管理センターの認証ポリシーとサイロを使用して、既定の Kerberos チケット許可チケット (TGT) の有効期間設定を 4 時間に変更できます。 既定の設定では、ユーザーは 4 時間後に認証する必要があります。

このグループは、Windows Server 2012 R2 で導入されました。 このグループの機能の詳細については、「Protected Users セキュリティ グループ」を参照してください。

RAS および IAS サーバー

RAS and IAS Servers グループのメンバーであるコンピューターは、適切に構成されている場合は、リモート アクセス サービスを使用できます。 既定では、このグループにはメンバーはありません。 ルーティングおよびリモート アクセス サービス (RRAS) とリモート アクセス サービス (インターネット認証サービス (IAS) やネットワーク ポリシー サーバーなど) を実行するコンピューターは、グループに自動的に追加されます。 このグループのメンバーは、アカウントの制限の読み取り、ログオン情報の読み取り、リモート アクセス情報の読み取りなど、ユーザー オブジェクトの特定のプロパティにアクセスできます。

RDS エンドポイント サーバー

RDS エンドポイント サーバー グループのメンバーであるサーバーは、RemoteApp 機能と個人用仮想デスクトップのユーザー プログラムが実行される仮想マシンとホスト セッションを実行できます。 リモート デスクトップ接続ブローカー (RD 接続ブローカー) を実行するサーバーで、このグループを設定する必要があります。 展開で使用されるセッション ホスト サーバーとリモート デスクトップ仮想化ホスト (RD 仮想化ホスト) サーバーは、このグループに含まれている必要があります。 このグループの名前変更、削除はできません。

リモート デスクトップ サービス (RDS) の詳細については、「Windows Server のリモート デスクトップ サービスの概要」を参照してください。

RDS 管理サーバー

RDS 管理サーバー グループのメンバーであるサーバーを使用して、RDS を実行するサーバーで日常的な管理アクションを実行できます。 このグループは、RDS 展開内のすべてのサーバーに設定する必要があります。 RDS 中央管理サービスを実行するサーバーは、このグループに含まれている必要があります。 このグループの名前変更、削除はできません。

RDS リモート アクセス サーバー

RDS リモート アクセス サーバー グループ内のサーバーは、RemoteApp 機能のプログラムと個人用仮想デスクトップへのアクセスをユーザーに提供します。 インターネットに接続する展開では、通常、これらのサーバーはエッジ ネットワークに展開されます。 RD 接続ブローカーを実行するサーバーにこのグループを設定する必要があります。 展開で使用されるリモート デスクトップ ゲートウェイ (RD ゲートウェイ) サーバーとリモート デスクトップ Web アクセス (RD Web アクセス) サーバーは、このグループに含まれている必要があります。 このグループの名前変更、削除はできません。

詳細については、「Windows Server のリモート デスクトップ サービスの概要」を参照してください。

Read-Only Domain Controllers

このグループは、ドメイン内の RODC で構成されます。 RODC を使用すると、物理的なセキュリティを保証できないシナリオでドメイン コントローラーを簡単に展開できます。 シナリオの例としては、ブランチオフィスの所在地や、すべてのドメインパスワードのローカルストレージが、エクストラネットやアプリケーションに接続する役割を果たす場合の主要な脅威と見なされることがあります。

RODC の管理をドメイン ユーザーまたはセキュリティ グループに委任できるため、RODC は Domain Admins グループのメンバーであるユーザーがいないサイトに適しています。 RODC には、次の機能があります。

• 読み取り専用 AD DS データベース
• 一方向レプリケーション
• 資格情報のキャッシュ
• 管理者役割の分離
• 読み取り専用 DNS

詳細については、「読み取り専用ドメイン コントローラーのの計画とデプロイについて」を参照してください。

リモート デスクトップ ユーザー

リモート デスクトップ セッション ホスト (RD セッション ホスト) サーバーのリモート デスクトップ ユーザー グループを使用して、RD セッション ホスト サーバーにリモート接続するためのアクセス許可をユーザーとグループに付与できます。 このグループの名前変更、削除はできません。 このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター (FSMO) の役割を保持するまで SID として表示されます。

リモート管理ユーザー

リモート管理ユーザー グループのメンバーは、Windows リモート管理サービスを介して、Web Services for Management (WS-Management) などの管理プロトコル経由で Windows Management Instrumentation (WMI) リソースにアクセスできます。 WMI リソースへのアクセスは、ユーザーへのアクセスを許可する WMI 名前空間にのみ適用されます。

Remote Management Users グループを使用して、ユーザーがサーバー マネージャー コンソールを使用してサーバーを管理できるようにします。 WinRMRemoteWMIUsers__ グループを使用して、ユーザーが Windows PowerShell コマンドをリモートで実行できるようにします。

このグループの名前変更、削除はできません。

詳細については、「 WMI について 」と「 MI の新機能」を参照してください。

Replicator

Replicator グループのメンバーであるコンピューターでは、ドメイン内のファイル レプリケーションがサポートされています。 Windows Server では、ファイル レプリケーション サービス (FRS) を使用して、システム ボリューム フォルダー (sysvol フォルダー) に格納されているシステム ポリシーとサインイン スクリプトをレプリケートします。 各ドメイン コントローラーでは、ネットワーク クライアントがアクセスするための sysvol フォルダーのコピーが保持されます。 FRS は、分散ファイル システム (DFS) のデータをレプリケートし、DFS によって定義されているレプリカ セット内の各メンバーのコンテンツを同期することもできます。 FRS を使用すると、複数のサーバー上の共有ファイルとフォルダーを同時にコピーして管理できます。 変更が発生すると、内容がサイト内では直ちに、サイト間ではスケジュールに従って同期されます。

詳細については、次のリソースを参照してください。

• ファイル レプリケーション サービス (FRS) は、Windows Server 2008 R2 (Windows) で非推奨になりました
• DFS 名前空間と DFS レプリケーションの概要

このグループの名前変更、削除はできません。

スキーマ管理者

Schema Admins グループのメンバーは、Active Directory スキーマを変更できます。 このグループは、ドメインの Active Directory フォレストのルート ドメインにのみ存在します。 ドメインがネイティブ モードの場合、このグループはユニバーサル グループです。 ドメインが混合モードの場合、このグループはグローバル グループです。

既定では、フォレスト ルート ドメインの Administrator アカウントだけが、このグループのメンバーです。 このグループには、スキーマへの完全な管理アクセス権があります。

ルート ドメイン内のサービス管理者グループは、このグループのメンバーシップを変更できます。 このグループは、そのメンバーがスキーマを変更できるため、サービス管理者アカウントと見なされます。これにより、ディレクトリ全体の構造と内容が管理されます。

詳細については、「Active Directory スキーマとは」をご覧ください

サーバーオペレーター

Server Operators グループのメンバーは、ドメイン コントローラーを管理できます。 このグループはドメイン コントローラーにのみ存在します。 既定では、このグループにはメンバーがなく、名前の変更、削除、削除はできません。 サーバーオペレーター グループのメンバーは、次のアクションを実行できます。

• 対話形式でサーバーにサインインする
• ネットワーク共有リソースの作成と削除
• サービスの停止と開始
• ファイルのバックアップと復元
• デバイスのハード ディスク ドライブをフォーマットする
• デバイスをシャットダウンする

既定では、この組み込みグループにはメンバーが存在しません。 このグループは、ドメイン コントローラーのサーバー構成オプションにアクセスできます。 そのメンバーシップは、サービス管理者グループの管理者とドメイン管理者、およびフォレスト ルート ドメインの Enterprise Admins グループによって制御されます。 このグループのメンバーは、管理グループのメンバーシップを変更できません。 このグループは、メンバーがドメイン コントローラーに物理的にアクセスできるため、サービス管理者アカウントと見なされます。 このグループのメンバーは、バックアップや復元などのメンテナンス タスクを実行でき、ドメイン コントローラーにインストールされているバイナリを変更できます。 グループの既定のユーザー権限については、次の表を参照してください。

記憶域レプリカ管理者

記憶域レプリカ管理者グループのメンバーは、記憶域レプリカ ツールのすべての機能に完全かつ無制限にアクセスできます。

システム管理アカウント

システム管理アカウント グループのメンバーシップは、システムによって管理されます。 このグループには、システム機能を容易にする既定のシステム管理アカウント (DSMA) が含まれています。

ターミナル サーバー ライセンス サーバー

ターミナル サーバー ライセンス サーバー グループのメンバーは、ライセンスの発行に関する情報を使用して Active Directory のユーザー アカウントを更新できます。 このグループは、ターミナル サーバーのユーザーごとのクライアント アクセス ライセンス (TS Per User CAL) の使用状況を追跡して報告するために使用されます。 TS CAL (接続ユーザー数) では、無制限の数のクライアント コンピューターまたはデバイスからターミナル サーバーのインスタンスにアクセスする権利が 1 人のユーザーに付与されます。 このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター (FSMO) の役割を保持するまで SID として表示されます。 このグループの名前変更、削除はできません。

このセキュリティ グループの詳細については、「Terminal Server License Server セキュリティ グループの構成」を参照してください。

ユーザー

Users グループのメンバーは、偶発的または意図的なシステム全体の変更を行うことはできません。 このグループのメンバーは、ほとんどのアプリケーションを実行できます。 OS の初回インストール後、唯一のメンバーは Authenticated Users グループです。 コンピューターがドメインに参加すると、Domain Users グループがコンピューターの Users グループに追加されます。

ユーザーは、アプリケーションの実行、ローカルおよびネットワークのプリンターの使用、コンピューターのシャットダウン、コンピューターのロックなどのタスクを実行できます。 ユーザーは、アプリケーションのインストール プログラムがユーザーごとのインストールをサポートしている場合にのみ使用できるアプリケーションをインストールできます。 このグループの名前変更、削除はできません。

Windows 認証アクセス

このグループのメンバーは、ユーザー オブジェクトの tokenGroupsGlobalAndUniversal 属性にアクセスできます。 このアクセスは便利です。一部のアプリケーション機能は、ユーザー アカウント オブジェクトまたは AD DS のコンピューター アカウント オブジェクトの token-groups-global-and-universal (TGGAU) 属性を読み取るためです。 一部の Win32 関数では、 TGGAU 属性の読み取りが容易になります。 ただし、この属性を読み取るアプリケーションや、この属性を読み取る API を呼び出すアプリケーションは、呼び出し元のセキュリティ コンテキストが属性にアクセスできない場合は成功しません。 このグループを使用すると、属性への読み取りアクセス権を簡単に付与できます。

このグループは、ドメイン コントローラーがプライマリ ドメイン コントローラーになり、操作マスター (FSMO) の役割を保持するまで SID として表示されます。 このグループの名前変更、削除はできません。

WinRMRemoteWMIUsers__

Windows Server 2012 および Windows 8 以降では、[セキュリティ設定の詳細設定] ユーザー インターフェイスに [ 共有 ] タブが含まれています。このタブには、リモート ファイル共有のセキュリティ プロパティが表示されます。 この情報を表示するには、次のアクセス許可とメンバーシップが必要です。

• WinRMRemoteWMIUsers__ グループまたは BUILTIN\Administrators グループのメンバーである必要があります。
• ファイル共有に対する読み取りアクセス許可が必要です。

Windows Server 2012 で、アクセス拒否アシスタンス機能によって、Authenticated Users グループがローカル WinRMRemoteWMIUsers__ グループに追加されました。 アクセス拒否アシスタンス機能が有効になっている場合、ファイル共有に対する読み取りアクセス許可を持つすべての認証済みユーザーは、ファイル共有のアクセス許可を表示できます。

関連コンテンツ

• セキュリティ プリンシパル
• 特殊 ID グループ
• アクセス制御の概要