この記事では、セキュリティ識別子 (SID) が Windows Server オペレーティング システムのアカウントとグループとどのように連携するかについて説明します。
SID とは
SID は、セキュリティ プリンシパルまたはセキュリティ グループを一意に識別するために使用されます。 セキュリティ プリンシパルは、オペレーティング システムが認証できる任意のエンティティを表すことができます。 たとえば、ユーザー アカウント、コンピューター アカウント、またはユーザーまたはコンピューター アカウントのセキュリティ コンテキストで実行されるスレッドまたはプロセスがあります。
各アカウントまたはグループ、もしくはアカウントのセキュリティ コンテキストで実行される各プロセスには、Windows ドメイン コントローラーなどの機関によって発行される一意の SID があります。 SID はセキュリティ データベースに格納されます。 システムは、特定のアカウントまたはグループの作成時にそのアカウントまたはグループを識別する SID を生成します。 SID がユーザーまたはグループの一意識別子として使用されている場合、別のユーザーまたはグループを識別するために SID を再度使用することはできません。
ユーザーがサインインするたびに、システムにそのユーザーのアクセス トークンが作成されます。 アクセス トークンには、ユーザーの SID、ユーザー権利、ユーザーが属しているグループの SID が含まれています。 このトークンによって、ユーザーがそのコンピューターで実行するすべてのアクションのセキュリティ コンテキストが提供されます。
特定のユーザーとグループに割り当てられた一意に作成されたドメイン固有の SID に加えて、汎用グループと汎用ユーザーを識別する既知の SID があります。 たとえば、Everyone SID と World SID はそれぞれ、すべてのユーザーを含むグループを識別します。 既知の SID には、すべてのオペレーティング システムで一定の値が保持されます。
SID は、Windows セキュリティ モデルの基本的な構成要素になります。 これらは、Windows Server オペレーティング システムのセキュリティ インフラストラクチャにおいて、承認およびアクセス制御テクノロジの特定の構成要素と連携します。 この設計は、ネットワーク リソースへのアクセスを保護し、より安全なコンピューティング環境を提供するのに役立ちます。
注意
この内容は、記事の冒頭にある「適用対象」の一覧の Windows バージョンにのみ関連します。
SID のしくみ
ユーザーはアカウント名でアカウントを参照します。 内部的には、オペレーティング システムは、SID を使用してアカウントのセキュリティ コンテキストで実行されるアカウントとプロセスを指します。 ドメイン アカウントの場合、セキュリティ プリンシパルの SID は、ドメインの SID とアカウントの相対識別子 (RID) を連結することによって作成されます。 SID はスコープ (ドメインまたはローカル) 内で一意であり、再利用されることはありません。
オペレーティング システムは、特定のアカウントまたはグループの作成時にそのアカウントまたはグループを識別する SID を生成します。 ローカル アカウントまたはグループの場合、コンピューター上のローカル セキュリティ機関 (LSA) によって SID が生成されます。 SID は、レジストリのセキュリティで保護された領域に他のアカウント情報と共に格納されます。 ドメイン アカウントまたはグループの場合、ドメイン セキュリティ機関によって SID が生成されます。 この種類の SID は、Active Directory Domain Services のユーザー オブジェクトまたはグループ オブジェクトの属性として格納されます。
ローカル アカウントとグループごとに、SID は作成されたコンピューターに対して一意です。 コンピューター上の 2 つのアカウントまたはグループが同じ SID を共有することはありません。 同様に、どのドメイン アカウントとグループについても、SID は企業内で一意です。 その結果、1 つのドメイン内のアカウントまたはグループの SID が、企業内の他のドメインのアカウントまたはグループの SID と一致することはありません。
SID は常に一意のままです。 セキュリティ機関は、同じ SID を 2 回発行することはなく、削除されたアカウントの SID を再利用することはありません。 たとえば、Windows ドメインにユーザー アカウントを持つユーザーがジョブを離れた場合、管理者は Active Directory アカウント (アカウントを識別する SID を含む) を削除します。 後で同じ会社の別のジョブに戻ると、管理者は新しいアカウントを作成し、Windows Server オペレーティング システムで新しい SID が生成されます。 新しい SID は古い SID と一致しないため、古いアカウントからのユーザーのアクセス権は新しいアカウントに移転されません。 両方のアカウントは、異なる 2 つのセキュリティ プリンシパルを表します。
SID アーキテクチャ
SID は、可変数の値を含むバイナリ形式のデータ構造です。 この構造の最初の値には、SID 構造に関する情報が含まれています。 残りの値は階層 (電話番号と同様) に配置され、SID 発行機関 (NT 機関など)、SID 発行ドメイン、および特定のセキュリティ プリンシパルまたはグループを識別します。 次の図は、SID の構造を示しています。
SID の個々の値を次の表で説明します。
| コンポーネント | 説明 |
|---|---|
| リビジョン | 特定の SID で使用される SID 構造のバージョンを示します。 |
| 識別子機関 | 特定の種類のセキュリティ プリンシパルに対して SID を発行できる最高レベルの機関を識別します。 たとえば、Everyone グループの SID の識別子機関値は 1 (World Authority) です。 特定の Windows Server アカウントまたはグループの SID の識別子機関値は 5 (NT Authority) です。 |
| サブ機関 | 1 つ以上の一連のサブ機関値に含まれている、SID 内の最も重要な情報を保持します。 一連の値内の最後の値までのすべての値 (ただし最後の値を含まない) は、企業内のドメインをまとめて識別します。 一連の値内のこの部分は、ドメイン識別子と呼ばれます。 系列の最後の値である RID は、ドメインに関連する特定のアカウントまたはグループを識別します。 |
SID のコンポーネントは、標準表記を使用してSID がバイナリ形式から文字列形式に変換されるときに容易に視覚化できます。
S-R-X-Y1-Y2-Yn-1-Yn
この表記における SID のコンポーネントを次の表に示します。
| コンポーネント | 説明 |
|---|---|
| S | 文字列が SID であることを示します |
| R | リビジョン レベルを示します |
| x | 識別子機関の値を示します |
| Y | 一連のサブ機関値を表します。ここで、n は値の数です |
SID の最も重要な情報が、一連のサブ機関値に含まれています。 一連の値の最初の部分 (-Y1-Y2-Yn-1) はドメイン識別子です。 SID のこの要素は、複数のドメインを持つ企業で重要になります。 具体的には、ドメイン識別子は、1 つのドメインが発行する SID と、企業内の他のすべてのドメインが発行する SID を区別します。 企業内の 2 つのドメインが同じドメイン識別子を共有することはありません。
一連のサブ機関値の最後の項目 (-Yn) は RID です。 1 つのアカウントまたはグループを、ドメイン内の他のすべてのアカウントおよびグループと区別します。 どのドメイン内の 2 つのアカウントまたはグループも同じ RID を共有しません。
たとえば、組み込み Administrators グループの SID は、標準化された SID 表記で次の文字列として表されます。
S-1-5-32-544
この SID には、次の 4 つのコンポーネントがあります。
- リビジョン レベル (1)
- 識別子機関の値 (5、NT Authority)
- ドメイン識別子 (32、Builtin)
- RID (544、管理者)
組み込みアカウントおよびグループの SID には、常に同じドメイン識別子値 32 があります。 この値は、Windows Server オペレーティング システムのバージョンを実行しているすべてのコンピューターに存在するドメイン (Builtin) を識別します。 あるコンピューターの組み込みアカウントとグループを、別のコンピューターの組み込みアカウントとグループと区別する必要はありません。これは、対象範囲がローカルであるためです。 これらは 1 台のコンピューターに対してローカルであるか、ネットワーク ドメインのドメイン コントローラーを使用して、1 台として動作する複数のコンピューターに対してローカルです。
組み込みアカウントおよびグループは、Builtin ドメインの範囲内で相互に区別する必要があります。 そのため、各アカウントとグループの SID には一意の RID があります。 RID 値 544 は、組み込みの Administrators グループに固有です。 Builtin ドメイン内の他のアカウントまたはグループには、最終的な値が 544 の SID はありません。
もう 1 つの例で、グローバル グループ Domain Admins の SID について考えてみましょう。 企業内のすべてのドメインには Domain Admins グループがあり、グループごとの SID は異なります。 次の例は、Contoso, Ltd. ドメインの Domain Admins グループの SID を表しています (Contoso\Domain Admins)。
S-1-5-21-1004336348-1177238915-682003330-512
Contoso\Domain Admins の SID には、次のコンポーネントがあります。
- リビジョン レベル (1)
- 識別子機関 (5、NT Authority)
- ドメイン識別子 (21-1004336348-1177238915-682003330、Contoso)
- RID (512、ドメイン管理者)
Contoso\Domain Admins の SID は、ドメイン識別子 21-1004336348-1177238915-682003330 によって、同じ企業内の他の Domain Admins グループの SID と区別されます。 企業内の他のドメインでは、この値をドメイン識別子として使用しません。 Contoso\Domain Admins の SID は、RID 512 によって Contoso ドメインに作成された他のアカウントとグループの SID と区別されます。 ドメイン内の他のアカウントまたはグループには、最終的な値が 512 の SID はありません。
RID 割り当て
ローカルのセキュリティ アカウント マネージャー (SAM) が管理するアカウント データベースにアカウントとグループが格納されている場合、スタンドアロン コンピューターで作成するアカウントとグループごとに一意の RID をシステムが生成するのは非常に簡単です。 スタンドアロン コンピューター上の SAM は、使用した RID 値を追跡し、二度と使用しないようにすることができます。
ただし、ネットワーク ドメインでは、一意の RID の生成はより複雑なプロセスです。 Windows Server ネットワーク ドメインには、複数のドメイン コントローラーを備えることができます。 各ドメイン コントローラーは、Active Directory アカウント情報を格納します。 その結果、ネットワーク ドメインには、ドメイン コントローラーと同じ数のアカウント データベースのコピーがあります。 さらに、アカウント データベースのどのコピーもマスター コピーです。
新しいアカウントとグループは、任意のドメイン コントローラーで作成できます。 1 つのドメイン コントローラーで Active Directory に加えられた変更は、ドメイン内の他のすべてのドメイン コントローラーにレプリケートされます。 アカウント データベースの 1 つのマスター コピーの変更を他のすべてのマスター コピーにレプリケートするプロセスは、マルチマスター操作と呼ばれます。
一意の RID を生成するプロセスは、単一マスター操作です。 1 つのドメイン コントローラーに RID マスターの役割が割り当てられ、一連の RID がドメイン内の各ドメイン コントローラーに割り当てられます。 Active Directory の 1 つのドメイン コントローラーのレプリカに新しいドメイン アカウントまたはグループが作成されると、SID が割り当てられます。 新しい SID の RID は、ドメイン コントローラーによる RID の割り当てから取得されます。 RID の供給が不足し始めると、ドメイン コントローラーは RID マスターに別のブロックを要求します。
各ドメイン コントローラーは、RID のブロック内の各値を 1 回だけ使用します。 RID マスターは、RID 値の各ブロックを 1 回だけ割り当てます。 このプロセスにより、ドメインに作成されたすべてのアカウントとグループに一意の RID が設定されます。
SID とグローバル一意識別子
新しいドメイン ユーザーまたはグループのアカウントが作成されると、Active Directory はアカウントの SID を User または Group オブジェクトの ObjectSID プロパティに格納します。 また、企業内だけでなく、世界中で一意の 128 ビット値であるグローバル一意識別子 (GUID) を新しいオブジェクトに割り当てます。 GUID は、ユーザー オブジェクトとグループ オブジェクトだけでなく、Active Directory によって作成されるすべてのオブジェクトに割り当てられます。 各オブジェクトの GUID は、その ObjectGUID プロパティに格納されます。
Active Directory では、GUID を内部で使用してオブジェクトを識別します。 たとえば、GUID は、グローバル カタログで公開されているオブジェクトのプロパティの 1 つです。 ユーザーが企業内のどこかでアカウントを持っている場合、グローバル カタログで User オブジェクトの GUID を検索すると、結果が生成されます。 実際、ObjectGUID でオブジェクトを検索することが、検索するオブジェクトを見つける最も確実な方法です。 他のオブジェクト プロパティの値は変わりますが、ObjectGUID プロパティが変わることはありません。 オブジェクトに GUID が割り当てられると、存続期間中その値が保持されます。
あるドメインから別のドメインにユーザーが移動すると、ユーザーは新しい SID を取得します。 グループ オブジェクトの SID は変更されません。これは、グループが作成されたドメインに留まるためです。 ただし、ユーザーが移動した場合、そのアカウントは一緒に移動できます。 従業員が北米からヨーロッパに移動しても、同じ会社に留まる場合、企業の管理者は、その従業員の User オブジェクトを、たとえば、Contoso\NoAm から Contoso\Europe に移動できます。 この場合、アカウントの User オブジェクトには新しい SID が必要です。 NoAm で発行される SID のドメイン識別子部分は NoAm に一意であるため、ヨーロッパにおけるユーザーアカウントの SID には異なるドメイン識別子があります。 SID の RID 部分はドメインに対して一意であるため、ドメインが変更されると RID も変更されます。
User オブジェクトがあるドメインから別のドメインに移動すると、ユーザー アカウント用に新しい SID を生成し、ObjectSID プロパティに格納する必要があります。 新しい値がプロパティに書き込まれる前に、以前の値が User オブジェクトの別のプロパティ SIDHistory にコピーされます。 このプロパティには、複数の値を保持できます。 User オブジェクトが別のドメインに移動するたびに、新しい SID が生成され、 ObjectSID プロパティに格納され、 SIDHistory 値の古い SID の一覧に別の値が追加されます。 ユーザーがサインインして正常に認証されると、ドメイン認証サービスは、ユーザーに関連付けられているすべての SID について Active Directory に対してクエリを実行します。 クエリには、ユーザーの現在の SID、ユーザーの古い SID、およびユーザーのグループの SID が含まれます。 これらの SID はすべて、認証クライアントに返され、ユーザーのアクセス トークンに含まれます。 ユーザーがリソースへのアクセスを試みると、アクセス トークン内のいずれかの SID ( SIDHistory プロパティの SID のいずれかを含む) で、ユーザー アクセスを許可または拒否できます。
ユーザーのジョブに基づいて、リソースへのアクセスを許可または拒否できます。 ただし、個人ではなく、グループへのアクセスを許可または拒否する必要があります。 そうすることで、ユーザーがジョブを変更したり、他の部署に移動したりするときに、特定のグループから削除して他のグループに追加することで、簡単にアクセスを調整できます。
ただし、リソースへの個々のユーザー アクセスを許可または拒否する場合は、ユーザーのアカウント ドメインが何回変更されても、そのユーザーのアクセス権は同じままにしておく必要があります。
SIDHistory プロパティを使用すると、アクセスを同じままにできます。 ユーザーがドメインを変更する場合、リソースでアクセス制御リスト (ACL) を変更する必要はありません。 ACL にはユーザーの古い SID が含まれている可能性がありますが、新しい SID は含まれません。 ただし、古い SID は引き続きユーザーのアクセス トークンに含まれます。 これはユーザーのグループの SID の中に表示され、ユーザーは古い SID に基づいてアクセスを許可または拒否されます。
既知の SID
特定の SID の値は、すべてのシステムで一定です。 これらの値は、オペレーティング システムまたはドメインがインストールされるときに作成されます。 これらの値は汎用ユーザーまたは汎用グループを識別するため、既知の SID と呼ばれます。
Windows 以外のオペレーティング システムを含めて、このセキュリティ モデルを使用する、セキュリティで保護されたすべてのシステムで意味のある既知の汎用 SID があります。 さらに、Windows オペレーティング システムでのみ意味のある既知の SID もあります。
次の表に、汎用の既知の SID を示します。
| 既知の汎用 SID | 名前 | 識別する内容 |
|---|---|---|
| S-1-0-0 | ヌルSID | メンバーのないグループ。 この値は、SID 値がわからない場合によく使用されます。 |
| S-1-1-0 | 世界 | すべてのユーザーを含むグループ。 |
| S-1-2-0 | ローカル | ローカル (物理的) にシステムに接続されている端末にサインインするユーザー。 |
| S-1-2-1 | コンソール ログオン | 物理コンソールにサインオンしているユーザーを含むグループ。 |
| S-1-3-0 | クリエイターオーナー ID | SID は、新しいオブジェクトを作成するユーザーの SID に置き換えられます。 この SID は、継承可能なアクセス制御エントリ (ACE) で使用されます。 |
| S-1-3-1 | クリエーターグループID | 新しいオブジェクトを作成するユーザーのプライマリ グループ SID に置き換えられる SID。 継承可能な ACE でこの SID を使用します。 |
| S-1-3-2 | 所有者サーバー | 継承可能な ACE のプレースホルダー。 ACE が継承されると、システムによって、この SID がオブジェクトのオーナー サーバーの SID に置き換えられ、特定のオブジェクトまたはファイルを作成したユーザーに関する情報が格納されます。 |
| S-1-3-3 | グループ サーバー | 継承可能な ACE のプレースホルダー。 ACE が継承されると、システムはこの SID をオブジェクトのグループ サーバーの SID に置き換えます。 システムには、オブジェクトの操作が許可されているグループに関する情報も格納されます。 |
| S-1-3-4 | 所有者権限 | オブジェクトの現在の所有者を表すグループ。 このSIDを持つACEがオブジェクトに適用されると、システムはオブジェクト所有者に対する暗黙的な標準アクセス権であるREAD_CONTROLとWRITE_DACを無視します。 |
| S-1-4 | 一意でない機関 | 識別子機関を表す SID。 |
| S-1-5 | NT Authority (NT AUTHORITY) | 識別子機関を表す SID。 |
| S-1-5-80-0 | すべてのサービス | システム上で構成されているすべてのサービス プロセスを含むグループ。 オペレーティング システムは、このグループのメンバーシップを制御します。 |
次の表に、事前定義された識別子機関の定数を示します。 最初の 4 つの値は、既知の汎用 SID で使用され、残りの値は、この記事の冒頭にある "適用対象" リストの Windows オペレーティング システムの既知の SID で使用されます。
| 識別子機関 | 値 | SID 文字列プレフィックス |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 | S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 | S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 | S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 | S-1-3 |
| SECURITY_NT_AUTHORITY | 5 | S-1-5 |
| セキュリティ認証権限 | 18 | S-1-18 |
次の RID 値は、既知の汎用 SID で使用されます。 識別子機関列には、既知の汎用 SID を作成するために RID と組み合わせることができる識別子機関のプレフィックスを示します。
| RID 機関 | 値 | 識別子機関 |
|---|---|---|
| SECURITY_NULL_RID | 0 | S-1-0 |
| SECURITY_WORLD_RID | 0 | S-1-1 |
| SECURITY_LOCAL_RID | 0 | S-1-2 |
| SECURITY_CREATOR_OWNER_RID | 0 | S-1-3 |
| SECURITY_CREATOR_GROUP_RID | 1 | S-1-3 |
SECURITY_NT_AUTHORITY (S-1-5) の定義済み識別子機関は、汎用ではない SID を生成します。 これらの SID は、この記事の冒頭にある 「適用対象」リストの Windows オペレーティング システムのインストールでのみ意味があります。
次の表に、既知の SID を示します。
| SID | [表示名] | 説明 |
|---|---|---|
| S-1-5-1 | Dialup (DIALUP) | ダイヤルアップ接続経由でシステムにサインインしているすべてのユーザーを含むグループ。 |
| S-1-5-113 | ローカル アカウント | 管理者アカウントまたは同等のアカウントではなく、ローカル アカウントへのネットワーク サインインを制限するときに使用できる SID。 この SID は、名前に関係なく、アカウントの種類別にローカル ユーザーとグループのネットワーク サインインをブロックする場合に有効です。 |
| S-1-5-114 | ローカル アカウントと Administrators グループのメンバー | 管理者アカウントまたは同等のアカウントではなく、ローカル アカウントへのネットワーク サインインを制限するときに使用できる SID。 この SID は、名前に関係なく、アカウントの種類別にローカル ユーザーとグループのネットワーク サインインをブロックする場合に有効です。 |
| S-1-5-2 | ネットワーク | ネットワーク接続経由でサインインしているすべてのユーザーを含むグループ。 対話ユーザーのアクセス トークンには、Network SID は含まれません。 |
| S-1-5-3 | バッチ | タスク スケジューラ ジョブなど、バッチ キュー機能を介してサインインしているすべてのユーザーを含むグループ。 |
| S-1-5-4 | インタラクティブ | 対話式にサインインするすべてのユーザーを含むグループ。 ユーザーは、リモート コンピューターからリモート デスクトップ サービス接続を開くか、Telnet などのリモート シェルを使用して、対話型サインイン セッションを開始できます。 いずれの場合も、ユーザーのアクセス トークンには Interactive SID が含まれます。 ユーザーがリモート デスクトップ サービス接続を使用してサインインする場合、ユーザーのアクセス トークンには Remote Interactive Logon SID も含まれます。 |
| S-1-5-5- X-Y | ログオン セッション | 特定のサインイン セッション。 この形式の SID の X 値と Y 値は、サインイン セッションごとに一意です。 |
| S-1-5-6 | サービス | サービスとしてサインインしているすべてのセキュリティ プリンシパルを含むグループ。 |
| S-1-5-7 | 匿名ログオン | ユーザー名とパスワードを指定せずにコンピューターに接続するユーザー。 Anonymous Logon ID は、インターネット インフォメーション サービス (IIS) で匿名 Web アクセスに使用される ID とは異なります。 IIS では、Web サイト上のリソースに匿名でアクセスするために、実際のアカウント (既定では IUSR_computer-name) が使用されます。 厳密に言えば、不明なユーザーがアカウントを使用している場合であっても、セキュリティ プリンシパルは知られているため、このようなアクセスは匿名ではありません。 IUSR_コンピューター名 (またはアカウントに名前を付けるもの) にはパスワードがあり、IIS はサービスの開始時にアカウントにサインインします。 その結果、IIS 匿名ユーザーは認証済みユーザーのメンバーですが、匿名ログオンはメンバーではありません。 |
| S-1-5-8 | プロキシ | 現在使用されていない SID。 |
| S-1-5-9 | エンタープライズ ドメイン コントローラー | ドメインのフォレスト内のすべてのドメイン コントローラーを含むグループ。 |
| S-1-5-10 | セルフ | Active Directory のユーザー、グループ、またはコンピューター オブジェクトの ACE のプレースホルダー。 Self にアクセス許可を付与する場合は、オブジェクトが表すセキュリティ プリンシパルに権限を付与します。 アクセス チェック中に、オペレーティング システムは Self の SID を、オブジェクトが表すセキュリティ プリンシパルの SID に置き換えます。 |
| S-1-5-11 | 認証済みユーザー | 認証された ID を持つすべてのユーザーとコンピューターを含むグループ。 認証されたユーザーには、そのアカウントにパスワードがある場合でも、ゲスト アカウントは含まれません。 このグループには、現在のドメインだけでなく、任意の信頼される側のドメインからの認証済みセキュリティ プリンシパルが含まれます。 |
| S-1-5-12 | 制限付きコード | 制限付きセキュリティ コンテキストで実行されているプロセスによって使用される ID。 Windows および Windows Server オペレーティング システムでは、ソフトウェア制限ポリシーによって次の 3 つのセキュリティ レベルのいずれかがコードに割り当てられます。UnrestrictedRestrictedDisallowed 制限付きセキュリティ レベルでコードを実行すると、Restricted SID がユーザーのアクセス トークンに追加されます。 |
| S-1-5-13 | ターミナル サーバー ユーザー | リモート デスクトップ サービスが有効になっているサーバーにサインインしているすべてのユーザーを含むグループ。 |
| S-1-5-14 | リモート 対話型ログオン | リモート デスクトップ接続を使用してコンピューターにサインインしているすべてのユーザーを含むグループ。 このグループは、Interactive グループのサブセットです。 Remote Interactive Logon SID を含むアクセス トークンには、Interactive SID も含まれます。 |
| S-1-5-15 | この組織 | 同じ組織のすべてのユーザーを含むグループ。 このグループは Active Directory アカウントにのみ含まれており、ドメイン コントローラーによってのみ追加されます。 |
| S-1-5-17 | IUSRの | 既定の IIS ユーザーによって使用されるアカウント。 |
| S-1-5-18 | System (または LocalSystem) | オペレーティング システムと、LocalSystem としてサインインするように構成されているサービスによって、ローカルで使用される ID。 System は、Administrators の非表示のメンバーです。 つまり、システムとして実行されているプロセスには、組み込みの Administrators グループの SID がアクセス トークンに含まれています。 System としてローカルで実行されているプロセスが、ネットワーク リソースにアクセスする場合、コンピューターのドメイン ID を使用してアクセスします。 リモート コンピューター上のアクセス トークンには、ローカル コンピューターのドメイン アカウントの SID に加えて、コンピューターがメンバーであるセキュリティ グループの SID (Domain Computers や Authenticated Users など) が含まれます。 |
| S-1-5-19 | NT 機関 (LocalService) | コンピューターに対してローカルであり、広範なローカル アクセスは必要なく、認証されたネットワーク アクセスが必要ないサービスで使用される ID。 LocalService として実行されるサービスは、ローカル リソースに通常のユーザーとしてアクセスでき、匿名ユーザーとしてネットワーク リソースにアクセスできます。 そのため、LocalService として実行されるサービスの権限は、LocalSystem としてローカルおよびネットワーク上で実行されるサービスよりも大幅に少なくなります。 |
| S-1-5-20 | ネットワークサービス | 広範なローカル アクセスを必要としないもの、認証されたネットワーク アクセスを必要とするサービスで使用される ID。 NetworkService として実行されているサービスは、通常のユーザーとしてローカル リソースにアクセスし、コンピューターの ID を使用してネットワーク リソースにアクセスできます。 その結果、NetworkService として実行されるサービスは、LocalSystem として実行されるサービスと同じネットワーク アクセスを持ちますが、そのローカル アクセスは大幅に削減されます。 |
| S-1-5-ドメイン-500 | 管理者 | システム管理者のユーザー アカウント。 すべてのコンピューターにはローカル管理者アカウントがあり、すべてのドメインにはドメイン管理者アカウントがあります。 Administrator アカウントは、オペレーティング システムのインストール中に最初に作成されるアカウントです。 このアカウントを削除、無効化、またはロックアウトすることはできませんが、名前を変更することはできます。 既定では、Administrator アカウントは Administrators グループのメンバーであり、そのグループから削除することはできません。 |
| S-1-5-ドメイン-501 | ゲスト | 個別のアカウントがないユーザーのユーザー アカウント。 すべてのコンピューターにはローカル Guest アカウントがあり、すべてのドメインにはドメイン Guest アカウントがあります。 既定では、Guest は Everyone と Guests グループのメンバーです。 また、ドメイン Guest アカウントは、Domain Guests と Domain Users グループのメンバーでもあります。 Anonymous Logon とは異なり、Guest は実際のアカウントであり、対話式にサインインするために使用できます。 Guest アカウントにはパスワードは必要ありませんが、パスワードを持つことができます。 |
| S-1-5-ドメイン-502 | KRBTGTの | キー配布センター (KDC) サービスで使用されるユーザー アカウント。 このアカウントはドメイン コントローラーにのみ存在します。 |
| S-1-5-ドメイン-512 | ドメイン管理者 | ドメインを管理する権限を持つメンバーを含むグローバル グループ。 既定では、Domain Admins グループは、ドメイン コントローラーを含め、ドメインに参加しているすべてのコンピューターの Administrators グループのメンバーです。 Domain Admins は、グループの任意のメンバーによってドメインの Active Directory で作成される任意のオブジェクトの既定の所有者です。 グループのメンバーがファイルなどの他のオブジェクトを作成する場合、既定の所有者は Administrators グループです。 |
| S-1-5-ドメイン-513 | ドメイン ユーザー | ドメイン内のすべてのユーザーを含むグローバル グループ。 Active Directory で新しい User オブジェクトを作成する場合、ユーザーはこのグループに自動的に追加されます。 |
| S-1-5-ドメイン-514 | ドメイン ゲスト | 既定では、ドメインの組み込み Guest アカウントという 1 つのメンバーしかないグローバル グループ。 |
| S-1-5-ドメイン-515 | ドメイン コンピューター | ドメイン コントローラーを除く、ドメインに参加しているすべてのコンピューターを含むグローバル グループ。 |
| S-1-5-ドメイン-516 | ドメイン コントローラー | ドメイン内のすべてのドメイン コントローラーを含むグローバル グループ。 新しいドメイン コントローラーは、このグループに自動的に追加されます。 |
| S-1-5-ドメイン-517 | 証明書発行者 | エンタープライズ証明機関をホストするすべてのコンピューターを含むグローバル グループ。 Cert Publishers には、Active Directory の User オブジェクトの証明書を発行する権限があります。 |
| S-1-5-ルートドメイン-518 | スキーマ管理者 | フォレスト ルート ドメインにのみ存在するグループ。 ドメインがネイティブ モードの場合は汎用グループであり、ドメインが混合モードの場合はグローバル グループです。 Schema Admins グループには、Active Directory でスキーマを変更する権限があります。 既定では、フォレスト ルート ドメインの Administrator アカウントだけが、このグループのメンバーです。 |
| S-1-5-ルートドメイン-519 | エンタープライズ管理者 | フォレスト ルート ドメインにのみ存在するグループ。 ドメインがネイティブ モードの場合は汎用グループであり、ドメインが混合モードの場合はグローバル グループです。 Enterprise Admins グループには、フォレスト インフラストラクチャに変更を加える権限があります。 たとえば、子ドメインの追加、サイトの構成、動的ホスト構成プロトコル (DHCP) サーバーの承認、エンタープライズ証明機関のインストールなどがあります。 既定では、フォレスト ルート ドメインの Administrator アカウントだけが、Enterprise Admins のメンバーです。 このグループは、フォレスト内のすべての Domain Admins グループの既定のメンバーです。 |
| S-1-5-ドメイン-520 | グループ ポリシー作成者の所有者 | Active Directory で新しいグループ ポリシー オブジェクトを作成する権限を持つグローバル グループ。 既定では、このグループのメンバーは Administrator のみです。 グループ ポリシー作成者所有者のメンバーがオブジェクトを作成すると、そのメンバーはそのオブジェクトを所有します。 このように、Group Policy Creator Owners グループは、他の管理グループ (Administrators や Domain Admins など) とは異なります。 これらのグループのメンバーがオブジェクトを作成すると、グループは個人ではなくオブジェクトを所有します。 |
| S-1-5-ドメイン-521 | Read-Only Domain Controllers | すべての読み取り専用ドメイン コントローラーを含むグローバル グループ。 |
| S-1-5-ドメイン-522 | クローン可能なコントローラー | ドメイン内の複製可能なすべてのドメイン コントローラーを含むグローバル グループ。 |
| S-1-5-ドメイン-525 | 保護されたユーザー | 認証セキュリティの脅威に対する追加の保護を提供するグローバル グループ。 |
| S-1-5-ルートドメイン-526 | 主要管理者 | 信頼された外部機関がこの属性の変更を担当するシナリオで使用することを目的としたグループ。 このグループのメンバーにするのは、信頼された管理者のみにする必要があります。 |
| S-1-5-ドメイン-527 | エンタープライズキー管理者 | 信頼された外部機関がこの属性の変更を担当するシナリオで使用することを目的としたグループ。 このグループのメンバーにするのは、信頼されたエンタープライズ管理者のみにする必要があります。 |
| S-1-5-32-544 | 管理者 | 組み込みグループ。 オペレーティング システムの初回インストール後、このグループのメンバーは Administrator アカウントのみです。 コンピューターがドメインに参加すると、Domain Admins グループが Administrators グループに追加されます。 サーバーがドメイン コントローラーになると、Enterprise Admins グループも Administrators グループに追加されます。 |
| S-1-5-32-545 | ユーザー | 組み込みグループ。 オペレーティング システムの初回インストール後、メンバーは Authenticated Users グループのみです。 |
| S-1-5-32-546 | ゲスト | 組み込みグループ。 既定では、メンバーは Guest アカウントのみです。 Guests グループを使用すると、コンピューターの組み込み Guest アカウントに対する制限付き特権で、あまり使用しないユーザーまたは 1 回限りのユーザーがサインインできるようになります。 |
| S-1-5-32-547 | パワー ユーザー | 組み込みグループ。 既定では、このグループにはメンバーはありません。 パワー ユーザーは次のことができます。 |
| S-1-5-32-548 | アカウントオペレーター | ドメイン コントローラーにのみ存在する組み込みグループ。 既定では、このグループにはメンバーはありません。 既定では、アカウント オペレーターには、組み込みコンテナーとドメイン コントローラー OU を除く Active Directory のすべてのコンテナーと組織単位 (OU) 内のユーザー、グループ、およびコンピューターのアカウントを作成、変更、削除するアクセス許可があります。 アカウントオペレーターには、管理者グループとドメイン管理者グループを変更するアクセス許可がありません。 また、これらのグループのメンバーのアカウントを変更するアクセス許可も持っていません。 |
| S-1-5-32-549 | サーバー管理者 | ドメイン コントローラーにのみ存在する組み込みグループ。 既定では、このグループにはメンバーはありません。 サーバーオペレーターは次のことができます。 |
| S-1-5-32-550 | 演算子を印刷します。 | ドメイン コントローラーにのみ存在する組み込みグループ。 既定では、メンバーは Domain Users グループのみです。 Print Operators は、プリンターとドキュメント キューを管理できます。 |
| S-1-5-32-551 | バックアップオペレーター | 組み込みグループ。 既定では、このグループにはメンバーはありません。 Backup Operators は、ファイルを保護しているアクセス許可にかかわらず、コンピューター上のすべてのファイルのバックアップと復元を行うことができます。 また、Backup Operators は、コンピューターにサインインしてシャットダウンすることもできます。 |
| S-1-5-32-552 | レプリケーター | ドメイン内のファイル レプリケーションをサポートする組み込みグループ。 既定では、このグループにはメンバーはありません。 このグループにユーザーを追加 "しない" でください。 |
| S-1-5-ドメイン-553 | RAS および IAS サーバー | ローカル ドメイン グループ。 既定では、このグループにはメンバーはありません。 ルーティングとリモート アクセス サービスを実行しているコンピューターは、グループに自動的に追加されます。 このグループのメンバーは、アカウント制限の読み取り、ログオン情報の読み取り、リモート アクセス情報の読み取りなど、User オブジェクトの特定のプロパティにアクセスできます。 |
| S-1-5-32-554 | ビルトイン\Windows 2000 より前の互換性のあるアクセス | ドメイン内のすべてのユーザーとグループに対する読み取りアクセスを可能にする下位互換性グループ。 |
| S-1-5-32-555 | ビルトイン\リモート デスクトップ ユーザー | エイリアス。 このグループのメンバーには、リモートでサインインする権限が付与されます。 |
| S-1-5-32-556 | ビルトイン\ネットワーク構成演算子 | エイリアス。 このグループのメンバーには、ネットワーク機能の構成を管理する管理特権があります。 |
| S-1-5-32-557 | 組み込み\着信フォレスト信頼ビルダー | エイリアス。 このグループのメンバーは、フォレストに対する一方向の受信信頼を作成できます。 |
| S-1-5-32-558 | ビルトイン\パフォーマンス モニター ユーザー | エイリアス。 このグループのメンバーは、コンピューターを監視するためのリモート アクセス権を持ちます。 |
| S-1-5-32-559 | Builtin\Performance ログ ユーザー | エイリアス。 このグループのメンバーは、コンピューター上のパフォーマンス カウンターのログ記録をスケジュールするためのリモート アクセス権を持ちます。 |
| S-1-5-32-560 | ビルトイン\Windows認証アクセスグループ | エイリアス。 このグループのメンバーは、User オブジェクトの計算 tokenGroupsGlobalAndUniversal 属性にアクセスできます。 |
| S-1-5-32-561 | ビルトイン\ターミナル サーバー ライセンス サーバー | エイリアス。 ターミナル サーバー ライセンス サーバーのグループ。 |
| S-1-5-32-562 | Builtin\Distributed COM ユーザー | エイリアス。 コンポーネント オブジェクト モデル (COM) ユーザーのグループ。コンピューター上のすべての呼び出し、アクティブ化、または起動要求へのアクセスを制御するコンピューター全体のアクセス制御を提供します。 |
| S-1-5-32-568 | ビルトイン\IIS_IUSRS | エイリアス。 IIS ユーザー用の組み込みグループ アカウント。 |
| S-1-5-32-569 | Builtin\Cryptographic 演算子 | 組み込みのローカル グループ。 メンバーは、暗号化操作の実行を承認されます。 |
| S-1-5-ドメイン-571 | Allowed RODC Password Replication グループ | ドメイン内のすべての読み取り専用ドメイン コントローラーにパスワードをレプリケートできるメンバーを持つグループ。 |
| S-1-5-ドメイン-572 | Denied RODC Password Replication グループ | ドメイン内のすべての読み取り専用ドメイン コントローラーにパスワードをレプリケートできないメンバーを含むグループ。 |
| S-1-5-32-573 | ビルトイン\イベント ログ リーダー | 組み込みのローカル グループ。 このグループのメンバーは、ローカル コンピューターからイベント ログを読み取ることができます。 |
| S-1-5-32-574 | ビルトイン\証明書サービス DCOM アクセス | 組み込みのローカル グループ。 このグループのメンバーは、企業内の証明機関に接続できます。 |
| S-1-5-32-575 | ビルトイン\RDS リモート アクセス サーバー | 組み込みのローカル グループ。 このグループのサーバーを使用すると、RemoteApp プログラムと個人用仮想デスクトップのユーザーは、これらのリソースにアクセスできます。 インターネットに接続する展開では、通常、これらのサーバーはエッジ ネットワークに展開されます。 このグループは、リモート デスクトップ接続ブローカー (RD 接続ブローカー) を実行しているサーバーに設定する必要があります。 展開で使用されるリモート デスクトップ ゲートウェイ (RD ゲートウェイ) サーバーとリモート デスクトップ Web アクセス (RD Web アクセス) サーバーは、このグループに存在する必要があります。 |
| S-1-5-32-576 | Builtin\RDS エンドポイント サーバー | 組み込みのローカル グループ。 このグループ内のサーバーは仮想マシンを実行し、ユーザーの RemoteApp プログラムと個人用仮想デスクトップが実行されるセッションをホストします。 このグループは、リモート デスクトップ接続ブローカーを実行しているサーバーに設定する必要があります。 展開で使用されるリモート デスクトップ セッション ホスト (RD セッション ホスト) サーバーとリモート デスクトップ仮想化ホスト (RD 仮想化ホスト) サーバーは、このグループに存在する必要があります。 |
| S-1-5-32-577 | Builtin\RDS 管理サーバー | 組み込みのローカル グループ。 このグループ内のサーバーは、リモート デスクトップ サービスを実行しているサーバーに対して日常的な管理アクションを実行できます。 このグループは、リモート デスクトップ サービス展開内のすべてのサーバーに設定する必要があります。 リモート デスクトップ サービスの中央管理サービスを実行しているサーバーは、このグループに含まれている必要があります。 |
| S-1-5-32-578 | ビルトイン\Hyper-V 管理者 | 組み込みのローカル グループ。 このグループのメンバーは、Hyper-V のすべての機能に対する制限のない完全なアクセスが許可されます。 |
| S-1-5-32-579 | Builtin\アクセス制御支援オペレーター | 組み込みのローカル グループ。 このグループのメンバーは、コンピューター上のリソースの承認属性とアクセス許可をリモートでクエリできます。 |
| S-1-5-32-580 | ビルトイン\リモート管理ユーザー | 組み込みのローカル グループ。 このグループのメンバーは、Windows リモート管理サービスを介して、Web Services for Management (WS-Management) などの管理プロトコルを介して Windows Management Instrumentation (WMI) リソースにアクセスできます。 このアクセスは、ユーザーへのアクセスを許可する WMI 名前空間にのみ適用されます。 |
| S-1-5-64-10 | NTLM 認証 | New Technology LAN Manager (NTLM) 認証パッケージがクライアントを認証するときに使用される SID。 |
| S-1-5-64-14 | SChannel 認証 | Secure Channel (Schannel) 認証パッケージがクライアントを認証するときに使用される SID。 |
| S-1-5-64*21 | ダイジェスト認証 | Digest 認証パッケージでクライアントが認証されるときに使用される SID。 |
| S-1-5-80 | NT サービス | 新しいテクノロジ サービス (NT サービス) アカウント プレフィックスとして使用される SID。 |
| S-1-5-80-0 | すべてのサービス | システム上で構成されているすべてのサービス プロセスを含むグループ。 オペレーティング システムは、このグループのメンバーシップを制御します。 S-1-5-80-0 SID は NT SERVICES\ALL SERVICES を表します。 |
| S-1-5-83-0 | NT VIRTUAL MACHINE\仮想マシン | 組み込みグループ。 このグループは、Hyper-V の役割がインストールされるときに作成されます。 Hyper-V 管理サービス (VMMS) は、このグループのメンバーシップを保持します。 このグループには、"シンボリック リンクの作成" 権限 (SeCreateSymbolicLinkPrivilege) と "サービスとしてのログオン" 権限 (SeServiceLogonRight) が必要です。 |
次の RID は、各ドメインに関連しています。
| RID | 10 進値 | 識別する内容 |
|---|---|---|
| DOMAIN_USER_RID_ADMIN | 500 | ドメイン内の管理ユーザー アカウント。 |
| DOMAIN_USER_RID_GUEST | 501 | ドメイン内のゲスト ユーザー アカウント。 アカウントがないユーザーは、このアカウントに自動的にサインインできます。 |
| DOMAIN_GROUP_RID_USERS | 513 | ドメイン内のすべてのユーザー アカウントを含むグループ。 このグループにはすべてのユーザーが自動的に追加されます。 |
| DOMAIN_GROUP_RID_GUESTS | 514 | ドメイン内のグループ Guest アカウント。 |
| DOMAIN_GROUP_RID_COMPUTERS | 515 | Domain Computer グループ。 ドメイン内のすべてのコンピューターが、このグループのメンバーです。 |
| DOMAIN_GROUP_RID_CONTROLLERS | 516 | Domain Controller グループ。 ドメイン内のすべてのドメイン コントローラーが、このグループのメンバーです。 |
| DOMAIN_GROUP_RID_CERT_ADMINS (ドメイン グループ RID 証明書管理者) | 517 | 証明書の発行元グループ。 Active Directory 証明書サービスを実行しているコンピューターは、このグループのメンバーです。 |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS | 518 | スキーマ管理者グループ。 このグループのメンバーは、Active Directory スキーマを変更できます。 |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS | 519 | エンタープライズ管理者グループ。 このグループのメンバーには、Active Directory フォレスト内のすべてのドメインへのフル アクセス権があります。 エンタープライズ管理者は、新しいドメインの追加や削除などのフォレスト レベルの操作を担当します。 |
| DOMAIN_GROUP_RID_POLICY_ADMINS | 520 | ポリシー管理者グループ。 |
次の表に、ローカル グループの既知の SID を形成するために使用されるドメイン相対 RID の例を示します。
| RID | 10 進値 | 識別する内容 |
|---|---|---|
| DOMAIN_ALIAS_RID_ADMINS | 544 | ドメインの管理者。 |
| DOMAIN_ALIAS_RID_USERS | 545 | ドメイン内のすべてのユーザー。 |
| DOMAIN_ALIAS_RID_GUESTS | 546 | ドメインのゲスト。 |
| DOMAIN_ALIAS_RID_POWER_USERS | 547 | システムを複数のユーザーのワークステーションとしてではなく、自分のパーソナル コンピューターであるかのように扱うことを期待するユーザーまたは一連のユーザー。 |
| DOMAIN_ALIAS_RID_BACKUP_OPS | 551 | ファイルのバックアップと復元のユーザー権限の割り当てを制御するために使用されるローカル グループ。 |
| DOMAIN_ALIAS_RID_REPLICATOR | 552 | プライマリ ドメイン コントローラーからバックアップ ドメイン コントローラーにセキュリティ データベースをコピーするローカル グループ。 これらのアカウントは、システムでのみ使用されます。 |
| DOMAIN_ALIAS_RID_RAS_SERVERS | 553 | インターネット認証サービス (IAS) を実行しているリモート アクセスとサーバーを表すローカル グループ。 このグループは、User オブジェクトのさまざまな属性へのアクセスを許可します。 |
SID 機能の変更
次の表では、Windows オペレーティング システムでの SID 実装の変更点について説明します。
| 変更 | オペレーティング システムのバージョン | 説明とリソース |
|---|---|---|
| TrustedInstaller SID は、ほとんどのオペレーティング システム ファイルを所有しています | Windows Server 2008、Windows Vista | この変更の目的は、管理者または LocalSystem アカウントで実行されているプロセスがオペレーティング システム ファイルを自動的に置き換えないようにすることです。 |
| 制限付き SID チェックが実装されている | Windows Server 2008、Windows Vista | 制限 SID が存在する場合、Windows は 2 つのアクセス チェックを実行します。 1 つ目は通常のアクセス チェックで、2 つ目はトークン内の制限 SID に対する同じアクセス チェックです。 プロセスがオブジェクトにアクセスできるようにするには、両方のアクセス チェックに合格する必要があります。 |
機能 SID
機能 SID は、機能の一意の不変識別子として機能します。 機能は、ユニバーサル Windows アプリケーションにリソース (ドキュメント、カメラ、場所など) へのアクセスを許可する、偽造不可能な権限トークンを表します。 機能を 持つアプリには 、その機能が関連付けられているリソースへのアクセス権が付与されます。 機能 を持たない アプリは、リソースへのアクセスを拒否されます。
オペレーティング システムが認識しているすべての機能 SID は、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities パスの Windows レジストリに格納されます。 Microsoft またはパートナー アプリケーションによって Windows に追加された機能 SID は、この場所に追加されます。
Windows 10 バージョン 1909、64 ビット Enterprise Edition から取得されたレジストリ キーの例
AllCachedCapabilities の下に次のレジストリ キーが表示される場合があります。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
すべての機能 SID のプレフィックスは S-1-15-3 です。
Windows 11 バージョン 21H2、64 ビット Enterprise Edition から取得されたレジストリ キーの例
AllCachedCapabilities の下に次のレジストリ キーが表示される場合があります。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_DevUnlock_Internal
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Enterprise
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_General
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Restricted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities\capabilityClass_Windows
すべての機能 SID のプレフィックスは S-1-15-3 です。