Windows アクセス制御に使用される Windows Server の特殊 ID グループ ("セキュリティ グループ" とも呼ばれる) について説明します。
特殊 ID グループとは
特殊 ID グループは、Active Directory の Users および BuiltIn コンテナーに一覧表示される Active Directory セキュリティ グループに似ています。 特殊 ID グループは、ネットワーク内のリソースへのアクセス権を割り当てるための効率的な手段となります。 特殊 ID グループを使用すると、次のことができます。
Active Directory のセキュリティ グループにユーザーの権利を割り当てる。
セキュリティ グループにリソースに対するアクセス許可を割り当てる。
Windows Server での特殊 ID グループの機能
この記事の冒頭にある「適用対象」に示されている Windows Server オペレーティング システムのバージョンのどれかを実行しているサーバーには、複数の特殊 ID グループが存在します。 これらの特殊な ID グループには、変更できる特定のメンバーシップはありませんが、状況に応じて、異なる時間に異なるユーザーを表すことができます。
特定のリソースに対する権限とアクセス許可を特殊 ID グループに割り当てることができますが、特殊 ID グループのメンバーシップを表示または変更することはできません。 グループ スコープは、特殊 ID グループには適用されません。 ユーザーは、サインインまたは特定のリソースへのアクセス時に、特殊 ID グループに自動的に割り当てられます。
Active Directory のセキュリティ グループとグループ スコープの詳細については、「Active Directory セキュリティ グループ」を参照してください。
既定の特殊 ID グループ
次のセクションでは、Windows Server の既定の特殊な ID グループについて説明します。
- 匿名ログオン
- 証明された重要なプロパティ
- 認証済みユーザー
- 認証機関が検証済みのアイデンティティ
- バッチ
- コンソール ログオン
- Creator Group (CREATOR GROUP)
- Creator Owner (作成所有者)
- Dialup (DIALUP)
- ダイジェスト認証
- エンタープライズ ドメイン コントローラー
- 企業向け読み取り専用ドメイン コントローラー
- すべてのユーザー
- 最新の公開キー ID
- インタラクティブ
- IUSR
- キー信頼
- ローカル サービス
- LocalSystem
- MFA キー プロパティ
- ネットワーク
- ネットワーク サービス
- NTLM 認証
- その他の組織
- 所有者権限
- プリンシパルセルフ
- プロキシ
- 読み取り専用ドメイン コントローラー
- リモート 対話型ログオン
- 制限付き
- SChannel 認証
- Service
- サービス アサーティッド アイデンティティ
- ターミナル サーバー ユーザー
- この組織
- ウィンドウ マネージャー\ウィンドウ マネージャー グループ
匿名ログオン
匿名ログオンを介してシステムにアクセスするすべてのユーザーには、Anonymous Logon ID が割り当てられます。 この ID を使用すると、企業サーバーで公開されている Web ページなどのリソースに匿名でアクセスできます。 Anonymous Logon グループは、既定では Everyone グループのメンバーではありません。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-7 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
認証済みのキー特性
キー信頼オブジェクトが構成証明プロパティを持っていたことを意味するセキュリティ識別子 (SID)。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-18-6 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
認証済みユーザー
サインイン プロセスを通してシステムにアクセスするすべてのユーザーには、Authenticated Users ID が割り当てられます。 この ID を使用すると、組織内のすべての従業員がアクセスできる共有フォルダー内のファイルなど、ドメイン内の共有リソースにアクセスできます。 メンバーシップはオペレーティング システムによって制御されます。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-11 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 |
ネットワークからこのコンピューターにアクセスする: SeNetworkLogonRight ドメインにワークステーションを追加: SeMachineAccountPrivilege スキャン チェックを行わない: SeChangeNotifyPrivilege |
認証機関が主張したアイデンティティ
クライアントの ID が、クライアント資格情報の所有証明に基づいて、認証機関によってアサートされていることを示す SID。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-18-1 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
Batch
バッチ ジョブとして、またはバッチ キューを介してシステムにアクセスするすべてのユーザーまたはプロセスには、Batch ID が割り当てられます。 この ID を使用すると、バッチ ジョブは、一時ファイルを削除する夜間クリーンアップ ジョブなどのスケジュールされたタスクを実行できます。 メンバーシップはオペレーティング システムによって制御されます。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-3 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
コンソール ログオン
物理コンソールにログオンしているユーザーを含むグループ。 この SID を使用して、ユーザーがコンソールへの物理的なアクセスを許可されているかどうかに基づいて異なる権限を付与するセキュリティ ポリシーを実装できます。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-2-1 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
Creator Group (CREATOR GROUP)
この特殊 ID グループのメンバーは、ファイルまたはディレクトリを作成したユーザーです。 Windows Server オペレーティング システムでは、この ID を使用して、ファイルまたはディレクトリの作成者にアクセス許可が自動的に付与されます。
継承可能なアクセス制御エントリ (ACE) にプレースホルダー SID が作成されます。 ACE が継承されると、この SID はシステムによって、オブジェクトの現在の所有者のプライマリ グループの SID に置き換えられます。 プライマリ グループは POSIX サブシステムでのみ使用されます。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-3-1 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
Creator Owner (作成所有者)
この特殊 ID グループのメンバーは、ファイルまたはディレクトリを作成したユーザーです。 Windows Server オペレーティング システムでは、この ID を使用して、ファイルまたはディレクトリの作成者にアクセス許可が自動的に付与されます。 継承可能な ACE にプレースホルダー SID が作成されます。 ACE が継承されると、この SID はシステムによって、オブジェクトの現在の所有者の SID に置き換えられます。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-3-0 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
Dialup (DIALUP)
ダイヤルアップ接続を介してシステムにアクセスするユーザーには、Dialup ID が割り当てられます。 この ID は、ダイヤルアップ ユーザーを他の種類の認証済みユーザーと区別します。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-1 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
ダイジェスト認証
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-64-21 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
エンタープライズ ドメイン コントローラー
このグループには、Active Directory フォレスト内のすべてのドメイン コントローラーが含まれます。 エンタープライズ全体での役割と責任を持つドメイン コントローラーには、Enterprise Domain Controllers ID が割り当てられます。 この ID を使用すると、ドメイン コントローラーは推移的な信頼関係を使用して、エンタープライズ内で特定のタスクを実行できます。 メンバーシップはオペレーティング システムによって制御されます。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-9 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 |
ネットワークからこのコンピューターにアクセスする: SeNetworkLogonRight ローカル ログオンを許可: SeInteractiveLogonRight |
エンタープライズ用読み取り専用ドメイン コントローラー
このグループには、Active Directory フォレスト内のすべての読み取り専用ドメイン コントローラー (RODC) が含まれます。 エンタープライズ RODC は、Active Directory データベースのより大きなサブセットをレプリケートできます。これには、グローバル カタログや、フォレスト内のすべてのドメインの読み取り専用ドメイン パーティションが含まれます。 メンバーシップはオペレーティング システムによって制御されます。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-21-<RootDomain>-498 |
| オブジェクト クラス | グループ |
| Active Directory の既定の場所 | CN=Users、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
皆さん
Everyone グループのメンバーは、対話型、ネットワーク、ダイヤルアップ、認証済みのすべてのユーザーです。 この特殊 ID グループは、システム リソースへの幅広いアクセスを提供します。 ユーザーがネットワークにログオンすると、そのユーザーが Everyone グループに自動的に追加されます。 メンバーシップはオペレーティング システムによって制御されます。
Windows 2000 以前を実行しているコンピューターでは、[すべてのユーザー] グループに既定のメンバーとして匿名ログオン グループが含まれています。 Windows Server 2003 以降、Everyone グループには Authenticated Users と Guest のみが含まれています。 Everyone グループに Anonymous Logon グループは含まれていません。 Everyone グループ設定を匿名ログオン グループを含むように変更するには、レジストリ エディターで Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa キーに移動し、 everyoneincludesanonymous DWORD の値を 1 に設定します。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-1-0 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 |
ネットワークからこのコンピューターにアクセスする: SeNetworkLogonRight スキャン チェックを行わない: SeChangeNotifyPrivilege |
新しい公開鍵アイデンティティ
クライアントの ID が、クライアント公開キー資格情報の現在の所有証明に基づいて、認証機関によってアサートされていることを示す SID。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-18-3 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
インタラクティブ
ローカル システムにログオンしているすべてのユーザーには、Interactive ID が割り当てられます。 この ID を使用すると、ローカル ユーザーのみがリソースにアクセスできます。 ユーザーが現在ログオンしているコンピューター上の特定のリソースにアクセスすると、そのユーザーが Interactive グループに自動的に追加されます。 メンバーシップはオペレーティング システムによって制御されます。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-4 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
IUSR
このアカウントは、匿名認証が有効になっている場合にインターネット インフォメーション サービス (IIS) によって既定で使用されます。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-17 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
キー信頼
クライアントの ID が、キー信頼オブジェクトを使用した公開キー資格情報の所有証明に基づくことを意味する SID。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-18-4 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
ローカル サービス
Local Service アカウントは、Authenticated User アカウントに似ています。 Local Service アカウントのメンバーは、リソースおよびオブジェクトに対して Users グループのメンバーと同じレベルのアクセス権限を持ちます。 このようなアクセス制限は、個々のサービスまたはプロセスが危害を受けそうになった場合のシステム保護に役立ちます。 Local Service アカウントとして実行されるサービスは、匿名の資格情報を使用した NULL セッションとしてネットワーク リソースにアクセスします。 アカウントの名前は NT AUTHORITY\LocalService です。 このアカウントにパスワードはありません。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-19 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 |
プロセスに対してメモリ クォータを調整する: SeIncreaseQuotaPrivilege スキャン チェックを行わない: SeChangeNotifyPrivilege システム時刻の変更: SeSystemtimePrivilege タイム ゾーンの変更: SeTimeZonePrivilege グローバル オブジェクトの作成: SeCreateGlobalPrivilege セキュリティ監査の生成: SeAuditPrivilege 認証後にクライアントを借用する: SeImpersonatePrivilege プロセス レベル トークンを置き換える: SeAssignPrimaryTokenPrivilege |
LocalSystem
LocalSystem アカウントは、オペレーティング システムによって使用されるサービス アカウントです。 LocalSystem アカウントは、システムへのフル アクセスが可能な強力なアカウントであり、ネットワーク上のコンピューターとして機能します。 サービスがドメイン コントローラーの LocalSystem アカウントにログオンすると、そのサービスはドメイン全体にアクセスできます。 一部のサービスは、LocalSystem アカウントにログオンするように既定で構成されています。 既定のサービス設定は変更しないでください。 アカウントの名前は LocalSystem です。 このアカウントにパスワードはありません。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-18 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
MFA キー プロパティ
キー信頼オブジェクトに多要素認証 (MFA) プロパティがあったことを意味する SID。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-18-5 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
ネットワーク
このグループには、ネットワーク接続を介してログオンしているすべてのユーザーが暗黙的に含まれます。 ネットワーク経由でシステムにアクセスするすべてのユーザーに、Network ID が割り当てられます。 この ID を使用すると、リモート ユーザーのみがリソースにアクセスできます。 ユーザーがネットワーク経由で特定のリソースにアクセスすると、そのユーザーが Network グループに自動的に追加されます。 メンバーシップはオペレーティング システムによって制御されます。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-2 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
ネットワーク サービス
Network Service アカウントは、Authenticated User アカウントに似ています。 Network Service アカウントのメンバーは、リソースおよびオブジェクトに対して Users グループのメンバーと同じレベルのアクセス権限を持ちます。 このようなアクセス制限は、個々のサービスまたはプロセスが危害を受けそうになった場合のシステム保護に役立ちます。 ネットワーク サービス アカウントとして実行されるサービスは、コンピューター アカウントの資格情報を使用してネットワーク リソースにアクセスします。 アカウントの名前は、NT AUTHORITY\NetworkService です。 このアカウントにパスワードはありません。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-20 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 |
プロセスに対してメモリ クォータを調整する: SeIncreaseQuotaPrivilege スキャン チェックを行わない: SeChangeNotifyPrivilege グローバル オブジェクトの作成: SeCreateGlobalPrivilege セキュリティ監査の生成: SeAuditPrivilege 認証後にクライアントを借用する: SeImpersonatePrivilege プロセス レベル トークンを置き換える: SeAssignPrimaryTokenPrivilege |
NTLM 認証
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-64-10 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
その他の組織
このグループには、ダイヤルアップ接続を介してシステムにログオンしているすべてのユーザーが暗黙的に含まれます。 メンバーシップはオペレーティング システムによって制御されます。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-1000 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
所有者権限
Owner Rights グループは、オブジェクトの現在の所有者を表します。 この SID を持つ ACE がオブジェクトに適用されると、オブジェクト所有者の暗黙的な READ_CONTROL と WRITE_DAC のアクセス許可がシステムで無視されます。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-3-4 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
プリンシパルセルフ
この ID は、Active Directory のユーザー、グループ、またはコンピューター オブジェクトの ACE のプレースホルダーです。 Principal Self にアクセス許可を付与するときは、オブジェクトによって表されるセキュリティ プリンシパルにアクセス許可を付与します。 アクセス チェック中に、Principal Self の SID がオペレーティング システムによって、オブジェクトで表されるセキュリティ プリンシパルの SID に置き換えられます。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-10 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
プロキシ
SECURITY_NT_AUTHORITY プロキシを識別します。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-8 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
Read-Only Domain Controllers
このグループには、Active Directory データベースに対して読み取り専用の権限を持つ、ドメイン内のすべての RODC が含まれます。 アカウントのパスワードを除き、RODC は、書き込み可能なドメイン コントローラーが保持するすべての Active Directory オブジェクトと属性を保持します。 これを使用すると、物理セキュリティが不足しているか、保証されていない場合に、ドメイン コントローラーを展開できます。 RODC は、このグループの明示的なメンバーです。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-21-<___domain>-521 |
| オブジェクト クラス | グループ |
| Active Directory の既定の場所 | CN=Users、DC=<rootDomain> |
| 既定のユーザー権利 | None |
注
フォレストに RODC アカウントが作成されると、Denied RODC Password Replication グループが自動的に作成されます。 Denied RODC Password Replication グループにはパスワードをレプリケートできません。
リモート 対話型ログオン
この ID は、リモート デスクトップ プロトコル接続を使用してコンピューターに現在ログオンしているすべてのユーザーを表します。 このグループは、Interactive グループのサブセットです。 Remote Interactive Logon SID を含むアクセス トークンには、Interactive SID も含まれます。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-14 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
制限付き
制限付き機能を持つユーザーとコンピューターには、Restricted ID が割り当てられます。 この ID グループは、RunAs サービスを使用してアプリケーションを実行する場合など、制限付きセキュリティ コンテキストで実行されているプロセスによって使用されます。 Restricted セキュリティ レベルでコードを実行すると、Restricted SID がユーザーのアクセス トークンに追加されます。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-12 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
SChannel 認証
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-64-14 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
Service
システムにアクセスするすべてのサービスには、Service ID が割り当てられます。 この ID グループには、サービスとしてサインインしているすべてのセキュリティ プリンシパルが含まれます。 この ID によって、Windows Server サービスで実行されているプロセスへのアクセスが許可されます。 メンバーシップはオペレーティング システムによって制御されます。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-6 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 |
グローバル オブジェクトの作成: SeCreateGlobalPrivilege 認証後にクライアントを借用する: SeImpersonatePrivilege |
サービスの主張されたアイデンティティ
クライアントの ID がサービスによってアサートされていることを示す SID。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-18-2 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
ターミナル サーバー ユーザー
ターミナル サービスを介してシステムにアクセスするすべてのユーザーには、Terminal Server User ID が割り当てられます。 この ID を使用すると、ユーザーはターミナル サーバー アプリケーションにアクセスしたり、ターミナル サーバー サービスで他の必要なタスクを実行したりできます。 メンバーシップはオペレーティング システムによって制御されます。
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-13 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
この組織
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-15 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 | None |
ウィンドウ マネージャー\ウィンドウ マネージャー グループ
| 属性 | [値] |
|---|---|
| 既知の SID/RID | S-1-5-90 |
| オブジェクト クラス | 外部セキュリティ プリンシパル |
| Active Directory の既定の場所 | CN=WellKnown Security Principals、CN=Configuration、DC=<forestRootDomain> |
| 既定のユーザー権利 |
スキャン チェックを行わない: SeChangeNotifyPrivilege プロセス ワーキング セットの増加: SeIncreaseWorkingSetPrivilege |