Windows オペレーティングシステムの既知のセキュリティ識別子

適用対象: Windows 10, version 2004, all editionsWindows Server, version 2004, all editionsWindows Server, version 1909, all editions

概要


セキュリティ識別子 (SID) は、Windows オペレーティングシステムでセキュリティプリンシパル (セキュリティグループなど) を識別するために使用される可変長の一意の値です。 一般的なユーザーまたは汎用グループを識別する Sid は、特によく知られています。 これらの値はすべてのオペレーティングシステムで一定のままです。

この情報は、セキュリティに関連する問題のトラブルシューティングに役立ちます。 また、Windows アクセス制御リスト (ACL) エディターでの表示の問題のトラブルシューティングにも役立ちます。 Windows は SID によってセキュリティプリンシパルを追跡します。 ACL エディターでセキュリティプリンシパルを表示するために、Windows によって SID は関連付けられたセキュリティプリンシパル名に解決されます。 

時間の経過と共に、このような既知の Sid のセットは大きくなっています。 この記事の表では、Windows のどのバージョンで導入されたかに応じて、これらの Sid を整理しています。

既知の Sid (すべてのバージョンの Windows)


すべてのバージョンの Windows では、次の既知の既知の Sid が使用されます。

SID

名前

説明

S-1-0 Null の権限 識別子機関。
S-1-0-0 誰も セキュリティプリンシパルがありません。
S-1-1 World Authority 識別子機関。
S-1-1-0 すべて 匿名ユーザーやゲストも含め、すべてのユーザーを含むグループ。 メンバーシップは、オペレーティングシステムによって制御されます。 注: 既定では、Windows XP Service Pack 2 (SP2) を実行しているコンピューターでは、Everyone グループに匿名ユーザーは含まれなくなりました。
S-1-2 ローカルの権限 識別子機関。
S-1-2-0 地元の ローカルでログオンしているすべてのユーザーを含むグループ。
S-1-3 Creator オーソリティ 識別子機関。
S-1-3-0 Creator 所有者 継承可能なアクセス制御エントリ (ACE) 内のプレースホルダー。 ACE が継承されると、この SID は、システムによってオブジェクトの作成者の SID に置き換えられます。
S-1-3-1 Creator グループ 継承可能な ACE のプレースホルダー。 ACE が継承されると、この SID は、システムによってオブジェクトの作成者のプライマリグループの SID に置き換えられます。 プライマリグループは、POSIX サブシステムでのみ使用されます。
S-1-3-4 所有者権限 オブジェクトの現在の所有者を表すグループ。 この SID を含む ACE がオブジェクトに適用されると、システムは暗黙的な READ_CONTROL を無視し、オブジェクト所有者のアクセス許可を WRITE_DAC します。
S-1-4 非固有の権限 識別子機関。
S-1-5 NT 権限 識別子機関。
S-1-5-1 Dialup ダイヤルアップ接続を介してログオンしているすべてのユーザーを含むグループ。 メンバーシップは、オペレーティングシステムによって制御されます。
S-1-5-2 ネットワーク ネットワーク接続を介してログオンしているすべてのユーザーを含むグループ。 メンバーシップは、オペレーティングシステムによって制御されます。
S-1-5-3 バッチ バッチキュー機能を使ってログオンしているすべてのユーザーを含むグループ。 メンバーシップは、オペレーティングシステムによって制御されます。
S-1-5-4 双方 対話型でログオンしているすべてのユーザーを含むグループ。 メンバーシップは、オペレーティングシステムによって制御されます。
S-1-5-5-X-Y ログオンセッション ログオンセッション。 これらの Sid の X と Y の値は、セッションごとに異なります。
S-1-5-6 サービス名 サービスとしてログオンしているすべてのセキュリティプリンシパルを含むグループ。 メンバーシップは、オペレーティングシステムによって制御されます。
S-1-5-7 アクセス 匿名でログオンしているすべてのユーザーを含むグループ。 メンバーシップは、オペレーティングシステムによって制御されます。
S-1-5-9 エンタープライズドメインコントローラー Active Directory ディレクトリサービスを使用するフォレスト内のすべてのドメインコントローラーを含むグループ。 メンバーシップは、オペレーティングシステムによって制御されます。
S-1-5-10 プリンシパル Self Active Directory のアカウントオブジェクトまたはグループオブジェクトの継承可能な ACE のプレースホルダー。 ACE が継承されると、システムはこの SID を、アカウントを保持しているセキュリティプリンシパルの SID に置き換えます。
S-1-5-11 認証済みユーザー ログオン時に id が認証されたすべてのユーザーを含むグループ。 メンバーシップは、オペレーティングシステムによって制御されます。
S-1-5-12 制限されたコード この SID は将来使用するために予約されています。
S-1-5-13 ターミナルサーバーユーザー ターミナルサービスサーバーにログオンしているすべてのユーザーを含むグループ。 メンバーシップは、オペレーティングシステムによって制御されます。
S-1-5-14 リモート対話型ログオン ターミナルサービスでログオンしてログオンしているすべてのユーザーを含むグループ。
S-1-5-17 組織 既定のインターネットインフォメーションサービス (IIS) ユーザーによって使用されるアカウント。
S-1-5-18 ローカルシステム オペレーティングシステムによって使用されるサービスアカウント。
S-1-5-19 NT 権限 ローカルサービス
S-1-5-20 NT 権限 ネットワークサービス
S-1-5-21domain-500 管理者 システム管理者のユーザーアカウント。 既定では、システムを完全に制御できる唯一のユーザーアカウントです。
S-1-5-21domain-501 会員 個別のアカウントを持っていないユーザーのユーザーアカウント。 このユーザーアカウントにパスワードは必要ありません。 既定では、Guest アカウントは無効になっています。
S-1-5-21domain-502 KRBTGT キー配布センター (KDC) サービスで使用されるサービスアカウント。
S-1-5-21domain-512 ドメイン管理者 メンバーがドメインを管理する権限を持つグローバルグループ。 既定では、ドメイン管理者グループは、ドメインコントローラーなど、ドメインに参加しているすべてのコンピューターの管理者グループのメンバーになっています。 [Domain Admins] は、グループの任意のメンバーによって作成されたオブジェクトの既定の所有者です。
S-1-5-21domain-513 ドメインユーザー 既定では、ドメイン内のすべてのユーザーアカウントを含むグローバルグループ。 ドメインでユーザーアカウントを作成すると、既定でこのグループに追加されます。
S-1-5-21domain-514 ドメインゲスト 既定では、ドメインの組み込みのゲストアカウントである1つのメンバーのみを含むグローバルグループ。
S-1-5-21domain-515 ドメインコンピューター ドメインに参加しているすべてのクライアントとサーバーが含まれているグローバルグループ。
S-1-5-21domain-516 ドメインコントローラー ドメイン内のすべてのドメインコントローラーを含むグローバルグループ。 新しいドメインコントローラーは、既定でこのグループに追加されます。
S-1-5-21domain-517 Cert パブリッシャー エンタープライズ証明機関を実行しているすべてのコンピューターを含むグローバルグループ。 Cert パブリッシャーは、Active Directory のユーザーオブジェクトの証明書を発行することを許可されています。
S-1-5-21root domain-518 Schema Admins ネイティブモードドメインのユニバーサルグループ。混在モードドメインのグローバルグループ。 グループは Active Directory でスキーマを変更することを許可されています。 既定では、グループの唯一のメンバーは、フォレストルートドメインの管理者アカウントです。
S-1-5-21root domain-519 エンタープライズ管理者 ネイティブモードドメインのユニバーサルグループ。混在モードドメインのグローバルグループ。 グループは、子ドメインの追加などのフォレスト全体の変更を Active Directory で行うことを許可されています。 既定では、グループの唯一のメンバーは、フォレストルートドメインの管理者アカウントです。
S-1-5-21domain-520 グループポリシーの作成者 Active Directory で新しいグループポリシーオブジェクトを作成する権限を持つグローバルグループ。 既定では、グループの唯一のメンバーは管理者です。
S-1-5-21domain-526 キー管理者 セキュリティグループ。 このグループの目的は、 Msdskeycredentiallink属性でのみ書き込みアクセスを委任することです。 このグループは、信頼された外部機関 (Active Directory フェデレーションサービスなど) がこの属性の変更を担当するシナリオで使用することを目的としています。 信頼できる管理者のみがこのグループのメンバーになっている必要があります。
S-1-5-21domain-527 エンタープライズキー管理者 セキュリティグループ。 このグループの目的は、 Msdskeycredentiallink属性でのみ書き込みアクセスを委任することです。 このグループは、信頼された外部機関 (Active Directory フェデレーションサービスなど) がこの属性の変更を担当するシナリオで使用することを目的としています。 信頼できる管理者のみがこのグループのメンバーになっている必要があります。
S-1-5-21domain-553 RAS と IAS サーバー ドメインローカルグループ。 既定では、このグループにはメンバーがありません。 このグループのサーバーは、アカウントの制限を読み取り、Active Directory ドメインローカルグループ内のユーザーオブジェクトへのログオン情報アクセスを読み取ります。
S-1-5-32-544 ビルトイングループ。 オペレーティングシステムを最初にインストールした後は、グループの唯一のメンバーが管理者アカウントになります。 コンピューターがドメインに参加すると、[Domain Admins] グループが [管理者] グループに追加されます。 サーバーがドメインコントローラーになると、[エンタープライズ管理者] グループも [管理者] グループに追加されます。
S-1-5-32-545 ユーザー ビルトイングループ。 オペレーティングシステムを最初にインストールした後、唯一のメンバーは [Authenticated Users] グループです。 コンピューターがドメインに参加すると、そのコンピューター上の Users グループに Domain Users グループが追加されます。
S-1-5-32-546 ビルトイングループ。 既定では、唯一のメンバーはゲストアカウントです。 Guests グループを使用すると、臨時または1回のユーザーが、制限された権限でコンピューターの組み込みのゲストアカウントにログオンすることができます。
S-1-5-32-547 Power Users ビルトイングループ。 既定では、グループにメンバーはありません。 Power users はローカルユーザーとグループを作成できます。作成したアカウントを変更および削除する[Power Users]、[ユーザー]、[ゲスト] の各グループからユーザーを削除します。 Power users は、プログラムをインストールすることもできます。ローカルプリンターの作成、管理、削除を行います。ファイル共有を作成および削除します。
S-1-5-32-548 Account Operators ドメインコントローラーにのみ存在するビルトイングループ。 既定では、グループにメンバーはありません。 既定では、Account Operators は、 Builtin Container とDomain Controllers OU を除き、すべてのコンテナーと組織単位のユーザー、グループ、コンピューターのアカウントを作成、変更、削除するアクセス許可を持っています。 アカウントオペレーターには、管理者グループとドメイン管理者グループを変更するアクセス許可はありません。また、それらのグループのメンバーのアカウントを変更するアクセス許可も付与されません。
S-1-5-32-549 サーバー演算子 ドメインコントローラーにのみ存在するビルトイングループ。 既定では、グループにメンバーはありません。 サーバーオペレーターは対話形式でサーバーにログオンできます。ネットワーク共有を作成または削除するサービスの開始と停止ファイルをバックアップして復元するコンピューターのハードディスクの書式を設定します。を選び、コンピューターをシャットダウンします。
S-1-5-32-550 Print 演算子 ドメインコントローラーにのみ存在するビルトイングループ。 既定では、唯一のメンバーは [Domain Users] グループです。 Print Operators は、プリンターとドキュメントキューを管理することができます。
S-1-5-32-551 バックアップオペレーター ビルトイングループ。 既定では、グループにメンバーはありません。 バックアップオペレーターは、ファイルを保護する権限に関係なく、コンピューター上のすべてのファイルをバックアップして復元することができます。 バックアップオペレーターは、コンピューターにログオンしてシャットダウンすることもできます。
S-1-5-32-552 ドメインコントローラーのファイルレプリケーションサービスによって使用されるビルトイングループ。 既定では、グループにメンバーはありません。 このグループにユーザーを追加しないでください。
S-1-5-32-582 記憶域レプリカ管理者 記憶域レプリカのすべての機能に対して完全かつ無制限のアクセス権を付与するビルトイングループ。
S-1-5-64-10 NTLM 認証 NTLM 認証パッケージがクライアントを認証したときに使用される SID。
S-1-5-64-14 SChannel 認証 SChannel 認証パッケージがクライアントを認証したときに使用される SID です。
S-1-5-64-21 ダイジェスト認証 ダイジェスト認証パッケージがクライアントを認証したときに使用される SID。
S-1-5-80 NT サービス NT サービスアカウントのプレフィックス。

Windows Server 2003 以降のバージョンによって追加された Sid


Windows Server 2003 またはそれ以降のバージョンを実行するドメインコントローラーをドメインに追加すると、Active Directory によって次の表のセキュリティプリンシパルが追加されます。

SID

名前

説明

S-1-3-2 Creator Owner サーバー この SID は、Windows 2000 では使用されません。
S-1-3-3 Creator グループサーバー この SID は、Windows 2000 では使用されません。
S-1-5-8 プロキシ この SID は、Windows 2000 では使用されません。
S-1-5-15 組織 同じ組織内のすべてのユーザーを含むグループ。 広告アカウントのみに含まれており、Windows Server 2003 以降のドメインコントローラーによってのみ追加されています。
S-1-5-32-554 Builtin\Pre-Windows 2000 互換アクセス Windows 2000 によって追加されたエイリアス。 下位互換性グループ。ドメイン内のすべてのユーザーとグループに対して読み取りアクセスを許可します。
S-1-5-32-555 Builtin\Remote デスクトップユーザー エイリアス。 このグループのメンバーには、リモートでログオンする権限が与えられます。
S-1-5-32-556 Builtin\Network Configuration 演算子 エイリアス。 このグループのメンバーは、ネットワーク機能の構成を管理するための管理者特権を持っている可能性があります。
S-1-5-32-557 Builtin\Incoming フォレスト信頼ビルダー エイリアス。 このグループのメンバーは、このフォレストへの一方向の入力方向の信頼を作成することができます。
S-1-5-32-558 Builtin\Performance の監視ユーザー エイリアス。 このグループのメンバーは、このコンピュータを監視するためのリモートアクセスを持っています。
S-1-5-32-559 Builtin\Performance Log ユーザー エイリアス。 このグループのメンバーは、このコンピューターのパフォーマンスカウンターのログをスケジュールするためのリモートアクセス権を持っています。
S-1-5-32-560 Builtin\Windows Authorization Access グループ エイリアス。 このグループのメンバーは、ユーザーオブジェクトの計算された Tokengroup Globalandユニバーサル属性にアクセスできます。
S-1-5-32-561 Builtin\Terminal Server ライセンスサーバー エイリアス。 ターミナルサーバーライセンスサーバーのグループ。 Windows Server 2003 Service Pack 1 をインストールすると、新しいローカルグループが作成されます。
S-1-5-32-562 Builtin\Distributed COM ユーザー エイリアス。 COM 用のグループでは、コンピューター上のすべての通話、アクティブ化、起動要求へのアクセスを制御する、コンピューター間のアクセス制御を提供します。

Windows Server 2008 以降のバージョンによって追加された Sid


Windows Server 2008 またはそれ以降のバージョンを実行するドメインコントローラーをドメインに追加すると、Active Directory によって次の表のセキュリティプリンシパルが追加されます。

SID

名前

説明

S-1-2-1 コンソールログオン 物理コンソールにログオンしているユーザーを含むグループ。 注: Windows 7 および Windows Server 2008 R2 で追加されました。
S-1-5-21domain-498 エンタープライズ読み取り専用ドメインコントローラー ユニバーサルグループ。 このグループのメンバーは、企業の読み取り専用ドメインコントローラーです。
S-1-5-21domain-521 読み取り専用ドメインコントローラー グローバルグループ。 このグループのメンバーは、ドメイン内の読み取り専用ドメインコントローラーです。
S-1-5-21domain-571 許可された RODC パスワードレプリケーショングループ ドメインローカルグループ。 このグループのメンバーは、ドメイン内のすべての読み取り専用ドメインコントローラーにパスワードを複製することができます。
S-1-5-21domain-572 拒否された RODC パスワードレプリケーショングループ ドメインローカルグループ。 このグループのメンバーは、ドメイン内の読み取り専用ドメインコントローラーにパスワードを複製することはできません。
S-1-5-32-569 Builtin\Cryptographic 演算子 組み込みのローカルグループ。 メンバーは、暗号化操作の実行を許可されています。
S-1-5-32-573 Builtin\Event ログリーダー 組み込みのローカルグループ。 このグループのメンバーは、ローカルコンピューターからイベントログを読み取ることができます。
S-1-5-32-574 Builtin\Certificate Service DCOM アクセス 組み込みのローカルグループ。 このグループのメンバーは、企業の証明機関に接続できます。
S-1-5-80-0 NT Services\All サービス システムで構成されているすべてのサービスプロセスを含むグループ。 メンバーシップは、オペレーティングシステムによって制御されます。 注: Windows Server 2008 R2 に追加されました。
S-1-5-80-0 すべてのサービス システムで構成されているすべてのサービスプロセスを含むグループ。 メンバーシップは、オペレーティングシステムによって制御されます。 注: Windows Vista および Windows Server 2008 で追加されました。
S-1-5-83-0 NT Virtual Machine\Virtual マシン ビルトイングループ。 このグループは、Hyper-v の役割がインストールされたときに作成されます。 グループのメンバーシップは、Hyper-v 管理サービス (VMMS) によって管理されます。 このグループには、[シンボリックリンクの作成] 権利 (SeCreateSymbolicLinkPrivilege) と、 [サービスとしてログオンする] 権利 (seservicelogonright) が必要です。 注: Windows 8 および Windows Server 2012 で追加されました。
S-1-5-90-0 Windows マネージャー \Windows マネージャーグループ デスクトップウィンドウマネージャー (DWM) によって使用されるビルトイングループ。 DWM は、Windows アプリケーションの情報表示を管理する Windows サービスです。 注: Windows Vista で追加されました。
S-1-16-0 信頼されていない必須レベル 信頼されていない整合性レベル。 注: Windows Vista および Windows Server 2008 で追加されました。
S-1-16-4096 必須レベル低 完全性レベルが低い。 注: Windows Vista および Windows Server 2008 で追加されました。
S-1-16-8192 メディア必須レベル メディアの整合性レベル。 注: Windows Vista および Windows Server 2008 で追加されました。
S-1-16-8448 Medium Plus 必須レベル メディアと完全性レベル。 注: Windows Vista および Windows Server 2008 で追加されました。
S-1-16-12288 高必須レベル 高整合性レベル。 注: Windows Vista および Windows Server 2008 で追加されました。
S-1-16-16384 システムの必須レベル システムの整合性レベル。 注: Windows Vista および Windows Server 2008 で追加されました。
S-1-16-20480 保護されたプロセスの必須レベル 保護されたプロセスの整合性レベル。 注: Windows Vista および Windows Server 2008 で追加されました。
S-1-16-28672 セキュリティで保護されたプロセスの必須レベル セキュリティで保護されたプロセス整合性レベル。 注: Windows Vista および Windows Server 2008 で追加されました。

Windows Server 2012 以降のバージョンによって追加された Sid


Windows Server 2012 またはそれ以降のバージョンを実行するドメインコントローラーをドメインに追加すると、Active Directory によって次の表のセキュリティプリンシパルが追加されます。

SID

名前

説明

S-1-5-21-domain-522 複製を行ったドメインコントローラー グローバルグループ。 ドメインコントローラーであるこのグループのメンバーは複製されている可能性があります。
S-1-5-32-575 Builtin\RDS リモートアクセスサーバー 組み込みのローカルグループ。 このグループ内のサーバーは、RemoteApp プログラムと個人用仮想デスクトップのユーザーがこれらのリソースにアクセスできるようにします。 インターネットに接続する展開では、通常、これらのサーバーはエッジネットワークに展開されます。 このグループは、RD 接続ブローカーを実行しているサーバーで設定する必要があります。 展開で使用される RD ゲートウェイサーバーと RD Web アクセスサーバーは、このグループに含まれている必要があります。
S-1-5-32-576 Builtin\RDS Endpoint Servers 組み込みのローカルグループ。 このグループ内のサーバーは仮想マシンを実行し、ユーザーの RemoteApp プログラムと個人用仮想デスクトップが実行されるホストセッションを実行します。 このグループは、RD 接続ブローカーを実行しているサーバーで設定する必要があります。 展開で使用される RD セッションホストサーバーと RD 仮想化ホストサーバーは、このグループに含まれている必要があります。
S-1-5-32-577 Builtin\RDS 管理サーバー ビルトインのローカルグループ。 このグループのサーバーは、リモートデスクトップサービスを実行しているサーバーで日常的な管理操作を実行できます。 このグループは、リモートデスクトップサービスの展開中のすべてのサーバー上に設定されている必要があります。 RDS Central Management サービスを実行しているサーバーが、このグループに含まれている必要があります。
S-1-5-32-578 Builtin\Hyper-V 管理者 組み込みのローカルグループ。 このグループのメンバーは、Hyper-v のすべての機能に対して完全かつ無制限のアクセス権を持っています。
S-1-5-32-579 Builtin\Access Control アシスタンスの演算子 組み込みのローカルグループ。 このグループのメンバーは、このコンピューターのリソースの承認属性と権限をリモートで照会できます。
S-1-5-32-580 Builtin\Remote 管理ユーザー 組み込みのローカルグループ。 このグループのメンバーは、管理プロトコル経由で WMI リソースにアクセスできます (Windows リモート管理サービスによる WS-MANAGEMENT など)。 これは、ユーザーにアクセスを許可する WMI 名前空間にのみ適用されます。

機能の Sid


Windows 8 では、機能のセキュリティ識別子 (sid)が導入されています。 機能 SID は、個別の方法で機能を識別します。 機能は、ユニバーサル Windows アプリケーションにリソース (ドキュメント、カメラ、場所など) へのアクセスを許可する unforgetable トークンを表します。 "Has" という機能を持つアプリには、関連付けられたリソースへのアクセス権が付与されます。 "機能を持っていない" アプリでは、リソースへのアクセスが拒否されます。

オペレーティングシステムが認識しているすべての機能 Sid は、次のサブキーの Windows レジストリに格納されています。HKEY_LOCAL_MACHINE \software\microsoft\securitymanager\capabilityclasses\allcachedcapabilities

また、このサブキーには、ファーストパーティまたはサードパーティのアプリケーションによって追加された機能 SID も含まれています。

すべての機能の Sid は "S-1-15-3" から始まります。