Windows オペレーティング システムの既知のセキュリティ識別子

適用対象: Windows Server, version 1909Windows Server, version 1903Windows Server version 1809

概要


セキュリティ識別子 (SID) は、Windows オペレーティング システムでセキュリティ プリンシパル (セキュリティ グループなど) を識別するために使用される可変長の一意の値です。汎用ユーザーまたは汎用グループを識別する SID は特によく知られています。これらの値は、すべてのオペレーティング システムで一定のままです。

この情報は、セキュリティに関連する問題のトラブルシューティングに役立ちます。また、Windows アクセス制御リスト (ACL) エディターでの表示に関する問題のトラブルシューティングにも役立ちます。Windows は、セキュリティ プリンシパルを SID で追跡します。ACL エディタにセキュリティ プリンシパルを表示するために、Windows は SID を関連付けられたセキュリティ プリンシパル名に解決します。

時間が経つにつれて、この既知の SID のセットが成長しました。この記事の表では、これらの SID を、どのバージョンの Windows で導入したに従って整理しています。

既知の ID (すべてのバージョンの Windows)


すべてのバージョンの Windows では、次の既知の SID が使用されます。

Sid

名前

説明

S-1-0 ヌル・オーソリティ ID 権限。
S-1-0-0 誰も セキュリティ プリンシパルがありません。
S-1-1 世界権威 ID 権限。
S-1-1-0 みんな 匿名ユーザーとゲストも含むすべてのユーザーを含むグループ。メンバーシップはオペレーティング システムによって制御されます。 メモ 既定では、Everyone グループには、Windows XP Service Pack 2 (SP2) を実行しているコンピュータ上の匿名ユーザーが含まれるようになります。
S-1-2 地方自治体 ID 権限。
S-1-2-0 地元の ローカルにログオンしたすべてのユーザーを含むグループ。
S-1-3 クリエイター・オーソリティ ID 権限。
S-1-3-0 クリエイターオーナー 継承可能なアクセス制御エントリ (ACE) 内のプレースホルダー。ACE が継承されると、システムはこの SID をオブジェクトの作成者の SID に置き換えます。
S-1-3-1 クリエイターグループ 継承可能な ACE 内のプレースホルダー。ACE が継承されると、システムはこの SID をオブジェクトの作成者のプライマリ グループの SID に置き換えます。1 次グループは、POSIX サブシステムによってのみ使用されます。
S-1-3-4 所有者の権利 オブジェクトの現在の所有者を表すグループ。この SID を持つ ACE がオブジェクトに適用されると、システムはオブジェクト所有者の暗黙的なREAD_CONTROLとWRITE_DACのアクセス許可を無視します。
S-1-4 非一意の権限 ID 権限。
S-1-5 NTオーソリティ ID 権限。
S-1-5-1 ダイヤルアップ ダイヤルアップ接続を介してログオンしたすべてのユーザーを含むグループ。メンバーシップはオペレーティング システムによって制御されます。
S-1-5-2 ネットワーク ネットワーク接続を介してログオンしたすべてのユーザーを含むグループ。メンバーシップはオペレーティング システムによって制御されます。
S-1-5-3 バッチ バッチ キュー機能を使用してログオンしたすべてのユーザーを含むグループ。メンバーシップはオペレーティング システムによって制御されます。
S-1-5-4 インタラクティブ 対話的にログオンしたすべてのユーザーを含むグループ。メンバーシップはオペレーティング システムによって制御されます。
S-1-5-5-X-Y ログオン セッション ログオン セッション。これらの SID の X 値と Y 値は、セッションごとに異なります。
S-1-5-6 サービス名 サービスとしてログオンしたすべてのセキュリティ プリンシパルを含むグループ。メンバーシップはオペレーティング システムによって制御されます。
S-1-5-7 匿名 匿名でログオンしたすべてのユーザーを含むグループ。メンバーシップはオペレーティング システムによって制御されます。
S-1-5-9 エンタープライズ ドメイン コントローラ Active Directory ディレクトリ サービスを使用するフォレスト内のすべてのドメイン コントローラを含むグループ。メンバーシップはオペレーティング システムによって制御されます。
S-1-5-10 プリンシパルセルフ Active Directory 内のアカウント オブジェクトまたはグループ オブジェクトの継承可能な ACE 内のプレースホルダ。ACE が継承されると、システムはこの SID をアカウントを保持するセキュリティ プリンシパルの SID に置き換えます。
S-1-5-11 認証されたユーザー ログオン時に ID が認証されたすべてのユーザーを含むグループ。メンバーシップはオペレーティング システムによって制御されます。
S-1-5-12 制限付きコード この SID は将来の使用のために予約されています。
S-1-5-13 ターミナル サーバー ユーザー ターミナル サービス サーバーにログオンしたすべてのユーザーを含むグループ。メンバーシップはオペレーティング システムによって制御されます。
S-1-5-14 リモート対話型ログオン ターミナル サービス ログオンを通じてログオンしたすべてのユーザーを含むグループ。
S-1-5-17 この組織 既定のインターネット インフォメーション サービス (IIS) ユーザーが使用するアカウント。
S-1-5-18 ローカル システム オペレーティング システムによって使用されるサービス アカウント。
S-1-5-19 NTオーソリティ ローカル サービス
S-1-5-20 NTオーソリティ ネットワーク サービス
S-1-5-21domain-500 管理者 システム管理者のユーザー アカウント。既定では、システムに対するフル コントロールが与えられている唯一のユーザー アカウントです。
S-1-5-21domain-501 ゲスト 個々のアカウントを持たないユーザーのユーザー アカウント。このユーザー アカウントにはパスワードは必要ありません。既定では、Guest アカウントは無効になっています。
S-1-5-21domain-502 KRBTGT キー配布センター (KDC) サービスによって使用されるサービス アカウント。
S-1-5-21domain-512 ドメイン管理者 ドメインの管理を許可されているメンバを持つグローバル グループ。既定では、Domain Admins グループは、ドメイン コントローラを含むドメインに参加しているすべてのコンピュータの Administrators グループのメンバです。ドメイン管理者は、グループの任意のメンバーによって作成されるオブジェクトの既定の所有者です。
S-1-5-21domain-513 ドメイン ユーザー 既定では、ドメイン内のすべてのユーザー アカウントを含むグローバル グループ。ドメインにユーザー アカウントを作成すると、既定でこのグループに追加されます。
S-1-5-21domain-514 ドメインゲスト 既定では、ドメインの組み込み Guest アカウントのメンバが 1 つだけのグローバル グループ。
S-1-5-21domain-515 ドメイン コンピュータ ドメインに参加しているすべてのクライアントとサーバーを含むグローバル グループ。
S-1-5-21domain-516 ドメイン コントローラ ドメイン内のすべてのドメイン コントローラを含むグローバル グループ。既定では、新しいドメイン コントローラがこのグループに追加されます。
S-1-5-21domain-517 証明書出版社 エンタープライズ証明機関を実行しているすべてのコンピュータを含むグローバル グループ。証明書発行元は、Active Directory 内のユーザー オブジェクトの証明書を発行する権限を持っています。
S-1-5-21root domain-518 スキーマ管理者 ネイティブ モード ドメイン内のユニバーサル グループ。混在モード ドメイン内のグローバル グループ。グループは、Active Directory でスキーマを変更する権限を持ちます。既定では、グループの唯一のメンバーは、フォレスト ルート ドメインの管理者アカウントです。
S-1-5-21root domain-519 エンタープライズ管理者 ネイティブ モード ドメイン内のユニバーサル グループ。混在モード ドメイン内のグローバル グループ。このグループは、子ドメインの追加など、Active Directory でフォレスト全体の変更を行う権限を持っています。既定では、グループの唯一のメンバーは、フォレスト ルート ドメインの管理者アカウントです。
S-1-5-21domain-520 グループ ポリシー作成者の所有者 Active Directory に新しいグループ ポリシー オブジェクトを作成する権限を持つグローバル グループ。既定では、グループのメンバーは管理者のみです。
S-1-5-21domain-526 主要管理者 セキュリティ グループ。このグループの目的は、msdsKeyCredentialLink属性に対してのみ書き込みアクセスを委任することです。このグループは、信頼された外部機関 (Active Directory フェデレーション サービスなど) がこの属性の変更を担当するシナリオでの使用を目的としています。信頼された管理者のみがこのグループのメンバにする必要があります。
S-1-5-21domain-527 エンタープライズ キー管理者 セキュリティ グループ。このグループの目的は、msdsKeyCredentialLink属性に対してのみ書き込みアクセスを委任することです。このグループは、信頼された外部機関 (Active Directory フェデレーション サービスなど) がこの属性の変更を担当するシナリオでの使用を目的としています。信頼された管理者のみがこのグループのメンバにする必要があります。
S-1-5-21domain-553 RAS および IAS サーバー ドメイン ローカル グループ。既定では、このグループにはメンバがありません。このグループのサーバーには、Active Directory ドメイン ローカル グループ内のユーザー オブジェクトに対するアカウントの制限の読み取りとログオン情報の読み取りアクセス権があります。
S-1-5-32-544 管理者 組み込みグループ。オペレーティング システムの最初のインストール後、グループの唯一のメンバーは管理者アカウントです。コンピュータがドメインに参加すると、Domain Admins グループが管理者グループに追加されます。サーバーがドメイン コントローラになると、Enterprise Admins グループも管理者グループに追加されます。
S-1-5-32-545 ユーザー 組み込みグループ。オペレーティング システムの最初のインストール後、唯一のメンバーは Authenticated Users グループです。コンピュータがドメインに参加すると、Domain Users グループがコンピュータの Users グループに追加されます。
S-1-5-32-546 お客様 組み込みグループ。既定では、メンバーは Guest アカウントのみです。Guests グループを使用すると、コンピュータの組み込みの Guest アカウントに対して、制限された特権で時折または 1 回限りのユーザーがログオンできます。
S-1-5-32-547 パワーユーザー 組み込みグループ。既定では、グループにはメンバーがありません。パワー ユーザーは、ローカル ユーザーとグループを作成できます。作成したアカウントを変更および削除する。をクリックし、[パワー ユーザー]、[ユーザー]、および [ゲスト] グループからユーザーを削除します。パワーユーザーはプログラムをインストールすることもできます。ローカル プリンタを作成、管理、および削除する。をクリックし、ファイル共有を作成および削除します。
S-1-5-32-548 アカウントオペレーター ドメイン コントローラにのみ存在するビルトイン グループ。既定では、グループにはメンバーがありません。既定では、アカウント オペレータは、ビルトインコンテナとドメイン コントローラOU を除く、Active Directory のすべてのコンテナおよび組織単位内のユーザー、グループ、およびコンピュータのアカウントを作成、変更、および削除するアクセス許可を持っています。アカウント オペレータには、管理者グループとドメイン管理者グループを変更するアクセス許可も、それらのグループのメンバのアカウントを変更するアクセス許可もありません。
S-1-5-32-549 サーバー オペレータ ドメイン コントローラにのみ存在するビルトイン グループ。既定では、グループにはメンバーがありません。サーバー オペレータは、対話的にサーバーにログオンできます。ネットワーク共有を作成および削除する。サービスの開始と停止。ファイルのバックアップと復元。コンピュータのハード ディスクをフォーマットする。をクリックし、コンピュータをシャットダウンします。
S-1-5-32-550 印刷オペレータ ドメイン コントローラにのみ存在するビルトイン グループ。既定では、唯一のメンバーはドメイン ユーザー グループです。印刷オペレータは、プリンタとドキュメント キューを管理できます。
S-1-5-32-551 バックアップ オペレータ 組み込みグループ。既定では、グループにはメンバーがありません。バックアップ オペレータは、コンピュータ上のすべてのファイルを、それらのファイルを保護するアクセス許可に関係なくバックアップおよび復元できます。バックアップ オペレータは、コンピュータにログオンしてシャットダウンすることもできます。
S-1-5-32-552 リプリケータ ドメイン コントローラ上のファイル レプリケーション サービスによって使用されるビルトイン グループ。既定では、グループにはメンバーがありません。このグループにユーザーを追加しないでください。
S-1-5-32-582 記憶域レプリカ管理者 記憶域レプリカのすべての機能への完全かつ無制限のアクセスを許可する組み込みグループ。
S-1-5-64-10 NTLM 認証 NTLM 認証パッケージがクライアントを認証するときに使用される SID。
S-1-5-64-14 SChannel 認証 SChannel 認証パッケージがクライアントを認証するときに使用される SID。
S-1-5-64-21 ダイジェスト認証 ダイジェスト認証パッケージがクライアントを認証するときに使用される SID。
S-1-5-80 NTサービス NT サービス アカウントのプレフィックス。

Windows Server 2003 および以降のバージョンによって追加された SID


Windows Server 2003 以降のバージョンを実行するドメイン コントローラをドメインに追加すると、Active Directory は次の表にセキュリティ プリンシパルを追加します。

Sid

名前

説明

S-1-3-2 作成者所有者サーバー この SID は Windows 2000 では使用されません。
S-1-3-3 クリエイター グループ サーバー この SID は Windows 2000 では使用されません。
S-1-5-8 プロキシ この SID は Windows 2000 では使用されません。
S-1-5-15 この組織 同じ組織のすべてのユーザーを含むグループ。AD アカウントにのみ含まれ、Windows Server 2003 以降のドメイン コントローラによってのみ追加されます。
S-1-5-32-554 組み込み\Windows 2000 以前の互換アクセス Windows 2000 によって追加されたエイリアス。ドメイン内のすべてのユーザーおよびグループに対して読み取りアクセスを許可する下位互換性グループ。
S-1-5-32-555 組み込み\リモート デスクトップ ユーザー エイリアス。このグループのメンバには、リモートでログオンする権限が与えられます。
S-1-5-32-556 組み込み\ネットワーク構成演算子 エイリアス。このグループのメンバは、ネットワーク機能の構成を管理するための管理者特権を持つことができます。
S-1-5-32-557 組み込み\入力フォレストの信頼ビルダー エイリアス。このグループのメンバは、このフォレストに対する一方向の入力方向の信頼を作成できます。
S-1-5-32-558 組み込み\パフォーマンス モニタ ユーザー エイリアス。このグループのメンバは、このコンピュータを監視するためのリモート アクセス権を持っています。
S-1-5-32-559 組み込み\パフォーマンス ログ ユーザー エイリアス。このグループのメンバは、このコンピュータのパフォーマンス カウンタのログ記録をスケジュールするためのリモート アクセス権を持っています。
S-1-5-32-560 組み込み\Windows 承認アクセス グループ エイリアス。このグループのメンバは、ユーザー オブジェクトの計算されたトークングループグローバルAnd ユニバーサル属性にアクセスできます。
S-1-5-32-561 組み込み\ターミナル サーバー ライセンス サーバー エイリアス。ターミナル サーバー ライセンス サーバーのグループ。Windows Server 2003 サービス パック 1 をインストールすると、新しいローカル グループが作成されます。
S-1-5-32-562 組み込み/分散 COM ユーザー エイリアス。COM のグループは、コンピュータ上のすべての呼び出し、アクティブ化、または起動要求へのアクセスを制御するコンピュータ全体のアクセス制御を提供します。

Windows Server 2008 および以降のバージョンによって追加された SID


Windows Server 2008 以降のバージョンを実行するドメイン コントローラをドメインに追加すると、Active Directory は次の表にセキュリティ プリンシパルを追加します。

Sid

名前

説明

S-1-2-1 コンソール ログオン 物理コンソールにログオンしているユーザーを含むグループ。 メモ Windows 7 および Windows Server 2008 R2 で追加されました。
S-1-5-21domain-498 エンタープライズ読み取り専用ドメイン コントローラ ユニバーサル グループ。このグループのメンバは、エンタープライズ内の読み取り専用ドメイン コントローラです。
S-1-5-21domain-521 読み取り専用ドメイン コントローラ グローバル グループ。このグループのメンバは、ドメイン内の読み取り専用ドメイン コントローラです。
S-1-5-21domain-571 許可された RODC パスワード レプリケーション グループ ドメイン ローカル グループ。このグループのメンバは、ドメイン内のすべての読み取り専用ドメイン コントローラにパスワードをレプリケートできます。
S-1-5-21domain-572 RODC パスワード レプリケーション グループが拒否されました ドメイン ローカル グループ。このグループのメンバは、ドメイン内の読み取り専用ドメイン コントローラにパスワードをレプリケートすることはできません。
S-1-5-32-569 組み込み演算子\暗号化演算子 組み込みのローカル グループ。メンバーは、暗号化操作を実行する権限を持っています。
S-1-5-32-573 組み込み\イベント ログ リーダー 組み込みのローカル グループ。このグループのメンバは、ローカル コンピュータからイベント ログを読み取ることができます。
S-1-5-32-574 組み込み\証明書サービス DCOM アクセス 組み込みのローカル グループ。このグループのメンバは、企業内の証明機関に接続できます。
S-1-5-80-0 NT サービス\すべてのサービス システムで構成されているすべてのサービス プロセスを含むグループ。メンバーシップはオペレーティング システムによって制御されます。 メモ Windows Server 2008 R2 で追加されました。
S-1-5-80-0 すべてのサービス システムで構成されているすべてのサービス プロセスを含むグループ。メンバーシップはオペレーティング システムによって制御されます。 メモ Windows Vista および Windows Server 2008 で追加されました。
S-1-5-83-0 NT 仮想マシン\仮想マシン 組み込みグループ。グループは、Hyper-V の役割がインストールされるときに作成されます。グループのメンバーシップは、Hyper-V 管理サービス (VMMS) によって管理されます。このグループには、シンボリック リンクの作成権限 (SeCreateシンボリック リンク特権) とサービスとしてログオンする権利 (SeServiceLogonRight) が必要です。 メモ Windows 8 および Windows サーバー 2012 で追加されました。
S-1-5-90-0 Windows マネージャ\Windows マネージャ グループ デスクトップ ウィンドウ マネージャー (DWM) によって使用される組み込みグループ。DWM は、Windows アプリケーションの情報表示を管理する Windows サービスです。 メモ Windows Vista で追加されました。
S-1-16-0 信頼されていない必須レベル 信頼されていない整合性レベル。 メモ Windows Vista および Windows Server 2008 で追加されました。
S-1-16-4096 低い必須レベル 整合性レベルが低い。 メモ Windows Vista および Windows Server 2008 で追加されました。
S-1-16-8192 中程度の必須レベル 中程度の整合性レベル。 メモWindows Vista および Windows Server 2008 で追加されました。
S-1-16-8448 中プラス必須レベル 中程度の整合性レベル。 メモ Windows Vista および Windows Server 2008 で追加されました。
S-1-16-12288 高い必須レベル 高い整合性レベル。 メモ Windows Vista および Windows Server 2008 で追加されました。
S-1-16-16384 システム必須レベル システムの整合性レベル。 メモ Windows Vista および Windows Server 2008 で追加されました。
S-1-16-20480 保護されたプロセス必須レベル 保護されたプロセスの整合性レベル。 メモ Windows Vista および Windows Server 2008 で追加されました。
S-1-16-28672 セキュリティで保護されたプロセスの必須レベル セキュリティで保護されたプロセスの整合性レベル。 メモ Windows Vista および Windows Server 2008 で追加されました。

Windows Server 2012 および以降のバージョンによって追加された SID


Windows Server 2012 以降のバージョンを実行するドメイン コントローラーをドメインに追加すると、Active Directory は次の表にセキュリティ プリンシパルを追加します。

Sid

名前

説明

S-1-5-21-domain-522 複製可能なドメイン コントローラ グローバル グループ。ドメイン コントローラであるこのグループのメンバのクローンを作成できます。
S-1-5-32-575 組み込み\RDS リモート アクセス サーバー 組み込みのローカル グループ。このグループのサーバーは、RemoteApp プログラムおよび個人用仮想デスクトップのユーザーがこれらのリソースにアクセスできるようにします。インターネットに接続する展開では、通常、これらのサーバーはエッジ ネットワークに展開されます。このグループは、RD 接続ブローカーを実行しているサーバーに設定する必要があります。展開で使用する RD ゲートウェイ サーバーと RD Web アクセス サーバーは、このグループに含める必要があります。
S-1-5-32-576 組み込み\RDS エンドポイント サーバー 組み込みのローカル グループ。このグループのサーバーは、ユーザー RemoteApp プログラムと個人用仮想デスクトップが実行される仮想マシンとホスト セッションを実行します。このグループは、RD 接続ブローカーを実行しているサーバーに設定する必要があります。展開で使用する RD セッション ホスト サーバーと RD 仮想化ホスト サーバーは、このグループに含める必要があります。
S-1-5-32-577 組み込み\RDS 管理サーバー 組み込みのローカル グループ。このグループのサーバーは、リモート デスクトップ サービスを実行しているサーバーで日常的な管理操作を実行できます。このグループは、リモート デスクトップ サービス展開内のすべてのサーバーに設定する必要があります。RDS 中央管理サービスを実行しているサーバーは、このグループに含める必要があります。
S-1-5-32-578 組み込み\Hyper-V 管理者 組み込みのローカル グループ。このグループのメンバーは、Hyper-V のすべての機能に完全かつ無制限にアクセスできます。
S-1-5-32-579 組み込み\アクセス制御アシスタンスオペレータ 組み込みのローカル グループ。このグループのメンバは、このコンピュータ上のリソースの承認属性とアクセス許可をリモートで照会できます。
S-1-5-32-580 組み込み/リモート管理ユーザー 組み込みのローカル グループ。このグループのメンバは、管理プロトコル (Windows リモート管理サービスを介した WS-Management など) を介して WMI リソースにアクセスできます。これは、ユーザーにアクセスを許可する WMI 名前空間にのみ適用されます。

機能 ID


Windows 8 では、機能セキュリティ識別子 (SID)が導入されました。機能 SID は、一意で不変な方法で機能を識別します。機能は、ユニバーサル Windows アプリケーションにリソース (ドキュメント、カメラ、場所など) へのアクセスを許可する忘れられない権限のトークンを表します。機能を "持つ" アプリには、関連付けられたリソースへのアクセスが許可されます。機能を持たないアプリは、リソースへのアクセスを拒否されます。

オペレーティング システムが認識するすべての機能の SID は、次のサブキーの Windows レジストリに格納されます。HKEY_LOCAL_MACHINE\ソフトウェア\マイクロソフト\セキュリティ マネージャ\機能クラス\すべてのキャッシュされた機能

このサブキーには、ファースト パーティ製アプリケーションまたはサード パーティ製アプリケーションによって追加される機能 SID も含まれます。

すべての機能 ID は「S-1-15-3」から始まります。