既知の SID
既知のセキュリティ識別子 (SID) で、汎用グループと汎用ユーザーを識別できます。 たとえば、次のような既知の SID でグループとユーザーを識別できます。
- Everyone または World。すべてのユーザーを含むグループです。
- CREATOR_OWNER。継承可能な ACE のプレースホルダーとして使用されます。 ACE が継承された場合、CREATOR_OWNER SID がオブジェクトの作成者の SID に自動的に置き換えられます。
- ローカル コンピューターの組み込みドメインの管理者グループ。
既知の汎用 SID も存在し、このセキュリティ モデルを使用するすべてのセキュア システム (Windows 以外の OS も含む) で機能します。 さらに、Windows システムでのみ機能する既知の SID もあります。
Windows API には、既知の識別子の機関、および相対識別子 (RID) の値の定数のセットが定義されています。 これらの定数を使用して、既知の SID を作成できます。 次の例は、SECURITY_WORLD_SID_AUTHORITY と SECURITY_WORLD_RID の定数を組み合わせて、すべてのユーザー (Everyone または World) を表す特別なグループの既知の汎用 SID を表示します。
S-1-1-0
次に、SID の文字列表記を使用する例を示します。S はこの文字列が SID であることを示します。最初の 1 は SID のリビジョン レベルであり、残り 2 桁は SECURITY_WORLD_SID_AUTHORITY 定数と SECURITY_WORLD_RID 定数を示します。
AllocateAndInitializeSid 関数を使用し、識別子の機関の値を最大 8 つのサブ認証の値と組み合わせることで SID を作成できます。 たとえば、ログオンしているユーザーが特定の既知のグループのメンバーであるかどうかを判断するには、AllocateAndInitializeSid を呼び出して既知のグループの SID を作成し、EqualSid 関数を使用して、その SID をユーザーのアクセス トークンにあるグループ SID と比較します。 その例を紹介するC++ でアクセス トークンに含まれる SID を検索するを参照してください。 FreeSid 関数を呼び出して、AllocateAndInitializeSid で割り当てられた SID を開放する必要があります。
このセクションの残りの部分で、既知の SID を作成する際に使用する既知の SID の表と、識別子の機関およびサブ機関の定数の表を示します。
いかに既知の汎用 SID をいくつか示します。
| 既知の汎用 SID | 識別する内容 |
|---|---|
| Null SID 文字列の値: S-1-0-0 |
メンバーのないグループ。 SID の値が不明な場合によく使用されます。 |
| World 文字列の値: S-1-1-0 |
すべてのユーザーを含むグループ。 |
| ローカル 文字列の値: S-1-2-0 |
システムにローカルで (物理的に) 接続している端末にログオンするユーザー。 |
| Creator Owner ID 文字列の値: S-1-3-0 |
新しいオブジェクトを作成したユーザーのセキュリティ識別子に置き換えられるセキュリティ識別子。 この SID は継承可能な ACE で使用されます。 |
| Creator Group ID 文字列の値: S-1-3-1 |
新しいオブジェクトを作成したユーザーのプライマリ グループ SID に置き換えられるセキュリティ識別子。 継承可能な ACE でこの SID を使用します。 |
次の表に、事前定義された識別子機関の定数を示します。 最初の 4 つの値は既知の汎用 SID で使用され、最後の値は Windows の既知の SID で使用されます。
| 識別子機関 | 値 | 文字列値 |
|---|---|---|
| SECURITY_NULL_SID_AUTHORITY | 0 |
S-1-0 |
| SECURITY_WORLD_SID_AUTHORITY | 1 |
S-1-1 |
| SECURITY_LOCAL_SID_AUTHORITY | 2 |
S-1-2 |
| SECURITY_CREATOR_SID_AUTHORITY | 3 |
S-1-3 |
| SECURITY_NT_AUTHORITY | 5 |
S-1-5 |
次の RID 値は、既知の汎用 SID で使用されます。 識別子機関列には、既知の汎用 SID を作成するために RID と組み合わせることができる識別子機関のプレフィックスを示します。
| 相対識別子機関 | 値 | 文字列値 |
|---|---|---|
| SECURITY_NULL_RID | 0 |
S-1-0-0 |
| SECURITY_WORLD_RID | 0 |
S-1-1-0 |
| SECURITY_LOCAL_RID | 0 |
S-1-2-0 |
| SECURITY_LOCAL_LOGON_RID | 1 |
S-1-2-1 |
| SECURITY_CREATOR_OWNER_RID | 0 |
S-1-3-0 |
| SECURITY_CREATOR_GROUP_RID | 1 |
S-1-3-1 |
SECURITY_NT_AUTHORITY (S-1-5) で事前定義された識別子機関は、汎用ではなく Windows でのみ機能する SID を生成します。 次の RID 値を SECURITY_NT_AUTHORITY に使用して、既知の SID を作成できます。
| 定数 | 識別する内容 |
|---|---|
| SECURITY_DIALUP_RID 文字列の値: S-1-5-1 |
ダイヤルアップ モデムを使用して端末にログオンするユーザー。 次はグループ識別子です。 |
| SECURITY_NETWORK_RID 文字列の値: S-1-5-2 |
ネットワーク経由でログオンするユーザー。 これは、プロセスがネットワーク経由でログオンされたときに、プロセスのトークンに追加されるグループ識別子です。 対応するログオンの種類は LOGON32_LOGON_NETWORK。 |
| SECURITY_BATCH_RID 文字列の値: S-1-5-3 |
バッチ キュー機能を使用してログオンするユーザー。 次は、プロセスがバッチ ジョブとしてログに記録された場合に処理のトークンに追加されるグループ識別子です。 対応するログオンタイプは LOGON32_LOGON_BATCH です。 |
| SECURITY_INTERACTIVE_RID 文字列の値: S-1-5-4 |
対話型の操作にログオンするユーザー。 これは、プロセスが対話形式でログオンされたときに、プロセスのトークンに追加されるグループ識別子です。 対応するログオンの種類は LOGON32_LOGON_INTERACTIVE。 |
| SECURITY_LOGON_IDS_RID 文字列の値: S-1-5-5-*X*-*Y* |
ログオン セッション。 特定のログオン セッション内のプロセスのみに、そのセッションのウィンドウ ステーション オブジェクトへのアクセスを許可するために使用されます。 これらの SID の X 値と Y 値は、ログオン セッションごとに異なります。 SECURITY_LOGON_IDS_RID_COUNT の値は、この識別子 (5-X-Y) に含まれる RID の数です。 |
| SECURITY_SERVICE_RID 文字列の値: S-1-5-6 |
サービスとしてログオンする権限を持つアカウント。 これは、プロセスがサービスとしてログオンされたときに、プロセスのトークンに追加されるグループ識別子です。 対応するログオンの種類は LOGON32_LOGON_SERVICE。 |
| SECURITY_ANONYMOUS_LOGON_RID 文字列の値: S-1-5-7 |
匿名ログオン、または null セッション ログオン。 |
| SECURITY_PROXY_RID 文字列の値: S-1-5-8 |
プロキシ。 |
| SECURITY_ENTERPRISE_CONTROLLERS_RID 文字列の値: S-1-5-9 |
エンタープライズ コントローラー。 |
| SECURITY_PRINCIPAL_SELF_RID 文字列の値: S-1-5-10 |
PRINCIPAL_SELF セキュリティ識別子は、ユーザーまたはグループ オブジェクトの ACL で使用されます。 アクセス チェック中に、SID がオブジェクトの SID に自動的に置き換えられます。 PRINCIPAL_SELF SID は、ACE を継承するユーザーまたはグループ オブジェクトに適用される継承可能な ACE を指定する場合に便利です。 これが、スキーマの既定のセキュリティ記述子で作成されたオブジェクトの SID を表す唯一の方法です。 |
| SECURITY_AUTHENTICATED_USER_RID 文字列の値: S-1-5-11 |
認証されたユーザー。 |
| SECURITY_RESTRICTED_CODE_RID 文字列の値: S-1-5-12 |
制限されたコード。 |
| SECURITY_TERMINAL_SERVER_RID 文字列の値: S-1-5-13 |
ターミナル サービス。 ターミナル サーバーにログオンするユーザーのセキュリティ トークンに自動的に追加されます。 |
| SECURITY_LOCAL_SYSTEM_RID 文字列の値: S-1-5-18 |
オペレーティング システムで使用される特別なアカウント。 |
| SECURITY_NT_NON_UNIQUE 文字列の値: S-1-5-21 |
SIDS は一意ではありません。 |
| SECURITY_BUILTIN_DOMAIN_RID 文字列の値: S-1-5-32 |
組み込みシステムのドメイン。 |
| SECURITY_WRITE_RESTRICTED_CODE_RID 文字列の値: S-1-5-33 |
書き込みが制限されたコード。 |
| SECURITY_RESTRICTED_SERVICES_BASE_RID 文字列値: S-1-5-99 |
制限付きサービス。 |
次の RID は、各ドメインに関連しています。
| RID | 識別する内容 |
|---|---|
| DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP 値: 0x0000023E |
分散コンポーネント オブジェクト モデル (DCOM) を使用して証明機関に接続できるユーザーのグループ。 |
| DOMAIN_USER_RID_ADMIN 値: 0x000001F4 |
ドメイン内の管理ユーザー アカウント。 |
| DOMAIN_USER_RID_GUEST 値: 0x000001F5 |
ドメイン内のゲスト ユーザー アカウント。 アカウントを持たないユーザーは、このアカウントで自動的にログオンされます。 |
| DOMAIN_GROUP_RID_ADMINS 値: 0x00000200 |
ドメイン管理者のグループ。 このアカウントは、サーバーのオペレーティング システムを実行しているシステムにのみ存在します。 |
| DOMAIN_GROUP_RID_USERS 値: 0x00000201 |
ドメイン内のすべてのユーザー アカウントを含むグループ。 このグループにはすべてのユーザーが自動的に追加されます。 |
| DOMAIN_GROUP_RID_GUESTS 値: 0x00000202 |
ドメイン内のゲスト グループ アカウント。 |
| DOMAIN_GROUP_RID_COMPUTERS 値: 0x00000203 |
ドメイン コンピューターのグループ。 ドメイン内のすべてのコンピューターが、このグループのメンバーです。 |
| DOMAIN_GROUP_RID_CONTROLLERS 値: 0x00000204 |
ドメイン コントローラーのグループ。 ドメイン内のすべての DC が、このグループのメンバーです。 |
| DOMAIN_GROUP_RID_CERT_ADMINS 値: 0x00000205 |
証明書の発行元グループ。 証明書サービスを実行しているコンピューターが、このグループのメンバーです。 |
| DOMAIN_GROUP_RID_ENTERPRISE_READONLY_DOMAIN_CONTROLLERS 値: 0x000001F2 |
エンタープライズの読み取り専用ドメイン コントローラーのグループ。 |
| DOMAIN_GROUP_RID_SCHEMA_ADMINS 値: 0x00000206 |
スキーマ管理者のグループ。 このグループのメンバーは、Active Directory スキーマを変更できます。 |
| DOMAIN_GROUP_RID_ENTERPRISE_ADMINS 値: 0x00000207 |
エンタープライズ管理者のグループ。 このグループのメンバーには、Active Directory フォレスト内のすべてのドメインへのフル アクセス権があります。 エンタープライズ管理者は、新しいドメインの追加や削除などのフォレスト レベルの操作を担当します。 |
| DOMAIN_GROUP_RID_POLICY_ADMINS 値: 0x00000208 |
ポリシー管理者のグループ。 |
| DOMAIN_GROUP_RID_READONLY_CONTROLLERS 値: 0x00000209 |
読み取り専用ドメイン コントローラーのグループ。 |
| DOMAIN_GROUP_RID_CLONEABLE_CONTROLLERS 値: 0x0000020A |
複製可能なドメイン コントローラーのグループ。 |
| DOMAIN_GROUP_RID_CDC_RESERVED 値: 0x0000020C |
予約済み CDC グループ。 |
| DOMAIN_GROUP_RID_PROTECTED_USERS 値: 0x0000020D |
保護対象のユーザー グループ。 |
| DOMAIN_GROUP_RID_KEY_ADMINS 値: 0x0000020E |
キー管理者のグループ。 |
| DOMAIN_GROUP_RID_ENTERPRISE_KEY_ADMINS 値: 0x0000020F |
企業のキー管理者グループ。 |
次の RID は、必須の整合性レベルを指定するために使用されます。
| RID | 値 | 識別する内容 |
|---|---|---|
| SECURITY_MANDATORY_UNTRUSTED_RID | 0x00000000 |
非信頼。 |
| SECURITY_MANDATORY_LOW_RID | 0x00001000 |
低い整合性。 |
| SECURITY_MANDATORY_MEDIUM_RID | 0x00002000 |
中程度の整合性。 |
| SECURITY_MANDATORY_MEDIUM_PLUS_RID | SECURITY_MANDATORY_MEDIUM_RID + 0x100 |
中から高程度の整合性。 |
| SECURITY_MANDATORY_HIGH_RID | 0X00003000 |
高い整合性。 |
| SECURITY_MANDATORY_SYSTEM_RID | 0x00004000 |
システムの整合性。 |
| SECURITY_MANDATORY_PROTECTED_PROCESS_RID | 0x00005000 |
保護対象のプロセス。 |
次の表は、ローカル グループ (エイリアス) で既知の SID を形成するために使用できるドメイン相対 RID の例を示しています。 ローカル グループとグローバル グループの詳細については、ローカル グループ関数とグループ関数を参照してください。
| RID | 識別する内容 |
|---|---|
| DOMAIN_ALIAS_RID_ADMINS 値: 0x00000220文字列の値: S-1-5-32-544 |
ドメインの管理に使用されるローカル グループ。 |
| DOMAIN_ALIAS_RID_USERS 値: 0x00000221文字列の値: S-1-5-32-545 |
ドメイン内のすべてのユーザーを表すローカル グループ。 |
| DOMAIN_ALIAS_RID_GUESTS 値: 0x00000222文字列の値: S-1-5-32-546 |
ドメインのゲストを表すローカル グループ。 |
| DOMAIN_ALIAS_RID_POWER_USERS 値: 0x00000223文字列の値: S-1-5-32-547 |
システムを複数のユーザーが使用するワークステーションではなく、個人のコンピューターのように扱うことを想定しているユーザーまたはユーザー セットを表すために使用されるローカル・グループ。 |
| DOMAIN_ALIAS_RID_ACCOUNT_OPS 値: 0x00000224文字列の値: S-1-5-32-548 |
サーバー オペレーティング システムを実行しているシステムにのみ存在するローカル グループ。 このローカル グループには、管理者以外のアカウントの制御が許可されます。 |
| DOMAIN_ALIAS_RID_SYSTEM_OPS 値: 0x00000225文字列の値: S-1-5-32-549 |
サーバー オペレーティング システムを実行しているシステムにのみ存在するローカル グループ。 このローカル グループは、セキュリティ機能を除くシステム管理機能を実行します。 ネットワーク共有の確立、プリンターの制御、ワークステーションのロック解除、その他の操作の実行を行います。 |
| DOMAIN_ALIAS_RID_PRINT_OPS 値: 0x00000226文字列の値: S-1-5-32-550 |
サーバー オペレーティング システムを実行しているシステムにのみ存在するローカル グループ。 このローカル グループは、プリンターと印刷キューを制御します。 |
| DOMAIN_ALIAS_RID_BACKUP_OPS 値: 0x00000227文字列の値: S-1-5-32-551 |
ファイルのバックアップと復元の特権の割り当てを制御するために使用されるローカル グループ。 |
| DOMAIN_ALIAS_RID_REPLICATOR 値: 0x00000228文字列の値: S-1-5-32-552 |
セキュリティ データベースをプライマリ ドメイン コントローラーからバックアップ ドメイン コントローラーにコピーするローカル グループ。 これらのアカウントは、システムでのみ使用されます。 |
| DOMAIN_ALIAS_RID_RAS_SERVERS 値: 0x00000229文字列の値: S-1-5-32-553 |
RAS および IAS サーバーを表すローカル グループ。 このグループは、User オブジェクトのさまざまな属性へのアクセスを許可します。 |
| DOMAIN_ALIAS_RID_PREW2KCOMPACCESS 値: 0x0000022A文字列の値: S-1-5-32-554 |
Windows 2000 Server を実行しているシステムにのみ存在するローカル グループ。 詳細については、匿名アクセスの許可を参照してください。 |
| DOMAIN_ALIAS_RID_REMOTE_DESKTOP_USERS 値: 0x0000022B文字列の値: S-1-5-32-555 |
すべてのリモート デスクトップ ユーザーを表すローカル グループ。 |
| DOMAIN_ALIAS_RID_NETWORK_CONFIGURATION_OPS 値: 0x0000022C文字列の値: S-1-5-32-556 |
ネットワーク構成を表すローカル グループ。 |
| DOMAIN_ALIAS_RID_INCOMING_FOREST_TRUST_BUILDERS 値: 0x0000022D文字列の値: S-1-5-32-557 |
フォレストの信頼ユーザーを表すローカル グループ。 |
| DOMAIN_ALIAS_RID_MONITORING_USERS 値: 0x0000022E文字列の値: S-1-5-32-558 |
監視対象のすべてのユーザーを表すローカル グループ。 |
| DOMAIN_ALIAS_RID_LOGGING_USERS 値: 0x0000022F文字列の値: S-1-5-32-559 |
ユーザーのログを記録するローカル グループ。 |
| DOMAIN_ALIAS_RID_AUTHORIZATIONACCESS 値: 0x00000230文字列の値: S-1-5-32-560 |
すべての承認されたアクセスを表すローカル グループ。 |
| DOMAIN_ALIAS_RID_TS_LICENSE_SERVERS 値: 0x00000231文字列の値: S-1-5-32-561 |
サーバー オペレーティング システムを実行し、ターミナル サービスおよびリモート アクセスを許可するシステムにのみ存在するローカル グループ。 |
| DOMAIN_ALIAS_RID_DCOM_USERS 値: 0x00000232文字列の値: S-1-5-32-562 |
分散コンポーネント オブジェクト モデル (DCOM) を使用できるユーザーを表すローカル グループ。 |
| DOMAIN_ALIAS_RID_IUSERS 値: 0X00000238文字列の値: S-1-5-32-568 |
インターネット ユーザーを表すローカル グループ。 |
| DOMAIN_ALIAS_RID_CRYPTO_OPERATORS 値: 0x00000239文字列の値: S-1-5-32-569 |
暗号化演算子へのアクセスを表すローカル グループ。 |
| DOMAIN_ALIAS_RID_CACHEABLE_PRINCIPALS_GROUP 値: 0x0000023B文字列の値: S-1-5-32-571 |
キャッシュ可能なプリンシパルを表すローカル グループ。 |
| DOMAIN_ALIAS_RID_NON_CACHEABLE_PRINCIPALS_GROUP 値: 0x0000023C文字列の値: S-1-5-32-572 |
キャッシュ可能ではないプリンシパルを表すローカル グループ。 |
| DOMAIN_ALIAS_RID_EVENT_LOG_READERS_GROUP 値: 0x0000023D文字列の値: S-1-5-32-573 |
イベント ログ リーダーを表すローカル グループ。 |
| DOMAIN_ALIAS_RID_CERTSVC_DCOM_ACCESS_GROUP 値: 0x0000023E文字列の値: S-1-5-32-574 |
分散コンポーネント オブジェクト モデル (DCOM) を使用して証明機関に接続できるローカル ユーザーのグループ。 |
| DOMAIN_ALIAS_RID_RDS_REMOTE_ACCESS_SERVERS 値: 0x0000023F文字列の値: S-1-5-32-575 |
RDS リモート アクセス サーバーを表すローカル グループ。 |
| DOMAIN_ALIAS_RID_RDS_ENDPOINT_SERVERS 値: 0x00000240文字列の値: S-1-5-32-576 |
エンドポイント サーバーを表すローカル グループ。 |
| DOMAIN_ALIAS_RID_RDS_MANAGEMENT_SERVERS 値: 0x00000241文字列の値: S-1-5-32-577 |
管理サーバーを表すローカル グループ。 |
| DOMAIN_ALIAS_RID_HYPER_V_ADMINS 値: 0x00000242文字列の値: S-1-5-32-578 |
Hyper-V 管理者を表すローカル グループ。 |
| DOMAIN_ALIAS_RID_ACCESS_CONTROL_ASSISTANCE_OPS 値: 0x00000243文字列の値: S-1-5-32-579 |
アクセス制御支援 OPS を表すローカル グループ。 |
| DOMAIN_ALIAS_RID_REMOTE_MANAGEMENT_USERS 値: 0x00000244文字列の値: S-1-5-32-580 |
リモート管理ユーザーを表すローカル グループ。 |
| DOMAIN_ALIAS_RID_DEFAULT_ACCOUNT 値: 0x00000245文字列の値: S-1-5-32-581 |
既定のアカウントを表すローカル グループ。 |
| DOMAIN_ALIAS_RID_STORAGE_REPLICA_ADMINS 値: 0x00000246文字列の値: S-1-5-32-582 |
ストレージ レプリカ管理者を表すローカル グループ。 |
| DOMAIN_ALIAS_RID_DEVICE_OWNERS 値: 0x00000247文字列の値: S-1-5-32-583 |
デバイス所有者に必要な設定を行うことができるユーザーを表すローカル グループ。 |
| DOMAIN_ALIAS_RID_USER_MODE_HARDWARE_OPERATORS 値: 0x00000248文字列の値: S-1-5-32-584 |
このグループのメンバーは、ユーザー モード マッパー ドライバーにアクセスできます。 |
WELL_KNOWN_SID_TYPE の列挙には、一般的に使用される SID の一覧を定義します。 また、セキュリティ記述子定義言語 (SDDL) では、SID 文字列を使用して既知の SID を文字列形式で参照します。