次の方法で共有

付録 B: Active Directory 特権アカウントとグループのリファレンス ガイド

Active Directory ドメイン サービスには、管理タスクを実行するための昇格された特権が付与されている多数の組み込みアカウントとグループが含まれています。 これらの特権アカウントには、Active Directory およびドメインに参加しているシステムでほぼすべてのアクションを実行できる強力な権限、特権、およびアクセス許可が付与されます。

この付録には、以下に関する重要な情報が記載されています。

  • 権利、特権、および権限。
  • 最高の権限グループ。
  • 組み込みアカウントとデフォルトアカウント。

これらの特権アカウントとグループを理解することは、効果的なセキュリティ制御と監視戦略を実装するために非常に重要です。 この付録の情報は、付随する付録に記載されている特定のセキュリティに関する推奨事項と実装ガイダンスの基礎として機能します。

Important

この付録で説明するアカウントとグループには、Active Directory フォレスト全体に影響を与える可能性のある広範な特権があります。 これらのアカウントの適切なセキュリティは、ディレクトリ環境の整合性を維持するために非常に重要です。

Active Directory の権利、特権、およびアクセス許可

権限、権限、特権の違いは混乱を招く可能性があります。 このセクションでは、このドキュメントで使用されるそれぞれの特性について説明します。 これらの説明は、これらの用語が異なる方法で使用される可能性があるため、他の Microsoft ドキュメントに対して信頼できるものと見なすべきではありません。

権利と特権

権限と特権は、実質的には、ユーザー、サービス、コンピューター、グループなどのセキュリティ プリンシパルに付与されるシステム全体の機能と同じです。 IT プロフェッショナルが通常使用するインターフェイスでは、 これは権限 または ユーザー権限 と呼ばれ、多くの場合、グループ ポリシー オブジェクトによって割り当てられます。 次のスクリーンショットは、セキュリティ プリンシパルに割り当て可能な最も一般的なユーザー権利の一部を示しています (これは、Windows Server 2012 ドメインの既定のドメイン コントローラー GPO を表しています)。 これらの権限の一部は Active Directory に適用されたり ([コンピューターとユーザー アカウントに委任時の信頼を付与] ユーザー権利など)、他の権限は Windows オペレーティング システムに適用されたりします ([システム時刻の変更] など)。

特権アカウントとグループ

グループ ポリシー オブジェクト エディターなどのインターフェイスでは、これらの割り当て可能な機能はすべてユーザー権利と広く呼ばれます。 ただし、実際には、一部のユーザー権利はプログラムで権限と呼ばれますが、他のユーザー権利はプログラムで特権と呼ばれます。 グループ ポリシーと他のインターフェイスではこれらすべてをユーザー権利と呼びますが、一部はプログラムによって権限として識別され、他は特権として定義されます。

次の表に示す各ユーザー権限の詳細については、Windows Server の脅威と脆弱性の軽減策ガイドの「脅威と対策ガイド: ユーザー権限」を参照してください

Note

このドキュメントでは、特に明記されていない限り、権利と特権を識別するために、 権利ユーザー権限 という用語が使用されます。

Permissions

アクセス許可は、ファイル システム、レジストリ、サービス、Active Directory オブジェクトなどのセキュリティ保護可能なオブジェクトに適用されるアクセス制御です。 セキュリティ保護可能な各オブジェクトには、関連付けられているアクセス制御リスト (ACL) があります。これには、オブジェクトに対してさまざまな操作を実行する権限をセキュリティ プリンシパル (ユーザー、サービス、コンピューター、またはグループ) に許可または拒否するアクセス制御エントリ (ACE) が含まれています。 たとえば、Active Directory 内の多くのオブジェクトの ACL には、認証されたユーザーがオブジェクトに関する一般的な情報を読み取ることは許可しますが、機密情報を読み取ったりオブジェクトを変更したりする機能は付与しない ACE が含まれています。 各ドメインの組み込みゲスト アカウントを除き、ログオンし、Active Directory フォレストまたは信頼されたフォレスト内のドメイン コントローラーによって認証されるすべてのセキュリティ プリンシパルには、既定でアクセス トークンに認証されたユーザー セキュリティ識別子 (SID) が追加されます。 このため、ユーザー、サービス、またはコンピューターアカウントがドメイン内のユーザー オブジェクトの全般プロパティを読み取ろうとすると、読み取り操作は成功します。

セキュリティ プリンシパルが、ACE が定義されておらず、プリンシパルのアクセス トークンに存在する SID を含むオブジェクトにアクセスしようとすると、プリンシパルはオブジェクトにアクセスできません。 さらに、オブジェクトの ACL の ACE に、ユーザーのアクセス トークンに一致する SID の拒否エントリが含まれている場合、拒否 ACE は通常、競合する許可 ACE をオーバーライドします。 Windows でのアクセス制御の詳細については、MSDN web サイトのアクセス制御に関するページを参照してください。

このドキュメントでは、 アクセス許可 とは、セキュリティ保護可能なオブジェクトのセキュリティ プリンシパルに付与または拒否される機能を指します。 ユーザー権限とアクセス許可の間に競合がある場合は、通常、ユーザー権限が優先されます。 たとえば、Active Directory 内のオブジェクトが、管理者がオブジェクトへのすべての読み取りおよび書き込みアクセスを拒否する ACL で構成されている場合、ドメインの Administrators グループのメンバーであるユーザーは、オブジェクトに関する多くの情報を表示できません。 ただし、管理者グループには ファイルまたはその他のオブジェクトの所有権を取得するユーザー権限が付与されているため、ユーザーは問題のオブジェクトの所有権を取得し、オブジェクトの ACL を書き換えて、管理者にオブジェクトのフル コントロールを付与できます。

このため、このドキュメントでは、アカウントやグループの機能を制限しようとするのではなく、日常的な管理に強力なアカウントやグループを使用しないようにすることをお勧めします。 強力な資格情報にアクセスできる決定されたユーザーが、それらの資格情報を使用してセキュリティ保護可能なリソースにアクセスするのを効果的に阻止することはできません。

組み込みの特権アカウントとグループ

Active Directory は、管理の委任を容易にすることと、権限とアクセス許可を割り当てる際の最小限の特権の原則を目的としています。 Active Directory ドメインにアカウントを持つ通常のユーザーは、既定では、ディレクトリに格納されている内容の大部分を読み取ることができますが、ディレクトリ内の限られたデータ セットしか変更できません。 追加の特権を必要とするユーザーには、ディレクトリに組み込まれているさまざまな特権グループのメンバーシップを付与できるため、ロールに関連する特定のタスクを実行できますが、職務に関連しないタスクは実行できません。

Active Directory 内には、ディレクトリ内で最も高い特権グループを構成する 3 つの組み込みグループと、4 番目のグループである Schema Admins (SA) グループがあります:

Schema Admins (SA) グループには、悪用されると Active Directory フォレスト全体が破損または破壊される可能性がある特権がありますが、このグループの機能は EA、DA、および BA グループよりも制限されています。

これらの 4 つのグループに加えて、Active Directory には多くの追加の組み込みアカウントと既定のアカウントとグループがあり、それぞれに特定の管理タスクを実行できる権限とアクセス許可が付与されています。 この付録では、Active Directory のすべての組み込みグループまたは既定のグループについて詳しく説明しているわけではありませんが、インストールで表示される可能性が最も高いグループとアカウントの表を提供します。

たとえば、Microsoft Exchange Server を Active Directory フォレストにインストールすると、ドメインの組み込みコンテナーとユーザー コンテナーに追加のアカウントとグループが作成される可能性があります。 この付録では、ネイティブの役割と機能に基づいて Active Directory の組み込みコンテナーと Users コンテナーに作成されるグループとアカウントについてのみ説明します。 エンタープライズ ソフトウェアのインストールによって作成されたアカウントとグループは含まれません。

Enterprise Admins

Enterprise Admins (EA) グループはフォレスト ルート ドメインにあり、既定では、フォレスト内のすべてのドメインの組み込み Administrators グループのメンバーです。 フォレスト ルート ドメインのビルトイン Administrator アカウントは、EA グループの唯一の既定のメンバーです。 EA には、フォレスト全体の変更に影響を与える権限とアクセス許可が付与されます。 これらは、ドメインの追加や削除、フォレストの信頼の確立、フォレストの機能レベルの引き上げなど、フォレスト内のすべてのドメインに影響を与える変更です。 適切に設計および実装された委任モデルでは、最初にフォレストを構築する場合または送信フォレストの信頼の確立などの特定のフォレスト全体の変更を行う場合にのみ、EA メンバーシップが必要です。

EA グループは、既定でフォレスト ルート ドメインの Users コンテナーにあり、フォレスト ルート ドメインが Windows 2000 Server 混合モードで実行されていない限り、ユニバーサル セキュリティ グループです (その場合、グループはグローバル セキュリティ グループです)。 一部の権限は EA グループに直接付与されますが、このグループの権限の多くは、フォレスト内の各ドメインの Administrators グループのメンバーであるため、EA グループによって継承されます。 Enterprise Admins には、ワークステーションまたはメンバー サーバーに対する既定の権限がありません。

Domain Admins

フォレスト内の各ドメインには独自の Domain Admins (DA) グループがあり、これはそのドメインのビルトイン Administrator (BA) グループのメンバーになります。また、ドメインに参加しているすべてのコンピューターのローカル Administrators グループのメンバーにもなります。 ドメインの DA グループの既定のメンバーは、そのドメインのビルトイン Administrator アカウントのみです。

DA は、ドメイン内ではすべて強力ですが、EA にはフォレスト全体の特権があります。 適切に設計および実装された委任モデルでは、DA メンバーシップは、ドメイン内のすべてのコンピューターに対して高いレベルの特権を持つアカウントが必要な状況、またはドメイン全体の特定の変更を行う必要がある場合のブ レーク グラス シナリオでのみ必要とする必要があります。 ネイティブの Active Directory 委任メカニズムでは、緊急シナリオでのみ DA アカウントを使用できる範囲で委任が可能ですが、効果的な委任モデルを構築するには時間がかかる場合があり、多くの組織ではサード パーティのアプリケーションを使用してプロセスを迅速化しています。

DA グループは、ドメインの Users コンテナーにあるグローバル セキュリティ グループです。 フォレスト内のドメインごとに 1 つの DA グループがあり、DA グループの既定のメンバーはドメインの組み込み管理者アカウントのみです。 ドメインの DA グループは、ドメインの BA グループと、ドメインに参加しているすべてのシステムのローカル Administrators グループに入れ子になっているため、DA はドメイン管理者に付与されるアクセス許可を持つだけでなく、ドメインに参加しているすべてのシステム上のドメインの Administrators グループとローカル Administrators グループに付与されたすべての権限とアクセス許可を継承します。

Administrators

組み込みの管理者 (BA) グループは、DA と EA が入れ子になっているドメインの組み込みコンテナー内のドメイン ローカル グループであり、ディレクトリとドメイン コントローラーで直接的な権限とアクセス許可の多くが付与されているのはこのグループです。 ただし、ドメインの Administrators グループには、メンバー サーバーまたはワークステーションに対する特権がありません。 ドメインに参加しているコンピューターのローカル Administrators グループのメンバーシップは、ローカルの特権が付与されている場所です。ここで説明するグループのうち、既定では、ドメインに参加しているすべてのコンピューターのローカル Administrator グループのメンバーであるのは、DA だけです。

Administrators グループは、ドメインの組み込みコンテナー内のドメイン ローカル グループです。 既定では、すべてのドメインの BA グループには、ローカル ドメインのビルトイン Administrator アカウント、ローカル ドメインの DA グループ、およびフォレストのルート ドメインの EA グループが含まれます。 Active Directory およびドメイン コントローラーにおける多くのユーザー権利は、EA や DA ではなく、Administrator グループのみに付与されます。 ドメインの BA グループには、ほとんどのディレクトリ オブジェクトに対するフル コントロール アクセス許可が付与され、ディレクトリ オブジェクトの所有権を取得できます。 EA グループと DA グループには、フォレストとドメインで特定のオブジェクト固有のアクセス許可が付与されますが、グループの機能の多くは BA グループのメンバーシップから継承されます。

Note

これらはこれらの特権グループの既定の構成ですが、3 つのグループのいずれかのメンバーは、ディレクトリを操作して他の任意のグループのメンバーシップを取得できます。 達成するのが簡単な場合もあれば、より難しい場合もありますが、潜在的な特権の観点からは、3 つのグループすべてが事実上同等であると見なす必要があります。

Schema Admins

Schema Admins (SA) グループは、フォレストのルート ドメイン内のユニバーサル グループであり、EA グループと同様に、そのドメインのビルトイン Administrator アカウントだけが既定のメンバーになります。 SA グループのメンバーシップを使用すると、攻撃者によって Active Directory フォレスト全体のフレームワークである Active Directory スキーマが危険にさらされることがありますが、SA にはスキーマ以外の既定の権限とアクセス許可がほとんどありません。

SA グループのメンバーシップは慎重に管理および監視する必要がありますが、このグループは、特権の範囲が狭いため、前述の 3 つの最も高い特権グループよりも特権が低い場合があります。つまり、SA にはスキーマ以外の管理権限がありません。

Active Directory の組み込みグループと既定のグループを追加する

ディレクトリへの管理の委任を容易にするために、Active Directory には、特定の権限とアクセス許可が付与されているさまざまなビルトインおよび既定のグループが付属しています。 これらのグループについては、次の表で簡単に説明します。

次のセクションでは、Active Directory の組み込みグループと既定のグループを示します。 既定では、両方のグループのセットが存在します。ただし、組み込みのグループは Active Directory の組み込みコンテナーに配置され (既定)、既定のグループは Active Directory の Users コンテナーに配置されます (既定)。 組み込みコンテナー内のグループはすべてドメイン ローカル グループですが、Users コンテナー内のグループは、3 つの個別のユーザーアカウント (Administrator、Guest、および Krbtgt) に加えて、ドメイン ローカル グループ、グローバル グループ、ユニバーサル グループの組み合わせです。

この付録の前半で説明した最上位の特権グループに加えて、一部の組み込みアカウントと既定のアカウントおよびグループには昇格された特権が付与されており、保護されていて、セキュリティで保護された管理ホストでのみ使用される必要があります。 これらのグループとアカウントの一部には、Active Directory またはドメイン コントローラーを侵害するために悪用される可能性のある権利とアクセス許可が付与されているため、「 付録 C: Active Directory で保護されたアカウントとグループ」で説明されているように、より多くの保護が提供されます。

アクセス制御支援オペレーター

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、このコンピューター上のリソースの承認属性とアクセス許可をリモートで照会できます。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加
  • : Windows Server 2012 以降の Active Directory。

Account Operators

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: メンバーは、ドメイン ユーザーおよびグループ アカウントを管理できます。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

Administrator account

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザーコンテナ、グループではない
  • 説明とデフォルトのユーザー権限: ドメインを管理するための組み込みアカウント。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • プロセスのメモリ クォータを調整する
    • ローカルでのログオンを許可
    • リモート デスクトップ サービスを使ったログオンを許可
    • ファイルとディレクトリのバックアップ
    • スキャン検査のバイパス
    • システム時刻の変更
    • タイム ゾーンの変更
    • ページ ファイルの作成
    • グローバル オブジェクトの作成
    • シンボリック リンクの作成
    • Debug programs
    • コンピューターとユーザー アカウントに委任時の信頼を付与
    • リモート コンピューターからの強制シャットダウン
    • 認証後にクライアントを偽装
    • プロセス ワーキング セットの増加
    • スケジューリング優先順位の繰り上げ
    • デバイス ドライバーのロードとアンロード
    • バッチ ジョブとしてログオン
    • 監査ログとセキュリティ ログの管理
    • ファームウェア環境値の修正
    • ボリュームの保守タスクを実行
    • 単一プロセスのプロファイル
    • システム パフォーマンスのプロファイル
    • ドッキング ステーションからコンピューターを削除
    • ファイルとディレクトリの復元
    • システムのシャットダウン
    • ファイルとその他のオブジェクトの所有権の取得

Administrators group

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: 管理者は、ドメインへの完全かつ無制限のアクセス権を持ちます。
  • ユーザーの直接権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • プロセスのメモリ クォータを調整する
    • ローカルでのログオンを許可
    • リモート デスクトップ サービスを使ったログオンを許可
    • ファイルとディレクトリのバックアップ
    • スキャン検査のバイパス
    • システム時刻の変更
    • タイム ゾーンの変更
    • ページ ファイルの作成
    • グローバル オブジェクトの作成
    • シンボリック リンクの作成
    • Debug programs
    • コンピューターとユーザー アカウントに委任時の信頼を付与
    • リモート コンピューターからの強制シャットダウン
    • 認証後にクライアントを偽装
    • スケジューリング優先順位の繰り上げ
    • デバイス ドライバーのロードとアンロード
    • バッチ ジョブとしてログオン
    • 監査ログとセキュリティ ログの管理
    • ファームウェア環境値の修正
    • ボリュームの保守タスクを実行
    • 単一プロセスのプロファイル
    • システム パフォーマンスのプロファイル
    • ドッキング ステーションからコンピューターを削除
    • ファイルとディレクトリの復元
    • システムのシャットダウン
    • ファイルとその他のオブジェクトの所有権の取得
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

Allowed RODC Password Replication グループ

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザー コンテナー、ドメイン ローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、ドメイン内のすべての読み取り専用ドメイン コントローラーにパスワードをレプリケートできます。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

Backup Operators

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: バックアップオペレーターは、ファイルのバックアップまたは復元のみを目的として、セキュリティー制限をオーバーライドできます。
  • ユーザーの直接権利:
    • ローカルでのログオンを許可
    • ファイルとディレクトリのバックアップ
    • バッチ ジョブとしてログオン
    • ファイルとディレクトリの復元
    • システムのシャットダウン
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

Cert Publishers

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザー コンテナー、ドメイン ローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、ディレクトリに証明書を発行できます。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

証明書サービス DCOM アクセス

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: 証明書サービスがドメイン コントローラーにインストールされている場合 (非推奨)、このグループは、ドメイン ユーザーとドメイン コンピューターに DCOM 登録アクセス権を付与します。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

クローン可能なドメイン コントローラ

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザー コンテナー、グローバル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: ドメイン コントローラーであるこのグループのメンバーは、複製できます。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加
  • : Windows Server 2012 以降の Active Directory。

Cryptographic Operators

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: メンバーには、暗号化操作を実行する権限があります。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

Debugger Users

  • デフォルトのコンテナ、グループスコープ、およびタイプ: これは既定でも組み込みグループでもありませんが、AD DS に存在する場合は、さらに調査する必要があります。
  • 説明とデフォルトのユーザー権限: デバッガー ユーザー グループが存在する場合は、Visual Studio、SQL、Office、またはデバッグ環境を必要としてサポートするその他のアプリケーションを介して、ある時点でデバッグ ツールがシステムにインストールされていることを示します。 このグループを使用すると、コンピューターへのリモート デバッグ アクセスが可能になります。 このグループがドメイン レベルで存在する場合、デバッガーまたはデバッガーを含むアプリケーションがドメイン コントローラーにインストールされていることを示します。

Denied RODC Password Replication グループ

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザー コンテナー、ドメイン ローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、ドメイン内の読み取り専用ドメイン コントローラーにパスワードをレプリケートすることはできません。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

DHCP Administrators

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザー コンテナー、ドメイン ローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、DHCP サーバー サービスへの管理アクセス権を持ちます。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

DHCP Users

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザー コンテナー、ドメイン ローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、DHCP サーバー サービスへの表示のみのアクセス権を持ちます。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

分散 COM ユーザー

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、このコンピューターで分散 COM オブジェクトを起動、アクティブ化、および使用できます。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

DnsAdmins

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザー コンテナー、ドメイン ローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、DNS サーバー サービスへの管理アクセス権を持ちます。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

DnsUpdateProxy

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザー コンテナー、グローバル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、動的更新を実行できないクライアントに代わって動的更新を実行することが許可されている DNS クライアントです。 このグループのメンバーは、通常、DHCP サーバーです。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

Domain Admins

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザー コンテナー、グローバル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: ドメインの指定された管理者。ドメイン管理者は、ドメインに参加しているすべてのコンピューターのローカル Administrators グループのメンバーであり、ドメインの Administrators グループに加えて、ローカルの Administrators グループに付与された権限とアクセス許可を受け取ります。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • プロセスのメモリ クォータを調整する
    • ローカルでのログオンを許可
    • リモート デスクトップ サービスを使ったログオンを許可
    • ファイルとディレクトリのバックアップ
    • スキャン検査のバイパス
    • システム時刻の変更
    • タイム ゾーンの変更
    • ページ ファイルの作成
    • グローバル オブジェクトの作成
    • シンボリック リンクの作成
    • Debug programs
    • コンピューターとユーザー アカウントに委任時の信頼を付与
    • リモート コンピューターからの強制シャットダウン
    • 認証後にクライアントを偽装
    • プロセス ワーキング セットの増加
    • スケジューリング優先順位の繰り上げ
    • デバイス ドライバーのロードとアンロード
    • バッチ ジョブとしてログオン
    • 監査ログとセキュリティ ログの管理
    • ファームウェア環境値の修正
    • ボリュームの保守タスクを実行
    • 単一プロセスのプロファイル
    • システム パフォーマンスのプロファイル
    • ドッキング ステーションからコンピューターを削除
    • ファイルとディレクトリの復元
    • システムのシャットダウン
    • ファイルとその他のオブジェクトの所有権の取得

Domain Computers

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザー コンテナー、グローバル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: ドメインに参加しているすべてのワークステーションとサーバーは、デフォルトでこのグループのメンバーです。
  • 規定のユーザー直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

Domain Controllers

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザー コンテナー、グローバル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: ドメイン内のすべてのドメイン コントローラー。 注: ドメイン コントローラーは、Domain Computers グループのメンバーではありません。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

Domain Guests

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザー コンテナー、グローバル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: ドメイン内のすべてのゲスト
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

Domain Users

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザー コンテナー、グローバル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: ドメイン内のすべてのユーザー
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

Enterprise Admins

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザー コンテナー、ユニバーサル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: エンタープライズ管理者には、フォレスト全体の構成設定を変更するアクセス許可があります。Enterprise Admins は、すべてのドメインの Administrators グループのメンバーであり、そのグループに付与された権限と権限を受け取ります。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • プロセスのメモリ クォータを調整する
    • ローカルでのログオンを許可
    • リモート デスクトップ サービスを使ったログオンを許可
    • ファイルとディレクトリのバックアップ
    • スキャン検査のバイパス
    • システム時刻の変更
    • タイム ゾーンの変更
    • ページ ファイルの作成
    • グローバル オブジェクトの作成
    • シンボリック リンクの作成
    • Debug programs
    • コンピューターとユーザー アカウントに委任時の信頼を付与
    • リモート コンピューターからの強制シャットダウン
    • 認証後にクライアントを偽装
    • プロセス ワーキング セットの増加
    • スケジューリング優先順位の繰り上げ
    • デバイス ドライバーのロードとアンロード
    • バッチ ジョブとしてログオン
    • 監査ログとセキュリティ ログの管理
    • ファームウェア環境値の修正
    • ボリュームの保守タスクを実行
    • 単一プロセスのプロファイル
    • システム パフォーマンスのプロファイル
    • ドッキング ステーションからコンピューターを削除
    • ファイルとディレクトリの復元
    • システムのシャットダウン
    • ファイルとその他のオブジェクトの所有権の取得
  • : フォレスト ルート ドメインにのみ存在します。

エンタープライズ読み取り専用ドメイン コントローラ

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザー コンテナー、ユニバーサル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループには、フォレスト内のすべての読み取り専用ドメイン コントローラーのアカウントが含まれています。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

イベント ログ リーダー

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、ドメイン コントローラーのイベント ログを読み取ることができます。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

グループ ポリシー作成者の所有者

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザー コンテナー、グローバル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、ドメイン内のグループ ポリシー オブジェクトを作成および変更できます。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

Guest

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザーコンテナ、グループではない
  • 説明とデフォルトのユーザー権限: これは、AD DS ドメイン内で、アクセス トークンに認証済みユーザー SID が追加されていない唯一のアカウントです。 そのため、Authenticated Users グループへのアクセスを許可するように構成されているすべてのリソースには、このアカウントからアクセスすることはできません。 この動作は、Domain Guests グループおよび Guests グループのメンバーには当てはまりません。ただし、これらのグループのメンバーには、Authenticated Users の SID がそのアクセス トークンに追加されています。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

Guests

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: ゲストは、前述のようにさらに制限されるゲスト アカウントを除き、既定で Users グループのメンバーと同じアクセス権を持ちます。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

Hyper-V Administrators

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、Hyper-V のすべての機能に完全かつ無制限にアクセスできます。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加
  • : Windows Server 2012 以降。

IIS_IUSRS

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: インターネット インフォメーション サービスで使用される組み込みグループ。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

受信フォレスト信頼ビルダー

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、このフォレストへの受信一方向の信頼を作成できます。 (送信フォレストの信頼の作成は、エンタープライズ管理者用に予約されています)。このグループのメンバーは、フォレストの侵害につながる可能性のある TGT 委任を許可する受信信頼を作成できます。 受信信頼間の TGT 委任の詳細については、「 Windows Server の受信信頼間の TGT 委任の更新プログラム」を参照してください。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加
  • : フォレスト ルート ドメインにのみ存在します。

Krbtgt

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザーコンテナ、グループではない
  • 説明とデフォルトのユーザー権限: Krbtgt アカウントは、ドメイン内の Kerberos キー配布センターのサービス アカウントです。 このアカウントは、Active Directory に格納されているすべてのアカウントの資格情報にアクセスできます。 このアカウントは既定で無効になっているため、有効にすることはできません
  • ユーザーの権利: 該当なし

ネットワーク構成オペレーター

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーには、ネットワーク機能の構成を管理できる権限が付与されます。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

パフォーマンス ログ ユーザー

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、パフォーマンス カウンターのログ記録をスケジュールし、トレース プロバイダーを有効にし、ローカルおよびコンピューターへのリモート アクセスを介してイベント トレースを収集できます。
  • ユーザーの直接権利:
    • バッチ ジョブとしてログオン
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

パフォーマンス モニター ユーザー

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、パフォーマンス カウンター データにローカルおよびリモートでアクセスできます。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

Windows 2000以前の互換アクセス

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループは、Windows 2000 Server より前のオペレーティング システムとの下位互換性のために存在し、メンバがドメイン内のユーザーおよびグループの情報を読み取る機能を提供します。
  • ユーザーの直接権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • スキャン検査のバイパス
  • 継承されたユーザー権利:
    • ドメインにワークステーションを追加
    • プロセス ワーキング セットの増加
  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、ドメイン プリンターを管理できます。
  • ユーザーの直接権利:
    • ローカルでのログオンを許可
    • デバイス ドライバーのロードとアンロード
    • システムのシャットダウン
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

RAS および IAS サーバー

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザー コンテナー、ドメイン ローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループ内のサーバーは、ドメイン内のユーザー アカウントのリモート アクセス プロパティを読み取ることができます。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

RDS エンドポイントサーバー

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのサーバーは、仮想マシンを実行し、ユーザー、RemoteAppプログラム、および個人用仮想デスクトップが実行されるセッションをホストします。 このグループは、リモート デスクトップ接続ブローカーを実行しているサーバーに設定する必要があります。 展開で使用される RD セッション ホスト サーバーと RD 仮想化ホスト サーバーは、このグループに含まれる必要があります。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加
  • : Windows Server 2012 以降。

RDS 管理サーバー

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループ内のサーバーは、リモート デスクトップ サービスを実行しているサーバーで日常的な管理アクションを実行できます。 このグループは、リモート デスクトップ サービス展開内のすべてのサーバーに設定する必要があります。 RDS Central Management サービスを実行しているサーバーをこのグループに含める必要があります。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加
  • : Windows Server 2012 以降。

RDSリモートアクセスサーバー

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのサーバーを使用すると、RemoteApp プログラムおよび個人用仮想デスクトップのユーザーは、これらのリソースにアクセスできます。 インターネットに接続する展開では、通常、これらのサーバーはエッジ ネットワークに展開されます。 このグループは、リモート デスクトップ接続ブローカーを実行しているサーバーに設定する必要があります。 展開で使用されている RD ゲートウェイ サーバーと RD Web アクセス サーバーは、このグループに含まれる必要があります。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加
  • : Windows Server 2012 以降。

Read-Only Domain Controllers

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザー コンテナー、グローバル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループには、ドメイン内のすべての読み取り専用ドメイン コントローラーが含まれます。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

リモート デスクトップ ユーザー

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーには、RDP を使用してリモートでログオンする権限が付与されます。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

リモート管理ユーザー

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、管理プロトコル (Windows リモート管理サービスを介した WS-Management など) を介して WMI リソースにアクセスできます。 これは、ユーザーへのアクセスを許可する WMI 名前空間にのみ適用されます。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加
  • : Windows Server 2012 以降。

Replicator

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: ドメインでのレガシ ファイル レプリケーションをサポートします。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

Schema Admins

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザー コンテナー、ユニバーサル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: スキーマ管理者は、Active Directory スキーマを変更できる唯一のユーザーであり、スキーマが書き込み対応である場合に限ります。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加
  • : フォレスト ルート ドメインにのみ存在します。

Server Operators

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、ドメイン コントローラーを管理できます。
  • ユーザーの直接権利:
    • ローカルでのログオンを許可
    • ファイルとディレクトリのバックアップ
    • システム時刻の変更
    • タイム ゾーンの変更
    • リモート コンピューターからの強制シャットダウン
    • ファイルとディレクトリの復元
    • システムのシャットダウン
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

ターミナル サーバー ライセンス サーバー

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、ユーザーごとの TS CAL の使用状況を追跡および報告する目的で、ライセンス発行に関する情報を使用して Active Directory のユーザー アカウントを更新できます
  • 規定のユーザー直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

ユーザー

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: ユーザーには、Active Directory 内の多くのオブジェクトと属性を読み取る権限がありますが、ほとんどを変更することはできません。 ユーザーはシステム全体で偶発的または意図的な変更を行うことができず、ほとんどのアプリケーションを実行できます。
  • ユーザーの直接権利:
    • プロセス ワーキング セットの増加
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス

Windows 認証アクセスグループ

  • デフォルトのコンテナ、グループスコープ、およびタイプ: 組み込みコンテナー、ドメインローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、User オブジェクトの計算された tokenGroupsGlobalAndUniversal 属性にアクセスできます
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加

WinRMRemoteWMIUsers_

  • デフォルトのコンテナ、グループスコープ、およびタイプ: ユーザー コンテナー、ドメイン ローカル セキュリティ グループ
  • 説明とデフォルトのユーザー権限: このグループのメンバーは、管理プロトコル (Windows リモート管理サービスを介した WS-Management など) を介して WMI リソースにアクセスできます。 これは、ユーザーへのアクセスを許可する WMI 名前空間にのみ適用されます。
  • ユーザーの直接権利: なし
  • 継承されたユーザー権利:
    • ネットワーク経由でこのコンピュータへアクセス
    • ドメインにワークステーションを追加
    • スキャン検査のバイパス
    • プロセス ワーキング セットの増加
  • : Windows Server 2012 以降。
  • Last updated on