デフォルトのローカルグループを知る【Windows OS】:Tech TIPS
Windows OSをインストールすると、いくつかのローカルグループが作成される。ローカルグループはセキュリティグループの1つであり、ローカルのリソースに対するアクセス権の設定などで利用される。一般的には、管理者はAdministratorsグループ、一般ユーザーはUsersグループに属するようにアカウントを作成、管理する。
対象OS:Windows 2000/Windows XP/Windows Server 2003
Windows OSの「グループ」は1種類ではない!?
Windows OSをインストールすると、デフォルトではいくつかのユーザーやグループのアカウントが作成される。グループとは、ユーザーアカウントや他のグループなどをまとめたものであり、厳密には「ローカルグループ」や「グローバルグループ」「配布グループ」「セキュリティグループ」といった種別や分類がある。本Tech TIPSでは、これらのうちローカルグループについて解説する。
ローカルグループとは?
ローカルグループは最も基本的なグループであり、Windows OSをインストールすると、各コンピュータ上に必ず作成されるものである。例えば、よく使われるAdministratorsやUsersグループはローカルグループの1つである。
スタンドアロンのコンピュータ(ドメインに属していないコンピュータ)では、このようなローカルグループだけが利用できる。これに対してグローバルグループや配布グループなどは、ドメインに参加している場合に利用できるグループであり、ドメインコントローラ上で作成、管理される。
ローカルグループは、コンピュータ上の各種リソースに対して、アクセス権などを設定するために利用されるセキュリティグループの1種である。ローカルのコンピュータ上に存在するリソースに対して、ローカルグループを使って制限を付けることにより、例えば、Windowsのシステムフォルダを不正なアクセスから保護したり、管理者以外がコンピュータの各種設定を変更したりしないようにできる。
例えば以下は、Windows XP Professional(SP2)における、Program Filesフォルダのセキュリティの設定例である。
ローカルグループを使ったセキュリティ設定の例
ローカルグループは、セキュリティグループの1つ。ローカルのリソースに対するセキュリティ設定(アクセス権の設定)で利用できる。これはアプリケーションがデフォルトでインストールされるProgram Filesフォルダに対するアクセス権設定における、ローカルグループの使用例。
(1)一般ユーザー(Usersグループ)に対しては、読み取りと実行のみを許可。新規インストールは禁止する。
(2)Power Users(Usersよりも制限が少ないが、Administratorグループよりも制限が強いグループ)に対しては、変更(一般的なプログラムのインストール)は可能。ただしPower Usersグループではサービスやデバイスのインストールなどはできない。
(3)管理者に対してはフルコントロールが許可されている。
管理者であるAdministratorsグループに対しては「フル コントロール」が許可されているが、Power Usersグループには少し制限のある「変更」が、一般のユーザーであるUsersグループには「読み取りと実行」のみが許可されている。
この結果、一般ユーザーでは、すでにインストール済みのプログラムの実行は可能であるが、新しいプログラムのインストールや削除は行えなくなる。
これは不正なプログラムのインストールなどを禁止するだけでなく、ウイルスなどが勝手にインストールされるのを防ぐために、有効なセキュリティ設定である。システムの安全性を考えると、日常業務ではこのUsersグループに属するアカウントで作業を行うべきである。
ローカルグループのスコープ
ローカルグループは、作成されたコンピュータ上でのみ有効なグループであり、他のコンピュータからは参照できない。そのため、他のコンピュータ上のリソースに対するアクセス権設定で利用することはできない。例えばコンピュータ「PC01」上のリソースに対して、別のコンピュータ「PC02」上のローカルグループ「GroupA(PC02\GroupA)」を使ってアクセス権を設定することはできない。
これに対してグローバルグループは、ドメインに参加しているコンピュータから利用できるグループであり、アクセス権設定で使用できる。例えば「PC01」上のリソースに対して、それらが属しているドメイン「DOM-B」上のグローバルグループ「GroupC(DOM-B\GroupC)」を使ってアクセス権を設定することは可能である。
デフォルトのローカルグループを確認する
デフォルトで作成されるローカルグループは、Windows OSのバージョンによって異なるが、[コンピュータの管理]ツールや「net localgroup」コマンドで確認できる。
例えば以下は、スタンドアロン構成のWindows XP Professional(SP2)におけるローカルグループの一覧であるが(インストールされているコンポーネントの状態によっては、他のグループが存在する場合もある)、Windows XP Home Editionでは「Administrators」「Guests」「HelpServicesGroup」「Users」の4つしか存在しないし、Windows Server 2003ではもっと多くのローカルグループが存在する。
C:\>net localgroup ……ローカルグループの一覧の表示コマンド
\\SYSLAB-PC0001 のエイリアス
---------------------------------------------
*Administrators
*Backup Operators
*Guests
*HelpServicesGroup
*Network Configuration Operators
*Power Users
*Remote Desktop Users
*Replicator
*Users
コマンドは正常に終了しました。
各ローカルグループに含まれているアカウントは、「net localgroup <グループ名>」コマンドで確認できる。
C:\>net localgroup Administrators ……ローカルグループのメンバーの表示
エイリアス名 Administrators ……グループ名
コメント コンピュータ/ドメインに完全なアクセス権があります。
↑……グループの説明
メンバ
------------------------------------------
Administrator ……グループのメンバー1
syslab ……グループのメンバー2
コマンドは正常に終了しました。
デフォルトのローカルグループの一覧
デフォルトで作成される主要なローカルグループには以下のようなものがある。ただしOSの種類によってはこの一部しか存在しないこともあるし、インストールされているサービスやアプリケーションによっては、他のローカルグループが作成されていることもある。
| グループ名 | 概要/用途 |
|---|---|
| Administrators | 管理者グループ。システムに対するフルコントロールの権限を持ち、システム全体の管理/設定変更、アカウントの管理、所有権やセキュリティ設定の変更、プログラムの追加やサービス/デバイスドライバの追加、システムのバックアップ、システムのシャットダウン、監査、プロセス関連のパラメータの設定(クォータの変更や優先度/リソースなどの変更)など、あらゆる作業が行える。ドメインに参加した場合は、Domain Adminsグループがこのグループに追加される |
| Backup Operators | ファイルのアクセス許可設定にかかわらず、システム上のファイルのバックアップとリストアが行える |
| DHCP Administrators | サーバにDHCPサーバサービスをインストールすると作成されるグループ。DHCPサービスに対する管理権限を持つ |
| DHCP Users | サーバにDHCPサーバサービスをインストールすると作成されるグループ。DHCPサービスに対する読み取りの権限を持ち、DHCPサーバの情報やプロパティ(DHCPによるIPアドレスのリース状態など)を読み取ることができる |
| Guests | ゲスト用のグループアカウント。このグループのメンバーの場合、ログオン時に一時的なプロファイルが作成され、ログオフ時にはそのプロファイルが削除される。Guestユーザーアカウントが属しているグループ |
| HelpServicesGroup | サポートアプリケーションやリモートアシスタントなどで利用するグループ |
| Network Configuration Operators | TCP/IPを始めとするネットワークの設定変更や、IPアドレスの更新などが行えるグループ |
| Performance Monitor Users | パフォーマンスモニタを利用できるグループ。このグループのメンバーは、AdministratorsグループやPerformance Log Usersグループのメンバーにならなくても、パフォーマンスモニタを利用できる |
| Performance Log Users | パフォーマンスモニタを利用してローカル、もしくはリモートから監視することのできるグループ |
| Power Users | Administratorsグループよりも制限があるが、Usersグループよりも制限の少ないグループ。ユーザーアカウントやローカルグループの作成や削除/変更(削除/変更できるのは自分で作成したものだけ)ができるし、Administratorsに準じる操作権限を持つが、所有権の取得やバックアップ/リストア、デバイスドライバやサービスの読み込みやアンロード、セキュリティと監査ログの管理は行えない |
| Print Operators | プリンタと印刷キューの管理ができるグループ |
| Remote Desktop Users | このコンピュータに対して、リモートデスクトップ/ターミナルサービスでリモートからログオンできるグループ |
| Replicator | ドメインコントローラがレプリケーション(複製)で使用するためのグループ |
| Terminal Server User | ターミナルサーバをアプリケーションサービスモードでインストールすると、ターミナルサーバを使ってシステムに現在ログオンしているすべてのユーザーが自動的にこのグループに所属する |
| Users | 一般的なユーザー向けのアカウント。すでにインストールされているアプリケーションを使うことはできるが、新たにインストールしたり、システムの設定を変更したり、アカウントを追加や削除したりすることはできない。また、他のユーザーのデータを変更することもできない。Windows XP Home Editionでは「制限付きユーザー」と表現されている |
| WINS Users | サーバにWINSサービスをインストールすると作成されるグループ。WINSサービスに対する読み取りの権限を持ち、WINSサーバの情報やプロパティ情報などを読み取ることができる |
| Windows OSで利用できる主要なローカルグループ Windows OSをインストールすると、デフォルトではこのようなローカルグループが各コンピュータ上に作成される。ただしOSの種類やバージョンにより、作成されるグループはこれとは異なることがある。 | |
■この記事と関連性の高い別の記事
- Administratorとは?(TIPS)
- 有効なファイルアクセス権を調査する(TIPS)
- caclsコマンドの出力の見方(TIPS)
- caclsコマンドでACLを編集する(TIPS)
- セキュリティ設定を記述するSDDL文字列とは?(TIPS)
- caclsコマンドでACLを編集する(SDDL編)(TIPS)
- オブジェクトを識別するSIDとは?(TIPS)
- caclsコマンドをバッチファイルで利用する(TIPS)
- ユーザー権利の設定を確認/変更する(TIPS)
- Windowsのグループアカウントの種類を知る(TIPS)
- Windows XPで変わったユーザー/コンピュータ/グループの選択方法(TIPS)
- 大量のユーザーアカウントを一括登録する(TIPS)
- Windowsのアクセス制御リストACLとは?(TIPS)
- リモートコンピュータの使用者を特定する(TIPS)
Copyright© Digital Advantage Corp. All Rights Reserved.