Windows TIPS
[Management]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

デフォルトのローカル・グループを知る

デジタルアドバンテージ 打越 浩幸
2006/04/15		  
対象OS
Windows 2000
Windows XP
Windows Server 2003
Windows OSをインストールすると、いくつかのローカル・グループが作成される。
ローカル・グループはセキュリティ・グループの1つであり、ローカルのリソースに対するアクセス権の設定などで利用される。
一般的には、管理者はAdministratorsグループ、一般ユーザーはUsersグループに属するようにアカウントを作成、管理する。
 
解説

ローカル・グループとは?

 Windows OSをインストールすると、デフォルトではいくつかのユーザーやグループのアカウントが作成される。グループとは、ユーザー・アカウントやほかのグループなどをまとめたものであり、厳密には「ローカル・グループ」や「グローバル・グループ」「配布グループ」「セキュリティ・グループ」といった種別や分類がある。本TIPSでは、これらのうちローカル・グループについて解説する。

 ローカル・グループは最も基本的なグループであり、Windows OSをインストールすると、各コンピュータ上に必ず作成されるものである。例えば、よく使われるAdministratorsやUsersグループはローカル・グループの1つである。スタンド・アロンのコンピュータ(ドメインに属していないコンピュータ)では、このようなローカル・グループだけが利用できる。これに対してグローバル・グループや配布グループなどは、ドメインに参加している場合に利用できるグループであり、ドメイン・コントローラ上で作成、管理される。

 ローカル・グループは、コンピュータ上の各種リソースに対して、アクセス権などを設定するために利用されるセキュリティ・グループの1種である。ローカルのコンピュータ上に存在するリソースに対して、ローカル・グループを使って制限を付けることにより、例えば、Windowsのシステム・フォルダを不正なアクセスから保護したり、管理者以外がコンピュータの各種設定を変更したりしないようにできる。

 例えば以下は、Windows XP Professional(SP2)における、Program Filesフォルダのセキュリティの設定例である。

ローカル・グループを使ったセキュリティ設定の例
ローカル・グループは、セキュリティ・グループの1つ。ローカルのリソースに対するセキュリティ設定(アクセス権の設定)で利用することができる。これはアプリケーションがデフォルトでインストールされるProgram Filesフォルダに対するアクセス権設定における、ローカル・グループの使用例。
  一般ユーザー(Usersグループ)に対しては、読み取りと実行のみを許可。新規インストールは禁止する。
  Power Users(Usersよりも制限が少ないが、Administratorグループよりも制限が強いグループ)に対しては、変更(一般的なプログラムのインストール)は可能。ただしPower Usersグループではサービスやデバイスのインストールなどはできない。
  管理者に対してはフル・コントロールが許可されている。

 管理者であるAdministratorsグループに対しては「フル コントロール」が許可されているが、Power Usersグループには少し制限のある「変更」が、一般のユーザーであるUsersグループには「読み取りと実行」のみが許可されている。この結果、一般ユーザーでは、すでにインストール済みのプログラムの実行は可能であるが、新しいプログラムのインストールや削除は行えなくなる。これは不正なプログラムのインストールなどを禁止するだけでなく、ウイルスなどが勝手にインストールされるのを防ぐために、有効なセキュリティ設定である。システムの安全性を考えると、日常業務ではこのUsersグループに属するアカウントで作業を行うべきである。

ローカル・グループのスコープ

 ローカル・グループは、作成されたコンピュータ上でのみ有効なグループであり、ほかのコンピュータからは参照できない。そのため、ほかのコンピュータ上のリソースに対するアクセス権設定で利用することはできない。例えばコンピュータ名PC01上のリソースに対して、PC02上のローカル・グループGroupA(PC02\GroupA)を使ってアクセス権を設定することはできない。

 これに対してグローバル・グループは、ドメインに参加しているコンピュータから利用できるグループであり、アクセス権設定で使用することができる。例えばPC01上のリソースに対して、それらが属しているドメインDOM-B上のグローバル・グループGroupC(DOM-B\GroupC)を使ってアクセス権を設定することは可能である。

デフォルトのローカル・グループを確認する

 デフォルトで作成されるローカル・グループは、Windows OSのバージョンによって異なるが、[コンピュータの管理]ツールや「net localgroup」コマンドで確認できる。

 例えば以下は、スタンド・アロン構成のWindows XP Professional(SP2)におけるローカル・グループの一覧であるが(インストールされているコンポーネントの状態によっては、ほかのグループが存在する場合もある)、Windows XP Home EditionではAdministrators/Guests/HelpServicesGroup/Usersの4つしか存在しないし、Windows Server 2003ではもっと多くのローカル・グループが存在する。

C:\>net localgroup …ローカル・グループの一覧の表示コマンド

\\SYSLAB-PC0001 のエイリアス

---------------------------------------------
*Administrators
*Backup Operators
*Guests
*HelpServicesGroup
*Network Configuration Operators
*Power Users
*Remote Desktop Users
*Replicator
*Users
コマンドは正常に終了しました。

 各ローカル・グループに含まれているアカウントは、「net localgroup グループ名」コマンドで確認できる。

C:\>net localgroup Administrators …ローカル・グループのメンバーの表示
エイリアス名     Administrators …グループ名
コメント         コンピュータ/ドメインに完全なアクセス権があります。
         ↑…グループの説明
メンバ

------------------------------------------
Administrator …グループのメンバー1
syslab …グループのメンバー2
コマンドは正常に終了しました。

デフォルトのローカル・グループの一覧

 デフォルトで作成される主要なローカル・グループには以下のようなものがある。ただしOSの種類によってはこの一部しか存在しないこともあるし、インストールされているサービスやアプリケーションによっては、ほかのローカル・グループが作成されていることもある。End of Article

グループ名 概要/用途
Administrators 管理者グループ。システムに対するフル・コントロールの権限を持ち、システム全体の管理/設定変更、アカウントの管理、所有権やセキュリティ設定の変更、プログラムの追加やサービス/デバイス・ドライバの追加、システムのバックアップ、システムのシャットダウン、監査、プロセス関連のパラメータの設定(クォータの変更や優先度/リソースなどの変更)など、あらゆる作業が行える。ドメインに参加した場合は、Domain Adminsグループがこのグループに追加される
Backup Operators ファイルのアクセス許可設定にかかわらず、システム上のファイルのバックアップとリストアが行える
DHCP Administrators サーバにDHCPサーバ・サービスをインストールすると作成されるグループ。DHCPサービスに対する管理権限を持つ
DHCP Users サーバにDHCPサーバ・サービスをインストールすると作成されるグループ。DHCPサービスに対する読み取りの権限を持ち、DHCPサーバの情報やプロパティ(DHCPによるIPアドレスのリース状態など)を読み取ることができる
Guests ゲスト用のグループ・アカウント。このグループのメンバーの場合、ログオン時に一時的なプロファイルが作成され、ログオフ時にはそのプロファイルが削除される。Guestユーザー・アカウントが属しているグループ
HelpServicesGroup サポート・アプリケーションやリモート・アシスタントなどで利用するグループ
Network Configuration Operators TCP/IPを始めとするネットワークの設定変更や、IPアドレスの更新などが行えるグループ
Performance Monitor Users パフォーマンス・モニタを利用できるグループ。このグループのメンバーは、AdministratorsグループやPerformance Log Usersグループのメンバーにならなくても、パフォーマンス・モニタを利用できる
Performance Log Users パフォーマンス・モニタを利用してローカル、もしくはリモートから監視することのできるグループ
Power Users Administratorsグループよりも制限があるが、Usersグループよりも制限の少ないグループ。ユーザー・アカウントやローカル・グループの作成や削除/変更(削除/変更できるのは自分で作成したものだけ)ができるし、Administratorsに準じる操作権限を持つが、所有権の取得やバックアップ/リストア、デバイス・ドライバやサービスの読み込みやアンロード、セキュリティと監査ログの管理は行えない
Print Operators プリンタと印刷キューの管理ができるグループ
Remote Desktop Users このコンピュータに対して、リモートデスクトップ/ターミナル・サービスでリモートからログオンすることができるグループ
Replicator ドメイン・コントローラがレプリケーション(複製)で使用するためのグループ
Terminal Server User ターミナル・サーバをアプリケーション・サービス・モードでインストールすると、ターミナル・サーバを使ってシステムに現在ログオンしているすべてのユーザーが自動的にこのグループに所属する
Users 一般的なユーザー向けのアカウント。すでにインストールされているアプリケーションを使うことはできるが、新たにインストールしたり、システムの設定を変更したり、アカウントを追加や削除したりすることはできない。また、ほかのユーザーのデータを変更することもできない。Windows XP Home Editionでは「制限付きユーザー」と表現されている
WINS Users サーバにWINSサービスをインストールすると作成されるグループ。WINSサービスに対する読み取りの権限を持ち、WINSサーバの情報やプロパティ情報などを読み取ることができる
Windows OSで利用できる主要なローカル・グループ
Windows OSをインストールすると、デフォルトではこのようなローカル・グループが各コンピュータ上に作成される。ただしOSの種類やバージョンにより、作成されるグループはこれとは異なることがある。

関連記事(Windows Server Insider)
Windows TIPS:Administratorとは?
Windows TIPS:アクセス制御リストACLとは?
Windows TIPS:有効なファイル・アクセス権を調査する
Windows TIPS:caclsコマンドの出力の見方
Windows TIPS:caclsコマンドでACLを編集する
Windows TIPS:セキュリティ設定を記述するSDDL文字列とは?
Windows TIPS:caclsコマンドでACLを編集する(SDDL編)
Windows TIPS:オブジェクトを識別するSIDとは?
Windows TIPS:caclsコマンドをバッチ・ファイルで利用する
Windows TIPS:ユーザー権利の設定を確認/変更する
 
この記事と関連性の高い別の記事

このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。

generated byJigsaw
「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT