[Management] | ||||||||||||
デフォルトのローカル・グループを知る
|
||||||||||||
|
解説 |
ローカル・グループとは?
Windows OSをインストールすると、デフォルトではいくつかのユーザーやグループのアカウントが作成される。グループとは、ユーザー・アカウントやほかのグループなどをまとめたものであり、厳密には「ローカル・グループ」や「グローバル・グループ」「配布グループ」「セキュリティ・グループ」といった種別や分類がある。本TIPSでは、これらのうちローカル・グループについて解説する。
ローカル・グループは最も基本的なグループであり、Windows OSをインストールすると、各コンピュータ上に必ず作成されるものである。例えば、よく使われるAdministratorsやUsersグループはローカル・グループの1つである。スタンド・アロンのコンピュータ(ドメインに属していないコンピュータ)では、このようなローカル・グループだけが利用できる。これに対してグローバル・グループや配布グループなどは、ドメインに参加している場合に利用できるグループであり、ドメイン・コントローラ上で作成、管理される。
ローカル・グループは、コンピュータ上の各種リソースに対して、アクセス権などを設定するために利用されるセキュリティ・グループの1種である。ローカルのコンピュータ上に存在するリソースに対して、ローカル・グループを使って制限を付けることにより、例えば、Windowsのシステム・フォルダを不正なアクセスから保護したり、管理者以外がコンピュータの各種設定を変更したりしないようにできる。
例えば以下は、Windows XP Professional(SP2)における、Program Filesフォルダのセキュリティの設定例である。
管理者であるAdministratorsグループに対しては「フル コントロール」が許可されているが、Power Usersグループには少し制限のある「変更」が、一般のユーザーであるUsersグループには「読み取りと実行」のみが許可されている。この結果、一般ユーザーでは、すでにインストール済みのプログラムの実行は可能であるが、新しいプログラムのインストールや削除は行えなくなる。これは不正なプログラムのインストールなどを禁止するだけでなく、ウイルスなどが勝手にインストールされるのを防ぐために、有効なセキュリティ設定である。システムの安全性を考えると、日常業務ではこのUsersグループに属するアカウントで作業を行うべきである。
ローカル・グループのスコープ
ローカル・グループは、作成されたコンピュータ上でのみ有効なグループであり、ほかのコンピュータからは参照できない。そのため、ほかのコンピュータ上のリソースに対するアクセス権設定で利用することはできない。例えばコンピュータ名PC01上のリソースに対して、PC02上のローカル・グループGroupA(PC02\GroupA)を使ってアクセス権を設定することはできない。
これに対してグローバル・グループは、ドメインに参加しているコンピュータから利用できるグループであり、アクセス権設定で使用することができる。例えばPC01上のリソースに対して、それらが属しているドメインDOM-B上のグローバル・グループGroupC(DOM-B\GroupC)を使ってアクセス権を設定することは可能である。
デフォルトのローカル・グループを確認する
デフォルトで作成されるローカル・グループは、Windows OSのバージョンによって異なるが、[コンピュータの管理]ツールや「net localgroup」コマンドで確認できる。
例えば以下は、スタンド・アロン構成のWindows XP Professional(SP2)におけるローカル・グループの一覧であるが(インストールされているコンポーネントの状態によっては、ほかのグループが存在する場合もある)、Windows XP Home EditionではAdministrators/Guests/HelpServicesGroup/Usersの4つしか存在しないし、Windows Server 2003ではもっと多くのローカル・グループが存在する。
C:\>net localgroup …ローカル・グループの一覧の表示コマンド |
各ローカル・グループに含まれているアカウントは、「net localgroup グループ名」コマンドで確認できる。
C:\>net localgroup Administrators …ローカル・グループのメンバーの表示 |
デフォルトのローカル・グループの一覧
デフォルトで作成される主要なローカル・グループには以下のようなものがある。ただしOSの種類によってはこの一部しか存在しないこともあるし、インストールされているサービスやアプリケーションによっては、ほかのローカル・グループが作成されていることもある。
グループ名 | 概要/用途 |
Administrators | 管理者グループ。システムに対するフル・コントロールの権限を持ち、システム全体の管理/設定変更、アカウントの管理、所有権やセキュリティ設定の変更、プログラムの追加やサービス/デバイス・ドライバの追加、システムのバックアップ、システムのシャットダウン、監査、プロセス関連のパラメータの設定(クォータの変更や優先度/リソースなどの変更)など、あらゆる作業が行える。ドメインに参加した場合は、Domain Adminsグループがこのグループに追加される |
Backup Operators | ファイルのアクセス許可設定にかかわらず、システム上のファイルのバックアップとリストアが行える |
DHCP Administrators | サーバにDHCPサーバ・サービスをインストールすると作成されるグループ。DHCPサービスに対する管理権限を持つ |
DHCP Users | サーバにDHCPサーバ・サービスをインストールすると作成されるグループ。DHCPサービスに対する読み取りの権限を持ち、DHCPサーバの情報やプロパティ(DHCPによるIPアドレスのリース状態など)を読み取ることができる |
Guests | ゲスト用のグループ・アカウント。このグループのメンバーの場合、ログオン時に一時的なプロファイルが作成され、ログオフ時にはそのプロファイルが削除される。Guestユーザー・アカウントが属しているグループ |
HelpServicesGroup | サポート・アプリケーションやリモート・アシスタントなどで利用するグループ |
Network Configuration Operators | TCP/IPを始めとするネットワークの設定変更や、IPアドレスの更新などが行えるグループ |
Performance Monitor Users | パフォーマンス・モニタを利用できるグループ。このグループのメンバーは、AdministratorsグループやPerformance Log Usersグループのメンバーにならなくても、パフォーマンス・モニタを利用できる |
Performance Log Users | パフォーマンス・モニタを利用してローカル、もしくはリモートから監視することのできるグループ |
Power Users | Administratorsグループよりも制限があるが、Usersグループよりも制限の少ないグループ。ユーザー・アカウントやローカル・グループの作成や削除/変更(削除/変更できるのは自分で作成したものだけ)ができるし、Administratorsに準じる操作権限を持つが、所有権の取得やバックアップ/リストア、デバイス・ドライバやサービスの読み込みやアンロード、セキュリティと監査ログの管理は行えない |
Print Operators | プリンタと印刷キューの管理ができるグループ |
Remote Desktop Users | このコンピュータに対して、リモートデスクトップ/ターミナル・サービスでリモートからログオンすることができるグループ |
Replicator | ドメイン・コントローラがレプリケーション(複製)で使用するためのグループ |
Terminal Server User | ターミナル・サーバをアプリケーション・サービス・モードでインストールすると、ターミナル・サーバを使ってシステムに現在ログオンしているすべてのユーザーが自動的にこのグループに所属する |
Users | 一般的なユーザー向けのアカウント。すでにインストールされているアプリケーションを使うことはできるが、新たにインストールしたり、システムの設定を変更したり、アカウントを追加や削除したりすることはできない。また、ほかのユーザーのデータを変更することもできない。Windows XP Home Editionでは「制限付きユーザー」と表現されている |
WINS Users | サーバにWINSサービスをインストールすると作成されるグループ。WINSサービスに対する読み取りの権限を持ち、WINSサーバの情報やプロパティ情報などを読み取ることができる |
![]() |
|
Windows OSで利用できる主要なローカル・グループ | |
Windows OSをインストールすると、デフォルトではこのようなローカル・グループが各コンピュータ上に作成される。ただしOSの種類やバージョンにより、作成されるグループはこれとは異なることがある。 |
関連記事(Windows Server Insider) | ||
![]() |
Windows TIPS:Administratorとは? | |
![]() |
Windows TIPS:アクセス制御リストACLとは? | |
![]() |
Windows TIPS:有効なファイル・アクセス権を調査する | |
![]() |
Windows TIPS:caclsコマンドの出力の見方 | |
![]() |
Windows TIPS:caclsコマンドでACLを編集する | |
![]() |
Windows TIPS:セキュリティ設定を記述するSDDL文字列とは? | |
![]() |
Windows TIPS:caclsコマンドでACLを編集する(SDDL編) | |
![]() |
Windows TIPS:オブジェクトを識別するSIDとは? | |
![]() |
Windows TIPS:caclsコマンドをバッチ・ファイルで利用する | |
![]() |
Windows TIPS:ユーザー権利の設定を確認/変更する | |
この記事と関連性の高い別の記事
- Windowsのグループアカウントの種類を知る(TIPS)
- Windows XPで変わったユーザー/コンピュータ/グループの選択方法(TIPS)
- 大量のユーザー・アカウントを一括登録する(TIPS)
- Windowsのアクセス制御リストACLとは?(TIPS)
- リモート・コンピュータの使用者を特定する(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。

![]() |
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
![]() |
|
|
|
![]() |