デフォルトのローカルグループを知る【Windows OS】Tech TIPS

Windows OSをインストールすると、いくつかのローカルグループが作成される。ローカルグループはセキュリティグループの1つであり、ローカルのリソースに対するアクセス権の設定などで利用される。一般的には、管理者はAdministratorsグループ、一般ユーザーはUsersグループに属するようにアカウントを作成、管理する。

» 2006年04月15日 05時00分 公開
[打越浩幸デジタルアドバンテージ]
「Tech TIPS」のインデックス

連載目次

デフォルトのローカルグループを知る(Windows OS)

対象OS:Windows 2000/Windows XP/Windows Server 2003


Windows OSの「グループ」は1種類ではない!?

 Windows OSをインストールすると、デフォルトではいくつかのユーザーやグループのアカウントが作成される。グループとは、ユーザーアカウントや他のグループなどをまとめたものであり、厳密には「ローカルグループ」や「グローバルグループ」「配布グループ」「セキュリティグループ」といった種別や分類がある。本Tech TIPSでは、これらのうちローカルグループについて解説する。

ローカルグループとは?

 ローカルグループは最も基本的なグループであり、Windows OSをインストールすると、各コンピュータ上に必ず作成されるものである。例えば、よく使われるAdministratorsやUsersグループはローカルグループの1つである。

 スタンドアロンのコンピュータ(ドメインに属していないコンピュータ)では、このようなローカルグループだけが利用できる。これに対してグローバルグループや配布グループなどは、ドメインに参加している場合に利用できるグループであり、ドメインコントローラ上で作成、管理される。

 ローカルグループは、コンピュータ上の各種リソースに対して、アクセス権などを設定するために利用されるセキュリティグループの1種である。ローカルのコンピュータ上に存在するリソースに対して、ローカルグループを使って制限を付けることにより、例えば、Windowsのシステムフォルダを不正なアクセスから保護したり、管理者以外がコンピュータの各種設定を変更したりしないようにできる。

 例えば以下は、Windows XP Professional(SP2)における、Program Filesフォルダのセキュリティの設定例である。

ローカルグループを使ったセキュリティ設定の例 ローカルグループを使ったセキュリティ設定の例
ローカルグループは、セキュリティグループの1つ。ローカルのリソースに対するセキュリティ設定(アクセス権の設定)で利用できる。これはアプリケーションがデフォルトでインストールされるProgram Filesフォルダに対するアクセス権設定における、ローカルグループの使用例。
  (1)一般ユーザー(Usersグループ)に対しては、読み取りと実行のみを許可。新規インストールは禁止する。
  (2)Power Users(Usersよりも制限が少ないが、Administratorグループよりも制限が強いグループ)に対しては、変更(一般的なプログラムのインストール)は可能。ただしPower Usersグループではサービスやデバイスのインストールなどはできない。
  (3)管理者に対してはフルコントロールが許可されている。

 管理者であるAdministratorsグループに対しては「フル コントロール」が許可されているが、Power Usersグループには少し制限のある「変更」が、一般のユーザーであるUsersグループには「読み取りと実行」のみが許可されている。

 この結果、一般ユーザーでは、すでにインストール済みのプログラムの実行は可能であるが、新しいプログラムのインストールや削除は行えなくなる。

 これは不正なプログラムのインストールなどを禁止するだけでなく、ウイルスなどが勝手にインストールされるのを防ぐために、有効なセキュリティ設定である。システムの安全性を考えると、日常業務ではこのUsersグループに属するアカウントで作業を行うべきである。

ローカルグループのスコープ

 ローカルグループは、作成されたコンピュータ上でのみ有効なグループであり、他のコンピュータからは参照できない。そのため、他のコンピュータ上のリソースに対するアクセス権設定で利用することはできない。例えばコンピュータ「PC01」上のリソースに対して、別のコンピュータ「PC02」上のローカルグループ「GroupA(PC02\GroupA)」を使ってアクセス権を設定することはできない。

 これに対してグローバルグループは、ドメインに参加しているコンピュータから利用できるグループであり、アクセス権設定で使用できる。例えば「PC01」上のリソースに対して、それらが属しているドメイン「DOM-B」上のグローバルグループ「GroupC(DOM-B\GroupC)」を使ってアクセス権を設定することは可能である。

デフォルトのローカルグループを確認する

 デフォルトで作成されるローカルグループは、Windows OSのバージョンによって異なるが、[コンピュータの管理]ツールや「net localgroup」コマンドで確認できる。

 例えば以下は、スタンドアロン構成のWindows XP Professional(SP2)におけるローカルグループの一覧であるが(インストールされているコンポーネントの状態によっては、他のグループが存在する場合もある)、Windows XP Home Editionでは「Administrators」「Guests」「HelpServicesGroup」「Users」の4つしか存在しないし、Windows Server 2003ではもっと多くのローカルグループが存在する。

C:\>net localgroup ……ローカルグループの一覧の表示コマンド

\\SYSLAB-PC0001 のエイリアス

---------------------------------------------
*Administrators
*Backup Operators
*Guests
*HelpServicesGroup
*Network Configuration Operators
*Power Users
*Remote Desktop Users
*Replicator
*Users
コマンドは正常に終了しました。



 各ローカルグループに含まれているアカウントは、「net localgroup <グループ名>」コマンドで確認できる。

C:\>net localgroup Administrators ……ローカルグループのメンバーの表示
エイリアス名     Administrators ……グループ名
コメント         コンピュータ/ドメインに完全なアクセス権があります。
         ↑……グループの説明
メンバ

------------------------------------------
Administrator ……グループのメンバー1
syslab ……グループのメンバー2
コマンドは正常に終了しました。



デフォルトのローカルグループの一覧

 デフォルトで作成される主要なローカルグループには以下のようなものがある。ただしOSの種類によってはこの一部しか存在しないこともあるし、インストールされているサービスやアプリケーションによっては、他のローカルグループが作成されていることもある。

グループ名 概要/用途
Administrators 管理者グループ。システムに対するフルコントロールの権限を持ち、システム全体の管理/設定変更、アカウントの管理、所有権やセキュリティ設定の変更、プログラムの追加やサービス/デバイスドライバの追加、システムのバックアップ、システムのシャットダウン、監査、プロセス関連のパラメータの設定(クォータの変更や優先度/リソースなどの変更)など、あらゆる作業が行える。ドメインに参加した場合は、Domain Adminsグループがこのグループに追加される
Backup Operators ファイルのアクセス許可設定にかかわらず、システム上のファイルのバックアップとリストアが行える
DHCP Administrators サーバにDHCPサーバサービスをインストールすると作成されるグループ。DHCPサービスに対する管理権限を持つ
DHCP Users サーバにDHCPサーバサービスをインストールすると作成されるグループ。DHCPサービスに対する読み取りの権限を持ち、DHCPサーバの情報やプロパティ(DHCPによるIPアドレスのリース状態など)を読み取ることができる
Guests ゲスト用のグループアカウント。このグループのメンバーの場合、ログオン時に一時的なプロファイルが作成され、ログオフ時にはそのプロファイルが削除される。Guestユーザーアカウントが属しているグループ
HelpServicesGroup サポートアプリケーションやリモートアシスタントなどで利用するグループ
Network Configuration Operators TCP/IPを始めとするネットワークの設定変更や、IPアドレスの更新などが行えるグループ
Performance Monitor Users パフォーマンスモニタを利用できるグループ。このグループのメンバーは、AdministratorsグループやPerformance Log Usersグループのメンバーにならなくても、パフォーマンスモニタを利用できる
Performance Log Users パフォーマンスモニタを利用してローカル、もしくはリモートから監視することのできるグループ
Power Users Administratorsグループよりも制限があるが、Usersグループよりも制限の少ないグループ。ユーザーアカウントやローカルグループの作成や削除/変更(削除/変更できるのは自分で作成したものだけ)ができるし、Administratorsに準じる操作権限を持つが、所有権の取得やバックアップ/リストア、デバイスドライバやサービスの読み込みやアンロード、セキュリティと監査ログの管理は行えない
Print Operators プリンタと印刷キューの管理ができるグループ
Remote Desktop Users このコンピュータに対して、リモートデスクトップ/ターミナルサービスでリモートからログオンできるグループ
Replicator ドメインコントローラがレプリケーション(複製)で使用するためのグループ
Terminal Server User ターミナルサーバをアプリケーションサービスモードでインストールすると、ターミナルサーバを使ってシステムに現在ログオンしているすべてのユーザーが自動的にこのグループに所属する
Users 一般的なユーザー向けのアカウント。すでにインストールされているアプリケーションを使うことはできるが、新たにインストールしたり、システムの設定を変更したり、アカウントを追加や削除したりすることはできない。また、他のユーザーのデータを変更することもできない。Windows XP Home Editionでは「制限付きユーザー」と表現されている
WINS Users サーバにWINSサービスをインストールすると作成されるグループ。WINSサービスに対する読み取りの権限を持ち、WINSサーバの情報やプロパティ情報などを読み取ることができる
Windows OSで利用できる主要なローカルグループ
Windows OSをインストールすると、デフォルトではこのようなローカルグループが各コンピュータ上に作成される。ただしOSの種類やバージョンにより、作成されるグループはこれとは異なることがある。

「Tech TIPS」のインデックス

Tech TIPS

Copyright© Digital Advantage Corp. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。