Windows TIPS

［Management］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ デフォルトのローカル・グループを知る デジタルアドバンテージ　打越 浩幸 2006/04/15 　 対象OS Windows 2000 Windows XP Windows Server 2003

■ Windows OSをインストールすると、いくつかのローカル・グループが作成される。 ■ ローカル・グループはセキュリティ・グループの1つであり、ローカルのリソースに対するアクセス権の設定などで利用される。 ■ 一般的には、管理者はAdministratorsグループ、一般ユーザーはUsersグループに属するようにアカウントを作成、管理する。

　

解説

ローカル・グループとは？

　Windows OSをインストールすると、デフォルトではいくつかのユーザーやグループのアカウントが作成される。グループとは、ユーザー・アカウントやほかのグループなどをまとめたものであり、厳密には「ローカル・グループ」や「グローバル・グループ」「配布グループ」「セキュリティ・グループ」といった種別や分類がある。本TIPSでは、これらのうちローカル・グループについて解説する。

　ローカル・グループは最も基本的なグループであり、Windows OSをインストールすると、各コンピュータ上に必ず作成されるものである。例えば、よく使われるAdministratorsやUsersグループはローカル・グループの1つである。スタンド・アロンのコンピュータ（ドメインに属していないコンピュータ）では、このようなローカル・グループだけが利用できる。これに対してグローバル・グループや配布グループなどは、ドメインに参加している場合に利用できるグループであり、ドメイン・コントローラ上で作成、管理される。

　ローカル・グループは、コンピュータ上の各種リソースに対して、アクセス権などを設定するために利用されるセキュリティ・グループの1種である。ローカルのコンピュータ上に存在するリソースに対して、ローカル・グループを使って制限を付けることにより、例えば、Windowsのシステム・フォルダを不正なアクセスから保護したり、管理者以外がコンピュータの各種設定を変更したりしないようにできる。

　例えば以下は、Windows XP Professional（SP2）における、Program Filesフォルダのセキュリティの設定例である。

ローカル・グループを使ったセキュリティ設定の例

ローカル・グループは、セキュリティ・グループの1つ。ローカルのリソースに対するセキュリティ設定（アクセス権の設定）で利用することができる。これはアプリケーションがデフォルトでインストールされるProgram Filesフォルダに対するアクセス権設定における、ローカル・グループの使用例。

一般ユーザー（Usersグループ）に対しては、読み取りと実行のみを許可。新規インストールは禁止する。 　 Power Users（Usersよりも制限が少ないが、Administratorグループよりも制限が強いグループ）に対しては、変更（一般的なプログラムのインストール）は可能。ただしPower Usersグループではサービスやデバイスのインストールなどはできない。 　 管理者に対してはフル・コントロールが許可されている。

　管理者であるAdministratorsグループに対しては「フル コントロール」が許可されているが、Power Usersグループには少し制限のある「変更」が、一般のユーザーであるUsersグループには「読み取りと実行」のみが許可されている。この結果、一般ユーザーでは、すでにインストール済みのプログラムの実行は可能であるが、新しいプログラムのインストールや削除は行えなくなる。これは不正なプログラムのインストールなどを禁止するだけでなく、ウイルスなどが勝手にインストールされるのを防ぐために、有効なセキュリティ設定である。システムの安全性を考えると、日常業務ではこのUsersグループに属するアカウントで作業を行うべきである。

ローカル・グループのスコープ

　ローカル・グループは、作成されたコンピュータ上でのみ有効なグループであり、ほかのコンピュータからは参照できない。そのため、ほかのコンピュータ上のリソースに対するアクセス権設定で利用することはできない。例えばコンピュータ名PC01上のリソースに対して、PC02上のローカル・グループGroupA（PC02\GroupA）を使ってアクセス権を設定することはできない。

　これに対してグローバル・グループは、ドメインに参加しているコンピュータから利用できるグループであり、アクセス権設定で使用することができる。例えばPC01上のリソースに対して、それらが属しているドメインDOM-B上のグローバル・グループGroupC（DOM-B\GroupC）を使ってアクセス権を設定することは可能である。

デフォルトのローカル・グループを確認する

　デフォルトで作成されるローカル・グループは、Windows OSのバージョンによって異なるが、［コンピュータの管理］ツールや「net localgroup」コマンドで確認できる。

　例えば以下は、スタンド・アロン構成のWindows XP Professional（SP2）におけるローカル・グループの一覧であるが（インストールされているコンポーネントの状態によっては、ほかのグループが存在する場合もある）、Windows XP Home EditionではAdministrators／Guests／HelpServicesGroup／Usersの4つしか存在しないし、Windows Server 2003ではもっと多くのローカル・グループが存在する。

C:\>net localgroup …ローカル・グループの一覧の表示コマンド \\SYSLAB-PC0001 のエイリアス --------------------------------------------- *Administrators *Backup Operators *Guests *HelpServicesGroup *Network Configuration Operators *Power Users *Remote Desktop Users *Replicator *Users コマンドは正常に終了しました。

　各ローカル・グループに含まれているアカウントは、「net localgroup グループ名」コマンドで確認できる。

C:\>net localgroup Administrators …ローカル・グループのメンバーの表示 エイリアス名     Administrators …グループ名 コメント         コンピュータ/ドメインに完全なアクセス権があります。 　　　　　　　　　↑…グループの説明 メンバ ------------------------------------------ Administrator …グループのメンバー1 syslab …グループのメンバー2 コマンドは正常に終了しました。

デフォルトのローカル・グループの一覧

　デフォルトで作成される主要なローカル・グループには以下のようなものがある。ただしOSの種類によってはこの一部しか存在しないこともあるし、インストールされているサービスやアプリケーションによっては、ほかのローカル・グループが作成されていることもある。

グループ名	概要／用途
Administrators	管理者グループ。システムに対するフル・コントロールの権限を持ち、システム全体の管理／設定変更、アカウントの管理、所有権やセキュリティ設定の変更、プログラムの追加やサービス／デバイス・ドライバの追加、システムのバックアップ、システムのシャットダウン、監査、プロセス関連のパラメータの設定（クォータの変更や優先度／リソースなどの変更）など、あらゆる作業が行える。ドメインに参加した場合は、Domain Adminsグループがこのグループに追加される
Backup Operators	ファイルのアクセス許可設定にかかわらず、システム上のファイルのバックアップとリストアが行える
DHCP Administrators	サーバにDHCPサーバ・サービスをインストールすると作成されるグループ。DHCPサービスに対する管理権限を持つ
DHCP Users	サーバにDHCPサーバ・サービスをインストールすると作成されるグループ。DHCPサービスに対する読み取りの権限を持ち、DHCPサーバの情報やプロパティ（DHCPによるIPアドレスのリース状態など）を読み取ることができる
Guests	ゲスト用のグループ・アカウント。このグループのメンバーの場合、ログオン時に一時的なプロファイルが作成され、ログオフ時にはそのプロファイルが削除される。Guestユーザー・アカウントが属しているグループ
HelpServicesGroup	サポート・アプリケーションやリモート・アシスタントなどで利用するグループ
Network Configuration Operators	TCP/IPを始めとするネットワークの設定変更や、IPアドレスの更新などが行えるグループ
Performance Monitor Users	パフォーマンス・モニタを利用できるグループ。このグループのメンバーは、AdministratorsグループやPerformance Log Usersグループのメンバーにならなくても、パフォーマンス・モニタを利用できる
Performance Log Users	パフォーマンス・モニタを利用してローカル、もしくはリモートから監視することのできるグループ
Power Users	Administratorsグループよりも制限があるが、Usersグループよりも制限の少ないグループ。ユーザー・アカウントやローカル・グループの作成や削除／変更（削除／変更できるのは自分で作成したものだけ）ができるし、Administratorsに準じる操作権限を持つが、所有権の取得やバックアップ／リストア、デバイス・ドライバやサービスの読み込みやアンロード、セキュリティと監査ログの管理は行えない
Print Operators	プリンタと印刷キューの管理ができるグループ
Remote Desktop Users	このコンピュータに対して、リモートデスクトップ／ターミナル・サービスでリモートからログオンすることができるグループ
Replicator	ドメイン・コントローラがレプリケーション（複製）で使用するためのグループ
Terminal Server User	ターミナル・サーバをアプリケーション・サービス・モードでインストールすると、ターミナル・サーバを使ってシステムに現在ログオンしているすべてのユーザーが自動的にこのグループに所属する
Users	一般的なユーザー向けのアカウント。すでにインストールされているアプリケーションを使うことはできるが、新たにインストールしたり、システムの設定を変更したり、アカウントを追加や削除したりすることはできない。また、ほかのユーザーのデータを変更することもできない。Windows XP Home Editionでは「制限付きユーザー」と表現されている
WINS Users	サーバにWINSサービスをインストールすると作成されるグループ。WINSサービスに対する読み取りの権限を持ち、WINSサーバの情報やプロパティ情報などを読み取ることができる
Windows OSで利用できる主要なローカル・グループ
Windows OSをインストールすると、デフォルトではこのようなローカル・グループが各コンピュータ上に作成される。ただしOSの種類やバージョンにより、作成されるグループはこれとは異なることがある。

	関連記事（Windows Server Insider）
		Windows TIPS：Administratorとは？
		Windows TIPS：アクセス制御リストACLとは？
		Windows TIPS：有効なファイル・アクセス権を調査する
		Windows TIPS：caclsコマンドの出力の見方
		Windows TIPS：caclsコマンドでACLを編集する
		Windows TIPS：セキュリティ設定を記述するSDDL文字列とは？
		Windows TIPS：caclsコマンドでACLを編集する（SDDL編）
		Windows TIPS：オブジェクトを識別するSIDとは？
		Windows TIPS：caclsコマンドをバッチ・ファイルで利用する
		Windows TIPS：ユーザー権利の設定を確認／変更する

この記事と関連性の高い別のWindows TIPS グループ・アカウントの種類を知る Windows XPで変わったユーザー／コンピュータ／グループの選択方法 大量のユーザー・アカウントを一括登録する - ＠IT リモート・コンピュータの使用者を特定する Administratorとは？ このリストは、（株）デジタルアドバンテージが開発した 自動関連記事探索システム Jigsaw（ジグソー） により自動抽出したものです。 generated by

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）