WINDOWSトラブル駆け込み１１０番-WINDOWS管理者について-ページ１

WINDOWSトラブル駆け込み１１０番

WINDOWS管理

WINDOWS管理

▼既定のグループについて

Domain Admins グループなどの既定グループは、Active Directory ドメインを作成したときに自動的に作成されるセキュリティグループです。

これらの定義済みのグループは、共有リソースへのアクセスを制御するためや、ドメイン単位の管理上の役割を委任するために利用できます。

既定グループの多くには、1 組のユーザーの権利が自動的に割り当てられます。これらの権利は、そのグループのメンバに対して、ローカルシステムへのログオンやファイルとディレクトリのバックアップ作成など、ドメイン内で特定の操作を行うことを承認します。

たとえば、Backup Operators グループのメンバは、ドメイン内のすべてのドメインコントローラに対してバックアップ操作を実行する権利を持ちます。

グループに追加されたユーザーは、そのグループに割り当てられているすべてのユーザー権利と、共有リソースに関してそのグループに割り当てられているすべてのアクセス許可を受け取ります。

グループを管理するには、Active Directory ユーザーとコンピュータを使用します。

既定グループは、Builtin コンテナと Users コンテナに置かれます。

Builtin コンテナには、ドメインローカルスコープで定義されたグループが格納されます。

Users コンテナには、グローバルスコープで定義されたグループと、ドメインローカルスコープで定義されたグループが格納されます。

これらのコンテナに置かれているグループは、ドメイン内の他のグループまたは組織単位 (OU) に移動できますが、他のドメインには移動できません。

セキュリティの観点から、広範な管理アクセス権を持つ既定グループのメンバは、別のユーザーとして実行を使用して管理タスクを実行することをお勧めします。

　　　　　　　　　　　　　　Builtin コンテナ内のグループ

グループ説明既定のユーザー権利

Account Operators このグループのメンバは、ドメイン内の組織単位 (OU)、Users コンテナ、または Computers コンテナに置かれる、ユーザー、グループ、およびコンピュータのアカウントを作成、変更、または削除できます。ただし、ドメインコントローラの組織単位 (OU) は除きます。このグループのメンバには、Administrators グループや Domain Admins グループを変更するためのアクセス許可はありません。また、これらのグループのメンバのアカウントを変更するためのアクセス許可もありません。このグループのメンバは、ローカルでドメイン内のドメインコントローラにログオンおよびシャットダウンできます。このグループにはドメインで大きな権利が与えられているため、ユーザーの追加には注意してください。ローカルログオンの許可、システムのシャットダウン

Administrators このグループのメンバは、ドメイン内のすべてのドメインコントローラに対するフルコントロールを持ちます。既定では、Domain Admins グループと Enterprise Admins グループは Administrators グループのメンバです。Administrator アカウントも既定のメンバです。このグループは、ドメイン内のフルコントロールを持っているため、ユーザーの追加には注意してください。　　ネットワーク経由でコンピュータにアクセス、プロセスのメモリクォータの増加、ファイルとディレクトリのバックアップ、スキャンチェックのバイパス、システム時刻の変更、ページファイルの作成、プログラムのデバッグ、ユーザーとコンピュータに委任時の信頼を付与、リモートコンピュータからの強制シャットダウン、スケジューリング優先順位の繰り上げ、デバイスドライバのロードとアンロード、ローカルログオンの許可、監査とセキュリティログの管理、ファームウェアの環境値の修正、単一プロセスのプロファイル、システムパフォーマンスのプロファイル、ドッキングステーションからコンピュータを削除、ファイルとディレクトリの復元、システムのシャットダウン、ファイルとその他のオブジェクトの所有権の取得　

Backup Operators このグループのメンバは、ドメイン内にあるドメインコントローラのすべてのファイルについて、それらのファイルに対して個別に持っているアクセス許可にかかわらず、バックアップと復元を実行できます。 Backup Operators は、ドメインコントローラにログオンし、シャットダウンすることもできます。このグループには、既定のメンバが設定されていません。このグループにはドメインコントローラに対する大きな権利が与えられているため、ユーザーの追加には注意してください。ファイルとディレクトリのバックアップ、ローカルログオンの許可、ファイルとディレクトリの復元、システムのシャットダウン　

Guests 既定では、Domain Guests グループはこのグループのメンバです。 Guest アカウントもこのグループの既定メンバです。このアカウントは、既定では無効になっています。既定のユーザー権利は設定されていません。

Incoming Forest Trust Builders (フォレストルートドメインにだけ表示されます) このグループのメンバは、フォレストルートドメインへの入力一方向のフォレストの信頼を作成できます。たとえば、フォレスト 1 にあるこのグループのメンバは、フォレスト 2 からの入力一方向のフォレストの信頼を作成できます。この入力一方向のフォレストの信頼によって、フォレスト 1 のユーザーは、フォレスト 2 にあるリソースにアクセスできます。このグループのメンバには、フォレストルートドメインでの受信フォレストの信頼の作成アクセス許可が付与されます。このグループには、既定のメンバが設定されていません。　　既定のユーザー権利は設定されていません。　

Network Configuration Operators このグループのメンバは、TCP/IP 設定に変更を加えたり、ドメイン内にあるドメインコントローラの TCP/IP アドレスの更新や解放を行うことができます。このグループには、既定のメンバが設定されていません。既定のユーザー権利は設定されていません。

Performance Monitor Users このグループのメンバは、ドメイン内にあるドメインコントローラのパフォーマンスカウンタを監視できます。監視はローカルに行うか、リモートクライアントから行うことができ、Administrators グループや Performance Log Users グループのメンバである必要はありません。既定のユーザー権利は設定されていません。

Performance Log Users このグループのメンバは、ドメイン内にあるドメインコントローラのパフォーマンスカウンタを監視できます。監視はローカルに行うか、リモートクライアントから行うことができ、Administrators グループや Performance Log Users グループのメンバである必要はありません。既定のユーザー権利は設定されていません。

Pre-Windows 2000 Compatible Access このグループのメンバは、ドメイン内のすべてのユーザーとグループに対する読み取りアクセス権を持ちます。このグループは、Windows NT 4.0 以前のバージョンを実行しているコンピュータとの下位互換性のために用意されています。既定では、特殊な ID である Everyone アカウントは、このグループのメンバです。ネットワーク経由でコンピュータにアクセス、スキャンチェックのバイパス　

Print Operators このグループのメンバは、ドメイン内のドメインコントローラに接続されるプリンタの管理、作成、共有、および削除を行うことができます。ドメイン内の Active Directory プリンタオブジェクトを管理することもできます。このグループのメンバは、ローカルでドメイン内のドメインコントローラにログオンおよびシャットダウンできます。このグループには、既定のメンバが設定されていません。このグループのメンバは、ドメイン内のすべてのドメインコントローラに対してデバイスドライバのロードとアンロードを実行できるため、ユーザーの追加には注意してください。　

Remote Desktop Users このグループのメンバは、ドメイン内のドメインコントローラにリモートでログオンできます。このグループには、既定のメンバが設定されていません。既定のユーザー権利は設定されていません。

Replicator このグループは、ディレクトリをレプリケートでき、ドメイン内のドメインコントローラのファイルレプリケーションサービスで使用されます。このグループには、既定のメンバが設定されていません。このグループにはユーザーを追加しないでください。既定のユーザー権利は設定されていません。

Server Operators このグループのメンバは、ドメインコントローラ上で、対話型ログオン、共有リソースの作成と削除、一部のサービスの開始と停止、ファイルのバックアップと復元、ハードディスクのフォーマット、およびコンピュータのシャットダウンを行うことができます。このグループには、既定のメンバが設定されていません。このグループにはドメインコントローラに対する大きな権利が与えられているため、ユーザーの追加には注意してください。ファイルとディレクトリのバックアップ、システム時刻の変更、リモートコンピュータからの強制シャットダウン、ローカルログオンの許可、ファイルとディレクトリの復元、システムのシャットダウン　

Users このグループのメンバは、アプリケーションの実行、ローカルプリンタとネットワークプリンタの使用、サーバーのロックなど、一般的なほとんどの作業を実行できます。既定では、Domain Users グループ、Authenticated Users、および Interactive はこのグループのメンバです。したがって、ドメインで作成されるユーザーアカウントはすべて、このグループのメンバになります。既定のユーザー権利は設定されていません。

WINDOWSトラブル駆け込み１１０番

WINDOWS管理ページ１

グループ	説明	既定のユーザー権利
Account Operators	このグループのメンバは、ドメイン内の組織単位 (OU)、Users コンテナ、または Computers コンテナに置かれる、ユーザー、グループ、およびコンピュータのアカウントを作成、変更、または削除できます。ただし、ドメインコントローラの組織単位 (OU) は除きます。このグループのメンバには、Administrators グループや Domain Admins グループを変更するためのアクセス許可はありません。また、これらのグループのメンバのアカウントを変更するためのアクセス許可もありません。このグループのメンバは、ローカルでドメイン内のドメインコントローラにログオンおよびシャットダウンできます。このグループにはドメインで大きな権利が与えられているため、ユーザーの追加には注意してください。	ローカルログオンの許可、システムのシャットダウン
Administrators	このグループのメンバは、ドメイン内のすべてのドメインコントローラに対するフルコントロールを持ちます。既定では、Domain Admins グループと Enterprise Admins グループは Administrators グループのメンバです。Administrator アカウントも既定のメンバです。このグループは、ドメイン内のフルコントロールを持っているため、ユーザーの追加には注意してください。	ネットワーク経由でコンピュータにアクセス、プロセスのメモリクォータの増加、ファイルとディレクトリのバックアップ、スキャンチェックのバイパス、システム時刻の変更、ページファイルの作成、プログラムのデバッグ、ユーザーとコンピュータに委任時の信頼を付与、リモートコンピュータからの強制シャットダウン、スケジューリング優先順位の繰り上げ、デバイスドライバのロードとアンロード、ローカルログオンの許可、監査とセキュリティログの管理、ファームウェアの環境値の修正、単一プロセスのプロファイル、システムパフォーマンスのプロファイル、ドッキングステーションからコンピュータを削除、ファイルとディレクトリの復元、システムのシャットダウン、ファイルとその他のオブジェクトの所有権の取得
Backup Operators	このグループのメンバは、ドメイン内にあるドメインコントローラのすべてのファイルについて、それらのファイルに対して個別に持っているアクセス許可にかかわらず、バックアップと復元を実行できます。 Backup Operators は、ドメインコントローラにログオンし、シャットダウンすることもできます。このグループには、既定のメンバが設定されていません。このグループにはドメインコントローラに対する大きな権利が与えられているため、ユーザーの追加には注意してください。	ファイルとディレクトリのバックアップ、ローカルログオンの許可、ファイルとディレクトリの復元、システムのシャットダウン
Guests	既定では、Domain Guests グループはこのグループのメンバです。 Guest アカウントもこのグループの既定メンバです。このアカウントは、既定では無効になっています。	既定のユーザー権利は設定されていません。
Incoming Forest Trust Builders (フォレストルートドメインにだけ表示されます)	このグループのメンバは、フォレストルートドメインへの入力一方向のフォレストの信頼を作成できます。たとえば、フォレスト 1 にあるこのグループのメンバは、フォレスト 2 からの入力一方向のフォレストの信頼を作成できます。この入力一方向のフォレストの信頼によって、フォレスト 1 のユーザーは、フォレスト 2 にあるリソースにアクセスできます。このグループのメンバには、フォレストルートドメインでの受信フォレストの信頼の作成アクセス許可が付与されます。このグループには、既定のメンバが設定されていません。	既定のユーザー権利は設定されていません。
Network Configuration Operators	このグループのメンバは、TCP/IP 設定に変更を加えたり、ドメイン内にあるドメインコントローラの TCP/IP アドレスの更新や解放を行うことができます。このグループには、既定のメンバが設定されていません。	既定のユーザー権利は設定されていません。
Performance Monitor Users	このグループのメンバは、ドメイン内にあるドメインコントローラのパフォーマンスカウンタを監視できます。監視はローカルに行うか、リモートクライアントから行うことができ、Administrators グループや Performance Log Users グループのメンバである必要はありません。	既定のユーザー権利は設定されていません。
Performance Log Users	このグループのメンバは、ドメイン内にあるドメインコントローラのパフォーマンスカウンタを監視できます。監視はローカルに行うか、リモートクライアントから行うことができ、Administrators グループや Performance Log Users グループのメンバである必要はありません。	既定のユーザー権利は設定されていません。
Pre-Windows 2000 Compatible Access	このグループのメンバは、ドメイン内のすべてのユーザーとグループに対する読み取りアクセス権を持ちます。このグループは、Windows NT 4.0 以前のバージョンを実行しているコンピュータとの下位互換性のために用意されています。既定では、特殊な ID である Everyone アカウントは、このグループのメンバです。	ネットワーク経由でコンピュータにアクセス、スキャンチェックのバイパス
Print Operators	このグループのメンバは、ドメイン内のドメインコントローラに接続されるプリンタの管理、作成、共有、および削除を行うことができます。ドメイン内の Active Directory プリンタオブジェクトを管理することもできます。このグループのメンバは、ローカルでドメイン内のドメインコントローラにログオンおよびシャットダウンできます。このグループには、既定のメンバが設定されていません。このグループのメンバは、ドメイン内のすべてのドメインコントローラに対してデバイスドライバのロードとアンロードを実行できるため、ユーザーの追加には注意してください。
Remote Desktop Users	このグループのメンバは、ドメイン内のドメインコントローラにリモートでログオンできます。このグループには、既定のメンバが設定されていません。	既定のユーザー権利は設定されていません。
Replicator	このグループは、ディレクトリをレプリケートでき、ドメイン内のドメインコントローラのファイルレプリケーションサービスで使用されます。このグループには、既定のメンバが設定されていません。このグループにはユーザーを追加しないでください。	既定のユーザー権利は設定されていません。
Server Operators	このグループのメンバは、ドメインコントローラ上で、対話型ログオン、共有リソースの作成と削除、一部のサービスの開始と停止、ファイルのバックアップと復元、ハードディスクのフォーマット、およびコンピュータのシャットダウンを行うことができます。このグループには、既定のメンバが設定されていません。このグループにはドメインコントローラに対する大きな権利が与えられているため、ユーザーの追加には注意してください。	ファイルとディレクトリのバックアップ、システム時刻の変更、リモートコンピュータからの強制シャットダウン、ローカルログオンの許可、ファイルとディレクトリの復元、システムのシャットダウン
Users	このグループのメンバは、アプリケーションの実行、ローカルプリンタとネットワークプリンタの使用、サーバーのロックなど、一般的なほとんどの作業を実行できます。既定では、Domain Users グループ、Authenticated Users、および Interactive はこのグループのメンバです。したがって、ドメインで作成されるユーザーアカウントはすべて、このグループのメンバになります。	既定のユーザー権利は設定されていません。