ユーザー権利とは、コンピューティング環境内のユーザーおよびグループに与えられた、特別な特権とログオン権利のことです。管理者は、グループ アカウントや個々のユーザー アカウントに特定の権利を割り当てることができます。これらの権利は、システムへの対話型ログオンやファイルとディレクトリのバックアップなどの特定の操作を行う権限をユーザーに与えます。
ユーザー アカウントの管理作業を軽減するために、特権の割り当ては、個々のユーザー アカウントに対してではなく、グループ アカウントに対して行うようにします。グループ アカウントに特権を割り当てると、ユーザーはそのグループのメンバーになると同時にそれらの特権を自動的に割り当てられます。この方法による特権の管理は、アカウント作成時に個々のユーザー アカウントに個別に特権を割り当てるよりも、はるかに容易です。
次の表に、ユーザーに割り当てることのできる特権とその説明を示します。
| 特権 | 説明 | 既定の設定 |
|---|---|---|
|
オペレーティング システムの一部として機能 |
この特権を付与されたプロセスは、認証なしでどのユーザーにでも偽装できます。その結果、プロセスは、偽装したユーザーと同じローカル リソースにアクセスできるようになります。 この特権を必要とするプロセスは、この特権を特別に割り当てられた単独のユーザー アカウントではなく、この特権が最初から含まれている Local System アカウントを使用します。所属している組織で Windows 2000 または Windows NT 4.0 を実行するサーバーを使用していて、プレーンテキストのパスワードをやり取りするアプリケーションを使用する場合を除いて、この特権をユーザーに割り当てる必要はありません。 |
Local System |
|
ドメインにワークステーションを追加 |
この特権を付与されたグループまたはユーザーは、ドメインにワークステーションを追加できるようになります。 このユーザー権利は、ドメイン コントローラーに対してのみ有効です。既定では、認証されたユーザー全員にこの権利が付与され、ドメイン内に最大 10 台のコンピューター アカウントを作成することができます。 コンピューター アカウントをドメインに追加すると、そのコンピューターは、Active Directory ドメイン サービス (AD DS) 内のアカウントとグループを認識できるようになります。 |
ドメイン コントローラー: Authenticated Users |
|
プロセスのメモリ クォータの増加 |
この特権を付与されたユーザーは、プロセスに消費されるメモリの最大容量を変更することができます。 このユーザー権利は、既定のドメイン コントローラーのグループ ポリシー オブジェクト (GPO) 内と、ワークステーションとサーバーのローカル セキュリティ ポリシー内に定義されています。 |
Administrators |
|
ファイルとディレクトリのバックアップ |
この特権を付与されたユーザーは、ファイルとディレクトリ、レジストリ、その他の永続的なオブジェクトのアクセス許可に関係なく、システムのバックアップを作成できます。 |
Administrators、Backup Operators |
|
走査チェックのバイパス |
この特権を付与されたユーザーは、走査対象のディレクトリに対するアクセス許可を持っていない場合でも、そのディレクトリ ツリーを走査することができます。この特権では、ディレクトリの内容の一覧を作成することはできません。ディレクトリを走査できるだけです。 このユーザー権利は、既定のドメイン コントローラーの GPO 内と、ワークステーションとサーバーのローカル セキュリティ ポリシー内に定義されています。 |
ワークステーションとサーバー: Administrators、Backup Operators、Power Users、Users、Everyone ドメイン コントローラー: Administrators、Authenticated Users |
|
システム時刻の変更 |
この特権を付与されたユーザーとグループは、コンピューター内蔵の時計の日付と時刻を変更できます。このユーザー権利を割り当てられたユーザーによって、イベント ログの表示が影響を受けることがあります。システム時刻を変更すると、ログ内のイベントは、イベントが実際に発生した時刻ではなく、変更後の時刻で記録されます。 このユーザー権利は、既定のドメイン コントローラーの GPO 内と、ワークステーションとサーバーのローカル セキュリティ ポリシー内に定義されています。 |
ワークステーションとサーバー: Administrators、Power Users ドメイン コントローラー: Administrators、Server Operators |
|
ページ ファイルの作成 |
この特権を付与されたユーザーは、ページング ファイルの作成とサイズの変更ができるようになります。ページング ファイルの作成とサイズ変更を行うには、[システムのプロパティ] の [詳細設定] タブの [パフォーマンス オプション] で、個々のドライブのページング ファイル サイズを指定します。 |
Administrators |
|
トークン オブジェクトの作成 |
この特権を付与されたプロセスは、NtCreateToken() または別のトークン作成 API を使用して、どのようなローカル リソースへのアクセスも取得できるトークンを作成することができます。 この特権を必要とするプロセスは、この特権を特別に割り当てられた単独のユーザー アカウントを使用するのではなく、この特権が最初から含まれている Local System アカウントを使用します。 |
なし |
|
グローバル オブジェクトの作成 |
この特権を付与されたアカウントは、ターミナル サービスまたはリモート デスクトップ サービス セッションで、グローバル オブジェクトを作成できます。 |
Administrators、Local System |
|
永続的共有オブジェクトの作成 |
この特権を付与されたプロセスは、オペレーティング システムのオブジェクト マネージャー内にディレクトリ オブジェクトを作成できます。この特権は、オブジェクト名前空間を拡張するカーネル モード コンポーネントにとって有用です。カーネル モードで実行されているコンポーネントには継承によって最初からこの特権が付与されているため、この特権を新たに割り当てる必要はありません。 |
なし |
|
プログラムのデバッグ |
この特権を付与されたユーザーは、任意のプロセスまたはカーネルにデバッガーをアタッチできます。独自のアプリケーションをデバッグする開発者にこのユーザー権利を割り当てる必要はありません。新しいシステム コンポーネントをデバッグする開発者には、このユーザー権利を割り当てる必要があります。このユーザー権利は、機密性の高い重要なオペレーティング システム コンポーネントへのフル アクセスを提供します。 |
Administrators、Local System |
|
コンピューターとユーザー アカウントに委任時の信頼を付与 |
この特権を付与されたユーザーは、ユーザーまたはコンピューター オブジェクトに [Trusted for Delegation] を設定できます。 この特権を付与されるユーザーまたはオブジェクトは、委任先のユーザーまたはコンピューター オブジェクトのアカウント制御フラグに対する書き込みアクセス許可が必要です。コンピューター (またはユーザー コンテキスト) で実行しているサーバー プロセスが委任時の信頼を付与されている場合、そのプロセスは、クライアントから委任された資格情報を使用して別のコンピューター上のリソースにアクセスすることができます。ただし、クライアントのアカウントに [Account cannot be delegated] アカウント制御フラグ セットがある場合は、この限りではありません。 このユーザー権利は、既定のドメイン コントローラーの GPO 内と、ワークステーションとサーバーのローカル セキュリティ ポリシー内に定義されています。 |
ドメイン コントローラー: Administrators |
|
リモート コンピューターからの強制シャットダウン |
この特権を付与されたユーザーは、ネットワーク内のリモートの場所からコンピューターをシャットダウンできます。このユーザー権利の使用を誤ると、サービス拒否状態が誘発されるおそれがあります。 このユーザー権利は、既定のドメイン コントローラーの GPO 内と、ワークステーションとサーバーのローカル セキュリティ ポリシー内に定義されています。 |
ワークステーションとサーバー: Administrators ドメイン コントローラー: Administrators、Server Operators |
|
セキュリティ監査の生成 |
この特権を付与されたアカウントは、セキュリティ ログにエントリを追加するプロセスによって使用されます。セキュリティ ログは、システムに対する許可されていないアクセスの追跡に使用します。このユーザー権利を誤用すると、多くの監査イベントが生成され、[監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] セキュリティ ポリシー設定が有効になっている場合には攻撃の証拠が隠されたり、サービス拒否状態が誘発されるおそれがあります。詳細については、「 |
Local System |
|
認証後にクライアントを偽装 |
この特権を付与されたアカウントは、他のアカウントになりすますことができます。 |
Administrators、Service |
|
スケジューリング優先順位の繰り上げ |
この特権を付与されたアカウントは、別のプロセスへの書き込みプロパティ アクセスを持つプロセスを使用して、別のプロセスに割り当てられている優先実行順位を繰り上げることができます。この特権を付与されたユーザーは、タスク マネージャー インターフェイスを使ってプロセスのスケジューリング優先順位を変更できます。 |
Administrators |
|
デバイス ドライバーのロードとアンロード |
この特権を付与されたユーザーは、デバイス ドライバーやその他のコードをカーネル モードに動的にロードおよびアンロードすることができます。このユーザー権利は、プラグ アンド プレイ デバイス ドライバーには適用されません。デバイス ドライバーは信頼された (高度な特権を持つ) プログラムとして実行されるため、この特権は自分以外のユーザーには割り当てないでください。この特権の代わりとして、StartService() API を使用できます。 |
Administrators |
|
メモリ内のページのロック |
この特権を付与されたアカウントは、プロセスを使用して物理メモリ内にデータを保存できます。これによって、システムはディスク上の仮想メモリにデータをページングすることができなくなります。この特権を使用すると、使用できるランダム アクセス メモリ (RAM) の量が減るため、システムのパフォーマンスに重大な影響を与えることがあります。 |
なし。一部のシステム プロセスには、継承によって最初からこの特権が付与されています。 |
|
監査とセキュリティ ログの管理 |
この特権を付与されたユーザーは、ファイル、Active Directory オブジェクト、レジストリ キーなど個々のリソースに対してオブジェクト アクセスの監査オプションを指定できます。 このセキュリティ設定は、ユーザーがファイルとオブジェクトへのアクセスの監査を有効にすることはできません。このような監査を有効にするには、コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\監査ポリシーで [オブジェクト アクセスの監査] 設定を構成する必要があります。詳細については、 監査されたイベントは、イベント ビューアーのセキュリティ ログに記録されます。この特権を付与されているユーザーは、セキュリティ ログの表示と消去を行うこともできます。 |
Administrators |
|
ファームウェア環境値の修正 |
この特権を付与されたユーザーは、ファームウェアの環境値を変更できます。ファームウェア環境変数は、非 x86 ベースのコンピューターの不揮発性 RAM に格納される設定です。この設定がどのように影響するかは、プロセッサによって異なります。
|
Administrators、Local System |
|
単一プロセスのプロファイル |
この特権を付与されたユーザーは、パフォーマンス監視ツールを使用して、システム以外のプロセスのパフォーマンスを監視できます。 |
Administrators、Power Users、Local System |
|
システム パフォーマンスのプロファイル |
この特権を付与されたユーザーは、パフォーマンス監視ツールを使用して、システム プロセスのパフォーマンスを監視できます。 |
Administrators、Local System |
|
ドッキング ステーションからコンピューターを削除 |
ドッキング ステーションからポータブル コンピューターを取り外すときに、ユーザーがログオンする必要があるかどうかを指定します。 このポリシーが有効な場合、ユーザーは、ドッキング ステーションからポータブル コンピューターを取り外す前にログオンする必要があります。このポリシーが無効な場合、ユーザーは、ログオンしなくてもドッキング ステーションからポータブル コンピューターを取り外せます。 |
無効 |
|
プロセス レベル トークンの置き換え |
この特権を付与されたユーザー アカウントは、開始されたサブプロセスに関連付けられている既定のトークンを置き換えるプロセスを開始できます。 このユーザー権利は、既定のドメイン コントローラーの GPO 内と、ワークステーションとサーバーのローカル セキュリティ ポリシー内に定義されています。 |
Local Service、Network Service |
|
ファイルとディレクトリの復元 |
この特権を付与されたユーザーは、バックアップしたファイルやディレクトリを復元するときにファイル、ディレクトリ、レジストリ、およびその他の固定オブジェクトのアクセス許可を無視できます。また、任意の有効なセキュリティ プリンシパルをオブジェクトの所有者に設定できます。 このユーザー権利を付与することは、特定のユーザーまたはグループに、システム内のすべてのファイルとフォルダーに対する以下のアクセス許可を与えることに似ています。
| ワークステーションとサーバー: Administrators、Backup Operators ドメイン コントローラー: Administrators、Backup Operators、Server Operators |
|
システムのシャットダウン |
この特権を付与されたユーザーは、ローカルでコンピューターにログオンし、[シャットダウン] コマンドを使用してオペレーティング システムをシャットダウンできます。このユーザー権利の使用を誤ると、サービス拒否状態が誘発されるおそれがあります。 | ワークステーション: Administrators、Backup Operators、Power Users、Users サーバー: Administrators、Backup Operators、Power Users ドメイン コントローラー: Account Operators、Administrators、Backup Operators、Server Operators、Print Operators |
|
ディレクトリ サービス データの同期化 |
この特権を付与されたユーザーおよびグループは、すべてのディレクトリ サービスのデータを同期する権限が与えられます。この同期は、Active Directory 同期ともいいます。 |
なし |
|
ファイルとその他のオブジェクトの所有権の取得 |
この特権を付与されたユーザーは、Active Directory オブジェクト、ファイルとフォルダー、プリンター、レジストリ キー、プロセス、スレッドなど、システム内のセキュリティ保護可能なすべてのオブジェクトの所有権を取得できます。 | Administrators |
一部の特権は、オブジェクトに設定されているアクセス許可よりも優先されます。たとえば、Backup Operators グループのメンバーとしてドメイン アカウントにログオンするユーザーには、すべてのドメイン サーバーに対してバックアップ操作を実行する権限があります。バックアップ操作を実行するには、サーバー上のすべてのファイルを読み取る必要があります。ファイルの所有者が、Backup Operators グループのメンバーを含むすべてのユーザーのアクセスを拒否するように明示的にファイルのアクセス許可を設定していたとしても関係ありません。ユーザー権利は、すべてのファイルとディレクトリのアクセス許可よりも優先されます。したがって、このケースでは、バックアップを実行する権利の方が優先されることになります。詳細については、
 | 注 |
コマンド プロンプトで「whoami /priv」と入力すると、自分の特権を確認できます。 |