既定のローカル グループ

[ローカル ユーザーとグループ] Microsoft 管理コンソール (MMC) スナップインにある [グループ] フォルダーには、既定のローカル グループと、ユーザーが作成したローカル グループが表示されます。既定のローカル グループは、オペレーティング システムをインストールしたときに自動的に作成されます。ローカル グループに属するユーザーには、そのローカル コンピューターでさまざまな処理を実行するための権利が与えられます。

ローカル グループには、ローカル ユーザー アカウント、ドメイン ユーザー アカウント、コンピューター アカウント、およびグループ アカウントを追加できます。ローカル グループへのメンバーの追加の詳細については、「メンバーをローカル グループに追加する」を参照してください。

特定の操作を実行するために属している必要のあるグループを調べるには、「ローカル ユーザーとグループ: 操作方法」に含まれている各トピックで、目的のグループの特定に役立つ情報を参照してください。

次の表で、グループ フォルダーに置かれる既定のグループについて説明します。また、各グループが持つ既定のユーザー権利を一覧で示します。これらのユーザーの権利は、ローカル セキュリティ ポリシーで割り当てられています。

グループ 説明 既定のユーザー権利

Administrators

このグループのメンバーは、コンピューターのフル コントロールの権限があり、ユーザー権利およびアクセス制御のアクセス許可を必要に応じてユーザーに割り当てることができます。Administrator アカウントが、このグループの既定のメンバーです。このコンピューターをドメインに参加させると、このグループには Domain Administrators グループが自動的に追加されます。このグループは、コンピューターのフル コントロールを持っているため、グループにユーザーを追加するときには注意が必要です。
  • ネットワーク経由でコンピューターへアクセス

  • プロセスのメモリ クォータの増加

  • ローカル ログオンを許可する

  • リモート デスクトップ サービスを通したログオンを許可する

  • ファイルとディレクトリのバックアップ

  • スキャン チェックのバイパス

  • システム時刻の変更

  • タイム ゾーンの変更

  • ページ ファイルの作成

  • グローバル オブジェクトの作成

  • シンボリック リンクの作成

  • プログラムのデバッグ

  • リモート コンピューターからの強制シャットダウン

  • 認証後にクライアントを偽装

  • スケジューリング優先順位の繰り上げ

  • デバイス ドライバーのロードとアンロード

  • バッチ ジョブとしてログオン

  • 監査とセキュリティ ログの管理

  • ファームウェアの環境値の修正

  • ボリュームの保守タスクを実行

  • 単一プロセスのプロファイル

  • システム パフォーマンスのプロファイル

  • ドッキング ステーションからコンピューターを削除

  • ファイルとディレクトリの復元

  • システムのシャットダウン

  • ファイルとその他のオブジェクトの所有権の取得

Backup Operators

このグループのメンバーは、ファイルを保護しているアクセス許可にかかわらず、コンピューター上のファイルのバックアップと復元を行うことができます。これは、バックアップを実行できる権利が、すべてのファイルのアクセス許可より優先されるためです。このグループのメンバーは、セキュリティの設定を変更することはできません。
  • ネットワーク経由でコンピューターへアクセス

  • ローカル ログオンを許可する

  • ファイルとディレクトリのバックアップ

  • スキャン チェックのバイパス

  • バッチ ジョブとしてログオン

  • ファイルとディレクトリの復元

  • システムのシャットダウン

Cryptographic Operators

このグループのメンバーは、暗号化の操作の実行を承認されます。
  • 既定のユーザー権利なし

Distributed COM Users

このグループのメンバーは、コンピューターで DCOM オブジェクトの起動、アクティブ化、および使用を許可されます。
  • 既定のユーザー権利なし

Guests

このグループのメンバーには、ログオン時に一時的なプロファイルが作成され、ログオフ時にはそのプロファイルが削除されます。Guest アカウント (既定時は無効) も、このグループの既定のメンバーです。
  • 既定のユーザー権利なし

IIS_IUSRS

これはインターネット インフォメーション サービス (IIS) で使用するビルトイン グループです。
  • 既定のユーザー権利なし

Network Configuration Operators

このグループのメンバーは、TCP/IP の設定を変更したり、TCP/IP アドレスの更新や解放を実行したりできます。このグループには、既定のメンバーが設定されていません。
  • 既定のユーザー権利なし

Performance Log Users

このグループのメンバーは、Administrators グループのメンバーにならなくても、コンピューター上のパフォーマンス カウンター、ログ、および警告の管理を、ローカルとリモート クライアントのどちらからでも行うことができます。
  • 既定のユーザー権利なし

Performance Monitor Users

このグループのメンバーは、Administrators グループや Performance Log Users グループのメンバーにならなくても、コンピューター上のパフォーマンス カウンターをローカル、およびリモート クライアントから監視できます。
  • 既定のユーザー権利なし

Power Users

既定では、このグループのメンバーは、標準ユーザー アカウントと同程度のユーザー権利やアクセス許可しか持っていません。Power Users グループは、以前のバージョンの Windows では、一般的なシステム タスクを実行するために、特定の管理者の権利とアクセス許可をユーザーに与えるためのものでした。このバージョンの Windows では、標準ユーザー アカウントが最初から、タイム ゾーンを変更するなどの最も一般的な構成タスクを実行できます。以前のバージョンの Windows に存在したものと同じ Power User の権利やアクセス許可を必要とするレガシ アプリケーションについては、Power Users グループを有効にするセキュリティ テンプレートを管理者が適用し、以前のバージョンの Windows に存在したものと同じ権利とアクセス許可を与えることができます。
  • 既定のユーザー権利なし

Remote Desktop Users

このグループのメンバーは、リモートからコンピューターにログオンできます。
  • リモート デスクトップ サービスを通したログオンを許可する

Replicator

このグループは、レプリケーション機能をサポートしています。Replicator グループのメンバーは、ドメイン コントローラーのレプリケーター サービスにログオンするために使うドメイン ユーザー アカウントに制限する必要があります。このグループには、実際のユーザーのユーザー アカウントを追加しないでください。
  • 既定のユーザー権利なし

Users

Users グループのメンバーは、アプリケーションの実行、ローカル プリンターとネットワーク プリンターの使用、コンピューターのロックなど、一般的な作業を実行できます。このグループのメンバーは、ディレクトリを共有したり、ローカル プリンターを作成することはできません。既定では、Domain Users、Authenticated Users、および Interactive グループはこのグループのメンバーです。そのため、ドメインで作成されたユーザー アカウントはすべて、このグループのメンバーになります。
  • ネットワーク経由でコンピューターへアクセス

  • ローカル ログオンを許可する

  • スキャン チェックのバイパス

  • タイム ゾーンの変更

  • プロセス ワーキング セットの拡大

  • ドッキング ステーションからコンピューターを削除

  • システムのシャットダウン

Offer Remote Assistance Helpers

このグループのメンバーは、このコンピューターのユーザーにリモート アシスタンスを提供できます。
  • 既定のユーザー権利なし

目次