Windows の権限

Windows の権限は、個々のユーザ アカウントおよびグループに割り当てることができます。 管理者は、chusr コマンドまたは editusr コマンドを使用してユーザに、chgrp コマンドまたは editgrp コマンドを使用してグループに、それぞれ権限を割り当てることができます。 グループに追加されたユーザには、そのグループに割り当てられたすべての権限が自動的に与えられます。
cminder12901jp
Windows の権限は、個々のユーザ アカウントおよびグループに割り当てることができます。 管理者は、chusr コマンドまたは editusr コマンドを使用してユーザに、chgrp コマンドまたは editgrp コマンドを使用してグループに、それぞれ権限を割り当てることができます。 グループに追加されたユーザには、そのグループに割り当てられたすべての権限が自動的に与えられます。
一覧に示されているとおりの権限名(ユーザ権限名)を使用できます。または名前の先頭に Se を、最後に Privilege を追加することもできます(BatchLogon、InteractiveLogon、NetworkLogon、および ServiceLogon は例外で、Privilege の代わりに Right を追加します)。
Windows で使用できる権限は以下のとおりです。
権限
デフォルトの割り当て
説明
AssignPrimaryToken
なし
プロセスのセキュリティ アクセス トークンの変更をユーザに許可します。
Audit
なし
セキュリティ監査を生成します。
Backup
Administrators Backup Operators
ファイルおよびディレクトリのバックアップをユーザに許可します。 この権限はすべてのファイル許可およびディレクトリ許可を置き換えます。
BatchLogon
なし
バッチ ジョブとしてのログオンをユーザに許可します。
ChangeNotify
Everyone
通常、ファイルおよびサブディレクトリへのアクセス権は、上位から下位に向かって設定されます。つまり、ある特定のディレクトリへのアクセス権がないユーザは、そのディレクトリの下にあるサブディレクトリへのアクセス権も持ちません。 しかし、この権限を使用すると、ユーザは親ディレクトリへのアクセス権がない場合でも、サブディレクトリにアクセスできます。
CreatePagefile
なし
ページ ファイルの作成をユーザに許可します。 セキュリティは、次のキーに対するユーザのアクセス権によって決定されます。
\CurrentControlSet\Control\SessionManagement
CreatePermanent
なし
\\Device などの特別で永続的なオブジェクトの作成をユーザに許可します。
CreateToken
なし
トークン オブジェクトを作成します。 これを実行できるのは Local Security Authority のみです。 Local Security Authority は、ユーザがシステムへのアクセスを許可されていることを確認します。 この権限の使用を監査することはできません。 C2 レベルの認証については、この権限をどのユーザにも割り当てないことをお勧めします。
Debug
管理者
スレッドなどのプログラムまたはオブジェクトをデバッグします。 この権限を監査することはできません。 C2 レベルの認証については、システム管理者を含めてどのユーザにもこの権限を割り当てないことをお勧めします。
IncreaseBasePriority
Administrators PowerUsers
プロセスの実行優先順位を上げることをユーザに許可します。
IncreaseQuota
なし
オブジェクトのクォータを増やすことをユーザに許可します。
InteractiveLogon
Most groups
対話形式のログインをユーザに許可します。
LoadDriver
管理者
デバイス ドライバのインストールおよび削除をユーザに許可します。
LockMemory
なし
コンピュータのメモリにページをロックし、PAGEFILE.SYS などのバッキング ストア ファイルにページが自動的にバックアップされないようにすることをユーザに許可します。
MachineAccount
なし
ドメインに新しいマシンを追加することをユーザに許可します。
NetworkLogon
Everyone
ユーザがネットワークのどこからでもコンピュータに接続することを許可します。 したがって、ユーザは、コンピュータにログオンするために特定の場所または特定の端末を使用する必要がありません。
ProfileSingleProcess
Administrators PowerUsers
ある1つのプロセスのパフォーマンスを監視するためにパフォーマンス監視ツールを使用することをユーザに許可します。
RemoteShutdownPrivilege
Administrators PowerUsers
Windows システムのリモートでの停止をユーザに許可します。
Restore
Administrators Backup Operators
バックアップされたファイルおよびディレクトリのリストアをユーザに許可します。 この権限はすべてのファイルおよびディレクトリのアクセス権を置き換えます。
セキュリティ
管理者
監査の対象とするリソース アクセス権の種類(ファイル アクセス権など)を指定すること、またセキュリティ ログを表示および消去することをユーザに許可します。
注:
この権限は、Windows のユーザー マネージャで[原則]メニューの[監査]コマンドを使用してシステム監査ポリシーを設定することをユーザに許可するものではありません。 管理者にはセキュリティ ログを表示および消去する権限が常に与えられます。
ServiceLogon
なし
プロセスをサービスとしてシステムに登録できるようにします。
Shutdown
Administrators BackupOperators Everyone PowerUsers ユーザ
システム コンソールからのシステム停止をユーザに許可します。
SystemEnvironment
管理者
システム環境変数の変更をユーザに許可します。 ユーザは各自のワークステーションでシステム環境を設定できます。また、同じワークステーションで作業する他のすべてのユーザが確実に同じ設定を使用できます。
SystemProfile
管理者
システムに対するプロファイリング(パフォーマンスのサンプリング)の実行をユーザに許可します。
SystemTime
Administrators Power Users
コンピュータの内部時計の時間設定をユーザに許可します。
TakeOwnership
管理者
ファイル、ディレクトリ、プリンタ、およびコンピュータ上のその他のオブジェクトの所有者になることをユーザに許可します。 この権限は、オブジェクトを保護するすべての許可を置き換えます。
Tcb
なし
オペレーティング システムで、安全で信頼できる部分としてプロセスを実行できるようにします。 いくつかのサブシステムにこの権限が与えられます。