対象OS:Windows NT/Windows 2000/Windows XP/Windows Server 2003
解説
Windows NT系のOS(Windows 2000やWindows XP、Windows Server 2003などを含む)では、ユーザー・アカウントやグループなどは、管理ツールに表示される「名前」ではなく、「SID(Security Identifier。セキュリティ識別子)」と呼ばれる一意のID番号列を使用して管理されている。具体的には「S-1-5-21-917266621-1342861121-1792158721-512」のような数字列のことを指す。システムを新規にセットアップし直さない限り、同じSIDが使われることはない。
このSIDは、上の図にもあるように、「S-1-5-21-4194…」といった値を持っている。また、OSをセットアップした時点で自動的に作成される「組み込みアカウント」については、以下の表にあるように、固定したSID(「Well Known SID=よく知られているSID」と呼ばれる)が割り当てられている。もし、何かの拍子に生のSIDの数値列がそのまま表示されてしまった際に、以下の表のいずれかに該当すれば、それは組み込みアカウントのSIDと判断できる。それ以外のものは、ユーザーが独自に作成したものと判断できる。
名称SID説明
Universal Well Known SID
EveryoneS-1-1-0Windows Server 2003では、認証を受けたユーザーとGuestの総称。それ以前のOSでは、さらに匿名アクセスのユーザーも含む
コマンド・プロンプトを起動し、AD管理管理ツールntdsutil.exeを起動するために「ntdsutil」と入力する。するとntdsutilコマンドのプロンプトが表示される。ntdsutilコマンドのプロンプトで、「security account management」と入力する。表示されたプロンプトで「connect to server <サーバ名>」と入力する。この操作により、操作対象となるサーバに接続される。続いて「cleanup duplicate sid」と入力する。これにより、重複したSIDが削除されたことを示すメッセージが表示される。「q」(または「quit」)を2回入力して、ntdsutilコマンドを終了する。
■関連リンク
SID Values For Default Windows NT Installations[英語](マイクロソフト サポート技術情報 – 163846)Well-known security identifiers in Windows operating systems[英語](マイクロソフト サポート技術情報 – 243330) Security Identifiers Technical Reference[英語](マイクロソフト MSDN)Well-known SIDs[英語](マイクロソフト MSDN)
SIDが画面に表示されてしまった例これは、あるファイルのプロパティ画面に含まれているアクセス権の設定画面だが、削除されたユーザー・アカウントに対するアクセス権が存在するため、そのユーザーが「不明なアカウント」として表示され、さらにSID(の数字列)がカッコ内に表示されている。 (1)存在するユーザーに対するアクセス権設定では、このように正しく名前で表示される。 (2)アクセス権を設定した後で、設定した相手のユーザー・アカウントを削除すると、「不明なアカウント」と表示され、さらにSIDがカッコ内に表示される。 (3)これがSIDの実際の数値列。各アカウントは、実際にはこの数値で認識されており、表示名などを変更してもこのSIDは変わらない。
