SID=500 とは
SID (Security Identifier)とは?
SID とは Windows がアカウントを識別する際に使う 内部ID のことで、アカウント名に紐づく固有の番号で、以下のような S で始まる数値で、属性や固有識別番号を表しています。アカウント名は “可変” であり、変更が可能です。アカウント名でアクセスコントロールを行うと、名前偽装や同名アカウント作成で権限奪取が可能となります。そのため、Windows はアカウント名が変更されても、セキュリティ的に一意でアカウント名より優先できる SID ベースのセキュリティモデルを採用しています。
以下は、ローカルの管理者 Administrator の SID の例です。
S-1-5-21-1234567890-1234567890-1234567890-500S:SIDであることを示す
1:SIDのバージョン
5:識別機関(NT Authority)
21:サブオーソリティ(ドメインまたはローカルコンピュータ)
1234567890-1234567890-1234567890:ドメインまたはコンピュータの一意な識別子(3つの32ビット値)
500:RID(Relative Identifier) 特定のアカウント種別を示す
Administrato の SID の末尾は 500
末尾の “500″ が “Administrator 固有の番号” であり、“すべてのコンピューターに必ず1つだけ持つ特別なローカル管理者アカウント” です。アカウント名 Administrator を変更しても、紐づく SID は不変であり、内部的には最上位ローカル管理者アカウントを表します。
SID=500 は必ず存在し、無効化はできますが、削除はできません。他のローカル管理者よりも強い内部権限を持ち、いかなる ACL、UAC 設定でも “特例扱い” することが可能です。このため、ドメイン参加 PC が壊れた時や、認証キャッシュが破損した時の修復には “Administrator (SID=500) が最後の砦” となります。
| 項目 | SID=500 | SID=1000~ カスタム管理者アカウント |
|---|---|---|
| 項目 | SID=500 | カスタムアカウント SID=1000~ |
| セーフモード | ✔ ログイン可 | ✖ ログイン不可になる場合あり |
| WinRE | ✔ ログイン可 | ✖ 認識されない場合がある |
| ドメイン破損時の復旧 | ✔ 信頼性最大 | △ 失敗するケース多い |
| 特権レベル | 最上位 | 標準管理者レベル |
| UAC の扱い | 特例(最優先) | 通常の管理者 |
| 認証キャッシュ破損時 | ログイン可 | ログイン不可 |
