Built In Administrator の SID
Windows では、ユーザーやグループを内部的に識別するために SID(Security Identifier) が使われます。
SID はユーザー名ではなく、内部で一意に固定される識別子であり、名前変更しても変わりません。ACL によるアクセス制御やログ上の ID 参照も SID を基に行われます。
既定のビルトイン管理者アカウント(Administrator) は、SID の末尾が 500(RID=500) であることが Windows の仕様として固定されています。これはどの Windows システムでも同じであり、ドメインの場合はそのドメインのSIDに -500 が付いた形になります。
SID=500 の特徴
2.1 Built-In Administrator の位置づけ
- SID=500 のアカウントは “ビルトイン Administrator” を表す特別なアカウントです。
- 名前はポリシーや管理者によって変更可能ですが、内部識別は SID で固定 です。Microsoft Learn
- 通常の管理者アカウントや Domain Admins とは 別扱い であり、OS が構造的に特別扱いします。
2.2 UACの挙動が特別
- 既定では UAC の Admin Approval Mode が無効
- UAC の同意ダイアログ操作が不要で “常にフルトークン”
- 他の管理者(RID≠500)は 制限トークンであり、管理者特権は 無効化された状態で、UAC 制御による昇格が必要
2.3 ACL・所有権を無視できる
- ファイル/レジストリの 所有権奪取が常に可能
takeown /f、icacls等が完全に通る- 他の管理者では拒否されるケースでも突破可能
2.4 セーフモードで必ず有効
- 他アカウントが無効でも SID=500 は生存
- トラブルシュート用の 最後の脱出口
2.5 ロックアウトの扱い
- 2022年10月以前:既定で ロックアウト対象外
- 2022年10月以降:ポリシー次第で ロックアウト可能
2.6 通常管理と SID=500 の比較
| 操作 | 通常管理者 | SID=500 |
|---|---|---|
| システムファイル上書き | ❌(昇格必要) | ✅可能 |
| レジストリ HKLM 書き換え | ❌ | ✅可能 |
| サービス/ドライバ操作 | ❌ | ✅可能 |
| LSASS へのアクセス | ❌ | 条件付きアクセス可能 |
| 所有権の変更、アクセス制御 | 制限あり | 常に成功 |
以上のことから、SID=500 の Administrator は Administrators に所属する管理者とは異なり、OS が特別扱いする “最上位の管理主体” であり、“最強だが、悪用されると最も危険な管理者” ということができます。
SID=500 の利用シーン 障害復旧対応専用
正しい利用シーン(例)
- 障害復旧
- オフライン保守
- 既存の全アカウントが使えなくなった際の Break-Glass
これらのケース以外では、通常の管理者アカウントや専用の管理者アカウント(RID≠500)を用い、UAC による分離を活かした運用をすることが望ましいです。
まとめ
- その特性ゆえに 平常運用で常用するのは避け、限定利用にとどめるべき です。Microsoft Learn
- SID=500 は、Windows が内部的に 固定の管理者アカウント として扱う特別な識別子です。Microsoft Learn
- 他の管理者アカウントと比べて UAC 行動が異なり、常に昇格済み(フルトークン)で動作 します。
