レジストリの「不明なアカウント」は削除してはいけないケースがある

Atom | RSS

このサイトを検索 | Search this site

SID:	Security Identifier、セキュリティ識別子

to english

不明なアカウント {S-1-15-3-1024}

Windows エクスプローラーの左ペインの Libraries を非表示にする過程で、レジストリキー ShellFolder のアクセス許可に不明なアカウント "S-1-15-3-1024-xxx" を見つけました。

\HKEY_CLASSES_ROOT\CLSID\{031E4825-7B94-4dc3-B131-E946B44C8DD5}\ShellFolder

「S-1-15-3-1024」はアプリケーションSIDです。1024 は [ケーパビリティのRID｜デバイスのRID] です。

Windows 7でも不明なアカウントが存在しましたが、SID「 S-1-5-21」だったので今回とは異なります。

「S-1-5-21」はドメインアカウントSIDです。Windowsアクティブディレクトリなどに参加しているアカウントに付与されます。

S-1-15-3-1024 を削除

「S-1-15-3-1024」は削除しても問題ないと判断したので削除しました。今のところ問題は発生していません。

「不明なアカウント」は削除してはいけないものもあるのでご注意ください。

これまでは、「不明なアカウント」を削除するために \ShellFolder の所有者を変更しなくてはなりませんでしたが、今回はその手順をすっ飛ばすために ExecTI というフリーソフトウェアを使います。

ShellFolder の所有権を変更する方法は以下の記事で詳しく書いているので、ExecTI を使いたくない場合は参考になると思います。

不明なアカウントを削除する方法｜Windows 7

不明なアカウントに付与された「S-1-5-21」はドメインSIDです。削除しても問題ないと判断したので削除しました。

kzstock.blogspot.com

ShellFolder の場所

ShellFolderは複数の場所に存在します。

この記事が対象にしているのは次の階層のものです。

\HKEY_CLASSES_ROOT\CLSID\{031E4825-7B94-4dc3-B131-E946B44C8DD5}\ShellFolder

ShellFolder は上位のキー {031E4825-7B94-4dc3-B131-E946B44C8DD5} からアクセス許可を継承しているので、AdministratorsグループのアカウントでWindowsにログインしていたとしても S-1-15-1024 の削除を試みると「アクセスが拒否されました」と表示され削除できません。

不明なアカウントを削除する方法

ExceTIから起動したレジストリエディタを使用します。ExecTIはプログラムをTrustedInstallerとして起動することができるフリーソフトウェアです。

[手順]

1. ExecTI を入手する。
2. ExecTI からレジストリエディターを起動する。
3. ShellFolder を探す。
4. ShellFolder の継承元のアクセス許可を表示する。
5. 不明なアカウントを削除する。
6. 以上

レジストリの操作は自己責任です

レジストリエディターを操作する前に、
不測の事態に備えてレジストリのバックアップを取っておきましょう。

1. ExecTI を入手する

ExecTI は winaero.com からダウンロードすることができます。

分かりにくいですが、以下のリンクを探しましょう。

Download ExecTI - Run as TrustedInstaller

 External link

• ExecTI - Run as TrustedInstaller | winaero.com

[ExecTI] TrustedInstallerとしてアプリケーションを実行する方法

ExecTIは、TrustedInstallerとしてアプリケーションを実行するソフトウェアです。DCOMエラーを修正する時に威力を発揮します。

kzstock.blogspot.com

2. ExecTI からレジストリエディターを起動する

Openの横のボックスに regedit と入力してOKをクリックする。

3. ShellFolder を探す

編集 > 検索

または、キーボードのCtrlキーを押しながらFを押す。

検索する値の横のボックスに ShellFolder と入力して次を検索をクリックする。

以下のオプション以外の ☑チェック を外すと検索が早くなります。

• ☑キー
• ☑完全に一致するものだけを検索

ShellFolder は複数の場所でヒットするので、編集対象の ShellFolder がヒットするまでキーボードのF3を押して検索を続けます。

\HKEY_CLASSES_ROOT\CLSID\{031E4825-7B94-4dc3-B131-E946B44C8DD5}\ShellFolder

4. ShellFolder の継承元のアクセス許可を表示する

{031E4825-7B94-4dc3-B131-E946B44C8DD5} > 右クリック：アクセス許可

ShellFolder のアクセス許可は {031E4825-7B94-4dc3-B131-E946B44C8DD5} から継承しているので、このレジストリキーのアクセス許可を変更します。

5. 不明なアカウントを削除する

不明なアカウント(S-1-15-xxx) を選択して削除 > 適用 > OKをクリックする。

または、キーボードのDelete > 適用 > OKと遷移します。

6. 手順終了

ShellFolder のアクセス許可を開いて不明なアカウントが削除されていることを確認しましょう。

Un-Known SID

不明なアカウントは、Windowsが使用しているSID（Un-Known SID）の可能性があります。

名前が付与されたSIDは Well-Known SIDです。[S-1-15-3-1 ～ S-1-15-3-10] が該当します。

名無しのSIDは Un-Konown SIDです。S-1-15-3-11以降です。「不明なアカウント」と表示されます。

「S-1-15-3-1024」はアプリケーションSIDです。アクティブディレクトリに紐づくSIDです。

今回記録されていた Un-Known SID をフルで書いておきます。

プリンシパル：S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681

Typically this happens when a PC is not communicating with Active Directory properly. Is your computer part of a domain?
reddit.com

ローカルアカウントを削除する方法 (検証：Windows 11)

設定アプリまたはコンピューターの管理を使用して、ローカルアカウントを削除できます。ローカルアカウントを削除すると、ユーザープロファイルに「不明なアカウント」として痕跡が残ります。

kzstock.blogspot.com

まとめ

• 「S-1-15-3-1024」はアプリケーションSID。
• 「S-1-5-21」はドメインアカウントSID。
• 「S-1-15-3-1024」は削除しても問題ない「不明なアカウント」と判断したので削除した。（私の場合）
• ShellFolderは複数の場所に存在する。
• S-1-15-3-11以降は不明なアカウントと表示されるが、名前が付与されないSIDのため安易に削除しないほうがよい。
• 不明なアカウント | SC2

不明なアカウントを削除する方法 (検証：Windows 10)

不明なアカウントを削除する際に、SIDとレジストリは対になっているのでWindowsエクスプローラーからユーザープロファイルフォルダーを削除するのはリスクを伴います。

kzstock.blogspot.com

 External link

• 本当は怪しくない（？）Windows 10の“不明なアカウント”の正体は…… (2/3) | atmarkit.co.jp
• 【不明なアカウント S-1-15-3-1024・・・】｜マイクロソフト コミュニティ
• The Account Unknown(S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681) : Windows10

検証：Windows 10 Pro October 2018 Update, v1809.17763.437

SC2

ブログサークルSNS
クリックして応援してね！

このサイトを検索 | Search this site