Windows Vista でのユーザー アカウント制御とリモート制限の説明
この記事では、ユーザー アカウント制御 (UAC) とリモート制限について説明します。
適用対象: Windows Vista
元の KB 番号: 951016
概要
ユーザー アカウント制御 (UAC) は、Windows Vista の新しいセキュリティ コンポーネントです。 UAC を使用すると、ユーザーは管理者以外の一般的な日常的なタスクを実行できます。 これらのユーザーは、Windows Vista の 標準ユーザー と呼ばれます。 ローカル Administrators グループのメンバーであるユーザー アカウントは、 最小特権の原則を使用して、ほとんどのアプリケーションを実行します。 このシナリオでは、最小特権ユーザーには、標準ユーザー アカウントの権限に似た権限があります。 ただし、ローカルの Administrators グループのメンバーが管理者権限を必要とするタスクを実行する必要がある場合、Windows Vista はユーザーに承認を求めるメッセージを自動的に表示します。
UAC リモート制限のしくみ
ローカル管理者グループのメンバーであるユーザーをより適切に保護するために、ネットワークに UAC 制限を実装します。 このメカニズムは 、ループバック 攻撃を防ぐのに役立ちます。 このメカニズムは、ローカルの悪意のあるソフトウェアが管理者権限でリモートで実行されるのを防ぐのにも役立ちます。
ローカル ユーザー アカウント (Security Account Manager ユーザー アカウント)
たとえば、ターゲット リモート コンピューターのローカル Administrators グループのメンバーであるユーザーが、net use *\\remotecomputer\Share$
コマンドを使用してリモート管理接続を確立した場合、完全な管理者として接続しません。 ユーザーはリモート コンピューターで昇格の可能性がなく、ユーザーは管理タスクを実行できません。 ユーザーがセキュリティ アカウント マネージャー (SAM) アカウントでワークステーションを管理する場合、これらのサービスが利用可能な場合は、リモート アシスタンスまたはリモート デスクトップで管理するコンピューターに対話形式でログオンする必要があります。
ドメイン ユーザー アカウント (Active Directory ユーザー アカウント)
ドメイン ユーザー アカウントを持つユーザーは、リモートで Windows Vista コンピューターにログオンします。 また、ドメイン ユーザーは Administrators グループのメンバーです。 この場合、ドメイン ユーザーはリモート コンピューターで完全な管理者アクセス トークンを使用して実行され、UAC は有効になりません。
注:
この動作は、Windows XP の動作と変わります。
UAC リモート制限を無効にする方法
重要
このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。
UAC リモート制限を無効にするには、次の手順に従います。
[スタート] をクリックして [実行] をクリックし、「Regedit」と入力して Enter キーを押します。
次のレジストリ サブキーを見つけてクリックします。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
レジストリ エントリが
LocalAccountTokenFilterPolicy
存在しない場合は、次の手順に従います。- [ 編集 ] メニューの [ 新規] をポイントし、[ DWORD 値] を選択します。
- 「LocalAccountTokenFilterPolicy」と入力し、Enter キーを押します。
[LocalAccountTokenFilterPolicy] を右クリックし、[変更] を選択します。
[ 値データ ] ボックスに「 1」と入力し、[ OK] を選択します。
レジストリ エディターを終了します。
これは問題を解決しましたか?
問題が解決されたかどうかを確認します。 問題が解決しない場合は、 サポートにお問い合わせください。
UAC リモート設定
LocalAccountTokenFilterPolicy レジストリ エントリの値は 0 または 1 です。 これらの値は、レジストリ エントリの動作を次の表で説明するものに変更します。
値 | 説明 |
---|---|
0 | この値は、フィルター処理されたトークンを構築します。 既定値です。 管理者の資格情報が削除されます。 |
1 | この値は、昇格されたトークンを構築します。 |