Windows の管理者アカウントの履歴

既定では、Microsoft Windows(R) XP を初めてインストールするときに、Windows XP セットアップ ウィザードによりすべてのユーザー アカウントがローカル管理者として作成されます。管理者アカウントにはシステム全体のアクセス権があるので、ユーザーはソフトウェアのインストール、更新、および実行を行うことができます。ユーザーがローカル Administrators グループに追加されると、そのユーザーにはあらゆる Windows 特権が自動的に付与されます。特権とは、コンピュータ全体のポリシーに影響を及ぼす承認属性のことです。たとえば、SeBackupPrivilege では、ファイルとディレクトリをバックアップすることができます。ただし、特権とアクセス許可を混同しないよう注意してください。アクセス許可はオブジェクトに適用されるのに対し、特権はユーザー アカウントにのみ適用されます。これらの特権は、ユーザーのアクセス トークンに収集され、保守されます。アクセス トークンには、承認用のユーザー固有のデータも格納されます。Windows では、アクセス トークンを使用して、ユーザーがアクセスできるリソースを追跡します。各 Windows リソースに、アクセス制御リスト (ACL) が 1 つあります。これは、そのリソースにアクセスするアクセス許可を持っているユーザーとサービス、およびアクセス許可のレベルを記録するリストです。Windows の承認モデルでは、ユーザーのアクセス トークン内に格納されているデータを使用して、リソースの ACL でユーザーに許可/拒否されているアクセスを判断します。

管理ユーザーに自動的に付与されるものは、次のとおりです。

• すべてのリソースに対する読み取り、書き込み、および実行のアクセス許可
  
  
• Windows のすべての特権
  
  

注
Windows Vista では、Windows リソース保護 (WRP) 用に設計されたアクセス許可を使用して、%systemroot% のファイルとフォルダを保護します。これにアクセスできるのは、システム サービスのみです。管理者は、システム ファイルとシステム フォルダを読み取ることはできますが、書き込むことはできません。この点は以前のバージョンの Windows と異なります。

どの Windows リソースでも、すべてのユーザーが読み取り、変更、および削除できるようにしてはいけないと思われますが、多くの企業の IT 部門には、社内ユーザー全員を管理者にするしか選択肢がありません。

今日、企業でユーザーが管理者として実行している理由のいくつかは次のとおりです。

• アプリケーションのインストール (ユーザー グループのメンバでは、アプリケーションのインストールもアンインストールもできない) : Microsoft Systems Management Server(R) (SMS)、グループ ポリシー ソフトウェア インストール (GPSI)、その他の類似のアプリケーション展開テクノロジなど、アプリケーションをユーザーに展開するための一元化された方法を持たない企業は少なくありません。ソフトウェア展開テクノロジを活用している企業では、ユーザーが管理者としてアプリケーションを実行することができます。これは、特定の部門で使用する特殊なアプリケーション (マーケティング部門で使用するカスタム スプレッドシート アプリケーションなど) を一時的にインストールできるようにするためです。
  
  
• カスタム Web アプリケーション (ActiveX コントロール) : 独立系ソフトウェア ベンダ (ISV) のコミュニティが発展してきているので、自社固有のビジネス要件向けにカスタム アプリケーションを設計することを選ぶ企業が増えています。これらのカスタム アプリケーションの多くは、ActiveX コントロールのインストールが必要な、Web ブラウザのフロントエンドを含んでいます。ActiveX コントロールは実行可能ファイルであり、マルウェアを埋め込むことができるので、Windows ではユーザー グループのメンバが ActiveX コントロールをインストールできないようにしています。
  
  
• TCO が削減されるという思い込み (ヘルプ デスク宛ての電話本数の減少 VS 攻撃を受ける可能性の低下) : ユーザーが独自にアプリケーションをインストールことを許可することにより、ヘルプ デスク宛ての電話の本数とそのコストが減少すると信じる企業は少なくありません。ところが、社内のワークステーションを管理者として実行すると、ネットワークが "マルウェア" に対して脆弱になります。マルウェアとは、ウイルス、トロイの木馬、スパイウェア、一部のアドウェアなど、悪意のあるソフトウェアの総称です。マルウェアは、ローカル管理者アカウントのシステムレベルのアクセス権を悪用して、ファイルを破損したり、システム構成を変更したり、さらにはネットワーク外への機密データの転送まで行うことがあります。
  
  

すべてのユーザーが必ず標準ユーザーとして実行することが、マルウェアによる影響を最小限に抑えるための第一の方法です。標準ユーザー アカウントは、デスクトップでの基本的な作業を行うのに必要な最小限のユーザー権利と特権を持つユーザー アカウントです。ところが、Windows XP で既定で存在するアカウントは、標準ユーザー アカウントであるのに対して、日常的タスク (Windows のタイムゾーンの変更やプリンタのインストールなど) の多くでは、ユーザーが管理者特権を持っていることが必要とされます。また、ユーザーが管理者であることが既定で要求されるアプリケーションも多くあります。これは、実行前にアプリケーションにより管理者グループのグループ メンバシップが確認されるからです。Windows 95 と Windows 98 には、ユーザー セキュリティ モデルはありませんでした。その結果、アプリケーション開発者は、アプリケーションが管理者としてインストールされ、実行されるものとして設計しました。ユーザー セキュリティ モデルが初めて作成されたのは、Windows NT 向けです。しかし、すべてのユーザーが既定で管理者として作成されました。さらに、Windows XP コンピュータでは、標準ユーザーがアプリケーションをインストールしたり、他の管理タスクを実行したりするためには、[別のユーザーとして実行] を使用するか、または管理者アカウントでログオンする必要があります。

Windows Vista が開発されるまでは、ログオフしたり、ユーザーを切り替えたり、[別のユーザーとして実行] を使用したりせずに、標準ユーザー アカウントから管理者アカウントに "昇格する" ための方法は、Windows オペレーティング システムに組み込まれていませんでした。その結果、大半の人は依然として管理者として、Web を閲覧したり電子メールを読んだりしています。

総保有コストの削減

Power Users グループからの移行

アプリケーション情報サービス (AIS) は、実行のために 1 つ以上の特権またはユーザー権利の昇格を要求するアプリケーション (管理タスクなど)、およびより高い整合性レベルを要求するアプリケーションの起動を促進するシステム サービスです。AIS は、昇格が要求され、(グループ ポリシーに応じて) ユーザーが昇格に同意したら、管理ユーザーのフル アクセス トークンでそのアプリケーション用の新しいプロセスを作成することで、そのようなアプリケーションの起動を促進します。これは、Windows Vista で新たに導入されたサービスです。

エンタープライズ環境は長年、システム管理者がシステムのロックダウンを試みてきた場所なので、完全管理者アクセス トークンを要求しないよう設計された基幹業務 (LOB) アプリケーションが多くあります。その結果、IT 管理者は、UAC を有効にして Windows Vista を実行する際に、Windows Vista 以前のアプリケーションの大多数をそのまま使用し続けることができます。

Windows Vista には、UAC との互換性がなく、従来は正常に実行するために管理者のアクセス トークンを要求していたアプリケーション向けに、ファイルとレジストリの仮想化テクノロジが搭載されています。仮想化により、UAC との互換性がないアプリケーションでも、Windows Vista との互換性を確保することができます。UAC との互換性がない管理アプリケーションが、保護されたディレクトリ (Program Files など) への書き込みを試みると、変更しようとしているリソースの仮想化ビューが、UAC により提供されます。この仮想化されたコピーは、ユーザーのプロファイルの下で保持されます。その結果、互換性がないアプリケーションを実行する各ユーザーのために、仮想化されたファイルのコピーが個別に作成されます。

仮想化テクノロジがあれば、互換性がないアプリケーションの実行がサイレントに失敗したり、互換性がないアプリケーションが特定できない方法で失敗したりすることはありません。UAC では既定で、保護された領域への書き込みを行う Windows Vista 以前のアプリケーションのために、ファイルとレジストリの仮想化およびログの記録も行われます。

注
昇格され、完全管理アクセス トークンで実行されるアプリケーションには、仮想化は適用されません。

アプリケーションの大半のタスクは、仮想化機能を使用して適切に実行されます。ただし、仮想化により、Windows Vista 以前の圧倒的大多数のアプリケーションを実行することができますが、これは短期的な解決法にすぎず、長期的なソリューションではありません。アプリケーション開発者は、ファイル、フォルダ、およびレジストリの仮想化に頼るのではなく、Windows Vista ロゴ プログラムに準拠するようできるだけ早期にアプリケーションを変更する必要があります。

ISV がアプリケーションを UAC 互換となるよう設計する方法のガイダンスは、ユーザー アカウント制御の互換性を確保するための Windows Vista 開発要件に関するドキュメント (英語ページの可能性があります) に含まれています。

注
仮想化は、ネイティブの Windows 64 ビット アプリケーションではサポートされない予定です。これらのアプリケーションは、UAC 対応にし、データを正しい場所に書き込めるようにする必要があります。

注
要求実行レベル属性を持つアプリケーション マニフェストがプログラムに含まれている場合、仮想化はアプリケーションに対して無効にされます。

Windows Vista では、アプリケーション マニフェストと呼ばれる、実行時にアプリケーションがバインドする必要がある共有とプライベートのサイドバイサイドのアセンブリを記述および識別する XML ファイルがあり、このファイルに、UAC アプリケーション互換性のためのエントリが登録されます。アプリケーション マニフェストにエントリが登録されている管理アプリケーションは、ユーザーのアクセス トークンにアクセスするための許可を求めるプロンプトを、ユーザーに表示します。ただし、Windows Vista 以前の管理アプリケーションの大半は、アプリケーション マニフェストにエントリがなくても、アプリケーション互換性修正プログラムを適用することにより、変更せずにスムーズに実行することができます。アプリケーション互換性修正プログラムは、UAC との互換性がないアプリケーションを Windows Vista で正常に機能できるようにするデータベース エントリです。

UAC 互換アプリケーションはすべて、要求実行レベルをアプリケーション マニフェストに追加する必要があります。アプリケーションが、システムへの管理アクセスを要求した場合、"管理者特権を要求" の要求実行レベルでアプリケーションをマークすると、システムは確実にこのプログラムを管理アプリケーションとして識別し、必要な昇格手順を実行することができます。要求実行レベルを使用することにより、システムはアプリケーションに必要な特定の特権を知ることができます。既存のアプリケーションが、Windows Vista 上で正常に実行するために管理アクセスを要求する場合については、このドキュメントの「UAC との互換性確保のための、Windows Vista 以前のアプリケーションの構成」を参照してください。

その結果、Windows Vista UAC コンポーネント対応に更新されていないさまざまなアプリケーションとの間で、互換性の問題が発生することがあります。アプリケーションが管理者アクセス トークンを要求する場合 (これは、実行を試みたときに "アクセス拒否" エラーが返されることでわかります)、ショートカット メニュー (右クリック) の [管理者として実行] オプションを使用することで、そのプログラムを管理者として実行することができます。具体的な手順については、このドキュメントの「管理者としてのプログラムの実行」で説明しています。

標準ユーザー アカウントと管理者ユーザー アカウントの両方が、UAC の強化されたセキュリティを活用することができます。新たなインストールでは、最初に作成されるユーザー アカウントは既定で、管理者承認モード (UAC が有効) のローカル管理者アカウントです。それ以降のすべてのアカウントは、標準ユーザーとして作成されます。

WindowsVista では、ビルトイン Administrator アカウントは既定で無効になっています。Windows XP からのアップグレード時に、ビルトイン Administrator アカウントが唯一の有効なローカル管理者アカウントであると Windows Vista が判断した場合、アカウントは有効なまま、管理者承認モードになります。既定では、ビルトイン Administrator アカウントは、セーフ モードでコンピュータにログオンすることはできません。詳細については、以降のセクションを参照してください。

ドメインに不参加

ドメインに参加

セーフ モードではいずれの場合でも、無効にされたビルトイン Administrator アカウントでログオンすることはできません。ローカル管理者が 1 人もいない場合、Domain Admins グループのメンバであるユーザー アカウントが、コンピュータにログオンして作成することができます。

重要
それ以前にどのドメイン管理者アカウントもログオンしたことがなかった場合、資格情報がキャッシュされていないので、"セーフ モードとネットワーク" でコンピュータを起動する必要があります。

注
コンピュータをドメインからいったん切り離すと、前に説明した、ドメインに参加していないときの動作に戻ります。

Windows Vista では既定で、セキュリティで保護されたデスクトップで、同意と資格情報のプロンプトが表示されます。

UAC セキュリティ ポリシーの詳細については、このドキュメントの「UAC 設定の構成」を参照してください。

UAC を有効にしている場合、Windows Vista は有効な管理者アカウントの同意または資格情報のいずれかのプロンプトを表示した後、完全管理者アクセス トークンを要求するプログラムまたはタスクを起動します。このプロンプトにより、悪意のあるアプリケーションがいつのまにかインストールされることを確実に防ぐことができます。

同意プロンプト

同意プロンプトは、ユーザーの管理者アクセス トークンを要求するタスクをユーザーが実行しようとすると、表示されます。ユーザー アカウント制御の同意プロンプトのスクリーンショットを次に示します。

次の例は、管理処理の実行前に同意が行われるようすを示したものです。

同意プロンプトを表示するには

1. 管理者承認モードで管理者アカウントを使用して、Windows Vista コンピュータにログオンします。

2. [スタート] ボタンをクリックし、[マイ コンピュータ] を右クリックして、メニューから [管理] を選択します。

3. ユーザー アカウント制御の同意プロンプトで、[続行] をクリックします。

資格情報プロンプト

資格情報プロンプトは、ユーザーの管理者アクセス トークンを要求するタスクを標準ユーザーが実行しようとすると、表示されます。この標準ユーザーの既定のプロンプトの動作は、セキュリティ ポリシー マネージャ スナップイン (secpol.msc)、およびグループ ポリシーで構成することができます。[ユーザー アカウント制御 : 管理者承認モードでの管理者に対する昇格時のプロンプトの動作] の値を [資格情報を要求する] に設定すると、管理者に資格情報の提示を要求することもできます。

ユーザー アカウント制御の資格情報プロンプトのスクリーンショットを次に示します。

次の例は、標準ユーザーが管理タスクの実行を試みたときに、資格情報を要求されるようすを示したものです。

資格情報プロンプトを表示するには

1. 標準ユーザー アカウントで Windows Vista コンピュータにログオンします。

2. [スタート] ボタンをクリックし、[マイ コンピュータ] を右クリックして、メニューから [管理] を選択します。

3. ユーザー アカウント制御の資格情報プロンプトで、該当する管理者のユーザー名をクリックし、そのユーザー アカウントのパスワードを入力して、[送信] をクリックします。

UAC の昇格時のプロンプトは、アプリケーションに固有の色で色分けされており、アプリケーションの潜在的なセキュリティ上の危険をすぐに見分けることができます。アプリケーションが管理者の完全アクセス トークンでの実行を試みると、Windows Vista は最初に実行可能ファイルを分析して、発行元を判断します。アプリケーションは次に、実行可能ファイルの発行元に応じて、Windows Vista、確認済みの発行元 (署名済み)、および未確認の発行元 (未署名) という 3 種類のカテゴリに分類されます。ユーザーに提示する色付きの昇格時プロンプトを Windows Vista が判断するようすを、次の図に示します。次のイラストは、対応するレベルの信頼に対する昇格時のプロンプトの論理を詳細に示したものです。

昇格時プロンプトの色分けの詳細は、次のとおりです。

• 赤い背景と赤い盾アイコン : アプリケーションは、ブロック対象の発行元のものか、またはグループ ポリシーによってブロックされています。
  
  
• 青と緑の背景 : アプリケーションは、Windows Vista の管理アプリケーションです (コントロール パネルなど)。
  
  
• 灰色の背景と金色の盾アイコン : アプリケーションは、Authenticode 署名されており、ローカル コンピュータに信頼されています。
  
  
• 黄色の背景と赤い盾アイコン : アプリケーションは、未署名か、または署名済みでもローカル コンピュータにまだ信頼されていません。
  
  

昇格時のプロンプトの色分けは、Microsoft Internet Explorer のダイアログ ボックスの色分けと同じです。

日付と時刻のプロパティ コントロール パネルなど、コントロール パネルの中には、管理者と標準ユーザーの操作が混在しているものがあります。標準ユーザーは時計の表示とタイムゾーンの変更を行うことができますが、ローカル システムの時刻を変更するには、完全管理者アクセス トークンが要求されます。次の画像は、日付と時刻のプロパティ コントロール パネルのスクリーンショットです。

時刻を変更する必要があるときには、[盾] アイコン ボタンをクリックします。盾アイコンが、プロセスを完全管理者アクセス トークンで起動するようシステムに伝えます。これにより、ユーザー アカウント制御の昇格時のプロンプトが要求されます。

プロンプトを、セキュリティで保護されたデスクトップに向かわせることにより、昇格プロセスはさらにセキュリティで保護されます。Windows Vista では既定で、セキュリティで保護されたデスクトップで、同意と資格情報のプロンプトが表示されます。セキュリティで保護されたデスクトップにアクセスできるのは、Windows プロセスのみです。管理者と標準ユーザーに対する推奨事項に加えて、[ユーザー アカウント制御 : 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える] 設定を有効にしたままにしておき、高いレベルのセキュリティを実現することを強くお勧めします。

実行可能ファイルが昇格を要求すると、対話型のデスクトップ (ユーザー デスクトップとも呼ばれます) は、セキュリティで保護されたデスクトップに切り替えられます。セキュリティで保護されたデスクトップは、ユーザー デスクトップのアルファブレンドされたビットマップを表示します。また、強調表示された昇格時のプロンプト、および対応するアプリケーション呼び出しウィンドウを表示します。ユーザーが [続行] または [キャンセル] をクリックすると、セキュリティで保護されたデスクトップは、ユーザー デスクトップに戻ります。

マルウェアは対話型のデスクトップを隠して、代わりにセキュリティで保護されたデスクトップの偽物を提示することができますが、承認を要求するよう設定されていると、ユーザーが偽者のデスクトップ上で [続行] をクリックするよう騙された場合でも、マルウェアは昇格を得られないことを覚えておいてください。資格情報を要求するよう設定されている場合、資格情報プロンプトを模倣するマルウェアが、ユーザーから資格情報を収集できてしまう可能性があります。ただし、これによりマルウェアが、昇格された特権を得られるわけではなく、システムには他の保護機能がいくつかあり、マルウェアが収集したパスワードを使用して、ユーザー インターフェイスを自動的に操ることを防止することができます。

重要
マルウェアは、セキュリティで保護されたデスクトップの偽者を提示することができますが、ユーザーが以前にコンピュータにマルウェアをインストールしていない限り、この問題は発生しません。UAC を有効にしている場合、管理者アクセス トークンを要求するプロセスをユーザーの知らないうちにインストールすることはできないので、ユーザーは [続行] をクリックするか、または管理者資格情報を提示して、同意を明示的に与える必要があります。UAC 昇格時のプロンプトの具体的な動作は、グループ ポリシーに応じて決まります。

Windows Vista では、この設定は既定で有効であり、ローカル セキュリティ ポリシー エディタ スナップイン (secpol.msc) または一元的にグループ ポリシーで構成することができます。使用できる設定と構成の詳細については、このドキュメントの「ローカル セキュリティ ポリシー エディタとグループ ポリシーによる UAC の管理」で説明しています。

Windows Vista ロゴ プログラム

このシナリオでは、すべてのアプリケーション、オペレーティング システム、およびセキュリティ更新プログラムが、アプリケーション展開テクノロジを使用して展開されます。この例で SMS や GPSI などのテクノロジを使用する利点は、次のとおりです。

• 管理のしやすさ : アプリケーションを一元的に管理することにより、IT 部門は簡単にインストール済みアプリケーションのリストを管理し、不要なアプリケーションのインストールを防止することができます。
  
  
• マルウェアのインストール数の減少 : マルウェアは、正当なソフトウェアに "同梱" されていることがよくあるので、ユーザーがそのようなソフトウェアをインストールできないようにすることにより、多くのマルウェアのインストールを防止することができます。
  
  
• 全体的な TCO の削減 : マルウェアのインストール数、およびユーザーあたりのマルウェアの存在場所が減少します。
  
  

このレベルのセキュリティの要件

セキュリティ レベルは "中" ですが、管理は最も難しくなります。このシナリオでは、アプリケーションのインストールを希望するたびに、すべてのユーザーがその要望をヘルプ デスクに提出する必要があります。すると、ヘルプ デスクは、リモートデスクトップを使用してアプリケーションをインストールするか、または資格情報をユーザーのコンピュータに物理的に入力します。理論上は、IT 部門はどのコンピュータにどのアプリケーションがインストールされているのかを把握している必要がありますが、実際にはこの追跡作業は煩わしく、管理は困難です。さらに、ローカル管理者アカウントの資格情報が、標準ユーザーに対して一度でも開示されると、セキュリティ ポリシーは危険にさらされるものと考える必要があります。

このシナリオでは、3 種類の構成が可能です。構成をセキュリティ レベルが低下する順に示します。最初の構成が、最もセキュリティ レベルが高いです。

1. ユーザーは標準ユーザーだが、ローカル管理者のユーザー名とパスワードを知っている。
   
   
   1. [ユーザー アカウント制御 : 管理者承認モードですべての管理者を実行する] 設定が有効です。
      
      
   2. ユーザーは標準ユーザー アカウントでログインし、管理タスクを行うときは、ユーザー アカウント制御の資格情報プロンプトでローカル管理者アカウントの資格情報を提示します。
      
      
   3. 影響 : IT 部門がアプリケーションのインストールやコンピュータの正常性を示す指標を追跡するための効率的な方法はありませんさらに、ユーザーは自分でもよくわからない実行可能ファイルに対して、ユーザー アカウント制御の資格情報プロンプトで資格情報を提示することによって、マルウェアをインストールできてしまいます。
      
      
2. ユーザーがローカル管理者である。
   
   
   1. [ユーザー アカウント制御 : 管理者承認モードですべての管理者を実行する] 設定が有効です。
      
      
   2. ユーザーは管理者アカウントでログインし、管理タスクを行うときは、ユーザー アカウント制御の同意プロンプトで同意を示します。
      
      
   3. 影響 : UAC は有効ですが、すべてのユーザーが管理者としてログオンするので、どのユーザーでも簡単にソフトウェアのインストール、システム設定の操作、およびコンピュータのセキュリティ ポリシーのすり抜けを行うことができます。さらに、IT 部門がアプリケーションのインストールやコンピュータの正常性を示す指標を追跡するための効率的な方法はありません
      
      
3. UAC は無効にされており、すべてのユーザーがローカル管理者である。
   
   
   1. [ユーザー アカウント制御 : 管理者承認モードですべての管理者を実行する設定が無効です。
      
      
   2. ユーザーが管理者アカウントでログインし、管理タスクを実行します。
      
      
   3. 影響 : UAC が無効に設定されていると、管理アプリケーションがユーザーの管理アクセス トークンの使用を試みても、ユーザーに通知されません。その結果、IT 部門がアプリケーションのインストールやコンピュータの正常性を示す指標を追跡するための効率的な方法はありませんさらに、マルウェアがいつのまにかインストールされます。管理実行可能ファイルが実行できるようになる前に、ユーザーに承認のプロンプトも資格情報のプロンプトも表示されないからです。
      
      

この問題は、Windows Vista に特有ではありません。企業は長い間、アプリケーションを標準ユーザーとしてインストールすることに努めてきましたが、成功の程度はさまざまです。ソリューションを望ましさのレベルが低い順から示します。良いソリューション、より良いソリューション、および最良のソリューションです。

良い

より良い

最良

IT スタッフは、ユーザーがインストールするさまざまなアプリケーションを理解しているので、IT 部門はこれらのアプリケーションのインストールの管理を開始し、他のアプリケーションのインストールを防止することができます。最初の手順は、インストーラ検出機能を無効にし、社内にある製品をインストールする各アプリケーションのために、明示的な要求実行レベルのマークを作成することです。ここでは、ユーザーがインストールするアプリケーションを IT 部門はすべて把握しており、各アプリケーションは要求実行レベルでマークされているので、インストーラ検出機能はもはや必要ないと単純に仮定しています。

アプリケーションのインストールの管理度が高まったので、ユーザーは CD やその他の外部メディアからインストールする必要はもはやありません。あらゆるものをネットワーク上で入手することができます。Windows インストーラを外部のリムーバブル メディアから使用するアプリケーションをユーザーがインストールできないようにするために、次の手順を実行して、[インストールでリムーバブル メディア ソースを使えないようにする] の値を、Windows インストーラ管理テンプレート ファイルに設定します。

リムーバブル メディア ソースをインストールに使用できないようにするには

1. [スタート] ボタン、[コントロール パネル] の順にクリックし、[管理ツール]、[Active Directory ユーザーとコンピュータ] の順にダブルクリックします。

2. コンソール ウィンドウで、[ユーザーの構成]、[管理テンプレート]、[Windows コンポーネント] の順に展開し、[Windows インストーラ] をクリックします。

3. [詳細] ウィンドウで、[インストールでリムーバブル メディア ソースを使えないようにする] を右クリックして、[プロパティ] をクリックします。

4. [プロパティ] で、[有効にする] をクリックし、[OK] をクリックします。

注
[インストールでリムーバブル メディア ソースを使えないようにする] の設定を有効にすると、ユーザーがリムーバブル メディア (CD、フロッピー ディスク、DVD など) からプログラムをインストールしようとすると、この機能が見つからないという内容のメッセージが表示されます。

注
[インストールでリムーバブル メディア ソースを使えないようにする] の設定は、インストールがユーザーのセキュリティ コンテキスト内で実行されているときでも適用されます。

重要
前に説明したとおり、エンド ユーザーが管理者として実行している場合には、IT 部門が展開した設定が、そのコンピュータに実際に設定されているかどうかは、まったく保証されません。管理ユーザーがさまざまな設定をすり抜けることができる方法は、さまざまです。これは単に、時間、経験、および決断力の問題です。

複数のアプリケーションを単一のネットワーク共有にまとめることの別の利点は、すべてのバイナリに署名できることです。バイナリの署名が完了した後には、[ユーザー アカウント制御 : 署名され検証された実行ファイルのみを昇格する] の設定を有効にすることにより、自社の安全性がいっそう向上します。

さらに、ソフトウェア制限のポリシー (SRP) を追加して、許可されていない実行可能ファイルの実行を禁止することができます。

ソリューションを望ましさのレベルが低い順から示します。より良いソリューションおよび最良のソリューションです。

より良い

最良

この設定は、既定のビルトイン Administrator アカウントに UAC が適用されるかどうかを指定します。

注
ドメインに参加しているコンピュータでは、インストールとアップグレードに関して、ビルトイン Administrator アカウントは既定で無効にされています。

構成オプション :

• 有効 - ビルトイン Administrator は、管理者承認モードで管理者として実行されます。
  
  
• 無効 - 管理者は完全管理者アクセス トークンで実行されます。
  
  

既定値 :

• コンピュータ上でビルトイン Administrator アカウントが、有効な唯一のローカル管理者ではない場合、新たなインストールとアップグレードに関しては、[無効] です。
  
  
• コンピュータ上でビルトイン Administrator アカウントが、有効な唯一のローカル管理者であると Windows Vista が判断した場合、アップグレードに関しては、[有効] です。Windows Vista がこのように判断した場合、ビルトイン Administrator アカウントは、アップグレード後も有効のままです。
  
  

推奨事項 : 企業においては、この設定を無効に構成することをお勧めします。ドメイン管理者に依然として、このコンピュータに対する管理用のアクセス権があるからです。

この設定は、UAC が管理者に昇格を要求する方法を指定します。

構成オプション :

• 確認のメッセージを表示しない - メッセージが表示されることなく自動的に昇格が行われます。このオプションでは、管理者承認モードの管理者が、昇格を要求する操作を同意も資格情報も必要とせずに実行することができます。注 : このシナリオを使用してもよいのは、制約が最も厳しい環境のみであり、使用はお勧めできません。
  
  
• 同意を要求する - 完全管理者アクセス トークンを要求する操作により、管理者承認モードの管理者は、[続行] か [キャンセル] のいずれかをクリックするよう要求されます。管理者が [続行] をクリックすると、最上位の特権で操作が続行されます。
  
  
• 資格情報を要求する - 完全管理者アクセス トークンを要求する操作により、管理者承認モードの管理者は、管理者のユーザー名とパスワードを入力するよう要求されます。ユーザーが有効な資格情報を入力すると、該当する特権で操作が続行されます。
  
  

既定値 : 同意を要求する

推奨事項 : この値を同意を要求するに設定することをお勧めします。攻撃者が昇格プロンプトを模倣 (なりすまし) する可能性があるからです。昇格プロンプトが模倣され、管理者が [続行] をクリックして同意した場合でも、攻撃者が行えるのは、単一プロセスの昇格のみです。ただし、設定が [資格情報を要求する] に構成されていたときに、昇格プロンプトが模倣されると、攻撃者は管理者のユーザー名とパスワードを入手することができます。

この設定は、UAC が管理者に昇格を要求するかどうか、およびその方法を指定します。

構成オプション :

• 確認のメッセージを表示しない - 昇格時のプロンプトは表示されず、ユーザーは [管理者として実行] を使用するか、管理者アカウントでログオンする場合に限り、管理タスクを実行することができます。
  
  
• 資格情報を要求する - 完全管理者アクセス トークンを要求する操作により、ユーザーは、管理者のユーザー名とパスワードを入力するよう要求されます。ユーザーが有効な資格情報を入力すると、該当する特権で操作が続行されます。
  
  

既定値 : 資格情報を要求する

推奨事項 : 標準ユーザー ユーザー デスクトップを現在使用している企業の場合、この設定を [確認のメッセージを表示しない] に構成することをお勧めします。この設定を使用することにより、ヘルプ デスクへのサポート コール数が減少します。

この設定により、Windows Vista がヒューリスティクスを使用して、インストール アプリケーションを識別するかどうかが指定されます。ユーザーがインストーラを実行すると、Windows がそのプログラムをインストール アプリケーションとして識別し、ユーザーに昇格時のプロンプトを表示します。

構成オプション :

• 有効 - Windows Vista がインストーラを検出すると、ユーザーは同意または資格情報を要求されます。
  
  
• 無効 - アプリケーションのインストールは実行されません。ユーザーにその問題は通知されないか、またはエラー メッセージが表示されます。なお、このメッセージは意味が明確ではなく、インストールできなかった理由を判断するのには役に立たない可能性があります。
  
  

既定値 : 有効

推奨事項 : 標準ユーザー デスクトップを実行しており、GPSI や SMS などの委任型のインストール テクノロジを導入している企業の場合、この設定を [無効] に構成することをお勧めします。委任型のインストール テクノロジを導入していない場合、ヘルプ デスクへのサポート コール数を減少させるために、この設定を [有効] に構成することをお勧めします。または、この構成を [無効] に構成し、インストール ファイルを右クリックして [管理者として実行] をクリックし、インストール プロセスを昇格するようユーザーに伝えます。

この設定により、プログラムが昇格される前に署名されているかどうかを Windows Vista がチェックするかどうかが、指定されます。このチェックは、プロセスが対話的に起動された (つまり、ユーザーがデスクトップ上でインストール ファイルをダブルクリック) 後に実行されます。アプリケーションが未署名の場合、[ERROR MESSAGE]。アプリケーションが署名済みでも署名が無効の場合には、[ERROR MESSAGE]。

構成オプション :

• 有効 - 署名済みの実行可能ファイルのみ実行されます。このポリシーにより、昇格を要求するどの対話型アプリケーションに関しても、PKI 署名チェックが強制されます。
  
  

  注
  エンタープライズ管理者は、ローカル コンピュータの信頼された発行元ストアに証明書を追加することによって、管理アプリケーション許可リストを制御できます。

• 無効 - 署名済みと未署名のアプリケーションが実行されます。
  
  

既定値 : 無効

推奨事項 : [NEED]

この設定により、特権レベルが低いアプリケーションが、特権レベルが高いアプリケーションと通信できるかどうかが指定されます。uiAccess とは、アプリケーションのマニフェスト ファイル中の属性の 1 つです。開発者がアプリケーションと共にパッケージ化します。

構成オプション :

• 有効 - Program Files ディレクトリまたは Windows ディレクトリから実行されるアプリケーションが、Windows により、特権レベルの高いプロセスへのアクセスを禁止されます。ただし、アプリケーション マニフェストで uiAccess 属性が True に設定されている場合を除きます。Program Files と Windows の各ディレクトリの ACL は、既定では標準ユーザーがディレクトリの内容を変更できないよう構成されています。アプリケーションのマニフェスト ファイルで、アプリケーションが uiAccess アプリケーションと定義されていても、Program Files ディレクトリにも Windows ディレクトリにもない場合、Windows は特権レベルの高いプロセスにアクセスするための追加特権でそのアプリケーションを実行しません (たとえば、開発者がアプリケーションを uiAccess を要求するものと認識していたのに、標準ユーザーが変更できる、セキュリティで保護されていない場所にインストールされたケース)。
  
  
• 無効 - Windows はプログラムが Program Files ディレクトリまたは Windows ディレクトリにインストールされるかどうかを判断しません。アプリケーションはユーザーの承認がありしだい、ユーザーの完全管理者アクセス トークンで起動されます。
  
  

既定値 : 有効

推奨事項 : この設定を [有効] に構成することをお勧めします。この設定を有効にすると、セキュリティで保護されていない場所にインストールされた、特権レベルの低いアプリケーションは、Windows により特権レベルの高いアプリケーションへのアクセスを禁止されます。

この設定により、Windows が管理者のために 2 種類のアクセス トークン (標準ユーザー用と管理者用) を作成するかどうか、および標準ユーザーがアプリケーションを管理者レベルに昇格できるかどうかが指定されます。

注   この値を変更した場合には、コンピュータを再起動する必要があります。

構成オプション :

• 有効 - アプリケーションが管理者としての実行を試みると、管理者と標準ユーザーのいずれでもプロンプトが表示されます。[ユーザー アカウント制御 : 管理者承認モードでの管理者に対する昇格時のプロンプトの動作] の設定により、ユーザーにプロンプトが表示される方法が決まります。
  
  
• 無効 - アプリケーションが管理者としての実行を試みても、ユーザーにプロンプトは表示されません。アプリケーションはユーザーの完全管理者アクセス トークンで、自動的に実行されます。その結果、UAC は基本的に無効にされ、AIS サービスの自動的な開始は無効にされます。Windows セキュリティ センターもログオン ユーザーに、オペレーティング システムの全体的なセキュリティが低下していること、およびユーザーに UAC を有効にする能力が与えられることが通知されます。
  
  

既定値 : 有効

推奨事項 : この設定を [有効] に構成することをお勧めします。この設定が無効に設定されている場合、アプリケーション (悪意のあるソフトウェアを含む) が管理者として実行されても、管理者はそれに気付きません。標準ユーザーは、アプリケーションを管理者として実行できません。

この設定により、昇格時のプロンプトの表示先が、ユーザーのデスクトップなのか、それともセキュリティで保護されたデスクトップなのかが指定されます。

構成オプション :

• 有効 - UAC 昇格時のプロンプトは、セキュリティで保護されたデスクトップに表示されます。このデスクトップは Windows プロセスのメッセージのみ受け取ることができます。この設定が有効のときに、アプリケーションが管理者レベルの権利への昇格を要求した場合、デスクトップの背景がグレーアウトされ、昇格時のプロンプトがユーザーに表示されます。ユーザーは昇格の承認/拒否を行うまでは、デスクトップの他の要素を操作することはできません。同意プロンプトの場合には [続行] または [キャンセル] をクリックします。資格情報プロンプトの場合には、有効な管理者資格情報を提示するか、[キャンセル] をクリックします。
  
  
• 無効 - UAC 昇格時のプロンプトが、対話型の (ユーザー) デスクトップに表示されます。
  
  

既定値 : 有効

推奨事項 : この設定を [有効] に構成することをお勧めします。UAC 昇格時のプロンプトが、セキュリティで保護されたデスクトップに表示されない場合、攻撃者が悪意のあるソフトウェアを昇格するために、昇格時のプロンプトを模倣する可能性が潜在的にあります。この設定を、[ユーザー アカウント制御 : 管理者承認モードでの管理者に対する昇格時のプロンプトの動作] = [同意を要求する] の設定と組み合わせて使用することをお勧めします。この構成により、攻撃者が模倣した資格情報プロンプトを表示して、管理者の資格情報をできるだけ収集できないようにします。

この設定により、32 ビット アプリケーションの仮想化設定が指定されます。仮想化は 64 ビット アプリケーションには適用されません。

構成オプション :

• 有効 - マニフェスト ファイルのない 32 ビット アプリケーションが、Program Files ディレクトリなどの保護領域への書き込みを試みると、仮想化機能によりこれらの操作は、すべてのユーザーがアクセスできるファイル システムやレジストリの場所にリダイレクトされます。この設定により、標準ユーザーは、これまで管理者としてプログラムを実行するようユーザーに要求していた Windows Vista 以前のアプリケーションを実行できます。
  
  
• 無効 - マニフェスト ファイルのない 32 ビット アプリケーションが、Program Files ディレクトリなどの保護領域への書き込みを試みても、書き込みとアプリケーションの実行は行えず、メッセージも表示されません。
  
  

既定値 : 有効

推奨事項 : UAC と完全に互換性のないソフトウェアを実行する必要がある環境では、この設定を有効にしておいてください。マニフェスト ファイルもアプリケーション データベース エントリもないアプリケーションが、32 ビットの非管理アプリケーションである場合には、UAC 互換ではありません。多くの企業では、Windows Vista 以前のソフトウェアを実行する必要があり、したがって、この設定を [有効] に構成したままにしておく必要があります。

次の手順を実行して、UAC グループ ポリシー設定を構成します。この手順を実行するには、ローカル管理者のグループのメンバとしてログインする必要があります。ユーザー アカウント制御の資格情報プロンプトで、管理者アカウントの有効な資格情報を提示できる場合には、標準ユーザーとしてこの手順を実行することもできます。

1. [スタート] ボタンをクリックし、[検索の開始] ボックスに「secpol.msc」と入力して、Enter キーを押します。

2. [ユーザー アカウント制御] ダイアログ ボックスが表示された場合、このボックスに希望する動作が表示されていることを確認し、[継続] をクリックします。

3. [セキュリティの設定] で、[ローカル ポリシー] を展開し、[セキュリティ オプション] をクリックします。

4. [詳細] ウィンドウ (右側のウィンドウ) で、該当する UAC 設定を右クリックし、[プロパティ] をクリックします。

5. ドロップダウン リストボックスを使用して、設定に適切な値を選択します。

注
[ユーザー アカウント制御 : 管理者承認モードですべての管理者を実行する] の設定を変更すると、コンピュータの再起動後に、設定が有効になります。UAC グループ ポリシーのその他の設定はすべて、動的に反映されるので、再起動する必要はありません。

昇格時のプロンプトの模倣

ビルトイン Administrator アカウントのパスワードの設定

UAC の無効化

使用されていない UAC グループ ポリシー設定の無効化

リモート コンピュータでの管理タスク

アプリケーション検証ツールは、マイクロソフトの Web サイト (http://go.microsoft.com/fwlink/?LinkId=41326) (英語ページの可能性があります) から無料で入手できます。アプリケーション検証ツールは、Microsoft Standard User Analyzer をインストールするための前提条件となります。このツールは、Application Compatibility Toolkit に含まれています。

Application Compatibility Toolkit 5.0 は、マイクロソフトの Web サイト (http://go.microsoft.com/fwlink/?LinkId=23302) (英語ページの可能性があります) から無料で入手できます。

次に示す手順で、Standard User Analyzer を使用して、Windows Vista では正常に実行できない Windows Vista 以前の管理アプリケーションを特定します。

1. Windows Vista コンピュータに標準ユーザーとしてログオンします。

2. [スタート] ボタン、[すべてのプログラム]、[Microsoft Application Compatibility Toolkit 5.0]、[Developer and Tester Tools]、[Standard User Analyzer] の順にクリックします。

3. [Standard User Analyzer] の [Target Application] で、テストするアプリケーションのフル ディレクトリ パスを指定するか、[Browse] をクリックして、Windows Explorer でプログラムの実行可能ファイルを見つけます。

4. [Launch] をクリックし、[ユーザー アクセス制御] の資格情報プロンプトで、管理者の資格情報を提示します。

5. テスト アプリケーションが起動したら、一般的な管理者タスクを実行し、完了後にアプリケーションを閉じます。

6. [Standard User Analyzer] で、各タブに記述されている結果を調べます。このデータを使用して、プログラムに存在する可能性がある互換性の問題を特定します。

難しい特権エラーの場合に、アプリケーション検証テストを管理者として実行することもできます。たとえば、アプリケーションを非管理者として実行しているときに、アクセス違反が発生し、アプリケーションが終了したとします。このとき、コード パスをテストできるのは、アクセス違反の箇所までです。しかし、同じアプリケーションを管理者として実行すると、アクセス違反の箇所を通過し、残りのコード パスを実行することができる場合もあります。標準ユーザーなら通常はできないようなこれらの操作も、ログを調べて確認できます。

手順 3. で収集したデータを使用して、アプリケーションの正しい要求実行レベルを判断します。

注
このアプリケーションにふさわしい要求実行レベルを判断するには、「要求実行レベルでのアプリケーションのマーク」を参照してください。

重要
アプリケーションを Windows Vista で正常に実行できるようにする要求実行レベルのみを指定します。要求実行レベルがより上位の、不必要な管理者アクセス権を要求することは避けます。

アプリケーション検証ツールで互換性の問題を特定した後は、次の手順でアプリケーションを要求実行レベルでマークします。

この手順は、[ユーザー アカウント制御 : 管理者承認モードでの管理者に対する昇格時のプロンプトの動作] の設定を [同意を要求する] に構成したものとして記述されています。

1. 管理者承認モードの管理者として、Windows Vista コンピュータにログオンします。

2. [スタート] ボタン、[すべてのプログラム]、[アクセサリ] の順にクリックし、[コマンド プロンプト] を右クリックして、[管理者として実行] をクリックします。ユーザー アカウント制御の昇格時のプロンプトで、[続行] をクリックします。

3. [コマンド プロンプト] で、「C:\program files\Microsoft Application Compatibility Toolkit\Compatibility Administrator\Compatadmin.exe」と入力し、Enter キーを押します。

4. [Compatibility Administrator] で、[Fix] アイコンをクリックします。

5. [Create new Application Fix] ページの [Program information] で、[Name of the program to be fixed] にプログラム名、[Name of the vendor for this program] にベンダ名、[Program file location] にプログラム ファイルの場所を入力し、[Next] をクリックします。

6. [Compatibility Modes] で、[None] をクリックし、[Next] をクリックします。

7. [Compatibility Fixes] では、目的の要求実行レベルを選択し、[Next] をクリックします。

8. [Matching Information] で、アプリケーションの対応付け情報を選択し、[Finish] をクリックします。

9. [File] メニューの [Save] をクリックします。

10. アプリケーション互換性データベースの名前を入力し、[OK] をクリックします。

11. [SavedatabaseName] で、データベース ファイルの名前を選択し、[Save] をクリックします。

注
[Create New Application Fix] ウィザードの [Matching Information] ページで、SIZE と PE_CHECKSUM を選択すると、アプリケーションの修正プログラムが、目的とするアプリケーションと名前が同じ他のアプリケーションに誤って適用されることを確実に防ぐことができます。

注
アプリケーション互換性修正プログラムの特定に役立つように、わかりやすい名前を選択します。ここで付けられた名前は、アプリケーション互換性修正プログラムが sdbinst.exe コマンドライン ツールでインストールされた後に、[コントロール パネル] の [プログラムと機能] に表示されます。

注
作成された各アプリケーション互換性データベースに、目的とするアプリケーション互換性修正プログラムを 1 つ以上登録することができます。

1. [スタート] ボタン、[すべてのプログラム]、[アクセサリ] の順にクリックし、[コマンド プロンプト] を右クリックして、[管理者として実行] を選択します。[ユーザー アカウント制御] の同意プロンプトで、[続行] をクリックします。

2. [コマンド プロンプト] で、「cd %windir%」と入力し、Enter キーを押します。

3. [コマンド プロンプト] で、「sdbinst.exe databaseName.sdb」と入力し、Enter キーを押します。

Windows インストーラ パッケージを作成する前に、IT 部門はカスタム インストールを行う VBScript を作成する必要があります。このプロセスは一度行えばよく、同じスクリプト ファイルを他のすべての Windows インストーラ パッケージに再利用することができます。

次に、サンプル スクリプトを示します。

'-------------------------------------------------------------------------------------- '  Filename         :setsdb.vbs '  Description      :Installs SDB entry in appcompat database '  Version          :1.0 '-------------------------------------------------------------------------------------- ' History:'   07-19-2005:  Created version 1.0 dim Ws 

myCmdArgs = Session.Property("CustomActionData") setDir = "%ComSpec% /C sdbinst.exe -q " & chr(34) & myCmdArgs & chr(34) set Ws = CreateObject("WScript.Shell") retval = Ws.Run( setDir, 2, true )

次の例は、Windows インストーラ パッケージを作成し、Microsoft Visual Studio 2005 を使用して、アプリケーション互換性修正プログラム方法を展開する方法を示します。

1. [スタート] ボタン、[すべてのプログラム] の順にクリックし、[Visual Studio 2005] をダブルクリックします。

2. Visual Studio で、[ファイル] メニューの [新しいプロジェクト] をクリックします。

3. [新しいプロジェクト] ページで、[その他のプロジェクトの種類] を展開し、左側のウィンドウにある [セットアップ/配置プロジェクト] をクリックします。右側のウィンドウにある [セットアップ プロジェクト] をクリックし、アプリケーション互換性修正プログラムの展開の名前を入力して、[OK] をクリックします。

4. 右側のウィンドウにある [ソリューション エクスプローラ] で、展開プロジェクトの名前を右クリックし、[追加] をポイントして [ファイル] をクリックします。

5. [ファイルの追加] で、.sdb データベース ファイルの場所を参照して、[開く] をクリックします。

6. 手順 4. と 5. を繰り返して、以前に作成したカスタム動作 VBScript の名前を追加します。

7. 右側のウィンドウにある [ソリューション エクスプローラ] で、展開プロジェクトの名前を右クリックし、[表示] をポイントして [カスタム動作] をクリックします。

8. [カスタム動作] タブで [確定] フォルダを右クリックし、[カスタム動作の追加] をクリックします。

9. [プロジェクトから項目を選択] で、[アプリケーション] フォルダをダブルクリックし、目的の VBScript ファイルを選択して [OK] をクリックします。

10. 左側のウィンドウにある setsdb.vbs という名前の確定動作を右クリックし、[プロパティ ウィンドウ] をクリックします。

11. 次に示す行を [CustomActionData] プロパティに追加します。[ProgramFilesFolder][Manufacturer]\[ProductName]\[FILENAME].sdb

    注
    [ProgramFilesFolder] と [Manufacturer] との間には、円記号 (\) はありません。

12. [ファイル] メニューの [ビルド] をクリックし、[ソリューションのビルド] をクリックします。ビルドが完了すると、Windows インストーラ パッケージがデバッグ フォルダに追加されます。

IT 部門が Windows インストーラ パッケージを作成したら、Authenticode 署名してから、グループ ポリシーを使用して展開することをお勧めします。このドキュメントでは、展開する Windows インストーラ パッケージの署名に使用する自社の署名キーを、IT 部門が作成済みであることを前提としています。以降の例で使用されている署名ツールと検証ツールは、Microsoft .NET Framework SDK (http://go.microsoft.com/fwlink/?LinkId=32131) (英語ページの可能性があります) に含まれています。

Windows インストーラ パッケージを企業の署名キーで署名する方法の例を、次に示します。

signcode –v <path>yourkey.pvk –spc <path>yourkey.spc (deployment package).msi

署名にタイムスタンプを含めるには、コマンドラインで次のパラメータを含めます。

–t http://timestamp.verisign.com/scripts/timstamp.dll 

署名は次のコマンドで検証できます。

ckhtrust (deployment package).msi

ファイルの正当性が証明され、署名証明書が自社環境で信頼済みの発行元証明書にチェーンしている場合、chktrust.exe が成功のリターン コードを返すだけです。

Microsoft Authenticode テクノロジの追加情報については、MSDN (http://go.microsoft.com/fwlink/?LinkId=71361) (英語ページの可能性があります) で確認することができます。

Windows インストーラ パッケージの作成が完了したら、テストすることができます。そのためには、Windows インストーラ ファイルをテスト用コンピュータにコピーし、ダブルクリックして Microsoft Windows セットアップ ウィザードを開きます。Windows インストーラ パッケージのテスト方法の例を、次に示します。

1. Windows インストーラ (.msi) ファイルを見つけ、ダブルクリックしてセットアップを開始します。

2. [[NameofWindowsInstallerPackage] インストール先フォルダの選択] ページで、インストール先フォルダを選択し、[次へ] をクリックします。

3. [インストールの確認] ページで、[次へ] をクリックします。

4. [インストールの完了] ページで、[閉じる] をクリックします。

5. [スタート] ボタン、[コントロール パネル] の順にクリックし、[プログラムと機能] をダブルクリックします。

6. [プログラムと機能] コントロール パネルで、アプリケーション互換性修正プログラムのインストーラとエントリが存在することを確認します。

グループ ポリシーを使用することにより、IT 部門は、作成したどのアプリケーション互換性修正プログラムも、クライアント コンピュータに自動的に展開することができます。ここでは、IT 部門がこの展開をセットアップする際に使用できる基本的な手順を説明します。グループ ポリシー展開の計画の追加情報については、TechNet (http://go.microsoft.com/fwlink/?LinkId=71349) (英語ページの可能性があります) で確認することができます。

最初の手順は、Windows インストーラ展開パッケージを、修正プログラムを受け取る必要があるすべてのコンピュータからアクセスできるファイル共有に置くことです。これは、ドメイン全体でも、組織単位 (OU) 限定でもかまいません。Windows インストーラ パッケージに、適切なアクセス制御リスト (ACL) のエントリをファイル共有に持たせて、該当するコンピュータのみアクセスできるようにすることをお勧めします。

Windows インストーラ ファイルを適切に配置したら、次に示す手順を実行します。この手順を実行するには、Domain Administrator としてログインする必要があります。

1. [スタート] ボタンをクリックし、[すべてのプログラム]、[管理ツール] の順にポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。

2. コンソール (左側) ウィンドウで、ドメイン名を右クリックし、[プロパティ] をクリックします。

3. [プロパティ] ページで、[グループ ポリシー] タブをクリックします。

4. [グループ ポリシー] タブで、[新規] をクリックし、新しいグループ ポリシー オブジェクト (GPO) の名前を入力します。

5. 新規作成した GPO を強調表示し、[プロパティ] をクリックします。

6. アプリケーション互換性修正プログラムを、ユーザーではなくドメイン内のコンピュータに適用しているので、[ユーザーの構成の設定を無効にする] チェック ボックスをオンにします。確認のダイアログ ボックスが表示されたら [はい] をクリックします。

7. [セキュリティ] タブをクリックし、必要な ACL をいくつでも追加して、ドメインのコンピュータにアクセスを許可します。[読み取り] と [グループ ポリシーの適用] が選択されていることを確認し、[OK] をクリックします。

8. [プロパティ] ページで、[編集] をクリックします。

9. [グループ ポリシー オブジェクト エディタ] の [コンソール] ウィンドウで、[コンピュータの構成]、[ソフトウェアの設定] の順に展開します。

10. [詳細] ウィンドウで、[ソフトウェア インストール] を右クリックし、[新規作成] をクリックして、[パッケージ] をクリックします。

11. [ファイルを開く] ダイアログ ボックスで、展開するパッケージを選択し、[開く] をクリックします。

12. [ソフトウェアの展開] で、[割り当て] をクリックし、[OK] をクリックします。

13. [グループ ポリシー オブジェクト エディタ] を閉じます。

14. [プロパティ] ページを閉じます。

15. [Active Directory ユーザーとコンピュータ] を終了します。

注
前の手順 12. により、パッケージがユーザーとの対話を必要とせずに、目的とするコンピュータにインストールされます。すると、選択された Windows インストーラ パッケージが、グループ ポリシー オブジェクト エディタに表示されます。

Windows インストーラ展開をテストするには、次の手順を実行します。

1. ドメインに参加している任意のコンピュータを再起動します。

2. ユーザーのログイン画面が表示される前に、グループ ポリシーにより、Windows インストーラ パッケージがコンピュータに自動的にインストールされます。

Windows インストーラ展開を確認するには、次の手順を実行します。

1. 管理者承認モードの管理者として、前の手順で使用したコンピュータにログオンします。

2. [スタート] ボタン、[コントロール パネル] の順にクリックします。

3. [コントロール パネル ホーム] で、[プログラム]、[インストールされているプログラム] の順にクリックします。

4. [プログラムの変更と削除] で、Windows インストーラ パッケージとアプリケーション互換性データベースのエントリがインストールされていることを確認します。