エクスポート (0) 印刷
すべて展開

Windows 7 のユーザー アカウント制御に関するベスト プラクティス

更新日: 2009年9月

適用対象: Windows 7, Windows Server 2008 R2

noteメモ
このドキュメントには、Windows 7 でのユーザー アカウント制御 (UAC) に関する詳細情報が含まれています。これらの情報は IT 担当者向けです。自宅の Windows 7 でユーザー アカウント制御を使用するためのヘルプおよび使用方法に関する情報が必要な場合は、以下を参照してください。

このドキュメントでは、IT 担当者が Windows 7 環境および Windows Server 2008 R2 環境の UAC に関連するベスト プラクティスを開発するのに役立つ、UAC に関する追加情報を提供します。このドキュメントは、UAC の管理に関する包括的な情報を提供するものではありません。

UAC を無効にしない

グループ ポリシー設定やスライダー設定を変更して UAC プロンプトをオフにしないことをお勧めします。

昇格時のプロンプトは UAC で最も目にする機会の多い部分ですが、UAC は、特に標準ユーザーに対して、最小限の中断でセキュリティの向上を可能にする基本的なコンポーネントも提供します。たとえば、次のような 2 つの利点があります。

  • Internet Explorer の保護モード

  • ファイルとレジストリの仮想化

昇格時のプロンプトを回避するために UAC を無効にした場合、すべての UAC 機能が無効になります。代わりに、プロンプトなしで昇格するように UAC を構成することを検討してください。この場合、管理者アプリケーションとしてマークされているアプリケーションは、セットアップ アプリケーションと同様に、自動的に完全管理者アクセス トークンで実行されます。その他のすべてのアプリケーションは、自動的に標準ユーザー トークンで実行されます。UAC の追加機能は保持されます。

企業における UAC スライダー

  • 各 Windows 7 クライアント コンピューターのスライダー設定は、グループ ポリシーに基づきます。

  • 標準ユーザーは、ユーザー アカウント制御の資格情報の入力要求に対してローカル管理者アカウントの資格情報を入力した場合にのみ、スライダー設定を表示および変更できます。

  • ローカル管理者として実行しているユーザーがスライダー設定を表示または変更しようとすると、同意を要求するプロンプトが表示されます。

  • グループ ポリシーで UAC をオフにするか、またはスライダーを [通知しない] に設定した場合、再起動が必要になります。これにより、グループ ポリシー設定が更新され、再度適用されます。

次の表に、それぞれのスライダー設定に対応するグループ ポリシー設定を示します。グループ ポリシーの設定の詳細および推奨設定については、「UAC グループ ポリシーの設定を構成する」を参照してください。

 

スライダー設定 対応するグループ ポリシー設定

常に通知する

  • [管理者承認モードでの管理者に対する昇格時のプロンプトの動作] ポリシー設定を [セキュリティで保護されたデスクトップで同意を要求する] に設定する。

  • [ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える] ポリシー設定を有効にする。

既定 - プログラムがコンピューターに変更を加えようとする場合のみ通知する

  • [管理者承認モードでの管理者に対する昇格時のプロンプトの動作] ポリシー設定を [Windows 以外のバイナリに対する同意を要求する] に設定する。

  • [ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える] ポリシー設定を有効にする。

プログラムがコンピューターに変更を加えようとする場合のみ通知する (デスクトップを暗転しない)

  • [管理者承認モードでの管理者に対する昇格時のプロンプトの動作] ポリシー設定を [Windows 以外のバイナリに対する同意を要求する] に設定する。

  • [ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える] ポリシー設定を無効にする。

  • [標準ユーザーに対する昇格時のプロンプトの動作] ポリシー設定を [資格情報を要求する] に設定する。

通知しない

noteメモ
この設定を有効にするには再起動が必要です。

  • [管理者承認モードでの管理者に対する昇格時のプロンプトの動作] ポリシー設定を [確認を要求しないで昇格する] に設定する。

  • [ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える] ポリシー設定を無効にする。

  • [ユーザー アカウント制御: 管理者承認モードですべての管理者を実行する] ポリシー設定を無効にする。

  • UAC を無効にする。

標準ユーザー アカウントを使用する

ユーザーは常に標準ユーザーとして実行する必要がありますが、次の例外があります。

プライマリ ユーザー アカウントを標準ユーザー アカウントにします。自分のクライアント コンピューター上で管理タスクを実行することが許可されているユーザー用に、これらの管理タスクを実行するためのローカル管理者アカウントを作成します。ユーザーが標準ユーザーとしてログオンし、管理タスクを実行しようとすると、資格情報の入力が要求されます。ユーザーは、タスクを実行するために、管理者のユーザー名とパスワードを入力し、[はい] をクリックする必要があります。

標準ユーザーとしてログオンしているユーザーが管理タスクを実行する必要がある場合は、ユーザーの簡易切り替え機能を使用して 2 つのアカウントを簡単に切り替えることもできます。ユーザーの簡易切り替え機能は、ユーザーが最初にプログラムまたはファイルを閉じることなく別のユーザー アカウントに切り替えることを可能にする Windows の機能です。ユーザーは、現在の作業を中断することなく、管理者アカウントにすばやく切り替えることができます。

ログオフしないでユーザーを切り替えるには

  1. [スタート] ボタンをクリックし、[シャットダウン] の右側にある矢印をクリックします。

  2. [ユーザーの切り替え] をクリックします。

  3. 使用するユーザー アカウントをクリックします。

    Important重要
    ユーザーの切り替えを行う前にプログラムやファイルを閉じる必要はありませんが、開いているすべてのファイルを保存しておくことをお勧めします。先にログオンしていたユーザーから別のユーザーに切り替え、そのユーザーとしてコンピューターをシャットダウンした場合、先のユーザーとして加えた未保存の変更は失われます。

UAC グループ ポリシーの設定を構成する

UAC の動作を制御するグループ ポリシー設定は 10 個あります。ベスト プラクティスとして、環境に合わせて UAC グループ ポリシーの設定を構成してください。UAC グループ ポリシー設定のベスト プラクティスを次の表に示します。

 

グループ ポリシー設定 既定値 ベスト プラクティス

ユーザー アカウント制御: ビルトイン Administrator アカウントのための管理者承認モード

無効

このポリシー設定を無効にした場合、ユーザーがビルトイン Administrator としてログオンしているときの [通知しない] スライダー設定値と同じ効果を持ちます。

ビルトイン Administrator アカウントの使用は推奨されませんが、このアカウントを使用する場合は、このポリシー設定を有効にして、ユーザーに対して UAC プロンプトが表示されるようにしてください。UAC に準拠していない重要なレガシ アプリケーションがあり、他に対処法がない場合にのみ、このポリシー設定を無効にしてください。アプリケーションの互換性の問題を解決する方法については、Windows 7 のユーザー アカウント制御を使用したアプリケーション互換性データベースの計画と展開に関するページ (http://go.microsoft.com/fwlink/?LinkID=148442) を参照してください。

ユーザー アカウント制御: UIAccess アプリケーションで、セキュリティで保護されたデスクトップを使用せずに昇格のプロンプトを表示できるようにする

無効

このポリシー設定を無効にした場合、セキュリティで保護されたデスクトップで昇格時のプロンプトが表示されます。リモート アシスタンス機能を使用する場合は、このポリシー設定を有効にする必要があります。このポリシー設定を有効にしていない場合、リモート コンピューターのセキュリティで保護されたデスクトップに昇格プロンプトが表示されたときに、リモート アシスタントは空白の画面を受け取ります。

ユーザー アカウント制御: 管理者承認モードでの管理者に対する昇格時のプロンプトの動作

Windows 以外のバイナリに対する同意を要求する

既定の設定 ([Windows 以外のバイナリに対する同意を要求する]) では、Windows 以外の実行可能ファイルおよびアプリケーションに対してのみ同意が要求されます。

[同意を要求する] 設定は、資格情報が求められない、安全性の低い環境に推奨されます。

[資格情報を要求する] 設定は、資格情報が求められる一方で追加のセキュリティ (セキュリティで保護されたデスクトップ) は必要とされない、安全性の高い環境に推奨されます。

[セキュリティで保護されたデスクトップで同意を要求する] 設定は、資格情報が求められない一方で追加のセキュリティ (セキュリティで保護されたデスクトップ) が必要とされる、安全性の低い環境に推奨されます。

noteメモ
ビデオ ドライバーに関する問題が原因で、セキュリティで保護されたデスクトップへの切り替えに遅延が発生することがあります。

[セキュリティで保護されたデスクトップで資格情報を要求する] 設定は、資格情報と追加のセキュリティ (セキュリティで保護されたデスクトップ) が求められる、安全性の高い環境に推奨されます。

noteメモ
ビデオ ドライバーに関する問題が原因で、セキュリティで保護されたデスクトップへの切り替えに遅延が発生することがあります。

[確認を要求しないで昇格する] 設定を選択した場合、UAC は無効になります。この設定は、ドメイン コントローラーまたはサーバー上で、詳しい知識のあるユーザーまたはサーバー管理者用にのみ使用してください。この設定をクライアント コンピューターに適用しないでください。

noteメモ
この設定が適用されている場合、ユーザーはインターネットを使用しないでください。

ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作

セキュリティで保護されたデスクトップで資格情報を要求する

既定の設定 ([セキュリティで保護されたデスクトップで資格情報を要求する]) では、標準ユーザーは、セキュリティで保護されたデスクトップ上の資格情報プロンプトの表示によって特権の昇格が要求されるタスクを実行できます。ユーザーは、続行するために有効な資格情報を入力する必要があります。この設定は、管理された環境には推奨されません。管理された環境には、[昇格の要求を自動的に拒否する] 設定が推奨されます。昇格要求は自動的に拒否され、構成可能な "アクセス拒否" メッセージが表示されます。

ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格をプロンプトする

有効 (ホーム)

無効 (エンタープライズ)

標準ユーザーがいて、グループ ポリシー ソフトウェア インストールまたは Microsoft System Center Configuration Manager を使用してアプリケーションを展開している場合は、このポリシー設定を無効にする必要があります。このポリシー設定を無効にした場合、アプリケーション インストール パッケージの検出は行われません。

ユーザー アカウント制御: 署名され検証された実行ファイルのみを昇格する

無効

署名も検証も行われていないアプリケーションが環境内にある場合は、このポリシー設定を使用しないでください。このポリシー設定を有効にした場合、署名付きのアプリケーションおよびその他の実行可能ファイルのみが実行を許可されます。ユーザー アカウントの昇格プロンプト設定の動作に応じて、同意プロンプトまたは資格情報プロンプトが表示されます。

ユーザー アカウント制御: 安全な場所にインストールされている UIAccess アプリケーションの昇格のみ

有効

このポリシー設定を有効にした場合、ファイル システムの安全な場所にインストールされている UIAccess アプリケーションのみが実行を許可されます。安全な場所とは、以下の場所に限定されます。

  • Program Files\ (サブフォルダーを含む)

  • Windows\System32\

  • Program files (x86)\ (サブフォルダーを含む) (64 ビット バージョンの場合)

これは推奨される設定です。

ユーザー アカウント制御: 管理者承認モードですべての管理者を実行する

有効

ビルトイン Administrator アカウント、および Administrators グループに属する他のすべてのユーザー アカウントに管理者承認モードでの実行を許可するには、このポリシー設定を有効にし、関連する UAC ポリシー設定を適切に設定する必要があります。

無効にした場合、管理者承認モードおよびすべての関連 UAC ポリシー設定は無効になります。

noteメモ
このポリシー設定を無効にした場合、オペレーティング システムの全体的なセキュリティが低下したことが、セキュリティ センターから通知されます。

ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える

有効

管理者および標準ユーザーに対するプロンプトの動作ポリシー設定に基づいて、対話型デスクトップまたはセキュリティで保護されたデスクトップに昇格プロンプトを表示するかどうかが決定されます。

このポリシー設定を有効にした場合、管理者および標準ユーザーに対するプロンプトの動作設定に関係なく、すべての昇格要求はセキュリティで保護されたデスクトップに表示されます。ユーザーは、続行するためにプロンプトに応答する必要があります。この設定は、管理された環境には推奨されません。

このポリシー設定を無効にした場合、特権の昇格要求は、対話型デスクトップに表示されます。管理者および標準ユーザーに対するプロンプトの動作ポリシー設定が使用されます。プロンプトは、ユーザーが応答するまで対話型デスクトップに表示されたままになりますが、ユーザーは、プロンプトに応答しなくても作業を続行できます。

ユーザー アカウント制御: 各ユーザーの場所へのファイルまたはレジストリの書き込みエラーを仮想化する

有効

このポリシー設定を有効にした場合、アプリケーションの書き込みエラーが実行時に定義済みのユーザーの場所にリダイレクトされます。このポリシー設定は、レガシ アプリケーションを Windows XP 環境で実行しているかのように実行する必要がある環境に対して有効にします。

このポリシー設定を無効にした場合、アプリケーションが特権付きのリソース (たとえば、Program Files フォルダー) に書き込みを行おうとすると失敗します。ファイルおよびレジストリの仮想化が必要でない環境では、このポリシー設定を無効にしてください。

UAC グループ ポリシー設定の詳細については、Windows 7 テクニカル リファレンスのユーザー アカウント制御に関するページ (http://go.microsoft.com/fwlink/?LinkID=146195) (英語の可能性あり) を参照してください。

この情報は役に立ちましたか。
(残り 1500 文字)
フィードバックをいただき、ありがとうございました

コミュニティの追加

追加
表示:
© 2014 Microsoft