UAC グループ ポリシーの設定を定義する

更新日: 2010年6月

適用対象: Windows 7, Windows Server 2008 R2

ユーザー アカウント制御 (UAC) に対して構成できるグループ ポリシーの設定は 10 個あります。次の表は、各ポリシー設定の既定値の一覧です。その次のセクションで、各種の UAC グループ ポリシー設定について説明し、推奨事項を示します。

 

グループ ポリシー設定 既定値

ユーザー アカウント制御: ビルトイン Administrator アカウントのための管理者承認モード

無効

ユーザー アカウント制御: UIAccess アプリケーションで、セキュリティで保護されたデスクトップを使用せずに昇格のプロンプトを表示できるようにする

無効

ユーザー アカウント制御: 管理者承認モードでの管理者に対する昇格時のプロンプトの動作

Windows 以外のバイナリに対する同意を要求する

ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作

セキュリティで保護されたデスクトップで資格情報を要求する

ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格をプロンプトする

有効 (Home の既定値)

無効 (Enterprise の既定値)

ユーザー アカウント制御: 署名され検証された実行ファイルのみを昇格する

無効

ユーザー アカウント制御: 安全な場所にインストールされている UIAccess アプリケーションの昇格のみ

有効

ユーザー アカウント制御: 管理者承認モードですべての管理者を実行する

有効

ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える

有効

ユーザー アカウント制御: 各ユーザーの場所へのファイルまたはレジストリの書き込みエラーを仮想化する

有効

UAC グループ ポリシーの各設定の詳細については、Windows 7 テクニカル リファレンスのユーザー アカウント制御に関するページ (http://go.microsoft.com/fwlink/?LinkID=146195) (英語の可能性あり) で、UAC グループ ポリシーの設定に関するページを参照してください。

UAC グループ ポリシーの設定により、IT 部門は、UAC の構成方法を選択できますが、新しいセキュリティ ポリシーを作成する場合に検討する必要のある考慮事項がいくつかあります。

昇格のプロンプト

Windows 7 には、昇格のプロンプトが模倣されないようにするために使用できるセキュリティ ポリシー設定が含まれています。このポリシー設定 ([ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える]) により、プロセスにより昇格が要求されたときには、アクティブ ユーザー デスクトップがセキュリティで保護されたデスクトップに切り替わります。セキュリティで保護されたデスクトップには、中核的な Windows プロセスのみアクセスでき、悪意のあるソフトウェア (マルウェア) はセキュリティで保護されたデスクトップとはやり取りできません。このため、ユーザー デスクトップ上のアプリケーションは、セキュリティで保護されたデスクトップに表示されるすべての昇格プロンプトを制御できません。Windows 7 では、このポリシー設定は既定で無効になっています。

UAC 準拠でないアプリケーション

[ユーザー アカウント制御: 管理者承認モードですべての管理者を実行する] ポリシー設定を無効にすると、UAC はオフになります。UAC がオフの場合、ファイルおよびフォルダーは、UAC 準拠ではないアプリケーションのユーザーごとの場所には仮想化されなくなり、すべてのローカル管理者は、完全な管理アクセス トークンを使用して自動的にログオンすることになります。この設定を無効にすると、Windows 7 は Windows XP ユーザー モデルに戻ります。UAC と互換性のない一部のアプリケーションでは、UAC をオフにすることが推奨されている場合がありますが、Windows 7 には、UAC 準拠でないアプリケーションのフォルダーおよびレジストリの仮想化が既定で組み込まれているため、オフにする必要はありません。UAC をオフにすると、システム規模のマルウェアがコンピューターにインストールされる危険性が発生します。この設定を変更した場合、変更を有効にするためにシステムを再起動する必要があります。

UAC グループ ポリシー設定を使用しない場合

UAC 互換でないアプリケーションを Windows 7 で適切に動作させるために、仮想化が使用されます。UAC 互換のアプリケーションのみが環境で使用されている場合、[ユーザー アカウント制御: 各ユーザーの場所へのファイルまたはレジストリの書き込みエラーを仮想化する] グループ ポリシー設定の必要はなく、無効にしてかまいません。

インストーラーは、一般的に Program Files フォルダーなどの保護された領域に書き込みを行うため、Win32 モデルでは、通常、管理コンテキストでインストーラーを実行する必要があります。[ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格をプロンプトする] ポリシー設定では、インストーラーが検出されると、昇格のプロンプトが呼び出されます。構成マネージャーまたはその他のテクノロジを使用して、使用できるすべてのアプリケーションを展開する場合、SYSTEM として実行されるインストーラー サービスにより昇格が自動的に実行されるため、インストーラーでの昇格は必要ありません。このような種類の環境では、このポリシー設定は無効にしてかまいません。

アプリケーション実行時の動作

アプリケーションを起動できるかどうかは、アプリケーション互換性 (shim) データベースの要求実行レベルと、アプリケーションを起動するユーザー アカウントで使用できるユーザー権限の組み合わせにより決まります。次の表に、適用されるユーザー特権と shim の組み合わせに基づくアプリケーションの実行時の動作を示します。

管理者承認モードでの管理者

異なる shim がインストールされている場合に、管理者に対して、[ユーザー アカウント制御: 管理者承認モードでの管理者に対する昇格時のプロンプトの動作] ポリシー設定に基づき、アプリケーションが実行時にどのように動作するかを、次の表に示します。

 

親プロセスのアクセス トークン ポリシー設定 アプリケーション互換性データベースから適用される shim

なし、または RunAsInvoker

RunAsHighest

RunAsAdmin

保護された管理者

確認を要求しないで昇格する

アプリケーションは、プロンプトなしで標準ユーザー権限で起動します。

アプリケーションは、完全な管理アクセス トークンを使用して起動し、プロンプトは表示されません。

アプリケーションは、完全な管理アクセス トークンを使用して起動し、プロンプトは表示されません。

保護された管理者

セキュリティで保護されたデスクトップに、同意を要求するプロンプトが表示される

アプリケーションは、完全な管理アクセス トークンを使用して起動し、セキュリティで保護されたデスクトップに、同意を要求するプロンプトが表示されます。

アプリケーションは、完全な管理アクセス トークンを使用して起動し、セキュリティで保護されたデスクトップに、同意を要求するプロンプトが表示されます。

保護された管理者

セキュリティで保護されたデスクトップで資格情報を要求する

アプリケーションは、完全な管理アクセス トークンを使用して起動し、セキュリティで保護されたデスクトップに、資格情報を要求するプロンプトが表示されます。

アプリケーションは、完全な管理アクセス トークンを使用して起動し、セキュリティで保護されたデスクトップに、資格情報を要求するプロンプトが表示されます。

保護された管理者

資格情報を要求する

アプリケーションは、完全な管理アクセス トークンを使用して起動し、ユーザーの対話型デスクトップに、資格情報を要求するプロンプトが表示されます。

アプリケーションは、完全な管理アクセス トークンを使用して起動し、ユーザーの対話型デスクトップに、資格情報を要求するプロンプトが表示されます。

保護された管理者

同意を要求する

アプリケーションは、完全な管理アクセス トークンを使用して起動し、ユーザーの対話型デスクトップに、同意を要求するプロンプトが表示されます。

アプリケーションは、完全な管理アクセス トークンを使用して起動し、ユーザーの対話型デスクトップに、同意を要求するプロンプトが表示されます。

保護された管理者

Windows 以外のバイナリに対する同意を要求する

Windows 以外のアプリケーションは標準ユーザー権限で起動します。

Windows 以外のアプリケーションは、完全な管理アクセス トークンを使用して起動し、ユーザーの対話型デスクトップに、同意を要求するプロンプトが表示されます。

Windows 以外のアプリケーションは、完全な管理アクセス トークンを使用して起動し、ユーザーの対話型デスクトップに、同意を要求するプロンプトが表示されます。

管理者 (UAC は無効)

該当なし

アプリケーションは、完全な管理アクセス トークンを使用して起動し、プロンプトは表示されません。

アプリケーションは、完全な管理アクセス トークンを使用して起動し、プロンプトは表示されません。

アプリケーションは、完全な管理アクセス トークンを使用して起動し、プロンプトは表示されません。

標準ユーザー アカウント

異なる shim がインストールされている場合に、標準ユーザーに対して、[ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作] ポリシー設定に基づき、アプリケーションが実行時にどのように動作するかを、次の表に示します。

 

親プロセスのアクセス トークン 同意ポリシー アプリケーション互換性データベースから適用される shim

RunAsInvoker

RunAsHighest

RunAsAdmin

標準ユーザー

昇格の要求を自動的に拒否する

アプリケーションは標準ユーザー権限で起動します。

アプリケーションは標準ユーザー権限で起動します。

アプリケーションは起動しません。

標準ユーザー

資格情報を要求する

アプリケーションは標準ユーザー権限で起動します。

アプリケーションは標準ユーザー権限で起動します。

ユーザーの対話型デスクトップに、管理者の資格情報を要求するプロンプトが表示されます。

標準ユーザー

セキュリティで保護されたデスクトップで資格情報を要求する

アプリケーションは標準ユーザー権限で起動します。

アプリケーションは標準ユーザー権限で起動します。

セキュリティで保護されたデスクトップに、管理者の資格情報を要求するプロンプトが表示されます。

標準ユーザー (UAC は無効)

該当なし

アプリケーションは標準ユーザー権限で起動します。

アプリケーションは標準ユーザー権限で起動します。

アプリケーションは起動しません。

追加特権 (Backup Operator など) を持つ標準ユーザー

異なる shim がインストールされている場合に、追加特権を持つ標準ユーザーに対して、[ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作] ポリシー設定に基づき、アプリケーションが実行時にどのように動作するかを、次の表に示します。

 

親プロセスのアクセス トークン 同意ポリシー アプリケーション互換性データベースから適用される shim

RunAsInvoker

RunAsHighest

RunAsAdmin

標準ユーザー

確認のメッセージを表示しない

アプリケーションは標準ユーザー権限で起動します。

アプリケーションは起動しません。

アプリケーションは起動しません。

標準ユーザー

資格情報を要求する

アプリケーションは標準ユーザー権限で起動します。

資格情報を要求するプロンプトが表示され、追加特権を持つ標準ユーザー権限で実行されます。

ユーザーの対話型デスクトップに、管理者の資格情報を要求するプロンプトが表示されます。

標準ユーザー

セキュリティで保護されたデスクトップで資格情報を要求する

アプリケーションは標準ユーザー権限で起動します。

資格情報を要求するプロンプトが表示され、追加特権を持つ標準ユーザー権限で実行されます。

セキュリティで保護されたデスクトップに、管理者の資格情報を要求するプロンプトが表示されます。

標準ユーザー (UAC は無効)

該当なし

アプリケーションは標準ユーザー権限で起動します。

資格情報を要求するプロンプトが表示され、追加特権を持つ標準ユーザー権限で実行されます。

アプリケーションは起動しません。

設定の記録

次の表を使用して、所属している組織の設定を記録してください。

 

UAC グループ ポリシー設定 既定値 組織の設定

ユーザー アカウント制御: ビルトイン Administrator アカウントのための管理者承認モード

無効

ユーザー アカウント制御: UIAccess アプリケーションで、セキュリティで保護されたデスクトップを使用せずに昇格のプロンプトを表示できるようにする

無効

ユーザー アカウント制御: 管理者承認モードでの管理者に対する昇格時のプロンプトの動作

Windows 以外のバイナリに対する同意を要求する

ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作

セキュリティで保護されたデスクトップで資格情報を要求する

ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格をプロンプトする

有効 (Home の既定値)

無効 (Enterprise の既定値)

ユーザー アカウント制御: 署名され検証された実行ファイルのみを昇格する

無効

ユーザー アカウント制御: 安全な場所にインストールされている UIAccess アプリケーションの昇格のみ

有効

ユーザー アカウント制御: 管理者承認モードですべての管理者を実行する

有効

ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える

有効

ユーザー アカウント制御: 各ユーザーの場所へのファイルまたはレジストリの書き込みエラーを仮想化する

有効

コミュニティの追加

追加
表示: