Users Guide
目次ページに戻る
Microsoft Windows Server 2008 ユーザーアカウントの制御
Dell™アップデートパッケージ Microsoft®Windows®OS ユーザーズガイド
DUP をリモート実行する場合の UAC による制限
Windows
®
の旧バージョンでは、 ユーザーアカウントがローカル管理者グループのメンバーで、管理者権限にアクセスできる場合がよくありました。管理者アカウントはシステム全体にアクセスできる
ため、ローカル管理者グループのメンバーがソフトウェアをインストール、アップデート、実行できました。ユーザーがローカル管理者グループに追加されると、そのユーザーは自動的にすべての
Windows 権限を自動的に許諾されていました。これらの権限は、すべてのオペレーティングシステムリソースへのアクセスを提供します。このため、悪意のあるソフトウェア(マルウェア)の攻撃対象に
なり得るオペレーティングシステムリソースへのアクセス権を提供することで、管理者権限のユーザーアカウントがセキュリティのリスクに曝されることになります。
ユーザーアカウント制御(UAC) は、WindowsServer
®
2008 オペレーティングシステムの新しいセキュリティ機能です。この機能を有効にすると、ビルトインのローカル管理者以外のすべてのユ
ーザに対して、重要システムリソースへのアクセスを制限することができます。
Windows Server 2008 オペレーティングシステムでは次の 3 種類のユーザーアカウントを使用できます。
l ドメイン管理者アカウント。これは管理者権限を持つユーザーアカウントです。
l 標準ユーザーアカウント。ソフトウェアをインストールしたり、他のユーザーやコンピュータのセキュリティに影響しないシステム設定の変更ができます。
l ローカル管理者アカウント。オペレーティングシステムのデフォルトのスーパーユーザーです。
UAC を有効にした場合、ドメイン管理者アカウントとローカル管理者アカウントのユーザー体験は異なります。ドメイン管理アカウントが重要なシステムリソースへのアクセスを必要とする場合、
Windows Server 2008 オペレーティングシステムは完全な管理者アクセス権限を必要とするプログラムまたはタスクを起動する前に、以下のいずれかを要求します。
l 権限を昇格させる許可(ドメイン管理者グループのユーザーの場合)
l 権限を昇格させるためのドメイン管理者の資格情報(標準ユーザーの場合)
ドメイン管理者グループのユーザー(管理者アカウント以外)が権限を昇格させる必要がある場合は、続行 をクリックするプロンプトが表示されます。セキュリティリスクを伴うと思われる機能を実行しよう
としている場合は キャンセル をクリックするプロンプトが表示されます。UAC が有効になっている場合、DUP を実行するためには、ユーザは権限を管理者アカウントにアップグレードしなければなりま
せん。
DUP を GUI モードで実行する場合、 Windows Server 2008 オペレーティングシステムではユーザーが動作を許可する必要があります。一方 DUP を無人モードで実行する場合、以下の操作を
行うと、許可のポップアップウィンドウを省略できます。
l グループセキュリティポリシーの変更。ユーザー アカウント制御: 管理者承認モードでの管理者に対する昇格時のプロンプトの動作 を 確認を要求しないで昇格する に設定して、ポップ
アップを無効にするか、管理者グループをプロンプトなしで権限を昇格します。
l UAC を無効にします。
l スクリプトを使って、DUP を実行し、実行時にローカル管理者になりすまします。
DUP をリモート実行する場合の UAC による制限
UAC を起動した後、すべての管理者アカウントはデフォルトで標準ユーザーとしてログインします。このため、重要なシステムリソースにアクセスする権限は権限昇格要求をユーザーが確認するまで有
効となりません。この制限によって DUP のリモート導入のオプションが無効になります。管理ノードエージェントがこれらのログイン資格情報で実行されると、UAC は アクセス拒否 エラーを返します。
以下の方法で、UAC による制限を回避できます。
l リモートエージェントがローカルシステムアカウントを使用して DUP アップデートを実行できるようにする。ローカルシステムアカウントは UAC で保護されていません(推奨オプション)。
l DUP を実行している各リモートマシンでローカル管理者アカウントを使用する。
l リモートマシン上のすべてのユーザーに対して UAC を無効にする(非推奨オプション)。
l リモートマシン上で管理者アカウントに昇格しない。
目次ページに戻る
メモ: ユーザー体験は セキュリティポリシーマネージャスナップイン (secpol.msc)とグループポリシーで構成できるので、UAC のユーザー体験は複数あります。標準ユーザー、システム管
理者、またはその両方に表示されるプロンプトとダイアログは、環境で選択した構成によって異なります。ユーザー アカウント制御: 管理者承認モードですべての管理者を実行 する の設
定を無効にすると、UAC を無効にできますが、システムの再起動が必要です。
メモ: UAC で保護されていないアカウントは、ローカル管理者アカウントとローカルシステムアカウントの 2 つだけです。ローカル管理者権限やドメイン管理者権限のあるアカウントを含め、その
他すべてのユーザーはデフォルトで UAC が有効になっています。ローカルまたはドメインセキュリティポリシーを更新すると UAC を無効にできますが、これは推奨されません。DUP をリモー
ト実行するには、リモートユーザーはビルトインローカル管理者アカウントとしてログインするか、ローカルシステムアカウント権限を取得する必要があります。