Users Guide

Microsoft Windows Server 2008 のユーザーア

カウント制御

Microsoft Windows Server 2008 以前のバージョンでは、ユーザーアカウントは大抵ローカル管理者グループの

メンバーであり、管理者権限へのアクセスが可能でした。管理者アカウントにはシステム規模のアクセスが

付与されているため、ローカル管理者グループはソフトウェアのインストール、アップデート、および実行

を行うことができました。ローカル管理者グループにユーザーが追加されると、そのユーザーには自動的に

Windows 権限が付与されました。この権限はオペレーティングシステムのすべてのリソースへのアクセスを

提供することから、管理者権限を持つユーザーアカウントは、悪意のあるソフトウェア（マルウェア）によ

る侵害が可能なオペレーティングシステムリソースへのアクセスを提供するというセキュリティリスクとな

っていました。

ユーザーアカウント制御（UAC）は Windows Server 2008 オペレーティングシステムで導入された新しいセキ

ュリティ機能です。ユーザーアカウント制御を有効にすると、ビルトインのローカル管理者アカウントを除

くすべてのユーザーに対して、重要性の高いシステムリソースへのアクセスが制限されます。

Windows Server 2008 オペレーティングシステムでは次の 3 種類のユーザーアカウントを使用できます。

• ドメイン管理者アカウント。これは管理者権限を持つユーザーアカウントです。

• 標準ユーザーアカウント。ソフトウェアをインストールしたり、他のユーザーやコンピュータのセキ

ュリティに影響しないシステム設定の変更ができます。

• ローカル管理者アカウント。オペレーティングシステムのデフォルトのスーパーユーザーです。

UAC を有効にされているときは、ユーザーの操作性がドメイン管理者アカウントとローカル管理者アカウン

トユーザーで異なります。ドメイン管理者アカウントがシステムの重要なリソースにアクセスする必要があ

る場合、Windows Server 2008 オペレーティングは、完全な管理者アクセスを必要とするプログラムまたはタ

スクを起動する前に次のプロンプトのひとつを表示します。

• 権限を昇格させる許可（ドメイン管理者グループのユーザーの場合）

• 権限を昇格させるためのドメイン管理者の資格情報（標準ユーザーの場合）

UAC は、ドメイン管理者グループのユーザー（管理者アカウント以外）が権限を昇格する必要がある場合は

続行をクリックするプロンプトを表示し、セキュリティリスクを伴う操作を行う場合はキャンセルをクリ

ックするプロンプトを表示します。UAC では、ユーザーは DUP を実行する前に管理者アカウントにアップグ

レードする必要があります。

メモ: ユーザーの操作性は Security Policy Manager スナップイン（secpol.msc）とグループポリシーで設定

を変更できるため、

UAC でのユーザーの操作性は複数あります。この環境で行われた設定選択は、標準

ユーザー、管理者、またはその両方に対して表示されるプロンプトやダイアログに影響します。UAC

は、ユーザーアカウント制御：管理者承認モードで管理者を実行設定を無効にすることで無効化でき、

システムの再起動が必要になります。

DUP を GUI モードで実行している場合、Windows Server 2008 オペレーティングシステムはユーザーに操作を

許可するポップアップを表示します。ただし、無人モードで DUP を実行している場合は、ユーザーは次の処

置のいずれかを行うことによって許可のポップアップウィンドウを回避することができます。

• グループセキュリティポリシーユーザーアカウント制御：管理者承認モードでの管理者に対する昇格

プロンプトの動作をプロンプトなしに変更してポップアップを無効化、または管理者グループの権

限をプロンプト表示なしで昇格します。

• UAC を無効にします。