Windows Vista でのユーザー アカウント制御とリモート制限の説明

  • [アーティクル]

この記事では、ユーザー アカウント制御 (UAC) とリモート制限について説明します。

適用対象: Windows Vista
元の KB 番号: 951016

はじめに

ユーザー アカウント制御 (UAC) は、Windows Vista の新しいセキュリティ コンポーネントです。 UAC を使用すると、ユーザーは管理者以外として一般的な日常的なタスクを実行できます。 これらのユーザーは、Windows Vista で 標準ユーザー と呼ばれます。 ローカル管理者グループのメンバーであるユーザー アカウントは、 最小特権の原則を使用してほとんどのアプリケーションを実行します。 このシナリオでは、最小特権のユーザーには、標準ユーザー アカウントの権限に似た権限があります。 ただし、ローカル Administrators グループのメンバーが管理者権限を必要とするタスクを実行する必要がある場合、Windows Vista は自動的にユーザーに承認を求めるメッセージを表示します。

UAC リモート制限のしくみ

ローカル管理者グループのメンバーであるユーザーをより適切に保護するために、ネットワークに UAC 制限を実装しています。 このメカニズムは 、ループバック 攻撃を防ぐのに役立ちます。 このメカニズムは、ローカルの悪意のあるソフトウェアが管理者権限でリモートで実行されるのを防ぐのにも役立ちます。

ローカル ユーザー アカウント (Security Account Manager ユーザー アカウント)

ターゲット リモート コンピューター上のローカル Administrators グループのメンバーであるユーザーが、net use *\\remotecomputer\Share$ コマンドを使用してリモート管理接続を確立すると、完全な管理者として接続できなくなります。 ユーザーはリモート コンピューターで昇格の可能性がなく、ユーザーは管理タスクを実行できません。 ユーザーが Security Account Manager (SAM) アカウントを使用してワークステーションを管理する場合、これらのサービスが利用可能な場合は、リモート アシスタンスまたはリモート デスクトップで管理するコンピューターに対話的にログオンする必要があります。

ドメイン ユーザー アカウント (Active Directory ユーザー アカウント)

ドメイン ユーザー アカウントを持つユーザーは、Windows Vista コンピューターにリモートでログオンします。 また、ドメイン ユーザーは Administrators グループのメンバーです。 この場合、ドメイン ユーザーはリモート コンピューター上の完全な管理者アクセス トークンで実行され、UAC は有効になりません。

注:

この動作は、Windows XP の動作と変われません。

UAC リモート制限を無効にする方法

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。

UAC リモート制限を無効にするには、次の手順に従います。

  1. [スタート] をクリックして [実行] をクリックし、「Regedit」と入力して Enter キーを押します。

  2. 次のレジストリ サブキーを見つけてクリックします。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  3. レジストリ エントリが LocalAccountTokenFilterPolicy 存在しない場合は、次の手順に従います。

    1. [編集] メニューの [新規] をポイントし、[DWORD 値] を選択します。
    2. LocalAccountTokenFilterPolicy と入力し、Enter キーを押します。

  4. LocalAccountTokenFilterPolicy を右クリックし、[変更] を選択します。

  5. [ 値データ ] ボックスに 「1」と入力し、[ OK] を選択します。

  6. レジストリ エディターを終了します。

この問題は修正されましたか?

問題が解決されたかどうかを確認します。 問題が解決しない場合は、 サポートにお問い合わせください

UAC リモート設定

LocalAccountTokenFilterPolicy レジストリ エントリの値は 0 または 1 です。 これらの値は、レジストリ エントリの動作を次の表で説明されているものに変更します。

説明
0 この値は、フィルター処理されたトークンを構築します。 既定値です。 管理者の資格情報が削除されます。
1 この値は、管理者特権のトークンを構築します。