ユーザー アカウント制御セキュリティ ポリシー設定

セキュリティ ポリシーを使用すると、組織内のユーザー アカウント制御の動作を構成できます。セキュリティ ポリシーをローカルで構成するには、ローカル セキュリティ ポリシー スナップイン (secpol.msc) を使います。グループ ポリシーによってドメイン、OU、または特定のグループに対してセキュリティ ポリシーを構成することもできます。

ユーザー アカウント制御: ビルトイン Administrator アカウントのための管理者承認モード

このポリシー設定では、ビルトイン Administrator アカウントの管理者承認モードの動作を制御します。

  • 有効: ビルトイン Administrator アカウントで管理者承認モードが使用されます。既定では、特権の昇格を必要とするすべての操作について、ユーザーの承認が求められます。

  • 無効 (既定): ビルトイン Administrator アカウントで、すべてのアプリケーションが完全な管理者権限で実行されます。

ユーザー アカウント制御: UIAccess アプリケーションで、セキュリティで保護されたデスクトップを使用せずに昇格時のプロンプトを表示できるようにする

このポリシー設定では、ユーザー インターフェイス アクセシビリティ (UIAccess または UIA) プログラムで、標準ユーザーが使用する昇格時のプロンプトに対して、セキュリティで保護されたデスクトップを自動的に無効にできるようにするかどうかを制御します。

  • 有効: Windows リモート アシスタンスなどの UIA プログラムが、昇格時のプロンプトに対して、セキュリティで保護されたデスクトップを自動的に無効にします。[ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える] ポリシー設定を無効にしない場合、プロンプトは、セキュリティで保護されたデスクトップではなく、対話ユーザーのデスクトップに表示されます。

  • 無効 (既定): セキュリティで保護されたデスクトップは、対話型デスクトップのユーザー、または [ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える] ポリシー設定を無効にすることによってのみ無効にできます。

ユーザー アカウント制御: 管理者承認モードでの管理者に対する昇格時のプロンプトの動作

このポリシー設定では、管理者の昇格時のプロンプトの動作を制御します。

  • 確認を要求しないで昇格する: 昇格を必要とする操作を、特権を持つアカウントが同意または資格情報なしで実行できます。

      このオプションは、最も制限の厳しい環境でのみ使用します。

     

  • セキュリティで保護されたデスクトップで資格情報を要求する: 特権の昇格を必要とする操作を行うと、ユーザーは、セキュリティで保護されたデスクトップで、特権を持つユーザーの名前とパスワードを入力するように求められます。有効な資格情報を入力すると、そのユーザーが利用できる最も高い特権を使って操作が続行されます。

  • セキュリティで保護されたデスクトップで同意を要求する: 特権の昇格を必要とする操作を行うと、ユーザーは、セキュリティで保護されたデスクトップで、[許可] または [拒否] のいずれかを選択するように求められます。[許可] を選択すると、そのユーザーが利用できる最も高い特権を使って操作が続行されます。

  • 資格情報を要求する: 特権の昇格を必要とする操作を行うと、ユーザーは、管理ユーザーの名前とパスワードを入力するように求められます。有効な資格情報を入力すると、適用できる特権を使って操作が続行されます。

  • 同意を要求する: 特権の昇格を必要とする操作を行うと、ユーザーは、[許可] または [拒否] のいずれかを選択するように求められます。[許可] を選択すると、そのユーザーが利用できる最も高い特権を使って操作が続行されます。

  • Windows 以外のバイナリに対する同意を要求する (既定): Microsoft 以外のアプリケーションについて、特権の昇格を必要とする操作を行うと、ユーザーは、セキュリティで保護されたデスクトップで、[許可] または [拒否] のいずれかを選択するように求められます。[許可] を選択すると、そのユーザーが利用できる最も高い特権を使って操作が続行されます。

ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作

このポリシー設定では、標準ユーザーの昇格時のプロンプトの動作を制御します。

  • 資格情報を要求する (既定): 特権の昇格を必要とする操作を行うと、ユーザーは、管理ユーザーの名前とパスワードを入力するように求められます。有効な資格情報を入力すると、適用できる特権を使って操作が続行されます。

  • 昇格の要求を自動的に拒否する: 特権の昇格を必要とする操作を行うと、構成可能なアクセス拒否エラー メッセージが表示されます。標準ユーザーとしてデスクトップを実行しているエンタープライズについては、この設定を選択することで、ヘルプ デスクへの問い合わせが少なくなる可能性があります。

  • セキュリティで保護されたデスクトップで資格情報を要求する: 特権の昇格を必要とする操作を行うと、ユーザーは、セキュリティで保護されたデスクトップで、別のユーザーの名前とパスワードを入力するように求められます。有効な資格情報を入力すると、適用できる特権を使って操作が続行されます。

ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格をプロンプトする

このポリシー設定では、コンピューターのアプリケーション インストール検出の動作を制御します。

  • 有効 (既定): 特権の昇格を必要とするアプリ インストール パッケージが検出されたとき、ユーザーは、管理ユーザーの名前とパスワードを入力するように求められます。有効な資格情報を入力すると、適用できる特権を使って操作が続行されます。
  • 無効: アプリ インストール パッケージが検出されず、昇格時のプロンプトは表示されません。標準ユーザーとしてデスクトップを実行し、グループ ポリシー、System Center Configuration Manager などのインストール委任テクノロジを使っているエンタープライズについては、このポリシー設定を無効にする必要があります。この場合は、インストーラーの検出は必要ありません。

ユーザー アカウント制御: 署名および検証された実行ファイルのみを昇格する

このポリシー設定では、特権の昇格を要求する対話型アプリケーションの公開キー基盤 (PKI) 署名の確認を実施します。エンタープライズ管理者がどのアプリケーションの実行を許可するかを制御するには、ローカル コンピューターの信頼された発行元の証明書ストアに証明書を追加します。

  • 有効: 指定された実行可能ファイルの実行を許可する前に、その証明書の証明パス検証を実施します。

  • 無効 (既定): 証明書の証明パス検証を実施せずに、指定された実行可能ファイルの実行を許可します。

ユーザー アカウント制御: 安全な場所にインストールされている UIAccess アプリケーションの昇格のみ

このポリシー設定では、ユーザー インターフェイス アクセシビリティ (UIAccess) 整合性レベルで実行を要求するアプリケーションを、ファイル システムのセキュリティで保護された場所に配置する必要があるかどうかを制御します。セキュリティで保護された場所は以下に制限されます。 - …\Program Files\ (サブフォルダーを含む) - …\Windows\system32\ - …\Program Files (x86)\ (64 ビット版 Windows のサブフォルダーを含む)

  

このセキュリティ設定の状態に関係なく、UIAccess 整合性レベルでの実行を要求するすべての対話型アプリに対して、デジタル署名の確認が Windows によって実施されます。

 

  • 有効 (既定): ファイル システムのセキュリティで保護された場所にあるアプリについては、UIAccess 整合性でのみ実行されます。

  • 無効: ファイル システムのセキュリティで保護された場所にないアプリでも、UIAccess 整合性で実行されます。

ユーザー アカウント制御: 管理者承認モードを有効にする

このポリシー設定では、コンピューターのすべてのユーザー アカウント制御 (UAC) ポリシー設定の動作を制御します。このポリシー設定を変更する場合は、コンピューターを再起動する必要があります。

  • 有効 (既定): 管理者承認モードが有効になります。ビルトイン Administrator アカウントと、Administrators グループのメンバーである他のすべてのユーザーを、管理者承認モードで実行できるようにするには、このポリシーを有効にして、関連する UAC ポリシー設定も適切に設定する必要があります。

  • 無効: 管理者承認モードとすべての関連 UAC ポリシー設定が無効になります。注: このポリシー設定を無効にすると、セキュリティ センターによって、オペレーティング システムの全体的なセキュリティが低下することが通知されます。

ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える

このポリシー設定では、対話ユーザーのデスクトップまたはセキュリティで保護されたデスクトップに、昇格要求のプロンプトを表示するかどうかを制御します。

  • 有効 (既定): 管理者と標準ユーザーのプロンプト動作ポリシー設定にかかわらず、すべての昇格要求がセキュリティで保護されたデスクトップに送られます。

  • 無効: すべての昇格要求が、対話ユーザーのデスクトップに送られます。管理者および標準ユーザーのプロンプト動作ポリシー設定が使用されます。

ユーザー アカウント制御: ファイルおよびレジストリの書き込みエラーを各ユーザーの場所に仮想化する

このポリシー設定では、アプリケーションの書き込みエラーを、定義されたレジストリとファイル システムの場所にリダイレクトするかどうかを制御します。このポリシー設定によって、管理者として実行され、実行時アプリケーション データを %ProgramFiles%、%Windir%、%Windir%\system32、または HKLM\Software に書き込むアプリケーションの負荷が軽減されます。

  • 有効 (既定): アプリの書き込みエラーが、ファイル システムとレジストリの両方に対して定義されたユーザーの場所に実行時にリダイレクトされます。

  • 無効: 保護された場所にデータを書き込むアプリが失敗します。