ユーザー アカウント制御: ビルトイン Administrator アカウントのための管理者承認モード
適用対象
- Windows 11
- Windows 10
ユーザー アカウント制御のベスト プラクティス、場所、値、ポリシー管理、セキュリティに関する考慮事項について説明します。組み込みの管理者アカウントのセキュリティ ポリシー設定の承認モードを管理します。
リファレンス
このポリシー設定は、組み込みの管理者アカウント管理承認モードの動作を決定します。 管理承認モードが有効になっている場合、ローカル管理者アカウントは標準ユーザー アカウントと同様に機能しますが、別のアカウントを使用してログオンせずに特権を昇格できます。 このモードでは、特権の昇格を必要とする操作には、管理者が特権の昇格を許可または拒否することを許可するプロンプトが表示されます。 管理承認モードが有効になっていない場合、組み込みの管理者アカウントは既定ですべてのアプリケーションを完全な管理者権限で実行します。 既定では、管理承認モードは [無効] に設定されています。
注
コンピューターが以前のバージョンの Windows オペレーティング システムからアップグレードされ、管理者アカウントがコンピューター上の唯一のアカウントである場合、組み込みの管理者アカウントは有効のままになり、この設定も有効になります。
値
有効
組み込みの管理者アカウントは管理承認モードでログオンするため、特権の昇格を必要とする操作には、特権の昇格を許可または拒否するためのオプションを管理者に提供するプロンプトが表示されます。
無効
管理承認モードが有効になっていない場合、組み込みの管理者アカウントは既定ですべてのアプリケーションを完全な管理者権限で実行します
ベスト プラクティス
クライアント コンピューターで組み込みの管理者アカウントを有効にするのではなく、代わりに標準のユーザー アカウントとユーザー アカウント制御 (UAC) を使用することをお勧めします。 組み込みの管理者アカウントで管理タスクを実行できるようにする場合は、セキュリティ上の理由から、管理承認モードも有効にする必要があります。 「UAC-管理-Approval-Mode-for-the-Built-in-Administrator-account」を参照してください
管理承認モードを有効にするには、ローカル セキュリティ ポリシー設定 [ユーザー アカウント制御: 管理承認モードの管理者に対する昇格プロンプトの動作] を構成して、セキュリティで保護されたデスクトップで同意を求め、[OK] をクリックする必要もあります。
注
承認モード管理有効にした後、設定をアクティブにするには、最初にログインしてログアウトする必要があります。または、管理者特権のコマンド プロンプトから gpupdate /force を実行することもできます。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、実際のポリシー値と有効なこのポリシーの規定の値を示します。 既定値は、このポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
| 既定のドメイン ポリシー | 未定義 |
| 既定のドメイン コントローラー ポリシー | 未定義 |
| スタンドアロン サーバーの既定の設定 | 無効 |
| DC の有効な既定の設定 | 無効 |
| メンバー サーバーの有効な既定の設定 | 無効 |
| クライアント コンピューターの有効な既定の設定 | 無効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能とツールについて説明します。
再起動の必要性
なし。 変更は、ローカルに保存されたとき、またはグループ ポリシー経由で配布されたときに、デバイスを再起動しなくても有効になります。
セキュリティに関する考慮事項
このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。
脆弱性
UAC 機能が軽減しようとするリスクの 1 つは、ユーザーまたは管理者がアクティビティを認識せずに、管理者特権の資格情報で実行されている悪意のあるソフトウェアのリスクです。 悪意のあるプログラムの攻撃ベクトルは、そのユーザー アカウントが Windows のすべてのインストール用に作成されたため、管理者アカウントのパスワードを検出することです。 このリスクに対処するために、少なくとも Windows Vista を実行しているコンピューターでは、組み込みの管理者アカウントが無効になっています。 少なくとも Windows Server 2008 を実行しているコンピューターでは、管理者アカウントが有効になっており、管理者が初めてログオンするときはパスワードを変更する必要があります。 少なくとも Windows Vista を実行しているコンピューターの既定のインストールでは、コンピューターがドメインに参加していない場合、作成する最初のユーザー アカウントには、ローカル管理者の同等のアクセス許可があります。
対抗策
組み込みの管理者アカウントが有効になっている場合は、[ユーザー アカウント制御: 管理承認モード] 設定を有効にします。
潜在的な影響
ローカル管理者アカウントを使用してサインインするユーザーは、プログラムが特権の昇格を要求するたびに同意を求められます。