Users Guide
8
Microsoft Windows Server 2008 のユーザ
ーアカウント制御
Microsoft Windows Server 2008 以前では、ユーザーアカウントは大抵の場合ローカル管理者グループのメ
ンバーであり、管理者権限へのアクセスが可能でした。管理者アカウントにはシステム全体でのアクセス権
があるため、ローカル管理者グループはソフトウェアのインストール、アップデート、ソフトウェアの実行
ができました。ローカル管理者グループにユーザーが追加されると、そのユーザーには自動的に
Windows
権限が付与されました。これらの権限はオペレーティングシステムリソースのすべてへのアクセスを提供す
ることから、管理者権限を持つユーザーアカウントは、悪意のあるソフトウェア(マルウェア)による侵害
の対象となるオペレーティングシステムリソースへのアクセスを提供することにより、セキュリティリスク
となっていました。
ユーザーアカウント制御(UAC)は Windows Server 2008 オペレーティングシステムで導入された新しいセ
キュリティ機能です。ユーザーアカウント制御を有効にすると、ビルトインのローカル管理者アカウントを
除くすべてのユーザーに対して、重要性の高いシステムリソースへのアクセスが制限されます。
Windows Server 2008 オペレーティングシステムでは次の 3 種類のユーザーアカウントを使用できます。
• ドメイン管理者アカウント。管理者権限を持つユーザーアカウントです。
• 標準ユーザーアカウント。ソフトウェアをインストールしたり、他のユーザーやコンピュータのセキュリ
ティに影響しないシステム設定の変更ができます。
• ローカル管理者アカウント。オペレーティングシステムのデフォルトのスーパーユーザーです。
UAC を有効にされているときは、ユーザーの操作性がドメイン管理者アカウントとローカル管理者アカウン
トユーザーで異なります。ドメイン管理者アカウントがシステムの重要なリソースにアクセスする必要があ
る場合、Windows Server 2008 オペレーティングは、完全な管理者アクセスを必要とするプログラムまたは
タスクを起動する前に次のプロンプトのひとつを表示します。
• 権限を昇格させる許可(ドメイン管理者グループのユーザーの場合)
• 権限を昇格させるためのドメイン管理者の資格情報(標準ユーザーの場合)
UAC は、ドメイン管理者グループのユーザー(管理者アカウント以外)が権限を昇格する必要がある場合は
続行 をクリックするプロンプトを表示し、セキュリティリスクを伴う操作を行う場合は キャンセル をクリ
ックするプロンプトを表示します。UAC では、ユーザーは DUP を実行する前に管理者アカウントにアップ
グレードする必要があります。
メモ: ユーザーの操作性は Security Policy Manager スナップイン(secpol.msc)とグループポリシー
で設定を変更できるため、UAC でのユーザーの操作性は複数あります。この環境で行われた設定選択
は、標準ユーザー、管理者、またはその両方に対して表示されるプロンプトやダイアログに影響しま
す。UAC は、ユーザーアカウント制御:管理者承認モードで管理者を実行 設定を無効にすることで無
効化でき、システムの再起動が必要になります。
DUP を GUI モードで実行している場合、Windows Server 2008 オペレーティングシステムにはユーザーに
よる操作の許可が必要です。ただし、無人モードで DUP を実行している場合は、ユーザーは次の処置のいず
れかを行うことによって、許可のポップアップウィンドウを回避することができます。
43