Users Guide
8
Microsoft Windows Server 2008 のユーザーアカウ
ント制御
Microsoft Windows Server 2008 以前では、ユーザーアカウントは大抵の場合ローカル管理者グループのメンバーであり、管
理者権限へのアクセスが可能でした。管理者アカウントにはシステム全体でのアクセス権があるため、ローカル管理者グル
ープはソフトウェアのインストール、アップデート、ソフトウェアの実行ができました。ローカル管理者グループにユーザ
ーが追加されると、そのユーザーには自動的に Windows 権限が付与されました。これらの権限はオペレーティングシステム
リソースのすべてへのアクセスを提供することから、管理者権限を持つユーザーアカウントは、悪意のあるソフトウェア(マ
ルウェア)による侵害の対象となるオペレーティングシステムリソースへのアクセスを提供することにより、セキュリティ
リスクとなっていました。
ユーザーアカウント制御(UAC)は Windows Server 2008 オペレーティングシステムで導入された新しいセキュリティ機能で
す。ユーザーアカウント制御を有効にすると、ビルトインのローカル管理者アカウントを除くすべてのユーザーに対して、
重要性の高いシステムリソースへのアクセスが制限されます。
Windows Server 2008 オペレーティングシステムでは次の 3 種類のユーザーアカウントを使用できます。
• ドメイン管理者アカウント。管理者権限を持つユーザーアカウントです。
• 標準ユーザーアカウント。ソフトウェアをインストールしたり、他のユーザーやコンピュータのセキュリティに影響しな
いシステム設定の変更ができます。
• ローカル管理者アカウント。オペレーティングシステムのデフォルトのスーパーユーザーです。
UAC を有効にされているときは、ユーザーの操作性がドメイン管理者アカウントとローカル管理者アカウントユーザーで異
なります。ドメイン管理者アカウントがシステムの重要なリソースにアクセスする必要がある場合、
Windows Server 2008 オ
ペレーティングは、完全な管理者アクセスを必要とするプログラムまたはタスクを起動する前に次のプロンプトのひとつを
表示します。
• 権限を昇格させる許可(ドメイン管理者グループのユーザーの場合)
• 権限を昇格させるためのドメイン管理者の資格情報(標準ユーザーの場合)
UAC は、ドメイン管理者グループのユーザー(管理者アカウント以外)が権限を昇格する必要がある場合は 続行 をクリック
するプロンプトを表示し、セキュリティリスクを伴う操作を行う場合は
キャンセル をクリックするプロンプトを表示しま
す。UAC では、ユーザーは DUP を実行する前に管理者アカウントにアップグレードする必要があります。
メモ: ユーザーの操作性は Security Policy Manager スナップイン(secpol.msc)とグループポリシーで設定を変更でき
るため、UAC でのユーザーの操作性は複数あります。この環境で行われた設定選択は、標準ユーザー、管理者、または
その両方に対して表示されるプロンプトやダイアログに影響します。UAC は、ユーザーアカウント制御:管理者承認モ
ードで管理者を実行
設定を無効にすることで無効化でき、システムの再起動が必要になります。
DUP を GUI モードで実行している場合、Windows Server 2008 オペレーティングシステムにはユーザーによる操作の許可が
必要です。ただし、無人モードで
DUP を実行している場合は、ユーザーは次の処置のいずれかを行うことによって、許可の
ポップアップウィンドウを回避することができます。
• グループセキュリティポリシー User Account Control: Behavior of the elevation prompt for administrators in Admin Approval
Mode
を プロンプトなし に変更してポップアップウィンドウを無効化、または管理者グループにプロンプトを表示するこ
となく権限を昇格させます。
• UAC を無効にします。
• スクリプトを使用して DUP を実行し、ランタイムにローカル管理者として操作を行います。
• システムメモリ使用率に関連する Dell DUP HDD ファームウェアアップデートユーティリテイには、サーバー内に少なく
とも 8~16 GB RAM が必要です。
38