グループポリシーでのUAC(ユーザーアカウント制御)制御について

Kojima, Kenichi 0 評価のポイント
2024-04-17T09:54:50.13+00:00

グループポリシーでUACの制御を行いたいです。

グループポリシーで一般ユーザーが.exeファイルなどのインストーラーを実行して

できないようにするためにUACを行いたいのですがグループポリシー上で

どこをいじると昇格プロンプトが表示されて管理者権限が必要なので

パスワードを入力してください。といったような設定をすることができますか?

グループポリシーの**ユーザー アカウント制御:**の箇所になると思いますが、

詳しいかたいたら教えていただけないでしょうか?

Windows Server 2019
Windows Server 2019
データ ストレージに更新されたエンタープライズ レベルの管理をサポートする Microsoft サーバー オペレーティング システム。
31 件の質問
Windows Server 2016
Windows Server 2016
データ ストレージに更新されたエンタープライズ レベルの管理をサポートする Microsoft サーバー オペレーティング システム。
24 件の質問
Windows Server 2012
Windows Server 2012
エンタープライズ レベルの管理、データ ストレージ、アプリケーション、通信をサポートする Microsoft サーバー オペレーティング システム。
2 件の質問
{count} 件の投票

3 件の回答

並べ替え方法: 最も役に立つ
  1. チャブーン 1,706 評価のポイント MVP
    2024-04-18T01:53:16.58+00:00

    チャブーンです。

    この件ですが、まず大前提として「管理者権限昇格時にパスワード入力を必須にする」場合は、デスクトップログオンユーザーと別のユーザーが管理者でないといけないです。仮にログオンユーザーが「ローカル管理者権限」をもっている場合、UACの設定で「昇格時にUIプロンプトを表示する」ことはできても、パスワードの入力は求められません。

    で、答えの方ですが、一般ユーザーが「ローカル管理者権限(ドメイン管理者権限もですが)」をもっていないのであれば、何もしなくてもインストール時にプログラムから昇格を求められれば、自動的にUIプロンプトと管理者権限の資格情報が求められます。

    上記の仕様を考えると、質問者さんは「(サードパーティの).exeファイルで無条件にUIプロンプトを表示させたい」を要望されていると思うのですが、昇格を求めるかどうかは、プログラム(インストーラー)の仕様に依存します。そもそもインストーラーが昇格を求めないのに、OSが勝手に忖度して昇格を求めるように操作する、こういう機能はWindowsにはありません。

    ですので、このようなケースでは次善の策として、「xxx.exeファイル(インストーラーの名前)は実行させない」という設定で妥協策がとられることがあります。AppLockerという機能が該当します。したの資料を見るとよいでしょう。

    https://jpwinsup.github.io/blog/2022/09/09/UserInterfaceAndApps/AppLocker/AppLocker-AD/AppLocker-AD?WT.mc_id=EM-MVP-8322

    0 件のコメント コメントはありません

  2. Hebikuzure aka Murachi Akira 11,101 評価のポイント MVP
    2024-04-18T05:16:55.8+00:00

    と類似の話のようですが、ユーザー権限で実行可能な実行ファイル(アプリケーションにインストーラーでもそれ以外でも)について、UAC などでパスワードを求めることはできません。

    また AppLocker でも不特定の実行ファイルを実行禁止にする(Allow list で制御する)方法はチャブーンさんが示されているドキュメントでも触れられていますが、想定外の様々な問題が生じる可能性が高くお勧めできませんし、構成した場合の運用負荷が高くなると思います。

    そもそも「一般ユーザーが.exeファイルなどのインストーラーを実行してできないようにする」ことで何を守りたいのか、よく検討されることをお勧めします。

    0 件のコメント コメントはありません

  3. Yanhong Liu 13,835 評価のポイント Microsoft ベンダー
    2024-04-18T06:11:32.6366667+00:00

    こんにちは、

    はい、グループ ポリシーを通じてユーザー アカウント制御 (UAC) の動作を制御できます。これにより、ユーザーが昇格された特権を必要とするプログラム (インストーラーなど) を実行しようとすると、昇格プロンプトが表示され、ユーザーに管理者のパスワード。 設定するための具体的な手順は次のとおりです。

    グループ ポリシー管理エディターを開き、次のパスを順に展開します。 [コンピューターの構成] - [ポリシー] - [Windows の設定] - [セキュリティの設定] - [ローカル ポリシー] - [セキュリティ オプション]、ユーザー アカウント制御関連のポリシーを見つけて構成します。

    1. ユーザー アカウント制御: 管理者承認モードでの管理者のプロモーション プロンプトの動作。 この設定は、管理者アカウントが昇格された特権を必要とする操作を実行しようとするときの UAC プロンプトのスタイルを決定します。 [資格情報の入力を求める] を選択して、各昇格操作に管理者パスワードが必要であることを確認します。

    User's image

    2. ユーザー アカウント制御: アプリケーションのインストールを検出し、アップグレードを要求します。 この設定を有効にすると、ユーザーがアプリケーションをインストールしようとすると、UAC がそれを検出し、ユーザーに権限昇格を求めるプロンプトが表示されます。

    これら 2 つのポリシー設定は、通常のユーザーがインストーラーを実行できるようにするというニーズには十分ですが、昇格した特権操作 (インストーラーなど) になると、UAC プロンプトがポップアップ表示され、管理者パスワードの入力を求められます。

    設定が完了したら、グループ ポリシー管理エディターを閉じ、グループ ポリシーが更新されるのを待ちます (デフォルトは 90 分、または手動で更新をトリガーします)。その後、ターゲット コンピューターに新しい設定を適用します。

    上記の情報がお役に立てば幸いです。

    心から

    ===========================================

    回答が役に立った場合は、「回答を受け入れる」をクリックして高評価をお願いします。


お客様の回答

回答は、質問作成者が [承諾された回答] としてマークできます。これは、ユーザーが回答が作成者の問題を解決したことを知るのに役立ちます。