次の方法で共有

Windows Vista でのユーザー アカウント制御とリモート制限の説明

  • [アーティクル]

この記事では、ユーザー アカウント制御 (UAC) とリモート制限について説明します。

適用対象: Windows Vista
元の KB 番号: 951016

はじめに

ユーザー アカウント制御 (UAC) は、Windows Vista の新しいセキュリティ コンポーネントです。 UAC を使用すると、ユーザーは一般的な日常的なタスクを管理者以外として実行できます。 これらのユーザーは、Windows Vista 標準ユーザー と呼ばれます。 ローカル Administrators グループのメンバーであるユーザー アカウントは、 権限の原則を使用して、ほとんどのアプリケーションを実行します。 このシナリオでは、最小限の特権を持つユーザーには、標準ユーザー アカウントの権限に似た権限があります。 ただし、ローカルの Administrators グループのメンバーが管理者権限を必要とするタスクを実行する必要がある場合、Windows Vista は自動的にユーザーに承認を求めます。

UAC リモート制限のしくみ

ローカルの Administrators グループのメンバーであるユーザーをより適切に保護するために、ネットワークに UAC 制限を実装します。 このメカニズムは、 loopback 攻撃を防ぐのに役立ちます。 このメカニズムは、ローカルの悪意のあるソフトウェアが管理者権限でリモートで実行されるのを防ぐのにも役立ちます。

ローカル ユーザー アカウント (Security Account Manager ユーザー アカウント)

たとえば、ターゲット リモート コンピューター上のローカル Administrators グループのメンバーであるユーザーが、net use *\\remotecomputer\Share$ コマンドを使用してリモート管理接続を確立した場合、完全な管理者として接続しません。 ユーザーはリモート コンピューターで昇格の可能性がなく、ユーザーは管理タスクを実行できません。 ユーザーがセキュリティ アカウント マネージャー (SAM) アカウントでワークステーションを管理する場合、これらのサービスが利用可能な場合は、リモート アシスタンスまたはリモート デスクトップで管理するコンピューターに対話形式でログオンする必要があります。

ドメイン ユーザー アカウント (Active Directory ユーザー アカウント)

ドメイン ユーザー アカウントを持つユーザーは、Windows Vista コンピューターにリモートでログオンします。 また、ドメイン ユーザーは Administrators グループのメンバーです。 この場合、ドメイン ユーザーはリモート コンピューターで完全な管理者アクセス トークンを使用して実行され、UAC は有効になりません。

Note

この動作は、Windows XP の動作と変わります。

UAC リモート制限を無効にする方法

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 したがって、次の手順を注意深く実行してください。 保護のために、レジストリを変更する前に、バックアップします。 その後、問題が起こった場合は、レジストリを復元できます。 レジストリのバックアップと復元方法の詳細は、「Windows のレジストリのバックアップおよび復元の方法」を参照してください。

UAC リモート制限を無効にするには、次の手順に従います。

  1. [スタート][ファイル名を指定して実行] の順にクリックし、「regedit」と入力して、Enter キーを押します。

  2. 次のレジストリ サブキーを見つけてクリックします。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  3. LocalAccountTokenFilterPolicy というレジストリ エントリが存在しない場合は、次の手順を実行します。

    1. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
    2. LocalAccountTokenFilterPolicy」と入力し、Enter キーを押します。

  4. LocalAccountTokenFilterPolicy を右クリックして、[変更] を選択します。

  5. [値] データ ボックスに「1」と入力し、[OK] を選択します。

  6. レジストリ エディターを終了します。

これで問題が解決しましたか?

問題が解決されたかどうかを確認します。 問題が解決しない場合は、サポートを変更してください。

UAC リモート設定

LocalAccountTokenFilterPolicy レジストリ エントリの値は 0 または 1 にすることができます。 これらの値は、レジストリ エントリの動作を次の表に示す動作に変更します。

説明
0 この値は、フィルター処理されたトークンを構築します。 既定値です。 管理者の資格情報が削除されます。
1 この値は、昇格されたトークンを構築します。