Vista でのユーザー アカウント制御とリモート制限Windows説明

この記事では、ユーザー アカウント制御 (UAC) とリモート制限について説明します。

適用対象:  WindowsVista
元の KB 番号:   951016

はじめに

ユーザー アカウント制御 (UAC) は、Vista の新しいセキュリティ コンポーネントWindowsです。 UAC を使用すると、ユーザーは管理者以外として一般的な毎日のタスクを実行できます。 これらのユーザーは、Vista の 標準 ユーザー Windowsされます。 ローカル Administrators グループのメンバーであるユーザー アカウントは、最小特権の原則を使用してほとんどのアプリケーション を実行します。 このシナリオでは、最小特権ユーザーには、標準ユーザー アカウントの権限に似た権限があります。 ただし、ローカルの Administrators グループのメンバーが管理者権限を必要とするタスクを実行する必要がある場合、Windows Vista は自動的にユーザーに承認を求めるメッセージを表示します。

UAC リモート制限の動作方法

ローカルの Administrators グループのメンバーであるユーザーを保護するために、ネットワークに UAC 制限を実装します。 このメカニズムは、ループバック攻撃 を防ぐの に役立ちます。 また、このメカニズムは、ローカル悪意のあるソフトウェアが管理者権限でリモートで実行されるのを防ぐのにも役立ちます。

ローカル ユーザー アカウント (セキュリティ アカウント マネージャー ユーザー アカウント)

ターゲット リモート コンピューター上のローカル Administrators グループのメンバーであるユーザーが、たとえば、net use コマンドを使用してリモート管理接続を確立すると、完全な管理者として接続できません。 *\\remotecomputer\Share$ ユーザーはリモート コンピューターで昇格の可能性を持たなく、ユーザーは管理タスクを実行できません。 ユーザーがセキュリティ アカウント マネージャー (SAM) アカウントを使用してワークステーションを管理する場合、これらのサービスが利用可能な場合は、リモート アシスタンスまたはリモート デスクトップで管理するコンピューターに対話的にログオンする必要があります。

ドメイン ユーザー アカウント (Active Directory ユーザー アカウント)

ドメイン ユーザー アカウントを持つユーザーは、リモートで Vista コンピューター Windowsログオンします。 また、ドメイン ユーザーは Administrators グループのメンバーです。 この場合、ドメイン ユーザーはリモート コンピューター上で完全な管理者アクセス トークンを使用して実行され、UAC は有効ではありません。

注意

この動作は、XP の動作とWindowsではありません。

UAC リモート制限を無効にする方法

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「レジストリをバックアップおよび復元する方法」を参照Windows。

UAC リモート制限を無効にするには、次の手順を実行します。

  1. [ スタート] ボタン をクリックし 、[実行] をクリックし 、「regedit」と 入力し、Enter キーを押します。

  2. 次のレジストリ サブキーを見つけてクリックします。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  3. レジストリ エントリ LocalAccountTokenFilterPolicy が存在しない場合は、次の手順を実行します。

    1. [編集] メニューの [新規] をポイント 、[DWORD 値] を選択します
    2. 「LocalAccountTokenFilterPolicy」と入力 し、Enter キーを押します。
  4. [LocalAccountTokenFilterPolicy] を右クリックし、[変更] を 選択します

  5. [値の データ] ボックス「1」と入力、[OK] を選択します

  6. レジストリ エディターを終了します。

これで問題が解決しました

問題が解決されたかどうかを確認します。 問題が解決しない場合は、サポート にお問い合わせください

UAC リモート設定

LocalAccountTokenFilterPolicy レジストリ エントリの値は 0 または 1 です。 これらの値は、レジストリ エントリの動作を次の表に示す動作に変更します。

説明
0 この値は、フィルター処理されたトークンを作成します。 既定値です。 管理者の資格情報が削除されます。
1 この値は、昇格されたトークンを作成します。