ユーザー アカウント制御グループ ポリシーとレジストリ キー設定

適用対象

  • Windows 10
  • Windows Server 2016

グループ ポリシー設定

ユーザーアカウント制御 (UAC) 用に構成できるグループポリシー設定が10つあります。 以下の表は、各ポリシー設定の既定値を示しています。次のセクションでは、さまざまな UAC ポリシー設定について説明し、推奨事項を説明します。 これらのポリシー設定は、ローカルセキュリティポリシースナップインのセキュリティ Settings\Local Policies\Security オプションにあります。 グループポリシーの各設定の詳細については、「グループポリシーの説明」を参照してください。 レジストリキーの設定の詳細については、「レジストリキーの設定」を参照してください。

グループ ポリシー設定 レジストリ キー 既定値
ユーザーアカウント制御: 組み込みの管理者アカウントの管理者承認モード Filterのアドミニストレータートークン 無効
ユーザー アカウント制御: UIAccess アプリケーションで、セキュリティで保護されたデスクトップを使用せずに昇格のプロンプトを表示できるようにする EnableUIADesktopToggle 無効
ユーザー アカウント制御: 管理者承認モードでの管理者に対する昇格時のプロンプトの動作 Con/Promptの管理 Windows 以外のバイナリに同意するかどうかを確認する
ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作 Con(Prompt) ユーザー セキュリティで保護されたデスクトップで資格情報の入力を求める
ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格をプロンプトする Enableインストーラ検出 有効 (ホームの既定)
無効 (エンタープライズの既定)
ユーザー アカウント制御: 署名され検証された実行ファイルのみを昇格する ValidateAdminCodeSignatures 無効
ユーザー アカウント制御: 安全な場所にインストールされている UIAccess アプリケーションの昇格のみ EnableSecureUIAPaths 有効
ユーザー アカウント制御: 管理者承認モードですべての管理者を実行する EnableLUA 有効
ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える PromptOnSecureDesktop 有効
ユーザー アカウント制御: ファイルおよびレジストリの書き込みエラーを各ユーザーの場所に仮想化する EnableVirtualization 有効

ユーザーアカウント制御: 組み込みの管理者アカウントの管理者承認モード

ユーザーアカウント制御: 組み込みの管理者アカウントのポリシー設定の管理者承認モードは、組み込みの管理者アカウントの管理者承認モードの動作を制御します。

オプションは次のとおりです。

  • 有効。 組み込みの管理者アカウントでは、管理者承認モードが使用されます。 既定では、特権の昇格が必要な操作によって、ユーザーに操作の承認が求められます。
  • 無効になります。 設定組み込みの管理者アカウントでは、完全な管理者特権を持つすべてのアプリケーションが実行されます。

ユーザー アカウント制御: UIAccess アプリケーションで、セキュリティで保護されたデスクトップを使用せずに昇格のプロンプトを表示できるようにする

ユーザーアカウント制御: セキュリティで保護されたデスクトップポリシー設定を使用せずに、uiaccess アプリケーションが昇格を要求することを許可します。 ユーザーインターフェイスのアクセシビリティ (UIAccess または UIA) プログラムでセキュリティで保護されたデスクトップを自動的に無効にするかどうかを制御します。標準ユーザーによって使用される昇格のプロンプト。

オプションは次のとおりです。

  • 有効。 UIA プログラム (Windows リモートアシスタンスを含む) は、セキュリティで保護されたデスクトップを自動的に無効にして、昇格の確認を求めます。 ユーザーアカウント制御を無効にしない場合: 昇格ポリシー設定を求められたときに、セキュリティで保護されたデスクトップに切り替えると、セキュリティで保護されたデスクトップではなく、対話ユーザーのデスクトップにプロンプトが表示されます。
  • 無効になります。 設定セキュリティで保護されたデスクトップを無効にするには、対話型デスクトップのユーザーを使用するか、ユーザーアカウントコントロールを無効にします。昇格ポリシー設定の確認を求めるときに、セキュリティで保護されたデスクトップに切り替えます。

UIA プログラムは、ユーザーの代わりに Windows とアプリケーションプログラムを操作するように設計されています。 このポリシー設定を使用すると、UIA プログラムはセキュリティで保護されたデスクトップを回避して、特定の場合に使いやすくすることができます。ただし、セキュリティで保護されたデスクトップではなく、対話的なデスクトップでも昇格要求を許可すると、セキュリティ上のリスクが増大する可能性があります。

UIA プログラムは、セキュリティ上の問題に関するプロンプト (UAC 昇格プロンプトなど) に応答できる必要があるため、デジタル署名が必要です。 既定では、UIA プログラムは、次の保護されたパスからのみ実行されます。

  • ..\Program ファイル (サブフォルダーを含む)
  • ..\Program ファイル (x86)、64ビット版の Windows のサブフォルダーを含む
  • ...\Windows\System32

ユーザーアカウント制御: セキュリティ保護された場所にインストールされている UIAccess アプリケーションのみを昇格するポリシー設定では、保護されたパスから実行する必要がなくなります。

このポリシー設定は、UIA プログラムに適用されますが、主に Windows 7 の Windows リモートアシスタンスプログラムなど、特定のリモートアシスタンスのシナリオで使用されます。

ユーザーが管理者にリモートアシスタンスを要求し、リモートアシスタンスセッションが確立されると、対話ユーザーのセキュリティで保護されたデスクトップに、管理者のリモートセッションが一時停止されます。 昇格要求中にリモート管理者のセッションが一時停止されないようにするには、リモートアシスタンスセッションを設定するときに、ユーザーが [ユーザーアカウント制御プロンプトに応答することを許可する] チェックボックスをオンにします。 ただし、このチェックボックスをオンにすると、対話型ユーザーはセキュリティで保護されたデスクトップの昇格の確認メッセージに応答する必要があります。 対話型ユーザーが標準ユーザーの場合、ユーザーは、昇格を許可するために必要な資格情報を持っていません。

このポリシー設定を有効にした場合、昇格要求は、(セキュリティで保護されたデスクトップではなく) 対話型デスクトップに自動的に送信され、リモートアシスタンスセッション中は、デスクトップのリモート管理者のビューにも表示されます。 これにより、リモート管理者は、昇格のための適切な資格情報を提供することができます。

このポリシー設定では、管理者の UAC 昇格のプロンプトの動作は変更されません。

このポリシー設定を有効にする予定の場合は、 「ユーザーアカウント制御: 標準ユーザーに対する昇格プロンプトの動作」の動作も確認する必要があります。 自動的に昇格要求を拒否するように構成されている場合、昇格要求はユーザーに表示されません。

ユーザー アカウント制御: 管理者承認モードでの管理者に対する昇格時のプロンプトの動作

ユーザーアカウント制御: 管理者承認モードの管理者に対する昇格プロンプトの動作管理者に対する昇格プロンプトの動作を制御します。

オプションは次のとおりです。

  • プロンプトを表示せずに昇格します。 権限を持つアカウントが、承認または資格情報を必要とせずに、昇格を必要とする操作を実行できるようにします。

    このオプションは、制限された環境でのみ使用してください。

  • セキュリティで保護されたデスクトップで資格情報の入力を求めます。 操作に特権の昇格が必要な場合は、ユーザーはセキュリティで保護されたデスクトップで、管理者のユーザー名とパスワードを入力するように求められます。 ユーザーが有効な資格情報を入力すると、使用可能な最大の権限で操作が続行されます。

  • セキュリティで保護されたデスクトップの同意を求めます。 操作に特権の昇格が必要な場合は、ユーザーはセキュリティで保護されたデスクトップで許可または拒否のいずれかを選択するように求められます。 ユーザーが [許可する] を選択した場合、操作はユーザーの最も高い利用可能な特権で続行されます。
  • 資格情報の入力を求めます。 操作に特権の昇格が必要な場合は、管理者のユーザー名とパスワードを入力するように求められます。 ユーザーが有効な資格情報を入力すると、該当する特権で操作が続行されます。
  • 同意を求めます。 操作に特権の昇格が必要な場合、許可拒否のどちらかを選択するように求められます。 ユーザーが [許可する] を選択した場合、操作はユーザーの最も高い利用可能な特権で続行されます。
  • Windows 以外のバイナリの同意を求めます。 設定Microsoft 以外のアプリケーションの操作で特権の昇格が必要な場合は、ユーザーはセキュリティで保護されたデスクトップで許可または拒否のいずれかを選択するように求められます。 ユーザーが [許可する] を選択した場合、操作はユーザーの最も高い利用可能な特権で続行されます。

ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作

ユーザーアカウント制御: 標準ユーザーに対する昇格プロンプトの動作ポリシー設定では、標準ユーザーに対する昇格プロンプトの動作が制御されます。

オプションは次のとおりです。

  • 昇格要求を自動的に拒否します。 操作に特権の昇格が必要な場合は、構成可能なアクセス拒否エラーメッセージが表示されます。 標準ユーザーとしてデスクトップを実行している企業では、この設定を選んで、ヘルプデスクへの通話を減らすことができます。
  • セキュリティで保護されたデスクトップで資格情報の入力を求めます。 設定操作に特権の昇格が必要な場合、ユーザーはセキュリティで保護されたデスクトップで、別のユーザー名とパスワードを入力するように求められます。 ユーザーが有効な資格情報を入力すると、該当する特権で操作が続行されます。
  • 資格情報の入力を求めます。 操作に特権の昇格が必要な場合は、管理者のユーザー名とパスワードを入力するように求められます。 ユーザーが有効な資格情報を入力すると、該当する特権で操作が続行されます。

ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格をプロンプトする

ユーザーアカウント制御: アプリケーションのインストールを検出し、ポリシー設定の昇格を確認します。コンピューターのアプリケーションのインストール検出の動作が制御されます。

オプションは次のとおりです。

  • 有効。 (自宅の場合の既定値)特権の昇格が必要なアプリケーションインストールパッケージが検出されると、ユーザーは管理者のユーザー名とパスワードを入力するように求められます。 ユーザーが有効な資格情報を入力すると、該当する特権で操作が続行されます。
  • 無効になります。 (既定ではエンタープライズ)アプリケーションのインストールパッケージが検出され、昇格が求められることはありません。 標準ユーザーデスクトップを実行していて、グループポリシーソフトウェアインストールまたは Systems Management Server (SMS) などの委任済みインストールテクノロジを使用している企業は、このポリシー設定を無効にする必要があります。 この場合、インストーラーの検出は不要です。

ユーザー アカウント制御: 署名され検証された実行ファイルのみを昇格する

ユーザーアカウント制御: 署名済みと検証済みのポリシー設定によって、公開キー基盤 (PKI) 署名チェックが、特権の昇格を要求する対話型アプリケーションに対して強制されます。 エンタープライズ管理者は、ローカルコンピューター上の信頼できる発行元証明書ストアに証明書を追加することによって、実行できるアプリケーションを制御できます。

オプションは次のとおりです。

  • 有効。 特定の実行可能ファイルに対して PKI 証明書パスの検証を強制してから実行を許可します。
  • 無効になります。 設定特定の実行可能ファイルを実行することを許可する前に、PKI 証明書パスの検証を強制しません。

ユーザー アカウント制御: 安全な場所にインストールされている UIAccess アプリケーションの昇格のみ

ユーザーアカウント制御: セキュリティで保護された場所にインストールされている UIAccess アプリケーションのみを昇格するポリシー設定では、ユーザーインターフェイスアクセシビリティ (UIAccess) 整合性レベルでの実行を要求するアプリケーションがセキュリティで保護されている必要があるかどうかを制御します。ファイルシステム内の場所。 セキュリティで保護された場所は、次のように制限されています。

  • ..\Program ファイル (サブフォルダーを含む)
  • ...\Windows\system32
  • ..\Program ファイル (x86)、64ビット版の Windows のサブフォルダーを含む

Windows では、このセキュリティ設定の状態に関係なく、UIAccess 整合性レベルでの実行を要求する対話型アプリケーションで PKI 署名チェックが強制されます。

オプションは次のとおりです。

  • 有効。 設定アプリケーションがファイルシステム内のセキュリティで保護された場所に存在する場合、アプリケーションは UIAccess 整合性でのみ実行されます。
  • 無効になります。 アプリケーションは、ファイルシステム内のセキュリティで保護された場所に存在しない場合でも、UIAccess 整合性で実行されます。

ユーザー アカウント制御: 管理者承認モードですべての管理者を実行する

ユーザーアカウント制御: すべての管理者管理者承認モードのポリシー設定は、コンピューターのすべての UAC ポリシー設定の動作を制御します。 このポリシー設定を変更する場合は、コンピューターを再起動する必要があります。

オプションは次のとおりです。

  • 有効。 設定管理者承認モードが有効になっています。 組み込みの管理者アカウントと 、管理者グループのメンバーである他のすべてのユーザーが管理者承認モードで実行できるようにするには、このポリシーを有効にして、関連する UAC ポリシー設定を適切に設定する必要があります。
  • 無効になります。 管理者承認モードと、関連するすべての UAC ポリシー設定が無効になっています。

このポリシー設定を無効にすると、オペレーティングシステムの全体的なセキュリティが低下していることがセキュリティセンターによって通知されます。

ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える

ユーザーアカウント制御: 昇格ポリシー設定の確認を求められた場合に、セキュリティで保護されたデスクトップに切り替えて、昇格要求のプロンプトを対話ユーザーのデスクトップとセキュリティで保護されたデスクトップのどちらに表示するかを制御します。

オプションは次のとおりです。

  • 有効。 設定すべての昇格要求は、管理者および標準ユーザーのプロンプト動作ポリシー設定に関係なく、セキュリティで保護されたデスクトップに移動します。
  • 無効になります。 すべての昇格要求が、対話ユーザーのデスクトップに移動します。 管理者および標準ユーザー向けのプロンプトの動作ポリシー設定が使用されます。

このポリシー設定を有効にすると、管理者が管理者承認モードのポリシー設定で管理者に対して昇格プロンプトを表示するユーザーアカウント制御が上書きされます。 次の表では、ユーザーアカウント制御が有効または無効になっているときに、セキュリティで保護されたデスクトップに切り替える場合の、各管理者ポリシー設定の昇格プロンプトの動作について説明します。

管理者ポリシーの設定 有効 無効
セキュリティで保護されたデスクトップで資格情報の入力を求める このメッセージは、セキュリティで保護されたデスクトップ上に表示されます。 このメッセージは、セキュリティで保護されたデスクトップ上に表示されます。
セキュリティで保護されたデスクトップの同意を求めるメッセージ このメッセージは、セキュリティで保護されたデスクトップ上に表示されます。 このメッセージは、セキュリティで保護されたデスクトップ上に表示されます。
資格情報の入力を求める このメッセージは、セキュリティで保護されたデスクトップ上に表示されます。 このメッセージは、対話ユーザーのデスクトップに表示されます。
同意を求めるメッセージ このメッセージは、セキュリティで保護されたデスクトップ上に表示されます。 このメッセージは、対話ユーザーのデスクトップに表示されます。
Windows 以外のバイナリに同意するかどうかを確認する このメッセージは、セキュリティで保護されたデスクトップ上に表示されます。 このメッセージは、対話ユーザーのデスクトップに表示されます。

このポリシー設定を有効にすると、ユーザーアカウント制御 (標準ユーザーに対する昇格プロンプトの動作) の設定よりも優先されます。 次の表では、ユーザーアカウント制御が有効または無効になっているときに、セキュリティで保護されたデスクトップに切り替える場合の、昇格プロンプトの動作について説明します。

標準ポリシーの設定 有効 無効
昇格要求を自動的に拒否する プロンプトは表示されません。 要求は自動的に拒否されます。 プロンプトは表示されません。 要求は自動的に拒否されます。
セキュリティで保護されたデスクトップで資格情報の入力を求める このメッセージは、セキュリティで保護されたデスクトップ上に表示されます。 このメッセージは、セキュリティで保護されたデスクトップ上に表示されます。
資格情報の入力を求める このメッセージは、セキュリティで保護されたデスクトップ上に表示されます。 このメッセージは、対話ユーザーのデスクトップに表示されます。

ユーザー アカウント制御: ファイルおよびレジストリの書き込みエラーを各ユーザーの場所に仮想化する

ユーザーアカウント制御: ユーザーの場所ごとにファイルとレジストリの書き込みエラーを仮想化するポリシー設定では、定義されたレジストリとファイルシステムの場所にアプリケーションの書き込みエラーがリダイレクトされるかどうかを制御します。 このポリシー設定では、管理者として実行されるアプリケーションを緩和し、% ProgramFiles%、% Windir%、%Windir%\system32、または HKLM\Software. に実行時のアプリケーションデータを書き込みます。

オプションは次のとおりです。

  • 有効。 設定アプリケーションの書き込みエラーは、ファイルシステムとレジストリの両方に対して定義されたユーザーの場所に対して実行時にリダイレクトされます。
  • 無効になります。 保護された場所にデータを書き込むアプリケーションは失敗します。

レジストリキーの設定

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Systemでレジストリキーが見つかります。 各レジストリキーの詳細については、関連するグループポリシーの説明を参照してください。

レジストリ キー グループ ポリシー設定 レジストリ設定
Filterのアドミニストレータートークン ユーザーアカウント制御: 組み込みの管理者アカウントの管理者承認モード 0 (既定) = 無効
1 = 有効
EnableUIADesktopToggle ユーザー アカウント制御: UIAccess アプリケーションで、セキュリティで保護されたデスクトップを使用せずに昇格のプロンプトを表示できるようにする 0 (既定) = 無効
1 = 有効
Con/Promptの管理 ユーザー アカウント制御: 管理者承認モードでの管理者に対する昇格時のプロンプトの動作 0 = プロンプトを表示せずに昇格する
1 = セキュリティで保護されたデスクトップで資格情報の入力を求める
2 = セキュリティで保護されたデスクトップでの同意を求めるメッセージ
3 = 資格情報の入力を求める
4 = 同意を求める
5 (既定) = Windows 以外のバイナリに同意するかどうかを確認する
Con(Prompt) ユーザー ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作 0 = 昇格要求を自動的に拒否する
1 = セキュリティで保護されたデスクトップで資格情報の入力を求める
3 (既定) = 資格情報の入力を求める
Enableインストーラ検出 ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格をプロンプトする 1 = 有効 (ホームの既定)
0 = 無効 (enterprise の場合は既定)
ValidateAdminCodeSignatures ユーザー アカウント制御: 署名され検証された実行ファイルのみを昇格する 0 (既定) = 無効
1 = 有効
EnableSecureUIAPaths ユーザー アカウント制御: 安全な場所にインストールされている UIAccess アプリケーションの昇格のみ 0 = 無効
1 (既定) = 有効
EnableLUA ユーザー アカウント制御: 管理者承認モードですべての管理者を実行する 0 = 無効
1 (既定) = 有効
PromptOnSecureDesktop ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える 0 = 無効
1 (既定) = 有効
EnableVirtualization ユーザー アカウント制御: ファイルおよびレジストリの書き込みエラーを各ユーザーの場所に仮想化する 0 = 無効
1 (既定) = 有効