ユーザー アカウント制御: ビルトイン Administrator アカウントのための管理者承認モード

適用対象

  • Windows 10

ユーザーアカウント制御に関するベストプラクティス、場所、値、ポリシー管理とセキュリティに関する考慮事項について説明します。組み込みの管理者アカウントのセキュリティポリシー設定の管理者承認モード

リファレンス

このポリシー設定は、組み込みの管理者アカウントの管理者承認モードの動作を決定します。 管理者承認モードが有効になっている場合、ローカル管理者アカウントは標準ユーザーアカウントと同様に機能しますが、別のアカウントを使用してログオンすることなく特権を昇格させることができます。 このモードでは、特権の昇格が必要な操作には、管理者が特権の昇格を許可または拒否することを許可するかどうかを確認するメッセージが表示されます。 管理者承認モードが有効になっていない場合、組み込みの管理者アカウントでは、すべてのアプリケーションが既定で完全な管理者特権で実行されます。 既定では、管理者承認モードは [無効] に設定されています。

注意

コンピューターが以前のバージョンの Windows オペレーティングシステムからアップグレードされていて、そのコンピューター上の唯一のアカウントである場合は、組み込みの管理者アカウントは有効のままになり、この設定も有効になります。

  • 有効

    組み込みの管理者アカウントでは、管理者承認モードでログオンします。これにより、特権の昇格が必要なすべての操作に対して、特権の昇格を許可または拒否するオプションが表示されます。

  • 無効

    管理者承認モードが有効になっていない場合、組み込みの管理者アカウントでは、すべてのアプリケーションが既定で完全な管理者特権で実行されます。

ベスト プラクティス

  • クライアントコンピューターでは、組み込みの管理者アカウントを有効にすることはできませんが、標準のユーザーアカウントとユーザーアカウント制御 (UAC) を使うことをお勧めします。 管理タスクを実行するために組み込みの管理者アカウントを有効にする場合は、セキュリティ上の理由から、管理者承認モードも有効にする必要があります。 「 UAC-管理者-承認モード-ビルトイン管理者アカウント」をご覧ください。

    管理者承認モードを有効にするには、次のようにローカルセキュリティポリシーの設定を構成する必要もあります。ユーザーアカウント制御: 管理者承認モードの管理者に対してセキュリティで保護されたデスクトップの承認を求めるメッセージが表示されるようにするための昇格プロンプトの動作、[わかりました。

注意

管理者承認モードを有効にした後、設定を有効にするには、最初にログインしてログインする必要があります。または、管理者特権のコマンドプロンプトからgpupdate/forceを実行することもできます。

位置情報

コンピューター構成 \ Windows Settings\Security Settings\Local Policies\Security オプション

既定値

次の表に、このポリシーの実際の既定値と有効な既定値を示します。 既定値は、ポリシーのプロパティページにも表示されます。

サーバーの種類または GPO 既定値
既定のドメインポリシー 未定義
既定のドメインコントローラーポリシー 未定義
スタンドアロンサーバーの既定の設定 無効
DC の有効な既定の設定 無効
メンバーサーバーの有効な既定の設定 無効
クライアントコンピューターの有効な既定の設定 無効

ポリシー管理

このセクションでは、このポリシーを管理するのに役立つ機能とツールについて説明します。

再起動の必要性

なし。 このポリシーを変更すると、デバイスを再起動しなくても、ローカルまたはグループポリシーを使って保存した場合に、その変更が有効になります。

セキュリティに関する考慮事項

このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。

脆弱性

UAC 機能によって軽減されるリスクの1つは、ユーザーまたは管理者がアクティビティを認識しなくても、管理者の資格情報で実行されている悪意のあるソフトウェアです。 悪意のあるプログラムの攻撃ベクトルは、ユーザーアカウントが Windows のすべてのインストール用に作成されているため、管理者アカウントのパスワードを発見することになります。 このリスクを解決するために、少なくとも windows Vista を実行しているコンピューターでは、組み込みの管理者アカウントが無効になっています。 Windows Server2008 以上を実行しているコンピューターでは、管理者アカウントが有効になっており、管理者が初めてログオンするときにパスワードを変更する必要があります。 少なくとも windows Vista を実行しているコンピューターの既定のインストールでは、コンピューターがドメインに参加していない場合、作成した最初のユーザーアカウントには、ローカル管理者に対する同等のアクセス許可が与えられます。

対抗策

ビルトインの Administrator アカウントを有効にしている場合は、ユーザーアカウント制御を有効にします。組み込みの管理者アカウントの設定で、管理者承認モードを有効にします。

潜在的な影響

ローカル管理者アカウントを使用してログオンしているユーザーは、プログラムが特権の昇格を要求するたびに、同意を求められます。

関連トピック