UACの概要・動作
【概要】
UACとはアプリの自動インストールや設定を誤って変更することを防ぐ機能。
【動作】
まず、ログインするユーザによって権限が異なり(当たり前)、以下トークンがもらえる。(アクセストークン=権限と読み替えて問題ない)
なお、Administratersグループに所属しているユーザは「標準アクセストークン」を使用してログインなどを実行する。
アプリが管理者権限を必要とした場合、例えばコマンドプロンプト(cmd.exe)を管理者権限で実行しようとすると、以下のように許可が求められる。
このポップアップはユーザデスクトップではなく、セキュアなデスクトップ上で表示される。「はい」をクリックすると管理者に昇格できる。
※標準ユーザが管理者権限を得ようとすると、はい/いいえではなく資格情報を入力するポップアップになる。(ログイン時に管理者アクセストークンを持っていないため)
設定方法① UAC管理画面による設定
設定方法② ローカルグループポリシーによる設定
- Winキー+R > 「gpedit.msc」をクリック
- 「コンピュータの構成」 > 「Windowsの設定」 > 「セキュリティの設定」 > 「ローカルポリシー」 > 「セキュリティオプション」 をクリック
- UAC設定を要件に合わせて設定
設定方法③ レジストリの編集による設定
- Winキー+R > 「regedit」をクリック
- \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Systemをクリック
- UAC設定を要件に合わせて設定
※設定項目は②と対応している。また①は②の設定項目を複数まとめて設定している。(①のデスクトップ暗転有無は②のセキュアデスクトップかユーザデスクトップか。など)
あとがき
基本有効がよさそうだが何かと悪さする部分でもあるので私は無効にしている。(vCenter Converterでの移行や仮想マシンテンプレート作成等)
Linuxにおけるsudoと同じ立ち位置かと思ったが違うみたい。
きまぐれ日記: sudo のGUIダイアログはセキュリティ的に大丈夫なのか?
Windows Serverだとインストール後にAdministratorでログインできるけどWindows 10などはOSインストール後Administratorが無効化されているらしい。
https://support.hp.com/jp-ja/document/c01966695
