Vistaの機能をもっと深く知る ユーザーアカウント制御機能
目 次
■ユーザーカウントの種類と動き●Guest アカウント
●標準ユーザーアカウント
●管理者アカウント
●昇格のダイアログボックス
●UAC に対応していないアプリケーションを実行するには
■「昇格」を簡単にできるようにする
●エクスポーラを管理者として実行できるようにする
●Administrator アカウントを有効にする
私は、WindowsXP から Windows Vista にアップグレードした。そのとき作られていたのが、「管理者アカウント」だった。このアカウントは、WindowsXP
の「Administrator」と同等な権限があると思っていた。だが、PCJapan の11月号の「ユーザアカウント制御を使いこなす」を読んで、大変な誤解をしていたことが分かった。
私は、Windows Vistaに搭載されて いる「ユーザーアカウント制御」(以下, UAC)については、あまり意識していなかった。確かに、Vista
を使っていると、UAC によって、管理者権限が必要な操作を実行する際にユーザーの承認を伺う 「昇格のダイアログボックス」が頻繁に表示される。これによって、意図しない設定変更や悪意のあるプログラムによる攻撃などをある程度回避できて、システムを保護することができる。までは分かっていたが、この「管理者アカウント」の働きを理解していなかった。そこで、UAC
機能ををよく理解して、カスタマイズして使いこなすことにする。主に「管理者アカウント」について、PCJapan の記事を参照しながら、まとめることにした。
■ユーザーカウントの種類と動き
ユーザカウントは、「Guest アカウント」、「標準ユーザーアカウント」そして「管理者カウント」がある。
●Guest アカウント
Windows Vistaでは「Gu est」アカウントが用意されているが, デフォルトで無効になっている。標準 ユーザーとほぼ同様の操作が可能だ が、一部のアプリケーションは正常に動作しないこともある。また、Guestア カウントにはパスワードを設定するこ とができないので、セキュリティには 十分注意しよう。とのことである。
●標準ユーザーアカウント
Windows Vistaではファイルとレジストリの仮想化と呼ばれる機能が追加されてお り、こういったアプリケーションも標準ユーザーが問題なく実行できるようになっている。
ファイルとレジストリの仮 想化とは、実行するユーザーの権限では許可されない場所への書き込みを、ユーザープロファイルフォルダ内やレジストリの「HKEY_CURRENT_USER」
以下のサブキーにリダイレクトする機能だ。このほかの機能はWindowsXPの制限ユーザーとほぼ同等だ。標準ユーザーはほとんどのアプリケーションを実 行できるが、
システム全体に影響するような設定を変更することはできない。とある。
ここで、私が驚いたのが、「ファイルとレジストリの仮想化と呼ばれる機能が追加」されていて、ユーザーはほとんどのアプリケーションを
実行できる。ことである。
●管理者アカウント
管理者アカウントの機能も基本的に WindowsXPと同様だがWindows VistaではUACが新たに導入されたため、WindowsXPとは動作が異なる。
UACが有効な状態では、管理者アカウントであっても標準ユーザーの権限で操作が実行され、
必要な場合にのみ管理者権限への一時的な変更(昇格と呼ばれる)が行われる。管理者権限の必要な操作を実行しようとすると、
UACのダイアログボックス(昇格のダイアログボックス)が表示される。ユーザーが承認しなければ処理は実行されないので、ユーザーの意図しない設定変更や
、悪意のあるプログラムによる攻撃などをある程度回避することが可能となる。
また、私が知らなかったことは、管理者アカウントでも、標準ユーザの権限で操作が実行され、必要な場合のみ管理者権限へ一時的な変更(更新と呼ばれる)
が行われる。ことです。
昇格のダイアログボックスが表示される場面としては、
@UACに対応したアプリケーションの起動時 A管理者権限の必要な操作の実行時 Bアプリケーションやドライバのインストール時 Cドライブのルートやシステムフォルダ
など、管理者権限の必要な場所でのファイル操作時などがあげられる。
また、UACに対応していない実行ファイルであっても、
ファイル名に「setup」や「install」という文字列が含まれると、昇格のダイアログボックスが表示される。
逆に、管理者権限の必要なアプリケーションであっても、
UAC に対応していなければ昇格のダイアログ ボックスは表示されず、標準ユーザーの権限で実行されてしまう。Windows Vista対応とされているアプリケーションの中にも、
UAC に対応していないものがあるので注意が必要だ。
たとえば、Windows Vistaのブート構成を設定するBCDEDITコマンドは、明示す的に管理者として実行しなければ、ブー ト構成を読み取ることができない。
このようなアプリケーションを実行するには、
実行ファイルやショートカットを右クリックして、「管理者として実行」を選択すればよい。実行頻度が高いなら、実行ファイルやショートカットのプロパテ
ィを開き、「互換性」タブで「管理者と してこのプログラムを実行する」のチェックボックスをOn にしておこう。これにより、起動時に昇格のダイアログボ
ックスが表示され、管理者権限で実行できるようになる。
標準ユーザーの権限で実行とは、「ファイルとレジストリの仮想化と呼ばれる機能」で、実行するため、真にファイルやレジストリが
格納されていないことだ。と私なりに判断した。
●昇格のダイアログボックス
管理者権限の必要な操作を実行しようとすると、UACのダイアログボックス(昇格のダイアログボックス)が表示される。管理者権限の必要な処理は、ユーザーが許可した場合のみ 実行される。
●UAC に対応していないアプリケーションを実行するには
1.実行ファイルを右クリックして、表示されるメニューの 「管理者として実行」をクリックする。 |
繰り返し使用する場合は、 1.実行ファイルを右クリックして、表示されるメニューの 「プロパティ」をクリックする。 2.「プロパティ」画面で「互換性」タブをクリックして、「管理者としてこのプロ グラムを実行する」のチェックボックスを「On」にする。 |
「昇格」を簡単にできるようにする
管理者権限の必要な操作を実行しようとすると、UACのダイアログボックス(昇格のダイアログボックス)が表示される。管理者権限の必要な処理は、ユーザーが許可した場合のみ
実行される。このUAC
の動作を変更して簡単に昇格できるように設定する。
必要なフォルダ内のファイルを操作する場合は、「エクスポーラを管理者として実行できるようにする」に設定する。
Windows Vista の設定を大幅に変更する場合や、アプリケーションやドライバをまとめてインストールする場合は、「Administratot
アカウントを有効にする」に設定する。設定手順は、次の通りです。
●エクスポーラを管理者として実行できるようにする
管理者権限の必要なフォルダ内のファイルを操作する場合、そのつど昇格のダイアログボックスを操作するのは面倒だ。そこで、エクスプローラを管理者として 実行できるように設定する。設定手順は次の通りです。
1.エクスプロラーを起動して、「整理」タブをクリックして、表示されるメニュー の「フォルダと検索のオプション」をクリックする。 |
2.「フォルダオプション」画面が表示されるので、「表示」タブ をクリックする。 3.詳細設定で、「別のプロ セスでフォルダウィンドウを開く」 のチ ェックボックスをOn にする。 |
4.スタートメニューで「アクセサリ」の「エク スプローラ」を右クリッ クして、表示されるメニューの「管理者 として実行」をクリックする。 5.以降、新たに開くフォルダウィンドウは、すべて管理者権限で 動作する。 |
管理者権限で動作している確認方法 1.タスクマネジャーを起動する。 2.「プロセス」タブをクリックする。 3.2回目に起動した「explorer.exe」を右クリックする。 4.表示されるメニューの「仮想化」がグレイアウトして無効に なっていることが確認できる。 |
5.最初に起動した「explorer.exe」を右クリックして見ると、 「仮想化」が有効の状態になっている。 |
通常の状態に戻すには 1.必要な操作を終了後、すべてのフォルダウィンドウを閉じれ ばよい。 2.タスクマネージャで確認すると、「仮想化」が有効になっている。 |
●Administrator アカウントを有効にする
Windows Vistaの設定を大幅に変 更する場合や、アプリケーションやドライバをまとめてインストールする場合などは、組み込みアカウントの「Administrator」を 有効にすればよい。有効にした Administrator アカウントでは、昇格のダイ アログボックスが表示されることなくすべて管理者権限で実行できる。但し、今の状態が組み込みアカウントの「Administrator」が 有効か無効かは判断できない。どちらの状態にあるかは、実際に実行して判断するしかない。操作手順は次の通りです。
1.スタートメニューからすべてのプログラムの「アクセサリ」をクリックする。 2.表示されるメニューから「コマンドプリント」を右クリックする。 3.表示されるメニューの「管理者として実行を」クリックする。 |
4.「コマンド プロンプト」画面で、「net user administrator /active:yes と入力して、「Enter」キーを押す。 5.コマンドは正常に終了しました。とメッセージが表示されると、 「Administrator」が有効になる。 |
「Administrator」を無効にするには、 1.「コマンド プロンプト」画面で、「net user administrator /active:no と入力して、「Enter」キーを押す。 2.コマンドは正常に終了しました。とメッセージが表示されると、 「Administrator」が無効になる。 |
皆さんは、Windows Vistaの設定を大幅に変 更する場合や、アプリケーションやドライバをまとめてインストールする場合などは、組み込みアカウントの「Administrator」を
有効にする。ことを知っていましたか? 知らなかったのは、私だけだったのか・・・・。
月刊誌「PCJapan」 発行 ソフトバンク クリエイティブ株式会社