UACはユーザー単位での設定かどうか?Windowsのユーザーアクセス制御について

UACというのはユーザー単位での設定でしょうか?
それともコンピューター単位での設定でしょうか?

UAC(ユーザーアクセスコントロール)とユーザーが付くだけに、ユーザー単位の設定のようにも思えますが
グループポリシーやレジストリ上、コンピューター単位の設定なんですよね。

image

以下の、条件で確認してみました。

 

環境・前提条件

  • Windows Server 2012 R2
  • ドメイン参加済み(どいうかドメインコントローラー)

まずは、UACがデフォルト状態であることを確認しました。

image

確認したユーザーは、Domain Adminsに所属しているユーザーです。

image

 

結論、検証結果ローカル管理者(administrators)と標準ユーザー(administrators以外)の二種類あるようだ

残念ながらはっきりした結果はわかりませんでした。
それがUACの難しいところなのかもしれません。

検証結果、わかったことは

  • グループ毎(今回は、Domain admins とServer Operatorsのみ)にUACの設定レベルがあること。
  • Domain Adminsに所属するユーザーでUACを無効にすると別のDomain adminsに所属するユーザーもUACが無効になること
  • またDomain AdminsでUACを無効にすると、Server Operatorsグループに所属したユーザーのUACも多少設定影響を受けること

ということで、UACの設定と理解は非常に難しく、コンピューター単位で設定した方がわかりやすいし設定しやすいということがわかりました。

image

UACは、「ローカル管理者」と「標準ユーザー」の二種類にある設定ではないかと思います(推測)

 

以下が、検証で確認したことです。

Domain Adminsに所属したユーザーでUACを無効にしてadministratorで設定を確認してみる

image

このユーザー(Domain Adminsに所属したadministratorではないユーザー)でUACを「通知しない」に設定し、Windowsを再起動したあと、
Administratorユーザーでログオンし、UACの設定を確認してみたところ

image

image

administratorでのUACの設定も「通知しない」になっていました。

 

一般ユーザーでUAC設定を確認してみると

image

一般ユーザーはドメインコントローラーサーバーにログオン出来ないので、Server Operatorsグループに所属したユーザーを準備しました。
このユーザーで、UAC設定を確認したところ(以下のように管理者アカウントのパスワード入力を求められましたが)

image

不思議と設定は少し変わっていました、が、「通知しない」ではありませんでした。

一般ユーザーの場合、通知レベルのデフォルト値が異なるようですね。
黒く太文字になっているラインの場所が、Domain adminsで見たときと異なっていました。

image

そして、UACを「通知しない」に設定するには

「この設定を選択するには、このコンピュータに管理者としてログオンする必要があります。」

というメッセージが出て、「通知しない」に設定ができませんでした。

image

よくよく見ますと、
Domain Adminsで見たときのUACレベルと、一般ユーザーで見たときのUACレベルは表示が違いますね。

 

Domain AdminsでのUACレベル表示

  • 次の場合は常に通知する
  • アプリがコンピューターに変更を加えようとする場合のみ通知する(規定)
  • アプリがコンピューターに変更を加えようとする場合のみ通知する(デスクトップを暗転しない)
  • 以下の場合でも通知しない

 

一般ユーザーでのUACレベル表示

  • 規定 - 次の場合は常に通知する
  • 次の場合は常に通知する(デスクトップを暗転しない)
  • アプリがコンピューターに変更を加えようとする場合のみ通知する(デスクトップを暗転しない)
  • 次の場合は通知しない

 

実はドメインコントローラーにもローカルグループが存在した!

image

驚いたことに、ドメインコントローラーにもローカルグループというものが存在しました。
上記は、

net user <ユーザー名>

を実行した結果です。
さらに言うと、ドメインコントローラーで

net localgroup

を実行すると、administratorsとかが表示されるではないですか。知らなかった・・・

 

ドメインコントローラーでGUIでローカルグループを変更する方法

image

次の画面で、管理者のユーザー名とパスワードを入力します。

すると「ユーザーアカウント」の画面が出てきます。こちらで該当のユーザーをローカルグループに所属させることが出来るます。

image

以下のように、グループメンバーシップを管理者(administrators)に変更することが出来ます。
これはドメインのadministratorsなのか?ローカルのadministratorsなのか?

image

 

というか見えていないけどADユーザーとコンピュータからもadministratorsグループは所属させられた

image

「Active Directoryユーザーとコンピューター」一覧の「Builtin」にadministratorsは表示されていませんが、
実は、検索すると出てきますし、普通にユーザーの所属グループにadministratorsを追加することが出来ました。

image

ローカルのadministratorsでしたが、もう一つのドメインコントローラーにもadministrators権限でログイン出来てしまったので、
実質、ドメインのadministratorsグループでした。

 

注意!ローカルポリシーやレジストリでUACを無効にした後にコントロールパネルから

注意点があります。

UACを無効にしようと、

  • ローカルセキュリティポリシーから設定(この設定が反映されるとレジストリ値も自動で変わっています)
  • もしくはレジストリから設定

した後に、以下のようなコントロールパネルから「ユーザーアカウント制御の設定」を開き

image

「この設定は[OK]をクリックし、PCを再起動した後に有効になります」

のメッセージから「OK」ボタンを押し、OS再起動をすると、
せっかく設定した、ローカルセキュリティポリシーやレジストリの設定値が元のデフォルト値に戻ってしまいます(つまり、コンピュータとしてのUAC有効)
運用上の注意点ですね。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です