UACはユーザー単位での設定かどうか？Windowsのユーザーアクセス制御について

プチSE

6年前

UACというのはユーザー単位での設定でしょうか？
それともコンピューター単位での設定でしょうか？

UAC(ユーザーアクセスコントロール)とユーザーが付くだけに、ユーザー単位の設定のようにも思えますが
グループポリシーやレジストリ上、コンピューター単位の設定なんですよね。

以下の、条件で確認してみました。

レジュメ

0.1 環境・前提条件

1 結論、検証結果ローカル管理者(administrators)と標準ユーザー(administrators以外)の二種類あるようだ
- 1.1 Domain Adminsに所属したユーザーでUACを無効にしてadministratorで設定を確認してみる
- 1.2 一般ユーザーでUAC設定を確認してみると
2 実はドメインコントローラーにもローカルグループが存在した！
- 2.1 ドメインコントローラーでGUIでローカルグループを変更する方法
- 2.2 というか見えていないけどADユーザーとコンピュータからもadministratorsグループは所属させられた
3 注意！ローカルポリシーやレジストリでUACを無効にした後にコントロールパネルから

環境・前提条件

Windows Server 2012 R2
ドメイン参加済み（どいうかドメインコントローラー）

まずは、UACがデフォルト状態であることを確認しました。

確認したユーザーは、Domain Adminsに所属しているユーザーです。

結論、検証結果ローカル管理者(administrators)と標準ユーザー(administrators以外)の二種類あるようだ

残念ながらはっきりした結果はわかりませんでした。
それがUACの難しいところなのかもしれません。

検証結果、わかったことは

グループ毎（今回は、Domain admins とServer Operatorsのみ）にUACの設定レベルがあること。
Domain Adminsに所属するユーザーでUACを無効にすると別のDomain adminsに所属するユーザーもUACが無効になること
またDomain AdminsでUACを無効にすると、Server Operatorsグループに所属したユーザーのUACも多少設定影響を受けること

ということで、UACの設定と理解は非常に難しく、コンピューター単位で設定した方がわかりやすいし設定しやすいということがわかりました。

参考、グループポリシーを使用してユーザーアカウント制御の動作を変更する方法

UACは、「ローカル管理者」と「標準ユーザー」の二種類にある設定ではないかと思います（推測）

以下が、検証で確認したことです。

Domain Adminsに所属したユーザーでUACを無効にしてadministratorで設定を確認してみる

このユーザー（Domain Adminsに所属したadministratorではないユーザー）でUACを「通知しない」に設定し、Windowsを再起動したあと、
Administratorユーザーでログオンし、UACの設定を確認してみたところ

administratorでのUACの設定も「通知しない」になっていました。

一般ユーザーでUAC設定を確認してみると

一般ユーザーはドメインコントローラーサーバーにログオン出来ないので、Server Operatorsグループに所属したユーザーを準備しました。
このユーザーで、UAC設定を確認したところ（以下のように管理者アカウントのパスワード入力を求められましたが）

不思議と設定は少し変わっていました、が、「通知しない」ではありませんでした。

一般ユーザーの場合、通知レベルのデフォルト値が異なるようですね。
黒く太文字になっているラインの場所が、Domain adminsで見たときと異なっていました。

そして、UACを「通知しない」に設定するには

「この設定を選択するには、このコンピュータに管理者としてログオンする必要があります。」

というメッセージが出て、「通知しない」に設定ができませんでした。

よくよく見ますと、
Domain Adminsで見たときのUACレベルと、一般ユーザーで見たときのUACレベルは表示が違いますね。

Domain AdminsでのUACレベル表示

次の場合は常に通知する
アプリがコンピューターに変更を加えようとする場合のみ通知する（規定）
アプリがコンピューターに変更を加えようとする場合のみ通知する（デスクトップを暗転しない）
以下の場合でも通知しない

一般ユーザーでのUACレベル表示

規定 - 次の場合は常に通知する
次の場合は常に通知する（デスクトップを暗転しない）
アプリがコンピューターに変更を加えようとする場合のみ通知する（デスクトップを暗転しない）
次の場合は通知しない

実はドメインコントローラーにもローカルグループが存在した！

驚いたことに、ドメインコントローラーにもローカルグループというものが存在しました。
上記は、

net user <ユーザー名>

を実行した結果です。
さらに言うと、ドメインコントローラーで

net localgroup

を実行すると、administratorsとかが表示されるではないですか。知らなかった・・・

ドメインコントローラーでGUIでローカルグループを変更する方法

次の画面で、管理者のユーザー名とパスワードを入力します。

すると「ユーザーアカウント」の画面が出てきます。こちらで該当のユーザーをローカルグループに所属させることが出来るます。

以下のように、グループメンバーシップを管理者(administrators)に変更することが出来ます。
これはドメインのadministratorsなのか？ローカルのadministratorsなのか？

というか見えていないけどADユーザーとコンピュータからもadministratorsグループは所属させられた

「Active Directoryユーザーとコンピューター」一覧の「Builtin」にadministratorsは表示されていませんが、
実は、検索すると出てきますし、普通にユーザーの所属グループにadministratorsを追加することが出来ました。

ローカルのadministratorsでしたが、もう一つのドメインコントローラーにもadministrators権限でログイン出来てしまったので、
実質、ドメインのadministratorsグループでした。

注意！ローカルポリシーやレジストリでUACを無効にした後にコントロールパネルから

注意点があります。

UACを無効にしようと、

ローカルセキュリティポリシーから設定（この設定が反映されるとレジストリ値も自動で変わっています）
もしくはレジストリから設定

した後に、以下のようなコントロールパネルから「ユーザーアカウント制御の設定」を開き

「この設定は[OK]をクリックし、PCを再起動した後に有効になります」

のメッセージから「OK」ボタンを押し、OS再起動をすると、
せっかく設定した、ローカルセキュリティポリシーやレジストリの設定値が元のデフォルト値に戻ってしまいます（つまり、コンピュータとしてのUAC有効）
運用上の注意点ですね。