ユーザー アカウント制御の概要

ユーザー アカウント制御 (UAC) とは、悪意のあるソフトウェア ("マルウェア" とも呼びます) によるシステムの破損を防ぎ、組織内において適切に管理されたデスクトップを展開するのに役立つ、このバージョンの Windows の一連の新しいインフラストラクチャ技術です。

UAC を使用すると、管理者が特にシステムへの管理者レベルのアクセスを承認しない限り、アプリケーションとタスクは常に非管理者アカウントのセキュリティ コンテキストで実行されます。UAC により、未承認アプリケーションの自動インストールが防止され、システム設定の不注意による変更が防止されます。

このバージョンの Windows には、2 つのレベルのユーザーがいます。標準ユーザーと管理者です。標準ユーザーはコンピュータの Users グループのメンバであり、管理者は Administrators グループのメンバです。

以前のバージョンの Windows とは異なり、既定では標準ユーザーと管理者はどちらも標準ユーザーのセキュリティ コンテキストでリソースにアクセスし、アプリケーションを実行します。ユーザーがコンピュータにログオンすると、システムでユーザー用のアクセス トークンが作成されます。このアクセス トークンには、特定のセキュリティ ID (SID)、Windows の特権など、ユーザーに許可されているアクセス レベルに関する情報が含まれます。このバージョンの Windows では、管理者がログオンすると、そのユーザーには 2 つの別のアクセス トークンが作成されます。標準ユーザーのアクセス トークンと管理者のアクセス トークンです。標準ユーザーのアクセス トークンには、管理者のアクセス トークンと同じユーザー固有情報が含まれますが、Windows の管理者特権と SID は除かれます。標準ユーザーのアクセス トークンは、管理タスクを行わないアプリケーション ("標準ユーザー アプリケーション") の起動に使用します。

管理者が管理タスクを行うアプリケーション ("管理者アプリケーション") を実行する必要がある場合、このバージョンの Windows では、セキュリティ コンテキストを標準ユーザーから管理者に変更 ("昇格") するように求められます。この既定の管理者ユーザー操作は管理者承認モードと呼ばれます。このモードでは、アプリケーションを管理者アプリケーション (管理者と同じアクセス権限があるアプリケーション) として実行する特定のアクセス許可が必要です。

管理者アプリケーションが起動するとき、既定ではユーザー アカウント制御メッセージが表示されます。ユーザーが管理者の場合は、アプリケーションを起動できるようにするかどうかを選択できます。ユーザーが標準ユーザーの場合は、ローカルの Administrators グループのメンバであるアカウントのユーザー名とパスワードを入力できます。

アプリケーションを設計するとき、ソフトウェア開発者はアプリケーションが管理者アプリケーションか標準ユーザー アプリケーションのどちらであるかを指定する必要があります。管理者アプリケーションと指定されていないアプリケーションは、標準ユーザー アプリケーションとして扱われます。ただし、管理者はアプリケーションを管理者アプリケーションとして扱うようにマークすることもできます。

その他の資料