"Diary" インターネットさんへの恩返し

いつもソースコードコピペばかりなので,みなさまへ少しばかりの恩返しを

Windows 2012(R2)でのユーザアカウント制御関連設定まとめ



スポンサーリンク

Windows2012環境で様々なアプリケーションをインストールすると思いますが、導入フェーズでインストレーションの障害となる、Windows2012ならでのローカルセキュリティポリシーのセキュリティオプションについてそれぞれざっと、事前に方針を決めておいたほうがいい内容を記載します。もちろん運用テストで見なおししましょう。

UIAccess アプリケーションで、セキュリティで保護されたデスクトップを使用せずに昇格のプロンプトを表示できるようにする

  • デフォルト
    • 無効
  • 意味
    • Windows リモート アシスタンスなどの UIA プログラムにより、セキュリティで保護されたデスクトップでの昇格時のプロンプト表示が自動的に無効にされます。[ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える] ポリシー設定を無効にしていない場合、セキュリティで保護されたデスクトップではなく、対話ユーザーのデスクトップにプロンプトが表示されます。

アプリケーションのインストールを検出し、昇格をプロンプトする

  • デフォルト
    • 有効
  • 意味
    • インストールするために特権の昇格を必要とするアプリケーションのインストール パッケージを検出した場合、管理ユーザーの名前とパスワードの入力を求めるプロンプトを表示します。有効な資格情報が入力された場合は、その管理ユーザーに適用される特権で操作を実行します。

ビルトイン Administrator アカウントのための管理者承認モード

  • デフォルト
    • 無効
  • 意味
    • ビルトイン Administrator アカウントは管理者承認モードを使用します。既定では、特権の昇格を必要とする操作が試みられた場合はすべて、ユーザーに操作の承認を求めるメッセージを表示します。

管理者承認モードを有効にする

  • デフォルト
    • 有効
  • 意味
    • ユーザー アカウント制御 (UAC) ポリシー設定の動作を決定します。このポリシー設定を変更した場合は、コンピューターを再起動する必要があります。管理者承認モードが有効になっています。ビルトイン Administrator アカウントと、Administrators グループに属するその他のすべてのユーザーを管理者承認モードで実行できるようにするには、このポリシーが有効になっていること、関連する UAC ポリシー設定が適切に設定されていることが必要です。

管理者承認モードでの管理者に対する昇格時のプロンプトの動作

  • デフォルト
    • 確認を要求しないで昇格する
  • 意味
    • 管理者承認モードでの管理者に対する昇格時のプロンプトの動作を決定します。特権のあるアカウントに対して、特権の昇格を必要とする操作を、同意または資格情報を要求せずに実行することを許可します。

署名され検証された実行ファイルのみを昇格する

  • デフォルト
    • 無効
  • 意味
    • 特権の昇格を必要とする対話型アプリケーションに対して、公開キー基盤 (PKI) 署名チェックを強制します。管理者は、ローカル コンピューター上の信頼された発行元証明書ストアに証明書を追加することによって、どのアプリケーションを許可するかを管理できます。

昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える

  • デフォルト
    • 有効
  • 意味
    • 昇格要求のプロンプトが、対話ユーザーのデスクトップで表示されるか、セキュリティで保護されたデスクトップで表示されるかを決定します。管理者および標準ユーザー用のプロンプトの動作ポリシー設定にかかわらず、すべての昇格要求は、セキュリティで保護されたデスクトップで行われます。

標準ユーザーに対する昇格時のプロンプトの動作

  • デフォルト
    • 資格情報を要求する
  • 意味
    • 標準ユーザーに対する昇格時のプロンプトの動作を決定します。特権の昇格を必要とする操作が試みられた場合、管理ユーザーの名前とパスワードの入力を求めるプロンプトを表示します。