none
ビルトインAdministratorアカウント名の無効にした時に有効にできる代わりのユーザについて RRS feed

  • 質問

  • 先日ビルトインAdministratorの代理ユーザを作成し、通常業務オペレーションが問題なく実施できることを確認にしてから無効にしようと考えておりましたが、あるバッチが管理者にて実行でないとエラーになってしまうことが分かりました。

    UACの問題だと思いますが、ビルトインAdministratorを無効にした場合、この「管理者にて実行」は押せなくなるかと思いますが、代理で作成したユーザにどのような権限を与えれば押せるようになるでしょうか。

    尚、代理ユーザとビルトインAdministratorは所属グループを全く同じにしていますが、代理ユーザにビルトインAdministratorをロックを無効化・有効化することはできるでしょうか。

    分かりにくい文章で申し訳ありませんが、アドバイスいただけると助かります。

    2018年3月27日 2:15

回答

  • チャブーンです。

    この件、横からですみませんが、以下のようなことがいえるのではないでしょうか。なお、言いにくいのですが、このようなあいまいな質問(「概念自体がよくわからないので、整理も含め全体を教えてほしい」が実態だと理解しています)を含む内容は、回答者側に相当負担がかかるので、そこはご理解のうえ、質問内容を考慮いただきたい気持ちがあります。

    まず、

    ビルトインAdministratorを無効にした場合、この「管理者にて実行」は押せなくなるかと思いますが、

    ということはありません。「管理者として実行」を選択した場合、ログオン中のアカウントが管理者グループに含まれているなら「次のプログラムにこのコンピューターへの変更を許可しますか?」(OSにより文言は違います)というUAC昇格を要求するかどうかを、はい|いいえで選ぶだけです。アカウントが管理者グループに含まれていなければ、別のアカウントを指定するためのダイヤログが表示されます。ここで代替の管理者アカウントがなければNGですが、代替の管理者アカウントがあればビルトインAdministratorは無効にできます。

    そうでない動作の場合、UAC制御に関するグループポリシーがカスタマイズされている可能性が高いので、質問者さんの会社の「システム管理者」に確認してください。

    冒頭のお願いと関わりますが、質問者さんの(過去を含む)質問内容は「社内のカスタマイズ要件」をWindowsのデフォルト設定と見立てて質問されることがあるようです。カスタマイズ要件はコミュニティではわかりませんので、最も確実なのは「コミュニティに問い合わせる前に自社のシステム管理者に尋ねる」ことです。ご自身がシステム管理者だ、ということなら、システム設定の変更履歴の資料や設定業者への確認を挟むことで、質問内容はそれなりに精査されるようにも思います。

    もう一つの質問、

    尚、代理ユーザとビルトインAdministratorは所属グループを全く同じにしていますが、代理ユーザにビルトインAdministratorをロックを無効化・有効化することはできるでしょうか。

    「ロック」というのが(パスワード間違いによる)ロックアウトを指しているなら、ビルトインAdministratorにはロックアウトの制約はそもそも適用されません。どうしてもそれが必要な場合、専用ツールによる有効化が必要です。そういった情報を含め、ビルトインAdministratorを変更・無効化する際の注意点について、パートナーコミュニティに情報があるようですので、いちど参考にされるといいように思います(回答内のリンク先情報もご覧ください)。

    https://partnersupport.microsoft.com/ja-jp/par_servplat/forum/par_winserv/%E3%83%93%E3%83%AB%E3%83%88%E3%82%A4%E3%83%B3admin/10d2333c-a846-426e-a31a-6f5ed16959ec?auth=1

    なお、蛇足ですが、「ビルトインAdministratorを無効化しないほうがいい」についての私個人の見解としては、「20年前のソフトをそのまま動かしているような特殊環境でなければ問題ない」認識です。

    たとえばWindowsの「サービス」で動作させるようなサーバーソフトウェアの場合、管理者全権が必要な場合「SYSTEM」や「LocalService」といったUAC影響を受けない内部アカウント(プリンシパル)の権限を使います。サービスにおける「対話型サービス」が必要な、ビルトインAdministratorをサービスで使うような場合、本来デスクトップアプリケーション(通常の対話型ログオンを必要とする)をムリヤリサービス化したような「行儀の悪いソフト」のみが対象で、一般販売されたエンタープライズ製品(商用ソフト)にこのようなものはないためです。ちなみにこういうソフトは、セキュリティ上の理由でWindows Server 2008以降では正常動作しないように仕様変更されたため、現状はほとんどない(そもそも使えない)と考えてよいと思います。

    あるとすれば、UACとは無関係に「ログオンユーザーがAdministratorである」ことを前提として作成されたソフトの存在です。ソフトの内部設定ファイルや保存先フォルダー名に「Administrator」が決め打ちでコーディングされたソフトだと、操作の際にエラーが出ることがあります。こういうソフトも20年前ならあり得ますが、今時はエンタープライズ製品ならほとんど存在しないでしょう。逆をいえば、極端に古いソフトやコンシューマー向けソフトは、使用しないことです。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年3月28日 4:01
    モデレータ

すべての返信

  • ADでのご質問ですが、サーバに関してでしょうか?それともクライアントPCの話でしょうか?
    とりあえずWindows全般として回答したいと思います。

    基本的にAdministratorsグループ(ドメイン環境ではDomain Admins)に所属していれば管理者権限を持ちますので、ビルトインAdministratorユーザの有効・無効も操作が可能です。
    ただし、サーバのAdministratorを安易に「無効」にするのは危険ですのでご注意ください。
    また、UACに関しても管理者アカウントとして入力が可能です。

    しかしながら、大前提としてビルトインAdministratorを使用しないと動作しないアプリケーションなどもありますので、Administratorsグループに所属していても全ての操作がビルトインAdministratorと同じにになるとは限りません。

    >先日ビルトインAdministratorの代理ユーザを作成し、通常業務オペレーションが問題なく実施できることを確認にしてから無効にしようと考えておりましたが、
    >あるバッチが管理者にて実行でないとエラーになってしまうことが分かりました。

    こちらですが、コマンドプロンプトを「管理者として実行」で起動させれば問題ありません。
    ネット上に同じ情報が載っておりますが、以下のコマンドであればコマンドプロンプトを強制的に「管理者」として起動します。
    (私は要件に応じてコマンドを加工します)

    powershell start-process cmd -verb runas

    >UACの問題だと思いますが、ビルトインAdministratorを無効にした場合、この「管理者として実行」は押せなくなるかと思いますが、代理で作成したユーザにどのような権限を与えれば押せるようになるでしょうか。

    先ほど記載した通り、Administratorsグループに所属していれば管理者権限を持ちます。
    レジストリの書き換えなどは「管理者として実行」を明示的に実施しなければ、管理者権限のあるユーザでログオンしていてもエラーとなります。

    また、グループポリシーが原因で実行できないこともあるので、GPOも確認する必要があります。

    2018年3月27日 2:51
  • 早速ご回答頂き、どうもありがとうございます。

    >ADでのご質問ですが、サーバに関してでしょうか?それともクライアントPCの話でしょうか?

    →サーバに関してになります。

    また、UACに関しても管理者アカウントとして入力が可能です。

    →ビルトインAdministrator無効時に代理で作成したユーザでも「管理者として実行」が押下できるという意味でしょうか?

    しかしながら、大前提としてビルトインAdministratorを使用しないと動作しないアプリケーションなどもありますので、Administratorsグループに所属していても全ての操作がビルトインAdministratorと同じにになるとは限りません。

    →このビルトインAdministratorでないと動作しないアプリケーションを使用する際は都度Administratorを有効化しなくてはならないのでしょうか・・。

    2018年3月27日 4:17
  • ご確認ありがとうございます。
    追加で回答させて頂きます。
     
    >サーバに関してになります。
     
    サーバ側との事、承知致しました。
     
     
    >ビルトインAdministrator無効時に代理で作成したユーザでも「管理者として実行」が押下できるという意味でしょうか?
     

    はい、可能です。
    ローカルのAdministratorsグループに対象アカウントが属していれば可能です。
    Administratorsグループに属していなくても、「管理者として実行」後に管理者アカウントとパスワードを聞かれるのが通常の動きだと思います。
    もし実行できないのであれば、UACもしくはグループポリシーの設定の影響である可能性があります。

    (Windows Server 2012 R2ですが以下の状態ですよね)

     

     

    >このビルトインAdministratorでないと動作しないアプリケーションを使用する際は都度Administratorを有効化しなくてはならないのでしょうか・・。
     
    残念ながらその通りになります。
    厳密言えばビルトインAdministrator以外では出来ない挙動に起因します。(対話型サービスなど)

     

    また参考までにビルトインAdministrator含めたセキュリティ管理のドキュメントを記載します。

     

    ■管理者アカウント セキュリティ計画ガイド

    https://docs.microsoft.com/ja-jp/security-updates/planningandimplementationguide/19869239

    2018年3月27日 5:28
  • ご回答有り難うございます。

    お陰さまで疑問点がクリアになりました。

    迅速且つ丁寧にアドバイスくださり、どうもありがとうございました。

    2018年3月27日 6:02
  • フォーラム オペレーターの栗下 望です。
    Akane0704 さん、こんにちは。

    当フォーラムのご利用ありがとうございます。
    フォーラム オペレーターからのお願いです。
     
    本フォーラムは皆様の善意によって運営されております。
    参考になった投稿には [回答としてマーク] を設定いただき、
    同じ問題でお困りの方へ、情報をご提供いただけると幸いです。

    ご協力の程、どうかよろしくお願いいたします。


    参考になった投稿には回答としてマークの設定にご協力ください
    MSDN/TechNet Community Support 栗下 望

    2018年3月27日 6:31
    モデレータ
  • ご確認ありがとうございます。
    追加で回答させて頂きます。
     
    >サーバに関してになります。
     
    サーバ側との事、承知致しました。
     
     
    >ビルトインAdministrator無効時に代理で作成したユーザでも「管理者として実行」が押下できるという意味でしょうか?
     

    はい、可能です。
    ローカルのAdministratorsグループに対象アカウントが属していれば可能です。
    Administratorsグループに属していなくても、「管理者として実行」後に管理者アカウントとパスワードを聞かれるのが通常の動きだと思います。
    もし実行できないのであれば、UACもしくはグループポリシーの設定の影響である可能性があります。

    (Windows Server 2012 R2ですが以下の状態ですよね)

     

     

    >このビルトインAdministratorでないと動作しないアプリケーションを使用する際は都度Administratorを有効化しなくてはならないのでしょうか・・。
     
    残念ながらその通りになります。
    厳密言えばビルトインAdministrator以外では出来ない挙動に起因します。(対話型サービスなど)

     

    また参考までにビルトインAdministrator含めたセキュリティ管理のドキュメントを記載します。

     

    ■管理者アカウント セキュリティ計画ガイド

    https://docs.microsoft.com/ja-jp/security-updates/planningandimplementationguide/19869239

    すみません、聞きそびれてしまったのですが、対話型サービスという点についてイマイチピンと来ていないのですが、

    具体的にはどういうことでしょうか・・・。

    ビルトインAdministratorでしかできないサービスなのでしょうか。

    2018年3月27日 7:17
  • >すみません、聞きそびれてしまったのですが、対話型サービスという点についてイマイチピンと来ていないのですが、

    >具体的にはどういうことでしょうか・・・。

     

    簡単に説明すると、特定のアプリケーションを実行したユーザに対して「実行して良いか確認する」Windowsサービスになります。

    例としては、互換性のないプログラムが実行されたときや実行ユーザが異なる場合に「正常に動作するか分かりませんが本当に実行しますか?」というのをOS側がユーザに許可を求める動きです。

    Windows10(Windows Server2016は未確認)ではデフォルトでは動作しなくなりましたため、「Administratorsグループ」のユーザであっても「実行の許可」が必要なアプリは実施できず実行できないケースがあります。(アプリの仕様などによる)

    しかし、ビルトインAdministratorアカウントは「対話型サービス」を使用せずに実行が可能なため、どのようなアプリケーションも実行が可能です。(グループポリシーの影響は受けますが…)

     

    通常はクライアント側で考慮すべき機能なので、頭の隅にでも入れる程度でよいと思います。

    2018年3月27日 9:15
  • 方向性は異なるかもしれませんが、Built-in Administrator のセキュリティを強化するという意味であれば、無効にするのではなく Administrator の名前(ユーザー名)を変更するという方法も検討されると良いでしょう。推測困難な名前に変更することで一定の効果はあるでしょう。


    hebikuzure

    2018年3月27日 9:40
  • ご回答有り難うございます。

    >Windows10(Windows Server2016は未確認)ではデフォルトでは動作しなくなりましたため、「Administratorsグループ」のユーザであっても「実行の許可」が必要なアプリは実施できず実行できないケースがあります。(アプリの仕様などによる)

    →アプリの仕様によっては対話型サービスで実行許可が求められ、物によってはビルトインAdministratorを有効化する必要があるのですね。どのような場合で都度有効化しなくてはならないか、現時点である程度把握できるものでしょうか?できない場合は、どこを見れば分かるでしょうか?

    通常クライアント側で考慮すべきことということですが、サーバー側としてもし考慮すべきことなどありましたらそこもアドバイスいただけますと大変助かります。

    2018年3月28日 2:00
  • ご回答有り難うございます。

    確かにより手軽な名前の変更も検討いたしましたが、エンドユーザー側の判断でロックする方針となりました。

    万が一ロックがうまく行かなかった場合はそちらも再検討したいと思います。

    2018年3月28日 2:02
  • きちんと調べると、サーバ側(2008から)でもデフォルトで「対話型サービス(Interactive Services Detection)」が「手動」起動になっているため無効化されています。
    つきまして、Windows Server上で特定のアプリケーションを動作させたときに、上手く動作せずSystemログに「イベントID:7030」が記録されている場合は「対話型サービス」による影響の可能性があります。
    これもサーバとクライアントで違いはないのですが、言うまでもないかもしれませんがタスクスケジューラの機能などはサーバの方が利用しがちなので気を付けたほうが良いでしょう。
     
    ビルトインAdministrator以外で正常な動作をしない場合は、ビルトインAdministratorを有効化して動作させてみるのは切り分けとして正しい動きかと思います。(権限の不足なども考慮する必要はあります。)
     
    ただし、イベントログに記録が残っても問題のない場合と、ある場合があるのでそこは都度アプリ側へ確認するしかありません。

    2018年3月28日 3:00
  • チャブーンです。

    この件、横からですみませんが、以下のようなことがいえるのではないでしょうか。なお、言いにくいのですが、このようなあいまいな質問(「概念自体がよくわからないので、整理も含め全体を教えてほしい」が実態だと理解しています)を含む内容は、回答者側に相当負担がかかるので、そこはご理解のうえ、質問内容を考慮いただきたい気持ちがあります。

    まず、

    ビルトインAdministratorを無効にした場合、この「管理者にて実行」は押せなくなるかと思いますが、

    ということはありません。「管理者として実行」を選択した場合、ログオン中のアカウントが管理者グループに含まれているなら「次のプログラムにこのコンピューターへの変更を許可しますか?」(OSにより文言は違います)というUAC昇格を要求するかどうかを、はい|いいえで選ぶだけです。アカウントが管理者グループに含まれていなければ、別のアカウントを指定するためのダイヤログが表示されます。ここで代替の管理者アカウントがなければNGですが、代替の管理者アカウントがあればビルトインAdministratorは無効にできます。

    そうでない動作の場合、UAC制御に関するグループポリシーがカスタマイズされている可能性が高いので、質問者さんの会社の「システム管理者」に確認してください。

    冒頭のお願いと関わりますが、質問者さんの(過去を含む)質問内容は「社内のカスタマイズ要件」をWindowsのデフォルト設定と見立てて質問されることがあるようです。カスタマイズ要件はコミュニティではわかりませんので、最も確実なのは「コミュニティに問い合わせる前に自社のシステム管理者に尋ねる」ことです。ご自身がシステム管理者だ、ということなら、システム設定の変更履歴の資料や設定業者への確認を挟むことで、質問内容はそれなりに精査されるようにも思います。

    もう一つの質問、

    尚、代理ユーザとビルトインAdministratorは所属グループを全く同じにしていますが、代理ユーザにビルトインAdministratorをロックを無効化・有効化することはできるでしょうか。

    「ロック」というのが(パスワード間違いによる)ロックアウトを指しているなら、ビルトインAdministratorにはロックアウトの制約はそもそも適用されません。どうしてもそれが必要な場合、専用ツールによる有効化が必要です。そういった情報を含め、ビルトインAdministratorを変更・無効化する際の注意点について、パートナーコミュニティに情報があるようですので、いちど参考にされるといいように思います(回答内のリンク先情報もご覧ください)。

    https://partnersupport.microsoft.com/ja-jp/par_servplat/forum/par_winserv/%E3%83%93%E3%83%AB%E3%83%88%E3%82%A4%E3%83%B3admin/10d2333c-a846-426e-a31a-6f5ed16959ec?auth=1

    なお、蛇足ですが、「ビルトインAdministratorを無効化しないほうがいい」についての私個人の見解としては、「20年前のソフトをそのまま動かしているような特殊環境でなければ問題ない」認識です。

    たとえばWindowsの「サービス」で動作させるようなサーバーソフトウェアの場合、管理者全権が必要な場合「SYSTEM」や「LocalService」といったUAC影響を受けない内部アカウント(プリンシパル)の権限を使います。サービスにおける「対話型サービス」が必要な、ビルトインAdministratorをサービスで使うような場合、本来デスクトップアプリケーション(通常の対話型ログオンを必要とする)をムリヤリサービス化したような「行儀の悪いソフト」のみが対象で、一般販売されたエンタープライズ製品(商用ソフト)にこのようなものはないためです。ちなみにこういうソフトは、セキュリティ上の理由でWindows Server 2008以降では正常動作しないように仕様変更されたため、現状はほとんどない(そもそも使えない)と考えてよいと思います。

    あるとすれば、UACとは無関係に「ログオンユーザーがAdministratorである」ことを前提として作成されたソフトの存在です。ソフトの内部設定ファイルや保存先フォルダー名に「Administrator」が決め打ちでコーディングされたソフトだと、操作の際にエラーが出ることがあります。こういうソフトも20年前ならあり得ますが、今時はエンタープライズ製品ならほとんど存在しないでしょう。逆をいえば、極端に古いソフトやコンシューマー向けソフトは、使用しないことです。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年3月28日 4:01
    モデレータ
  • ご回答有り難うございます。

    Windows Server上で特定のアプリケーションを動作させたときに、上手く動作せずSystemログに「イベントID:7030」が記録されている場合は「対話型サービス」による影響の可能性があります。

    ログでそのような表示を今のところ見たことがなく、現時点では対話型サービスの影響は特に受けてはいなそうですので今後ログを確認する際、頭に置いておきたいと思います。

    ただし、イベントログに記録が残っても問題のない場合と、ある場合があるのでそこは都度アプリ側へ確認するしかありません。

    参考になります。問題の切り分けで有効化してもうまく行かなかった場合は都度アプリを確認するようにしたいと思います。

    2018年3月28日 4:25
  • いつもご回答いただき有り難うございます。

    この件、横からですみませんが、以下のようなことがいえるのではないでしょうか。なお、言いにくいのですが、このようなあいまいな質問(「概念自体がよくわからないので、整理も含め全体を教えてほしい」が実態だと理解しています)を含む内容は、回答者側に相当負担がかかるので、そこはご理解のうえ、質問内容を考慮いただきたい気持ちがあります。

    一応役割としてはシステム管理者なのですが、設定者は既に離任してしまったためこのように全体感が掴めないまま漠然とした質問を投げかけてしまうことが多く、毎度ご負担おかけして大変申し訳無い気持ちですが、なるべく質問内容具体的に記載するよう努めてまいります。

    ご回答いただいた内容じっくり拝見させていただきましたが、大変参考になりました。

    ようやく疑問点全てクリアになりましたので本件に関しては追加質問ございません。

    ご丁寧にアドバイスいただき、どうもありがとうございました。


    2018年3月28日 4:39