none
ビルトインAdministratorアカウントを使って、アプリが起動できない旨のメッセージが表示される RRS feed

  • 質問

  • お世話になっております。

    Windows10を利用しておりますが、Microsoft EdgeやOneNote等の一部のアプリを起動する際に、
    下記のメッセージが出力されてしまい、アプリが起動できない状態となっております。

     『ビルトインAdministratorアカウントを使って、Microsoft Edgeを開けません。
      別のアカウントでサインインしてやり直してください。』

    調べたところ、ローカルセキュリティポリシーの[セキュリティ設定]-[ローカルポリシー]-
    [セキュリティオプション]-[ユーザーアカウント制御:ビルトインAdministratorアカウントのための
    管理者承認モード]を『有効』に設定しておりますが、改善されない状況です。


    該当のメッセージを解消して、アプリを起動する方法をご教示いただきたく存じます。
    2017年6月7日 3:33

すべての返信

  • nsuzukin さま よろしく。

    ビルトインAdministratorアカウント が一般の管理者アカウントと異なり特殊な位置付けであり Client OS 上では標準で無効化されている、
    のを十分にご理解の上でのご利用なのでしょうか?。
    通常はリスクが大きい為、利用を差し控えるべきアカウントなので、
    お勧めは、一般管理者アカウントでの運用となるかと思います。

    参考 URL: http://www.atmarkit.co.jp/ait/articles/1608/22/news039_2.html 等
    2017年6月7日 4:25
  • もちろん承知しております。

    弊社システム上、ローカルAdministratorを有効化しないと業務上支障をきたす場合がありますので、
    あえて有効化しております。


    その上で、上記のようなメッセージが表示されてしまいアプリが起動不可である状態でございますので、
    アプリを起動する方法について確認したいと考えております。
    2017年6月7日 5:25
  • セキュリティ ポリシーで、セキュリティの設定 → ローカル ポリシー → セキュリティ オプション を開き「ユーザー アカウント制御: ビルトイン Administrator アカウントのための管理者承認モード」を有効にすることで回避できる可能性は本来ありますね。設定としては間違っていないと思います。

    ただ Built-in Administrator でなければ支障が出るシステムというのは超イケてないので、そのまま放置しているとどこかで破綻する思います。早めに手を打っておかないともっと痛い目に遭う可能性があると思います。


    hebikuzure


    2017年6月7日 13:57
  • 調べたところ、ローカルセキュリティポリシーの[セキュリティ設定]-[ローカルポリシー]-
    [セキュリティオプション]-[ユーザーアカウント制御:ビルトインAdministratorアカウントのための
    管理者承認モード]を『有効』に設定しておりますが、改善されない状況です。

    有効にした後、一度 Windows からサインアウトしましたか?
    この設定が有効になるのは、次回のサインインからですので。

    なお、手元の VM で実験する限り、この設定を有効にし、Administrator でサインインし直したら、Edge を起動できました。(Creators Update において)

    この設定を有効にすると、Administrator でも UAC が機能するようになるわけですので、
    「業務上支障をきたす場合」の理由次第では、両立不可能となるかもしれません。
    Edge などの UWP アプリの実行には UAC 有効状態が必須の設計となっています。

    2017年6月7日 21:37
  • [ユーザーアカウント制御:ビルトインAdministratorアカウントのための管理者承認モード]を
    有効化したのちに、何度もサインアウト再起動を実施しておりますが、状況が変わらない状態です。

    私も他のフォーラムに上がっている件を参照し、上記箇所の有効化で改善される旨を拝見いたし
    ましたが、改善されない状態であります。

    何か他の要因は考えられますでしょうか。。。?
    2017年6月7日 23:58
  • 横から失礼します。

    「ビルトインAdministratorアカウントを使って、フォトを開けません。別のアカウントでサインインしてやり直してください。」の対処法
    http://affiliatestarted.com/windows10/%E3%80%8C%E3%83%93%E3%83%AB%E3%83%88%E3%82%A4%E3%83%B3administrator%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6%E3%80%81%E3%83%95%E3%82%A9%E3%83%88%E3%82%92.html

    ↑のページでは、「ユーザーアカウント制御:ビルトインAdministratorアカウントのための管理者承認モード」に加えて「ユーザーアカウント制御:管理者承認モードですべての管理者を実行する」も有効にすることで問題のメッセージの表示を回避できるとありますが、いかがでしょうか?

    2017年6月8日 0:37
  • ご教示いただいたように「ユーザーアカウント制御:管理者承認モードですべての管理者を実行する」は無効になっておりました。

    しかし、該当項目はグレーアウトされてしまっており、有効化できない状態となっております。

    こちらを有効化する方法はございますでしょうか?


    2017年6月8日 3:06
  • >しかし、該当項目はグレーアウトされてしまっており、有効化できない状態となっております。

    グループポリシーで当該ポリシーが制御されているように見受けられるのですが、ドメインに参加しているのでしょうか?

    コマンドプロンプトでgpresult /zを実行した際の結果を教えてください。

    なお、私も手元のVM(Creators Update)で確認してみましたが、当該ポリシーは設定可能な状態でした。

    2017年6月8日 5:37
  • ドメインに参加しているため、グループポリシーで制限されているかもしれません。
    「gpresult /z」を実行し、今回操作不能となっている部分を抜粋して記載したしました。


    ========================================================

            セキュリティ オプション
            -----------------------
                GPO: Default Domain Policy
                    ポリシー:          PasswordComplexity
                    コンピューター設定:  有効

                GPO: Default Domain Policy
                    ポリシー:          ClearTextPassword
                    コンピューター設定:  有効ではありません

                GPO: Default Domain Policy
                    ポリシー:          ForceLogoffWhenHourExpire
                    コンピューター設定:  有効ではありません

                GPO: Default Domain Policy
                    ポリシー:          EnableGuestAccount
                    コンピューター設定:  有効ではありません

                GPO: Default Domain Policy
                    ポリシー:          RequireLogonToChangePassword
                    コンピューター設定:  有効ではありません

                GPO: Default Domain Policy
                    ポリシー:          @wsecedit.dll,-59096
                    値名:         MACHINE\Software\Policies\Microsoft\Windows NT\DCOM\MachineLaunchRestriction
                    コンピューター設定:  O:BAG:BAD:(A;;CCDCLCSWRP;;;BA)(A;;CCDCSW;;;WD)(A;;CCDCLCSWRP;;;S-1-5-32-562)(A;;CCDCLCSWRP;;;LU)

                GPO: Default Domain Policy
                    ポリシー:          @scecli.dll,-8207
                    値名:         MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken
                    コンピューター設定:  1

                GPO: Default Domain Policy
                    ポリシー:          @wsecedit.dll,-59055
                    値名:         MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest
                    コンピューター設定:  0

                GPO: Default Domain Policy
                    ポリシー:          @scecli.dll,-8203
                    値名:         MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
                    コンピューター設定:  0

                N/A

    ========================================================
    2017年6月9日 6:07
  • 手元のVMで確認したのですが、以下の結果がDefault Domain Policyで「ユーザーアカウント制御:管理者承認モードですべての管理者を実行する」を「無効」にしていることを意味しております。

    >GPO: Default Domain Policy
    >ポリシー: @scecli.dll,-8203
    >値名: MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
    >コンピューター設定: 0

    Default Domain Policyの設定を変更すると影響範囲が大きいので、テスト用のOUを作り、そこに当該マシンのコンピューター アカウントを格納し、同OUに「ユーザーアカウント制御:管理者承認モードですべての管理者を実行する」を「有効」にしたGPOをリンクさせてみてはいかがでしょうか?


    2017年6月9日 6:34
  • 仰る通りですね。

    一度テスト用のOUを作成し、試験してみたいと思います。


    2017年6月9日 7:22
  • 少し気にかかるのは、組織として「UAC は使わない」となっていたところに、「Edge を利用するために UAC を使う端末」が現れることでしょうか。

    UAC を使わないとしていた理由次第では「Edge は使えるようになったが、〇〇で困る」といった顛末もあり得るかもしれません。

    2017年6月9日 23:08