Remove From My Forums

ビルトインAdministratorアカウントを使って、アプリが起動できない旨のメッセージが表示される

質問
0

サインインして投票

お世話になっております。

Windows10を利用しておりますが、Microsoft EdgeやOneNote等の一部のアプリを起動する際に、
下記のメッセージが出力されてしまい、アプリが起動できない状態となっております。

　『ビルトインAdministratorアカウントを使って、Microsoft Edgeを開けません。
　　別のアカウントでサインインしてやり直してください。』

調べたところ、ローカルセキュリティポリシーの[セキュリティ設定]－[ローカルポリシー]－
[セキュリティオプション]－[ユーザーアカウント制御：ビルトインAdministratorアカウントのための
管理者承認モード]を『有効』に設定しておりますが、改善されない状況です。

該当のメッセージを解消して、アプリを起動する方法をご教示いただきたく存じます。

2017年6月7日 3:33

返信

|

引用

すべての返信

0

サインインして投票

nsuzukin さま　よろしく。

ビルトインAdministratorアカウントが一般の管理者アカウントと異なり特殊な位置付けであり Client OS 上では標準で無効化されている、
のを十分にご理解の上でのご利用なのでしょうか？。
通常はリスクが大きい為、利用を差し控えるべきアカウントなので、
お勧めは、一般管理者アカウントでの運用となるかと思います。

参考 URL：　http://www.atmarkit.co.jp/ait/articles/1608/22/news039_2.html　等

2017年6月7日 4:25

返信

|

引用
0

サインインして投票

もちろん承知しております。

弊社システム上、ローカルAdministratorを有効化しないと業務上支障をきたす場合がありますので、
あえて有効化しております。

その上で、上記のようなメッセージが表示されてしまいアプリが起動不可である状態でございますので、
アプリを起動する方法について確認したいと考えております。

2017年6月7日 5:25

返信

|

引用
0

サインインして投票
セキュリティポリシーで、セキュリティの設定　→　ローカルポリシー　→　セキュリティオプションを開き「ユーザーアカウント制御: ビルトイン Administrator アカウントのための管理者承認モード」を有効にすることで回避できる可能性は本来ありますね。設定としては間違っていないと思います。

ただ Built-in Administrator でなければ支障が出るシステムというのは超イケてないので、そのまま放置しているとどこかで破綻する思います。早めに手を打っておかないともっと痛い目に遭う可能性があると思います。

hebikuzure
- 編集済み Hebikuzure aka Murachi AkiraMVP 2017年6月7日 22:51
2017年6月7日 13:57

返信

|

引用
0

サインインして投票
調べたところ、ローカルセキュリティポリシーの[セキュリティ設定]－[ローカルポリシー]－
[セキュリティオプション]－[ユーザーアカウント制御：ビルトインAdministratorアカウントのための
管理者承認モード]を『有効』に設定しておりますが、改善されない状況です。

有効にした後、一度 Windows からサインアウトしましたか？
この設定が有効になるのは、次回のサインインからですので。

なお、手元の VM で実験する限り、この設定を有効にし、Administrator でサインインし直したら、Edge を起動できました。（Creators Update において）

この設定を有効にすると、Administrator でも UAC が機能するようになるわけですので、
「業務上支障をきたす場合」の理由次第では、両立不可能となるかもしれません。
Edge などの UWP アプリの実行には UAC 有効状態が必須の設計となっています。
- 編集済み AzuleanMVP 2017年6月7日 21:40
2017年6月7日 21:37

返信

|

引用
0

サインインして投票

[ユーザーアカウント制御：ビルトインAdministratorアカウントのための管理者承認モード]を
有効化したのちに、何度もサインアウト再起動を実施しておりますが、状況が変わらない状態です。

私も他のフォーラムに上がっている件を参照し、上記箇所の有効化で改善される旨を拝見いたし
ましたが、改善されない状態であります。

何か他の要因は考えられますでしょうか。。。？

2017年6月7日 23:58

返信

|

引用
0

サインインして投票
横から失礼します。

「ビルトインAdministratorアカウントを使って、フォトを開けません。別のアカウントでサインインしてやり直してください。」の対処法
http://affiliatestarted.com/windows10/%E3%80%8C%E3%83%93%E3%83%AB%E3%83%88%E3%82%A4%E3%83%B3administrator%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6%E3%80%81%E3%83%95%E3%82%A9%E3%83%88%E3%82%92.html

↑のページでは、「ユーザーアカウント制御：ビルトインAdministratorアカウントのための管理者承認モード」に加えて「ユーザーアカウント制御：管理者承認モードですべての管理者を実行する」も有効にすることで問題のメッセージの表示を回避できるとありますが、いかがでしょうか？
- 回答の候補に設定栗下望Microsoft employee, Moderator 2017年6月12日 4:37
2017年6月8日 0:37

返信

|

引用
0

サインインして投票

ご教示いただいたように「ユーザーアカウント制御：管理者承認モードですべての管理者を実行する」は無効になっておりました。

しかし、該当項目はグレーアウトされてしまっており、有効化できない状態となっております。

こちらを有効化する方法はございますでしょうか？

2017年6月8日 3:06

返信

|

引用
0

サインインして投票
＞しかし、該当項目はグレーアウトされてしまっており、有効化できない状態となっております。

グループポリシーで当該ポリシーが制御されているように見受けられるのですが、ドメインに参加しているのでしょうか？

コマンドプロンプトでgpresult /zを実行した際の結果を教えてください。

なお、私も手元のVM（Creators Update）で確認してみましたが、当該ポリシーは設定可能な状態でした。
- 回答の候補に設定栗下望Microsoft employee, Moderator 2017年6月9日 1:51
2017年6月8日 5:37

返信

|

引用
0

サインインして投票

ドメインに参加しているため、グループポリシーで制限されているかもしれません。
「gpresult /z」を実行し、今回操作不能となっている部分を抜粋して記載したしました。

========================================================

セキュリティオプション
-----------------------
GPO: Default Domain Policy
ポリシー: PasswordComplexity
コンピューター設定: 有効

GPO: Default Domain Policy
ポリシー: ClearTextPassword
コンピューター設定: 有効ではありません

GPO: Default Domain Policy
ポリシー: ForceLogoffWhenHourExpire
コンピューター設定: 有効ではありません

GPO: Default Domain Policy
ポリシー: EnableGuestAccount
コンピューター設定: 有効ではありません

GPO: Default Domain Policy
ポリシー: RequireLogonToChangePassword
コンピューター設定: 有効ではありません

GPO: Default Domain Policy
ポリシー: @wsecedit.dll,-59096
値名: MACHINE\Software\Policies\Microsoft\Windows NT\DCOM\MachineLaunchRestriction
コンピューター設定: O:BAG:BAD:(A;;CCDCLCSWRP;;;BA)(A;;CCDCSW;;;WD)(A;;CCDCLCSWRP;;;S-1-5-32-562)(A;;CCDCLCSWRP;;;LU)

GPO: Default Domain Policy
ポリシー: @scecli.dll,-8207
値名: MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken
コンピューター設定: 1

GPO: Default Domain Policy
ポリシー: @wsecedit.dll,-59055
値名: MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest
コンピューター設定: 0

GPO: Default Domain Policy
ポリシー: @scecli.dll,-8203
値名: MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
コンピューター設定: 0

N/A

========================================================

2017年6月9日 6:07

返信

|

引用
0

サインインして投票
手元のVMで確認したのですが、以下の結果がDefault Domain Policyで「ユーザーアカウント制御：管理者承認モードですべての管理者を実行する」を「無効」にしていることを意味しております。

＞GPO: Default Domain Policy
＞ポリシー: @scecli.dll,-8203
＞値名: MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
＞コンピューター設定: 0

Default Domain Policyの設定を変更すると影響範囲が大きいので、テスト用のOUを作り、そこに当該マシンのコンピューターアカウントを格納し、同OUに「ユーザーアカウント制御：管理者承認モードですべての管理者を実行する」を「有効」にしたGPOをリンクさせてみてはいかがでしょうか？
- 編集済み天心飲茶 2017年6月9日 6:37
- 回答の候補に設定栗下望Microsoft employee, Moderator 2017年6月12日 4:37
2017年6月9日 6:34

返信

|

引用
0

サインインして投票

仰る通りですね。

一度テスト用のOUを作成し、試験してみたいと思います。

2017年6月9日 7:22

返信

|

引用
0

サインインして投票
少し気にかかるのは、組織として「UAC は使わない」となっていたところに、「Edge を利用するために UAC を使う端末」が現れることでしょうか。

UAC を使わないとしていた理由次第では「Edge は使えるようになったが、〇〇で困る」といった顛末もあり得るかもしれません。
- 回答の候補に設定栗下望Microsoft employee, Moderator 2017年6月12日 4:37
2017年6月9日 23:08

返信

|

引用