locked
Windows7 Pro 64bitでローカルAdministratorsメンバーのドメインユーザにてログインした際に一部のソフトウェアを管理者権限がないためインストール出来ない RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Windows7 Professional 64bit をインストールしたPCにてローカルAdministrators権限のドメインユーザでログインした際に一部のソフトウェアが管理者権限がないということでインストール出来ません。

    マウス右クリックで管理者権限で実行をしても「管理者権限がない」というメッセージが表示されインストール不可です。管理者でログインするような入力ウィンドウも表示されず先に進めません。

    またユーザアカウント制御の設定を一番弱い「通知しない」にしても上記と同じ状況です。

    AdministratorまたはAdministratorsのローカルユーザだと問題なくインストールできます。

    Administratorsのドメインユーザでインストールできるような設定変更はWindows7 Professionalではないのでしょうか?

    ローカルAdministratorでログインしてインストールするということは極力避けたいのですが。

    どなたかご存じの方がいらっしゃいましたら、よろしくお願い致します。

    • 移動 佐伯玲 2014年4月8日 3:40 フォーラムへのご意見ご要望からWindows 7 全般へ
    2014年4月8日 2:31

回答

  • Question
    サインインして投票
    0
    サインインして投票
    Process Monitorによるチェック、Access CheckによるCDアプリへのアクセス権のチェックを行いました。

    特に問題は私には発見できませんでした。

    ただ判ったことはCDからドライバー類をインストールする際のユーザインタフェースに問題があるようで、それを介さずに個別にCD内にある各ドライバーやツールのフォルダにアクセスしインストーラーを起動するとインストールすることが可能でした。

    どうやらローカルAdministratorsのドメインユーザのポリシーというよりもユーザインタフェースの作りが悪いようです。

    皆様、大変お騒がせいたしましたが、サポート頂きありがとうございました。

    こちらはこれで解決と致します。
    • 回答としてマーク fun3 2014年4月24日 5:17
    2014年4月24日 5:17

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは、fun3 さん
    フォーラムオペレータの佐伯 玲 です。

    ご投稿ありがとうございます。
    こちらのフォーラムはフォーラムの運営に関するご意見やご要望をいただくためのフォーラムとなっておりますので、
    後ほど「Windows 7 全般」フォーラムへこのスレッドを移動させていただこうかと思います。


    ご確認の程、宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2014年4月8日 2:46
  • Question
    サインインして投票
    0
    サインインして投票

    佐伯様、移動件承知致しました。

    よろしくお願い致します。

    2014年4月8日 3:24
  • Question
    サインインして投票
    0
    サインインして投票

    移動が完了いたしました。

    引き続きこちらのスレッドをご利用いただけましたらと思います。


    TechNet Community Support 佐伯 玲

    2014年4月8日 4:23
  • Question
    サインインして投票
    0
    サインインして投票

    佐伯様、お手間をお掛け致しました。

    ありがとうございます。

    2014年4月8日 7:10
  • Question
    サインインして投票
    0
    サインインして投票

    ローカルの管理者でログイン後に、ユーザの管理画面を開いてユーザーアカウントのユーザータブから

    ドメインに登録されている希望のユーザーをグループ Administrators で追加すれば良いのでは?


    2014年4月8日 8:52
  • Question
    サインインして投票
    0
    サインインして投票

    本質問は

    http://answers.microsoft.com/ja-jp/windows/forum/windows_7-security/windows7-pro/742cecc5-756a-4090-94fa-3aae426be90d

    から誘導されてこちらに投稿されています。

    hebikuzure

    2014年4月8日 9:06
  • Question
    サインインして投票
    0
    サインインして投票

    hebkikuzureさん、

    マイクロソフト・コミュニティとの関連付け頂き、ありがとうございます。
    2014年4月9日 2:14
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、ログオンユーザが実行するセットアップファイルはどこかの「共有フォルダ」上にあるんだと認識しています。

    共有フォルダ側の該当フォルダのNTFSアクセス許可ですが、「Domain Admins」をAdministratorsの代わりに使っていたりしませんか?動作の挙動からUACが関連していると思うのですが、共有フォルダ側にアクセスした段階で権限が強制的に下がってしまっているためだと思います。

    うえを避けるためには、共有フォルダ側のNTFSアクセス許可を「ローカルAdministrators」フルアクセス等に設定(Domain Adminsは外してください)してください。共有フォルダ上のサーバのローカルAdministratorsのメンバーにDomain Adminsが含まれているので、こうすればDomai Admins権限でアクセスされてもUAC的にローカルAdministrators権限として扱ってくれるはずですが。

    2014年4月9日 2:44
  • Question
    サインインして投票
    0
    サインインして投票

    ローカルの管理者でログイン後に、ユーザの管理画面を開いてユーザーアカウントのユーザータブから

    ドメインに登録されている希望のユーザーをグループ Administrators で追加すれば良いのでは?


    藤森さん、有難うございます。

    試してみました。

    設定のなされていないPCに私のドメイン・ユーザ・アカウントをローカルのAdministratorでログインしAdministratorsに登録してみました。ログオフの後、わたしのユーザアカウントでドメインにログインして、問題のアプリのセットアップを走らせましたが、やはり「管理者権限でインストール下さい」とのメッセージが表示されて、セットアップは終了でした。

    2014年4月9日 2:45
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、ログオンユーザが実行するセットアップファイルはどこかの「共有フォルダ」上にあるんだと認識しています。

    共有フォルダ側の該当フォルダのNTFSアクセス許可ですが、「Domain Admins」をAdministratorsの代わりに使っていたりしませんか?動作の挙動からUACが関連していると思うのですが、共有フォルダ側にアクセスした段階で権限が強制的に下がってしまっているためだと思います。

    うえを避けるためには、共有フォルダ側のNTFSアクセス許可を「ローカルAdministrators」フルアクセス等に設定(Domain Adminsは外してください)してください。共有フォルダ上のサーバのローカルAdministratorsのメンバーにDomain Adminsが含まれているので、こうすればDomai Admins権限でアクセスされてもUAC的にローカルAdministrators権限として扱ってくれるはずですが。

    チャブーンさん、返信ありがとうございます。

    該当のセットアップファイルはCD-ROMにありまして、PCのDVD-ROMドライブのプロパティを確認したのですが、こちらにはアクセス権を設定するセキュリティタブがなくCD-ROM内のフォルダやファイルとともに設定の変更はできないようです。またドライブ自身は共有にはなっておりません。

    わたしのアカウントはDomain Adminsのメンバーではなく、現在ローカルAdministratorsのメンバーとなっております。

    2014年4月9日 3:34
  • Question
    サインインして投票
    0
    サインインして投票

    他のソフト等は問題なくインストール出来るのでしょうか?

    グループポリシー、AppLocker などで制限がかかっているとか・・・

    2014年4月9日 9:20
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    なるほど。ローカルマシン上のCD-ROMからインストールをされようとしているのですね。で、あらためてMicrosoft Community側も読んでみたのですが、

    実は右クリックにて「管理者として実行」を行ってもユーザとパスワードを入力するウィンドウは表示されず、いきなり管理者権限がないというメッセージが出て先に進むことが出来ません。

    うえですが、おそらくグループポリシーまたはローカルポリシーの設定の影響があると思います。「ソフトウェアの制限」ポリシーではなく、セキュリティオプションの「ユーザーアカウント制御:管理者承認モードでの管理者に対する昇格時のプロンプトの動作」ポリシーはどうなっていますか?

    2014年4月9日 16:01
  • Question
    サインインして投票
    0
    サインインして投票

    他のソフト等は問題なくインストール出来るのでしょうか?

    グループポリシー、AppLocker などで制限がかかっているとか・・・

    他のソフトは今のところ問題なくインストールできています。確認されているのは一つだけですが今後はどうなるでしょうね。

    AppLockerというものがあるんですね、知りませんでした。TechNetで要件を確認すると使っておりますWindows7 Professionalでは規則は作成できるが実行はできないとの記述がありましたので、どうなんでしょう。こちらも設定を見てみます。

    グループポリシーのところはチャブーンさんからも指摘がありましたので一緒に確認してみます。

    ありがとうございます。

    2014年4月10日 3:36
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    なるほど。ローカルマシン上のCD-ROMからインストールをされようとしているのですね。で、あらためてMicrosoft Community側も読んでみたのですが、

    実は右クリックにて「管理者として実行」を行ってもユーザとパスワードを入力するウィンドウは表示されず、いきなり管理者権限がないというメッセージが出て先に進むことが出来ません。

    うえですが、おそらくグループポリシーまたはローカルポリシーの設定の影響があると思います。「ソフトウェアの制限」ポリシーではなく、セキュリティオプションの「ユーザーアカウント制御:管理者承認モードでの管理者に対する昇格時のプロンプトの動作」ポリシーはどうなっていますか?

    調べてみました。デフォルトの「Windows以外のバイナリに対する同意を要求する」になっております。

    2014年4月10日 5:33
  • Question
    サインインして投票
    0
    サインインして投票
    藤森さん、AppLockerを確認しました。アプリケーションの制御ポリシーのAppLockerで設定を見てみましたが、特に何もありませんでした。またApplication Identifyのサービスが手動のため停止しており、AppLocker自身が無効となっていました。
    2014年4月10日 7:01
  • Question
    サインインして投票
    0
    サインインして投票

    切り分けのため、Default Domain Policy 以外のポリシーを適用しないグループを作り、当該のユーザーをそのグループだけに所属させて現象に変化があるか確認しても良いかも。
    (Default Domain Policy に直接あれこれのポリシー設定をしちゃってないですよね? もししてしまっているのならこの方法ではダメですが)

    hebikuzure

    2014年4月12日 9:13
  • Question
    サインインして投票
    0
    サインインして投票

    新しくDefault Domain Policyのみのグループの作成を試みたのですが私の権限では新規作成できませんでした。

    Default Domain PolicyにはDomain Admins、Enterprise Adminsへの「設定の編集、削除、およびセキュリティの変更」の許可が与えらていて継承はなしとなっているのが主です。

    当面、ローカルAdministratorsの仮ユーザにてインストールする暫定処置で逃げようと思います。

    hebikuzureさん、皆さん、サポートを頂きありがとうございます。

    2014年4月14日 5:37
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、やり取りをうかがう限りご自身は「ドメインのシステム管理者」ではない、とお見受けしました。最初の状況から考えると「ドメインアカウントではローカル権限にかかわらずアプリのインストールはできない」ように管理者側で設定しているように見受けられますので、会社のルール上こうなっているのではないでしょうか?まず、ドメインを管理するシステム管理者に状況をお知らせしてご相談する、が最初だと思いいます。月並みですが。

    で、もし今後も調査されるのでしたら、グループポリシーの全適用された一覧を一旦出し、確認したほうがいいと思います。gpresult /h <htmlファイル名> で適用された設定一覧がhtmlファイルに出力されます。GUI風に見ることができますので、割と確認は容易です。

    2014年4月15日 2:14
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん、ありがとうございます。

    おかしなことは例えばOfficeやJAVA等のアプリは問題なく現環境でインストールが出来て、特定のアプリのみ(今のところ1つのみ)が「管理者権限がない」ということでインストール出来ないところです。

    ですので「ドメインアカウントではローカル権限にかかわらずアプリのインストールは出来ない」ということであれば、すべてのアプリはインストール出来ないのではないかと思います。わたしの権限は一般ドメインユーザよりはもちろん権限は広く、社員のドメイン管理を行っております。それでも問題のアプリに関しましてはインストール出来ません。

    いずれにしても、サポート頂きありがとうございました。ご教授頂きましたグループポリシーの一覧は確認してみます。

    2014年4月16日 2:15
  • Question
    サインインして投票
    0
    サインインして投票

    そういう事であれば、Process Monitor のようなツールでインストール時のエラー発生の状況をログ採取すれば、具体的にどこに対するどのような権限が不足しているのか確認できるかも。

    Process Monitor http://technet.microsoft.com/ja-jp/sysinternals/bb896645.aspx

    hebikuzure

    2014年4月17日 8:56
  • Question
    サインインして投票
    0
    サインインして投票

    Hebikuzureさん、ありがとうございます。Process Monitorを試してみます。

    チャブーンさんからご教授頂きましたグループポリシーの一覧を出力してみましたが今のところこれだというものが見つけられておりません。

    2014年4月18日 7:55
  • Question
    サインインして投票
    0
    サインインして投票
    Process Monitorによるチェック、Access CheckによるCDアプリへのアクセス権のチェックを行いました。

    特に問題は私には発見できませんでした。

    ただ判ったことはCDからドライバー類をインストールする際のユーザインタフェースに問題があるようで、それを介さずに個別にCD内にある各ドライバーやツールのフォルダにアクセスしインストーラーを起動するとインストールすることが可能でした。

    どうやらローカルAdministratorsのドメインユーザのポリシーというよりもユーザインタフェースの作りが悪いようです。

    皆様、大変お騒がせいたしましたが、サポート頂きありがとうございました。

    こちらはこれで解決と致します。
    • 回答としてマーク fun3 2014年4月24日 5:17
    2014年4月24日 5:17