2013年1月19日土曜日

Windows Serverにおけるユーザアカウントとアクセス権を一括で設定する方法

Windows Serverにおけるユーザアカウントとアクセス権を一括で設定する方法:

Windows Serverにおけるユーザアカウントとアクセス権を一括で設定する方法

1 はじめに
授業等で生徒が個々に作品をファイルサーバへ保存する場合,ファイル名の違いだけでは,誤って他人のデータに上書きしたり,他人の作品を不正使用したりすることが考えられます。
そこで,個人別に保存するフォルダを作成し,それぞれにアクセス権を設定することで,これらのトラブルを防止する必要があります。しかし,個人別のアクセス権を設定するには,生徒個人別のユーザアカウントを作成する必要があり,通常のGUI(マウスなどのポインティングデバイスによって行なうことができるユーザインターフェースのこと)ツールでの設定方法では,かなりの時間と労力が必要となります。

これに対し,コマンドによる設定方法を利用すれば,一括で多くのユーザを登録したりフォルダのアクセス権を設定することができます。
ここで,紹介する事例の環境としては,生徒用サーバ1台で各生徒用パソコンを管理している場合を考えます。各実習室で別々のサーバが存在する場合は,各サーバで設定が必要になります。
2 ユーザアカウントを一括で作成する方法
 (1) Addusersコマンド
Addusersコマンドは,ユーザアカウントの追加やファイルへの書き出しができるユーティリティであり,書籍「Windows 2000 Serverリソースキット」(日経BPソフトプレス)の付属CD-ROMに収録されています。この書籍は,全8巻ありますが,すべてに同じ内容のCD-ROMが付属しています。また,Windows NT用のAddusers_x86がMicrosoftのサイトからダウンロードで入手が可能です。このAddusers_x86は,Windows NT以外にWindows XPやWindows 2000のOSにも対応しています。
なお,MicrosoftのサイトからダウンロードできるWindows Server 2003のリソースキットには,Addusersコマンドは含まれていません。もし,Windows Server 2003で利用する場合は,Windows 2000 Serverのリソースキットに含まれているAddusersコマンドが利用できます。
Addusersコマンドを利用すると,大量のユーザアカウントを一括で登録することが可能になります。表計算ソフトウェアなどでユーザアカウントのリストファイルを”CSV(データをカンマ(",")で区切って並べたファイル)”形式で作成し,そのファイルをAddusersコマンドに読み込ませるだけで多くのユーザを一括登録することができます。
ここでは,Windows 2000 Serverを例に紹介します。また,表計算ソフトウェアは,Microsoft Excelを使用することにします。
Microsoftのサポートページ「Addusersによる大量のユーザの自動作成」
http://support.microsoft.com/default.aspx?scid=kb;ja;JP199878
Addusers_x86のダウンロード
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/reskit/nt40/i386/addusers_x86.exe
〔Addusersの書式〕
ADDUSERS {/c|/d{:u}|/e} filename [/t][/s:x] [/?] [\\computername|domainname] [/p:{l|c|e|d}]
/?  このヘルプ画面を表示する
/c  ファイルで指定されたアカウントを作成する
/d:  現在のアカウントを指定されたファイルへ書き出す
u  UNICODEで書き出すオプション
/p:  アカウントの作成オプションで,{lced}のいずれかを指定する
l  次回ログオン時にパスワード変更しなくてもよい
c  ユーザはパスワードを変更できない
e  パスワードを無期限にする(lオプションの意を含む)
d  アカウントを無効にする
/e  ファイルで指定されたアカウントを削除する
/s:x  CSVファイルの区切りを’x’に設定する。区切りとして使用したい文字をxと置き換える。
デフォルトは’,’カンマ
/t  ターミナルサービスユーザの作成と取り出しを可能にする
/cまたは/dとともに使用する
〔ユーザアカウントリストファイルの形式〕
表計算ソフトウェアのセル「A1」に”[User]”と入力し,2行目以降に以下のような表を作成します。
項 目内 容(例)
Aユーザ名1101(生徒番号)
Bフルネーム氏名
Cパスワード1101(ユーザ名と同じ)
D説明生徒用アカウント
Eホームフォルダの接続ドライブz:
Fホームフォルダのパス\\server\user\1101(フォルダがある場合)
\\server\user\%username%(ユーザ名で自動作成)
Gプロファイル パス省略
Hログオン スクリプトscr.bat(無ければ省略可)
ホームフォルダのパスは,接続ドライブ番号Z:がネットワークドライブとして自動的に割り当てられます。また,ホームフォルダ名を”%username%”と指定すると,ユーザ名でフォルダが自動作成されます。
グローバルユーザを作成するときは,登録するユーザの後に記述します。
A列の先頭に”[Global]”と入力し,続けて以下のような表を作成します。
項 目内  容
Aグローバルグループ名seito
Bコメント生徒グループ
Cユーザ名1以下の列に追加するユーザを列挙します
D
ユーザ名2
ローカルユーザを作成するときは,グローバルユーザの後に記述します。
A列の先頭に”[Local]”と入力し,あとは,グローバルユーザと同様です。
なお,グローバルユーザはドメイン内で有効になりますが,ローカルユーザは作成されたコンピュータ以外では使用できません。 
 (2) 表計算ソフトウェアによるユーザアカウントリストの作成例
表計算ソフトウェアを利用しアカウントリストを以下のように作成します。
ユーザアカウント設定
次に,任意のファイル名で”CSV(カンマ区切り)”形式にしてファイルを保存します。以下の説明では,ファイル名を user とし,C:¥に保存することにします。
CSV形式保存
コメントなどに日本語文字を含む場合は,このcsvファイルをUnicode形式に変換しておかないと文字化けが起きてしまいます。そこで,作成したcsvファイルをメモ帳等で開き,Unicode形式に変換します。
userファイル
文字コードに”Unicode”を指定し,保存します。
Unicode保存
以上でユーザアカウントのリストファイル”user.csv”の作成完了です。
サンプルファイル(user.csv)
※右クリックして「対象をファイルに保存」を選択し,zipファイルをダウンロードした後解凍してください。
 (3) Addusersコマンドの実行
コマンドプロンプトを起動し,コマンドラインで以下のように入力します。
C:\>addusers /c user.csv /p:e
/cは,user.csvのファイルからユーザを作成します。(user.csvファイルがカレントフォルダにない場合は,パスを含めて指定します。)
/p:eは,パスワードを無期限にします。
Addusersコマンド設定
※ユーザグループが存在していた場合,エラーが表示されますが無視してかまいません。指定したグループに追加されます。
3 アクセス権を一括で設定する方法
 (1) Caclsコマンド
生徒個人用フォルダなど多数のフォルダに対してアクセス権の設定を行うのは大変な作業になります。Windows NT以降のOSでは,標準でアクセス権を設定するコマンド「Cacls」が用意されています。
〔Caclsの書式〕   
Caclsコマンド書式
 (2) Caclsコマンドの設定例
C:\user
├\1101

└\1105
”C:\user”以下のフォルダ全体へのフルコントロールのアクセス権をユーザ「teach」に与えます。
C:\>cacls c:\user /t /e /c /g teach:f
/tは,現在のフォルダとフォルダ内のすべてのファイルとフォルダのアクセス権を変更します。
/eは,既存のアクセス権を保持し,新たなアクセス権を編集します。
/cは,アクセス拒否のエラーを無視して処理を継続します。
/gは,指定したユーザにアクセス権を与えます。

次にユーザ名を入力します。
:fは,フルコントロールにします。
caclsコマンド設定1
フォルダは作成時,Everyoneがフルコントロールになっていますから,次にEveryoneのアクセス権を削除します。
※caclsコマンドを実行するユーザが対象フォルダへのアクセス権限をもっていない場合,変更ができません。通常,ホームディレクトリには,ユーザのみにフルアクセス権が与えられているので,一括にユーザホームディレクトリのアクセス権を変更する場合は,コマンドを実行するユーザつまり Administrator にフルアクセス権を与えておく必要があります。
C:\>cacls c:\user /t /e /c /g administrator:f
C:\>cacls c:\user /t /e /c /r everyone
/rは,指定したユーザのアクセス権を削除します。
caclsコマンド設定2
このような操作で,\user以下のフォルダやファイルは,ユーザ「teach」と「administrator」だけがフルコントロールとなり,他のユーザは,アクセスができなくなります。
 (3) Caclsコマンドを利用したバッチファイルの作成例
バッチファイルを作成し,生徒個別のフォルダにアクセス権を設定します。
メモ帳で以下のように作成します。
バッチファイル
ファイル名を”set.bat ”にして保存します。
バッチファイルの保存
サンプルファイル(set.bat)
 ※右クリックして「対象をファイルに保存」を選択してください
バッチファイル(set.bat)をダブルクリックして実行します。
バッチファイル実行
フォルダ1101のプロパティでセキュリティを確認すると以下のように設定されています。
セキュリティ設定
 (4) 表計算ソフトウェアを利用したCaclsバッチファイルの作成例
アクセス権の設定数が増えると,メモ帳でバッチファイルを作成するのは,大変労力を要します。そこで表計算ソフトウェアを利用して簡単に作成する方法を紹介します。
  1. セルA1に「cacls c:\user\」を入力
  2. セルA2に「/t /e /c /g」を入力
  3. セルA3に「:f」を入力
  4. セルA6以降にユーザ名を入力し,オートフィル等でコピー
  5. セルC6に「=$A$1&A6&"△"&$A$2&"△"&A6&$A$3」と入力($の有無に注意 △:半角スペース)
  6. セルC7以降は,オートフィル等でコピー
Caclsバッチファイル
サンプルファイル(Book1)
※右クリックして「対象をファイルに保存」を選択してください
次に,セル範囲C6~C10を範囲指定してコピーし,メモ帳に貼り付けてバッチファイルを作成します。
4 Addusersコマンドを利用しての既存アカウントをバックアップする方法
Addusersコマンドは,アカウントの作成以外に,既存のアカウント情報をcsv形式のファイルとして出力することができます。この機能を利用すれば,OSを再インストールするときなど,簡単にユーザ情報を復元することができます。次のように入力すれば,ファイル”userlist.csv”として出力されます。
C:\>addusers /d:u c:\userlist.csv
/d:uは,Unicodeで書き出します。
※システム管理用のアカウントを含むすべてのアカウントが出力されるので,復元する際には,csvファイルから,それらを削除してからでないとエラーとなります。
5 おわりに
ここで紹介した内容は,生徒実習環境を想定しましたが,校務用サーバで,教師個人別にユーザ管理をすることも可能です。たとえば,サーバに各分掌毎のフォルダを作成し,分掌のグループメンバーだけにアクセス権を設定することによって,セキュリティを考慮した分掌内でのファイル共有化が可能となります。
アクセス権の設定は,誤操作等の防止やセキュリティの強化にもなりますので,必ず設定するようにしましょう。

'via Blog this'

徒然なるままに: Windows Server 2008 R2 に手こずった

徒然なるままに: Windows Server 2008 R2 に手こずった:

Windows Server 2008 R2 に手こずった

NT Serverとは随分変わったね

このところ作業に追われ、なかなか更新する時間が取れなかった。しかし作業も進んできたので記録をとっておく必要もあるし、結構ハマったから、その内容をまとめておこうと思う。

最初にWindows Serverに触れたのはNT3.51だったから、もうあれから随分時が流れました。次が2000 Serverで2003は少しメンテしたぐらい。
今回は2008ということで、機能的にも随分設定が楽になったところが各所に見られました。が、しかし思い通りに行かない部分も多々あり、それで時間が取られているんだけど…。

今回は、120名ほどユーザーアカウントを作成する必要があるので、とても手作業というわけには行きません。
そこで、バッチを作成してdsaddコマンドを使い一括登録しました。
日々是消費さんのスクリプトを参考にしました。

adduser.bat

@echo on
for /f "tokens=1-3 delims=," %%i in (userlist.csv) do (
dsadd user 
"CN=%%i,OU=Organization,DC=Company,DC=local"  -samid %%i -pwd %%j -display %%k -hmdir \\dc01\home$\%%i -hmdrv I: -profile \\dc01\profile$\%%i -canchpwd no -acctexpires never 
mkdir \\dc01\home$\%%i
cacls \\dc01\home$\%%i /G %%i:F /E
 
mkdir \\dc01\profile$\%%i
cacls \\dc01\Profile$\%%i /G %%i:F /E
net user %%i %%j
net user %%i /ACTIVE:YES
)
これに、アカウント名,パスワード,表示名(漢字)のフィールド3つだけのuserlist.csvファイルを作成して、実行させて完了。

と思いきや、

エラーを吐いて、うまく登録できていないユーザがちらほら…。

原因は、パスワードの複雑さが足りないことらしい。
パスワード自動生成のサイトで吐かせたものを、利用したんだけど乱数生成なので、数字が入らなかったり、小文字がなかったり、その程度のゆらぎが、引っかかってしまった。

仕方ないので、ポリシーを変更して、ユーザー消して、再度突っ込む。

ところが、同じエラーでうまくいかない。
はて、図のように「複雑さの要件を満たす…」を無効に設定したのに。

調べてみると、ポリシーが反映されるまでに5分程度かかるから、少し時間を開けて実行しろなんて記述を見つけ、5分ほど待ち、念のためもう5分ほど待ってから、作業を再開。
今度は同じ作業でも、エラーがなく完了した。

ちなみに、
gpupdate /force
は、必須コマンドです。コマンドプロンプト開いて、設定を確認するためにこのコマンドを叩きまくります(履歴使うから…。そんなに叩かないけど)

ついでに、dsadd.exeのHELPも長いけど、載っけておこうとしたら、あんまり長いので、構文だけにする。

dsadd user <UserDN>[・ samid <SAMName>][の upn <UPN>][・ fn <FirstName>][-mi <Initial>][-行 <LastName>][-<DisplayName> を表示する][・ empid <EmployeeID>][-pwd {<Password>|*] [・ desc <Description>] [-所属するグループ <Group>...][・ オフィス <Office>][・ tel <PhoneNumber>][-<Email> を電子メールで送信][-hometel [<HomePhoneNumber>][-<PagerNumber> のポケットベル][-携帯 <CellPhoneNumber>][-<FaxNumber> [fax][-iptel [<IPPhoneNumber>][-webpg [<WebPage>][-<Title> タイトル][-<Department> の部門][-<Company> 企業][・ マネージャー [<Manager>][-hmdir [<HomeDirectory>][-hmdrv <DriveLetter>:][-<ProfilePath> のプロファイル][-loscr [<ScriptPath>][-mustchpwd {yes | ない}][-canchpwd {yes | ない}][-reversiblepwd {yes | ない}][-pwdneverexpires {yes | ない}][-acctexpires [<NumberOfDays>][-無効に {yes | ない}][{-s <Server>|・ d <Domain>}] [・ u <UserName>] [・ p {<Password>|*] [-q] [{・ uc | - uco |-l}]

詳細は本家Microsoftへのリンクにしておこう。

ポリシーの変更を即反映してくれよ〜。僕はちかれましたょ…。


'via Blog this'

むっちゃわかり難くなった NTFS アクセス許可

むっちゃわかり難くなった NTFS アクセス許可:

NTFS アクセス許可の設定の仕方とか効果は Windows 2000 と変わりないんだけど、デフォルトで設定されている NTFS アクセス許可はかなりわかり難いものになっている。フォルダやファイルは上位のフォルダに設定されている NTFS アクセス許可を継承(引き継ぐ)する。一番上位にあるのはドライブなので、ドライブに設定している NTFS アクセス許可を継承することになる。ドライブのセキュリティタブを表示させると次のようになる。 まず、Administrators グループに「フルコントロール」のアクセス許可が与えられている。
Creator Owner には「特殊なアクセス許可」が与えられている。これを見るには[詳細設定]をクリックする。
セキュリティの詳細設定を見ると、Creator Owner には「サブフォルダとファイル」に対して「フルコントロール」のアクセス許可が与えられている。つまり、サブフォルダやファイルを作成したユーザーアカウントにフルコントロールのアクセス許可が与えられるということだ。
Everyone にも「特殊なアクセス許可」が与えられている。これも[詳細設定]をクリックする。
セキュリティの詳細設定を見ると、Everyone には「このフォルダのみ」に対して「読み取りと実行」のアクセス許可が与えられている。つまり、全てのユーザーは最低、このドライブを読み取ることができる。
System にフルコントロールのアクセス許可が与えられている。System は OS が使用するサービスアカウントである。
Users グループには「読み取りと実行」「フォルダの内容の一覧」「読み取り」「特殊なアクセス許可」のアクセス許可が与えられている。これも[詳細設定]をクリックする。
セキュリティの詳細設定を見ると、Users には「このフォルダ、サブフォルダおよびファイル」に対して「読み取りと実行」のアクセス許可が与えられている。
また、Users には「このフォルダとサブフォルダ」に対して「特殊」のアクセス許可が与えられている。
[編集]をクリックして詳細設定を見ると次のようになっており、ここで重要なのは「フォルダの作成/データの追加」である。つまり、Users グループのユーザーはドライブ直下にサブフォルダを作ることはできるが、ファイルを作ることはできないのだ。
また、Users には「サブフォルダのみ」に対して「ファイルの作成/データの追加」のアクセス許可が与えられている。つまり、Users グループのユーザーはサブフォルダにはファイルを作ることができるのだ。
ユーザーアカウントを作ると、一般的にはデフォルトで Users グループのみに所属する。そのため、他のグループに所属させない場合、一般ユーザーはドライブ直下にファイルを作ることはできないが、サブフォルダは作ることはでき、そのサブフォルダの中にはファイルを作ることができる。 更にわかり難くしているのが、サブフォルダを作った時にドライブにデフォルト設定している NTFSアクセス許可がそのまま継承されないことである。なぜなら、Everyone は「このフォルダのみ」に適用されサブフォルダには適用されないことと、Creator Owner にフルコントロールのアクセス許可があるためサブフォルダを作成したユーザアカウントにフルコントロールのアクセス許可が割り当てられるからである。実際に saito というユーザーアカウントでログオンして、ドライブ直下に「営業部」というフォルダを作成し、そのセキュリティタブを見ると次のようになる。
実際の運用上は助かるデフォルト設定であるが、MCP の試験勉強には難しくしているデフォルト設定だ。なぜなら、「みんなの受験記」を見ると、デフォルトでどのようなアクセス許可を持つか知っていないと解けない問題も出るようだからだ。また、困るのがユーザーアカウントを作ると、デフォルトで Users グループ(ドメインの場合は、Domain Users グループ)に所属するが、MCP の試験でこのグループに所属しているのか所属していないのか明確に書いていないことがほとんどなのだ。明確に○○グループのみに所属すると書いてくれてたらわかりやすいのだが・・・書いてないことが多い。そういう時は、消去法で解くしかない!


'via Blog this'

「KINGSOFT InternetSecurity 2011」、12度目のVB100(Virus Bulletin 100% award)を受賞! - ニュースリリース

「KINGSOFT InternetSecurity 2011」、12度目のVB100(Virus Bulletin 100% award)を受賞! - ニュースリリース:

「KINGSOFT InternetSecurity 2011」、12度目のVB100(Virus Bulletin 100% award)を受賞!
キングソフト株式会社(本社:東京都港区、代表取締役社長:翁永飆、沈海寅 以下、キングソフト)が提供する統合セキュリティソフト「KINGSOFT InternetSecurity 2011」は2011年6月、既知ウイルス検出の認証において世界的権威である「Virus Bulletin 100% award(VB100※1)」を受賞しました。VB100は現在主流のウイルスに100%対応し、かつ誤検出が0%かどうかを検査します。VB100では、テスト対象となるOSは毎回異なり、今回のテストはマイクロソフトの「Windows Server 2008 R2」が対象でした。「KINGSOFT InternetSecurity」は、「Windows Server 2008 R2」を対象としたテストでは2度目、通算で12度目のVB100受賞となります。今後も弊社はウイルスの脅威からユーザーを守るために、常に最新のセキュリティ製品を提供していきます。
※1 Virus Bulletin 100% award (http://www.virusbtn.com/vb100/index)とは、コンピューターウイルスに関して国際的に権威のある第三者機関、イギリスのVirus Bulletin社より既知ウイルス検出力に優れた製品に与えられる賞です。最新の「ワイルドリスト」(世界2ヶ国以上で感染報告がされているウイルスリスト)に登録されているウイルスを100%検出し、かつ誤検知が0%の製品にのみ与えられます。

「KINGSOFT InternetSecurity」について

「KINGSOFT InternetSecurity」は、更新料0円で無期限にアップデート可能な統合セキュリティソフトです。日本では累計500万人以上、中国をはじめ 全世界では2,000万人以上のユーザーのパソコンを日々悪意から保護し、アンチウイルス、ファイアウォール、OSの脆弱性を診断するセキュリティケア機能を備えています。「KINGSOFT InternetSecurity 2011」は最先端のクラウドウイルススキャン技術を搭載し、最新のウイルスの特徴や情報をクラウド側のデータベースに集積し、クライアントPCからリアルタイムでクラウドにアクセスすることで安全性を解析します。キングソフトのデータベースは1日あたり約30万個の未知ファイルを収集していますが、それに対して20種類以上の分析方法を開発することにより、95%の未知ファイルの安全性をわずか1分以内で解析できます。「KINGSOFT InternetSecurity」は既知ウイルス検出の認証において世界的権威である「VB100」受賞に加えて、2010年12月には世界的なセキュリティソフトの評価機関であるAnti-Virus Comparativesの「パフォーマンステスト」において、世界最高ランクである「Advanced+」を受賞しています。詳細は公式サイトhttp://www.kingsoft.jp/is/をご覧ください。
キングソフト株式会社について

キングソフト株式会社は、セキュリティソフトとオフィスソフトの両分野において中国でトップクラスのシェアを誇るコンシューマー向けソフトウェア大手である金山軟件有限公司(香港証券取引所上場:3888)のジョイントベンチャーとして設立された会社です。インターネットとソフトウェアを融合させた新しいソフトウェアのスタイルを目指し日本市場で展開しており、パソコンの必須ソフトであるセキュリティソフトは2005年より、オフィスソフトは2006年よりサービスを開始致しました。セキュリティソフトに関しては2007年の「広告付完全無料版」を発表後、広告ユーザーは400万人を突破、現在でも月間約10万人以上の新規ユーザーを獲得しています。また、2011年より、Android端末向けの「KINGSOFT Mobile Security」の提供を開始しています。オフィスソフトにおいては、昨今の低価格パソコン市場の興隆に伴ない順調にユーザー数を伸ばし、コンシューマー市場※1ではシェア30%を突破、また法人市場でも既に3,000社以上の導入実績を誇ります。また、2011年より、2GBまで無料のオンラインストレージのトータルソリューション「KDrive」の提供を開始しています。さらに、「KDrive」と連携して利用できるAndroid端末向け閲覧アプリ「KINGSOFT Office for Android」やiPad端末での閲覧が可能なアプリ「KINGSOFT Office for iPad」の提供を開始しています。

'via Blog this'

Windowsのユーザー・アカウント制御(UAC)を一時的に無効にする - @IT

Windowsのユーザー・アカウント制御(UAC)を一時的に無効にする - @IT:
Windows TIPS
[System Environment]
 → Windows TIPS TOPへ
→ Windows TIPS全リストへ
→ 内容別分類一覧へ

Windowsのユーザー・アカウント制御(UAC)を一時的に無効にする

デジタルアドバンテージ
打越 浩幸、島田 広道
2007/03/09
2009/10/16更新 
対象OS
Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2
UACは不適切な操作やウイルスなどによって、システムの制御が乗っ取られたり、破壊されたりするのを防ぐ機能である。
だが場合によっては、この機能のせいでシステムの設定作業などがうまく行えないことがある。例えば古いプログラムのインストールなどで問題が発生することがある。
このような場合は、設定を変更して一時的にUACを無効にすることができる。ただし作業終了後は速やかにUACを有効化しておくことが望ましい。

解説

 Windows Vista以降のOSに実装されているユーザー・アカウント制御(User Account Control。以下UAC)は、ウイルスや不正な操作、操作ミスなどによって、管理者権限が必要なプログラムなどが自動的にシステムにインストールされてしまうのを防ぐための機能である。この機能は通常は望ましいものであるが、場合によってはUACのせいでアプリケーションがインストールできなくなるなど(古いアプリケーションで起こることがある)、システムの操作や設定作業などに支障をきたす場合がある。
 Windows 7/Windows Server 2008 R2では、Windows Vista/Windows Server 2008に比べ、UACの設定レベルが4段階に増え、デフォルトでWindowsの設定変更時にUACの通知ダイアログが表示されないようになった。とはいえ、Windowsに含まれないプログラムはデフォルトでブロックされるため、やはり前述のような支障が生じる可能性がある。
 このUAC機能を回避するにはいくつか方法があるが、本TIPSでは、UAC機能を恒久的に解除する方法について解説する。ただし必要な操作やセットアップ作業が終了した後は、すみやかにこの機能を元の状態に戻しておくことが望ましい。本TIPSの運用に当たっては、その結果に十分注意して利用していただきたい。
操作方法

Windows Vista/Windows Server 2008におけるUACの無効化手順

 Windows Vista/Windows Server 2008の場合、UAC機能はデフォルトではオンになっているが、これを無効にするには、まず管理者権限を持つユーザー・アカウントでWindowsにログオンする。次に[コントロール パネル]で[ユーザー アカウント]アプレットを表示させる。コントロール・パネルの各アプレットがいくつかのグループに分類されている状態では、次のようにクリックしていくと[ユーザー アカウント]アプレットが表示される。
  • Windows Vista: [ユーザー アカウントと家族のための安全設定]-[ユーザー アカウント]
  • Windows Server 2008: [ユーザー アカウント]-[ユーザー アカウント]
 以下はWindows Vistaの画面だが、特記のない限りWindows Server 2008でも操作手順は共通である。
コントロール・パネルの[ユーザー アカウント]アプレットを起動する
UAC機能の有効化/無効化は、このコントロール・パネルの[ユーザー アカウント]アプレットで制御できる。もし[アカウントの管理]の画面が表示されてしまったら、アドレス・バーで1つ上の階層(この画面)へ移動すること。
 これをクリックする。
 この画面の一番下にある[ユーザー アカウント制御の有効化または無効化]をクリックして設定を変更する。しかしこの操作を行うと、UACが有効だとUAC自身によるアクセス制御が働き、次のようなダイアログが表示されるので、[続行]ボタンをクリックして先へ進む。
UACによる起動のブロック
UACの設定を変更しようとすると、UACの機能によって、このようなダイアログが表示されることがある。
 これをクリックして続行する。
 [続行]ボタンをクリックすると、[ユーザー アカウント制御の有効化または無効化]ダイアログが表示されるので、チェック・ボックスをオフにして、[OK]ボタンをクリックする。
UACの有効化/無効化の設定ダイアログ・ボックス
UACはデフォルトでは有効になっているが、このチェック・ボックスで変更できる。
 このチェック・ボックスをオフにする。
 これをクリックする。
 [OK]ボタンをクリックすると[これらの変更を適用するにはコンピュータを再起動する必要があります]と表示されるので、[今すぐ再起動する]を選択して、システムを再起動する。

Windows 7/Windows Server 2008 R2におけるUACの無効化手順

 Windows 7/Windows Server 2008 R2の場合、UAC機能はデフォルトで、Windowsに含まれないプログラムに対してオンになっている(Windowsの設定変更に対しては無効すなわちブロックされない)。これを全面的に無効とするには、まず管理者権限を持つユーザー・アカウントでWindowsにログオンする。次に[コントロール パネル]で[ユーザー アカウント]アプレットを表示させる。コントロール・パネルの各アプレットがいくつかのグループに分類されている状態では、次のようにクリックしていくと[ユーザー アカウント]アプレットが表示される。
  • Windows 7: [ユーザー アカウントと家族のための安全設定]-[ユーザー アカウント]
  • Windows Server 2008 R2: [ユーザー アカウント]-[ユーザー アカウント]
 以下はWindows 7の画面だが、特記のない限りWindows Server 2008 R2でも操作手順は共通である。
コントロール・パネルの[ユーザー アカウント]アプレットを起動する
UAC機能の有効化/無効化は、このコントロール・パネルの[ユーザー アカウント]アプレットで制御できる。もし[アカウントの管理]の画面が表示されてしまったら、アドレス・バーで1つ上の階層(この画面)へ移動すること。
 これをクリックする。
 この画面の一番下にある[ユーザー アカウント制御設定の変更]をクリックして設定を変更する。その直後に次のようなダイアログが表示されたら、[はい]ボタンをクリックして先へ進む。これが表示されるのは、デフォルトの設定を変更してUACを全面的にオンにしていた場合で、UAC自身によるアクセス制御が働くためだ。
UACによる起動のブロック
UACの設定を変更しようとすると、UACの機能によって、このようなダイアログが表示されることがある。
 これをクリックして続行する。
 [ユーザー アカウント制御の設定]ダイアログが表示されたら、スライダのつまみを一番下(次の画面の)に下げて、[OK]ボタンをクリックする。
UACの設定ダイアログ・ボックス
UACの設定には4段階あり、デフォルトではWindowsに含まれないプログラムに対してオンになっている()。完全に無効とするには、スライダのつまみをまで下げる。
 全面的にUACがオンとなる設定。Windowsの設定変更もブロックされる。Windows VistaやWindows Server 2008のデフォルトの設定はこれに相当する。
 Windowsに含まれないプログラムはブロックされるが、Windowsの設定変更はブロックされないという設定。これを選ぶと、ブロック時にそのダイアログ以外の部分が暗転し、すべて操作できなくなる。これがデフォルトの設定だ。
 ブロックの挙動はと同じだが、ブロックのダイアログが表示されても画面が暗転せず、それ以外のウィンドウも操作できる設定。
 UACを完全に無効にする設定。ここまでスライダのつまみを下げること。
 これをクリックする。
 [OK]ボタンをクリックした直後、次のようなダイアログが表示されたら、[はい]ボタンをクリックする。これもUAC自身によるアクセス制御のためだ。
UACによる設定変更のブロック
UACの設定を変更した直後、UACの機能によって、このようなダイアログが表示されることがある。
 これをクリックして続行する。
 設定後、タスク・バーの通知領域から再起動を促すポップアップが表示されたら、指示に従ってシステムを再起動する。End of Article
この記事と関連性の高い別のWindows TIPS
Windows Vistaでプログラムを管理者モードで実行する
Windows VistaのUACを使い勝手のよい「Norton UAC Tool」に置き換える
Windows XPで変わったユーザー/コンピュータ/グループの選択方法
Windows Update適用後の自動再起動を抑制する
Windows Server 2008のリモート管理ツールを利用する
このリストは、(株)デジタルアドバンテージが開発した
自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
generated by

「Windows TIPS」

「Windows XP→Windows 7移行支援記事集」


'via Blog this'