ユーザ権限

権限は、コンピュータのシャットダウンやシステム時刻の変更など、特定のシステム関連の操作を実行するためのユーザ アカウントの権限です。権限管理機能を使用すると、権限を割り当て (有効化) または拒否 (無効化) できます。

このセクションの内容

ユーザ権限ポリシー

昇格ポリシーは、既定で、新しいルール項目に適用されます。項目が昇格されると、選択された項目に昇格された権限が付与され、管理者が実行する必要がなくなります。

ユーザ権限ポリシーは、既定の昇格ルールの代わりに使用でき、組織のニーズに合わせてカスタマイズできます。ポリシーは、個別のユーザを「Power User」グループのメンバーにしたり、管理者グループからユーザ メンバーシップを削除したりすることができます。

ユーザ権限ポリシーを作成すると、次の3つのタブを使用してポリシーをカスタマイズできます。

  • グループ メンバーシップ - グループ メンバーシップでは、ポリシーが適用されるときに、破棄または追加される Windows ユーザ グループを指定できます。グループ処理をポリシー コンテンツに追加してから、選択したグループが新しく作成されたポリシーに適用されるかどうか、またはメンバーシップが破棄されるかどうかを指定します。

    メンバーシップをユーザ グループに割り当てるときには、選択したグループのみを追加し、ネストされたグループは含まれません。たとえば、グループ メンバーシップをドメイン管理者に割り当てる場合、これには自動的にローカル管理者グループが含まれるため、個別に追加する必要があります。

  • 権限 - 権限は、コンピュータのシャットダウンやシステム時刻の変更など、特定のシステム関連の操作を実行するためのユーザ アカウントの権限です。ユーザ権限管理機能を使用して、権限を有効、無効、または削除できます。
    • 変更なし - 元のトークンのように、権限を残します。
    • 有効 - トークンのフラグを有効に設定します。
    • 無効 - トークンのフラグを無効に設定します。
    • 削除 - トークンから権限を削除します。このオプションを元に戻すことはできません。
  • プロパティ - [プロパティ] タブでポリシーの説明を追加します。必要に応じて、既定の高レベルの完全性ではなく、中レベルの完全性がカスタム管理者トークンで強制的に使用されるように設定できます。

ユーザ権限管理ポリシーを作成する

  1. [ライブラリ] > [ユーザ権限ポリシー] ノードを選択します。
  2. [権限管理] リボンで、[ポリシーの追加] を選択します。
  3. 新しいポリシーを選択して右クリックし、[名前の変更] を選択します。
  4. ポリシーに直感的な名前を指定します。
  5. 次のいずれかを実行します。
    • [グループ メンバーシップ] タブを使用して、グループなどのアプリケーションを実行できる認証資格情報と、グループのメンバーシップを追加するか破棄するかどうかを指定します。メンバーシップを追加すると、ユーザは、グループのメンバーであるかのように、アプリケーションを実行できます。
    • [権限] タブでは、アプリケーションに対するユーザの権限を詳細に制御できます。
    • [プロパティ] タブを使用して、完全性レベルを指定します。完全性レベルが低い、または中程度のアプリケーションは、完全性レベルが高いアプリケーションと相互運用することができません。
      Application Control 2020.3以降では、[プロパティ] タブにチェックボックスが追加されています。これにより、管理者トークンをカスタマイズして、高レベルの完全性ではなく、中レベルの完全性を割り当てることができます。

ユーザ権限管理ポリシーは再利用可能です。

グループ メンバーシップをポリシーに追加

一般的に、標準ユーザは、管理者権限がありません。次のプロセスは、サポート デスク業務のユーザ権限ポリシーを作成する方法を示します。ユーザ権限管理により、メンバーシップを選択したグループに追加したり、メンバーシップを破棄したりすることができます。構成を作成するための最初の手順は、ユーザ権限ポリシーを作成し、メンバーシップ (この場合はメンバーシップを追加する) を指定します。

  1. Application Control コンソールで、[ライブラリ] の下の [ユーザ権限ポリシー] ノードを選択します。

  2. [権限管理] リボンで、[ポリシーの追加] をクリックします。

    新しいポリシーは、ナビゲーション ペインの [ユーザ権限ポリシー] ノードの下に追加されます。

    [ユーザ権限ポリシー] ノードの下でポリシーを並べ替えるには、ノードを右クリックして、[昇順に並べ替える] または [降順に並べ替える] を選択します。

  3. 作業領域で、新しいポリシー名をクリックして、名前を編集可能にします。
  4. 「SupportDesk」など、ポリシーの名前を入力します。

  5. [権限管理] リボンで、[グループ処理の追加] を選択します。

    [アカウントの選択] ダイアログが表示されます。

  6. SupportDesk グループを入力するか、移動して、[OK] をクリックします。

    グループが、ポリシーの作業領域にある [グループ  メンバーシップ] タブに追加されます。

  7. このタブで、[メンバーシップの追加] が [処理] 列に表示されていることを確認します。これは既定の設定です。

権限をポリシーに割り当てる

  1. [ライブラリ] > [ユーザ権限ポリシー] ノードを選択します。
  2. [権限管理] リボンで、[ポリシーの追加] を選択します。
  3. 新しいポリシーを選択して右クリックし、[名前の変更] を選択します。
  4. ポリシーに直感的な名前を指定します。
  5. [権限] タブを選択すると、アプリケーションに対するユーザの権限を詳細に制御できます。
  6. 割り当てる権限を特定します。
  7. 権限の [処理] 列のドロップ矢印をクリックし、[有効にする] を選択します。

例: Microsoft OneDrive のダウンロードが許可される構成を作成する

  1. [ライブラリ] > [ユーザ権限ポリシー] ノードに移動します。
  2. [ポリシーの追加] リボン ボタンを選択します。
  3. [ユーザ権限ポリシー] ノードの下で新しいポリシーを選択して右クリックし、[名前の変更] を選択します。
  4. 「昇格」など、ポリシーの直感的な名前を入力します。
  5. [グループ処理の追加] リボン ボタンを選択します。
  6. 管理者ユーザ グループの名前を入力するか、[参照] ボタンを使用して、アカウントに移動します。
  7. [メンバーシップの追加] が [処理] 列で選択されていることを確認します。
  1. 特定のグループの下の [ユーザ権限] ノードを選択します。たとえば、すべてのユーザ グループを選択します。

  2. [追加項目] > [アプリケーション]>[ファイル] を選択します。

    [ユーザ権限管理のファイルを追加] ダイアログが表示されます。

  3. [ファイル] フィールドに追加する Web インストールの名前 (例: onedrive.exe) を入力するか、または [参照] ボタンをクリックしてファイルを見つけて選択します。
  4. [ポリシー] フィールドのドロップダウン矢印アイコンをクリックし、必要なポリシーを選択します (この例では、昇格 を選択します)。
  5. [ポリシーを子プロセスに適用する] を選択します。
  6. [信頼できる所有者としてインストールする] を選択します。
  7. 追加 をクリックします。
  1. 同じグループの [許可された項目] ノードを選択します

  2. [項目の追加] > [許可] > [署名項目] を選択します。

    [署名の追加] ダイアログが表示されます。

  3. Web インストールに移動して、[開く] をクリックします。
  4. 構成を保存します。

他の構成可能な項目も考慮する必要があります。たとえば、ActiveX インストールでは、ActiveX ファイルの実行と、コントロールが呼び出す実行ファイルを許可する必要があります。プロセス ルール、信頼できるベンダ、デジタル証明書、許可された項目、昇格された項目などを考慮する必要があります。

権限

次の表は、権限の一覧を示し、システム コンポーネントが確認する方法とタイミングを説明します。

権限 ユーザ権限 権限の使用
SeAssignPrimaryTokenPrivilege プロセス レベルのトークンの置換 プロセスのトークンを設定する NtSetInformationJob などのさまざまなコンポーネントによって確認されます。
SeAuditPrivilege セキュリティ監査の生成 ReportEvent API でセキュリティ イベント ログのイベントを生成するために必要です。
SeBackupPrivilege バックアップ ファイルとディレクトリ NTFS は、存在するセキュリティ記述子に関係なく、ファイルまたはディレクトリに対する次のアクセスを付与します。

READ_CONTROL

ACCESS_SYSTEM_SECURITY

FILE_GENERIC_READ

FILE_TRAVERSE

バックアップ用のファイルを開くときには、発信者は FILE_FLAG_BACKUP_SEMANTICS フラグを指定する必要があります。使用時に対応するレジストリ キーへのアクセスも許可します。
SeChangeNotifyPrivilege 横断チェックのバイパス 複数レベルのディレクトリ ルックアップの中間ディレクトリで、権限チェックを回避するために、NTFS によって使用されます。アプリケーションがファイル システム構造の変更に関する通知を登録するときにファイル システムによっても使用されます。
SeCreateGlobalPrivilege グローバル オブジェクトの作成 プロセスが、発信者とは異なるセッションに割り当てられたオブジェクト マネージャ名前空間のディレクトリでセクションとシンボリック リンク オブジェクトを作成するために必要です。
SeCreatePagefilePrivilege ページファイルの作成 新しいページング ファイルを作成するための関数である NtCreatePagingFile によって確認されます。
SeCreatePermanentPrivilege 永久共有オブジェクトの作成 永久オブジェクト (参照がないときに割り当て解除されないオブジェクト) を作成するときに、オブジェクト マネージャによって確認されます。
SeCreateSymbolicLinkPrivilege シンボリック リンクの作成 CreateSymbolicLink API を使用して、ファイル システムでシンボリック リンクを作成するときに、NTFS によって確認されます。
SeCreateTokenPrivilege トークンの作成 NtCreateToken は、トークン オブジェクトを作成し、この権限を確認する関数です。
SeDebugPrivilege プログラムのデバッグ 発信者がこの権限を有効にした場合、プロセス マネージャは、プロセスまたはスレッドのセキュリティ記述子に関係なく、NtOpenProcess または NtOpenThread を使用して、プロセスまたはスレッドへのアクセスを許可します (保護されたプロセスを除く)。
SeEnableDelegationPrivilege コンピュータとユーザ アカウントが委任で信頼されるようにする 認証された資格情報を委任するために Active Directory によって使用されます。
SeImpersonatePrivilege 認証後にクライアントをなりすまします。 スレッドがなりすましでトークンを使用し、トークンがスレッドのプロセス トークンとは別のユーザを表すときに、プロセス マネージャがこれを確認します。
SeIncreaseBasePriorityPrivilege スケジュール優先度を上げる プロセス マネージャによって確認され、プロセスの優先度を上げるために必要です。
SeIncreaseQuotaPrivilege プロセスのメモリ割当量を調整する プロセスのワーキングセットしきい値、プロセスのページングされたプール割当量、ページングされていないプール割当量、およびプロセスの CPU 率割当量を変更するときに施行されます。
SeIncreaseWorkingSetPrivilege プロセス ワーキングセットを増やす SetProcessWorkingSetSize を呼び出して、最小ワーキングセットを増やすために必要です。間接的に、プロセスが、VirtualLock を使用して、メモリの最小ワーキングセットにロックアップすることができるようになります。
SeLoadDriverPrivilege デバイス ドライバの読み込みと読み込み解除 NtLoadDriver および NtUnloadDriver ドライバ関数によって確認されます。
SeLockMemoryPrivilege メモリのページのロック NtLockVirtualMemory (VirtualLock のカーネル実装) によって確認されます。
SeMachineAccountPrivilege ワークステーションをドメインに追加する ドメインでコンピュータ アカウントを作成するときに、ドメイン コントローラでセキュリティ アカウント マネージャによって確認されます。
SeManageVolumePrivilege ボリューム メンテナンス タスクの実行 ボリューム オープン処理中にファイル ドライバによって施行されます。この処理は、ディスク チェックおよびデフラグ アクティビティで必要です。
SeProfileSingleProcessPrivilege プロファイル単一プロセス NtQuerySystemInformation API 経由で個別のプロセスの情報を要求するときに、Superfetch および prefetcher によって確認されます。
SeRelabelPrivilege オブジェクト ラベルの修正 別のユーザが所有するオブジェクトの整合性レベルを上げるとき、または発信者のトークンよりもオブジェクトの整合性レベルを上げようとするときに、SRM によって確認されます。
SeRemoteShutdownPrivilege リモート システムからの強制シャットダウン Winlogon によって、関数のリモートの発信者にこの権限があることが確認されます。
SeRestorePrivilege ファイルとディレクトリの復元 この権限により、NTFS は、存在するセキュリティ記述子に関係なく、ファイルまたはディレクトリに対する次のアクセスを付与します。

WRITE_DAC

WRITE_OWNER

ACCESS_SYSTEM_SECURITY

FILE_GENERIC_WRITE

FILE_ADD_FILE

FILE_ADD_SUBDIRECTORY

DELETE

バックアップ用のファイルを開くときには、発信者は FILE_FLAG_BACKUP_SEMANTICS フラグを指定する必要があります。使用時に対応するレジストリ キーへのアクセスも許可します。
SeSecurityPrivilege 監査およびセキュリティ ログの管理 セキュリティ記述子の SACL へのアクセス、セキュリティ記述子の読み取りと消去、セキュリティ イベント ログの読み取りと消去のために必要です。

 
SeShutdownPrivilege システムのシャットダウン この権限は、NtShutdownSystem およびNtRaiseHardError によって確認されます。これは、インタラクティブ コンソールでシステム エラー ダイアログボックスを表示します。
SeSyncAgentPrivilege ディレクトリ サービス データの同期 LDAP ディレクトリ同期サービスを使用するために必要です。また、オブジェクトとプロパティの保護に関係なく、権限保有者はディレクトリのすべてのオブジェクトとプロパティを読み取ることができます。
SeSystemEnvironmentPrivilege ファームウェア環境変数の修正 HAL を使用して、ファームウェア環境変数を修正および読み取るために、NtSetSystemEnvironmentValue および NtQuerySystemEnvironmentValue で必要です。
SeSystemProfilePrivilege プロファイル システム パフォーマンス システムのプロファイリングを実行するために使用される関数である NtCreateProfile によって確認されます。これは、Kernprof などによって使用されます。
SeSystemtimePrivilege システム時刻の変更 日時の変更の際に必要です。
SeTakeOwnership ファイルと他のオブジェクトの所有権を取得する ディレクトリ アクセスを付与せずに、オブジェクトの所有権を取得するために必要です。
SeTcbPrivilege オペレーティング システムの一部として機能する セッション ID がトークンで設定されているときに、セキュリティ参照モニタによって確認されます。また、BroadcastSystemMessageEx とともに呼び出されるときに、プラグアンドプレイ イベント作成/管理用のプラグアンドプレイ マネージャによって確認されます。
SeTimeZonePrivilege タイムゾーンの変更 タイムゾーンの変更の際に必要です。
SeTrustedCredManAccessPrivilege 信頼できる発信者として認証資格情報マネージャにアクセスする 標準テキストで照会できる認証資格情報を使用して発信者を信頼することを検証するために、認証資格情報マネージャによって確認されます。既定では、Winlogon にのみ付与されます。
SeUndockPrivilege ドッキング ステーションからコンピュータを削除する コンピュータのドッキング解除が開始されるとき、またはデバイスの取り出し要求が発生したときに、ユーザモード プラグアンドプレイ マネージャによって確認されます。
SeUnsolicitedInputPrivilege ターミナル デバイスから未承認データを受信する 現在、この権限は、Windows では使用されていません。

関連トピック

権限管理