ユーザ権限管理の使用例

ユーザ権限管理には多数の使用例があり、これまで対処できなかった問題を解決します。次に、シナリオをいくつか示します。

  • ユーザ用にローカル管理者アカウントを使用する組織は、コントロール パネル コンポーネント、ハードウェアの追加、プログラムおよび機能の追加と削除などのデスクトップの要素をロックダウンしなければならない場合があります。特定のコントロールで、ユーザ アカウントを動的に管理者から標準ユーザに落とすことで、ユーザは、コントロールへのアクセスと不要なタスクの実行が禁止されます。
  • 一部のアプリケーションでは、管理者権限が必要です。これは、アプリケーション自体が、デスクトップ オペレーティング システムまたはレジストリの特定の部分と連動しているためです。ただし、組織は、フル管理者アカウントをユーザに提供しません。ユーザ権限管理は、指定されたアプリケーションのユーザ権限を管理者レベルに昇格するため、ユーザはアプリケーションを実行でき、デスクトップも保護されます。
  • 一部のアプリケーションの自動更新要素では、更新処理を実行するために管理者権限が必要であるため、標準ユーザのコンテキストでは正常に動作しません。ユーザ権限管理では、指定されたアプリケーションが管理者アカウントのコンテキストで実行でき、他のすべてのアプリケーションは標準ユーザのコンテキストのままになります。
  • モバイル ユーザは、手動で、IP アドレスを変更したり、ワイヤレス ネットワークを構成したり、日時プロパティを変更したりしなければならない場合があります。このすべてで、管理者権限が必要です。
  • ユーザ権限管理は、ユーザ権限を指定されたタスクの管理者レベルに昇格でき、ユーザは必要な変更を行えます。

アプリケーションを実行するためのユーザ権限の昇格

一般的に、ユーザが役割を実行するために、管理者権限が必要です。ユーザ権限管理では、ユーザを昇格し、指定されたアプリケーションの管理者権限を付与できます。ユーザ権限を昇格するには、まずポリシーを作成し、これをルールに適用する必要があります。

  1. [ライブラリ] > [ユーザ権限ポリシー] ノードに移動します。
  2. [権限管理] リボンで、[ポリシーの追加] を選択します。
  3. 新しいポリシーを選択して右クリックし、[名前の変更] を選択します。
  4. 管理者権限の昇格」などのわかりやすい名前をポリシーに付けます。

  5. 新しいポリシーを選択し、[権限管理] リボンで、[グループ処理の追加] をクリックします。

    [アカウントの選択] ダイアログが表示されます。

  6. ポリシーに追加するグループを参照し、選択します。

  7. グループは、[ユーザ権限ポリシー] 作業領域の [グループ メンバーシップ] タブに一覧表示されます。

    [メンバーシップの追加] が [処理] 列で指定されていることを確認します。ユーザは、グループのメンバーであるかのように、アプリケーションを実行できます。

    • [グループ メンバーシップ] タブを使用して、アプリケーションを実行する認証資格情報を指定します。
    • [権限] タブでは、アプリケーションに対するユーザの権限を詳細に制御できます。
    • [プロパティ] タブは、完全性レベルを指定するために使用されます。完全性レベルが低いアプリケーションは、完全性レベルが高いアプリケーションと相互運用することができません。
  1. ナビゲーション ペインで、[ルール] > [グループ] > [すべてのユーザ] > [ユーザ権限] を選択します。
  2. [権限] リボンで、[項目の追加] ドロップダウン矢印を選択し、[アプリケーション] をハイライトしてから、ファイルフォルダ署名、またはグループのいずれかを選択します。
  3. 追加する項目を選択します。
  4. [ユーザ権限ポリシー] を上記の [ユーザ権限管理ポリシーを作成する] で作成されたポリシーに設定します。
  5. [すべてのユーザ]を選択します。
  6. セキュリティ レベル スライダを [ 無制限] に移動し、Application Control によるブロックを防止します。
  7. 構成を保存します。

イベント9018は、ユーザにアプリケーション変更権限が付与されるときを監査します。

例:ユーザが Visual Studio を実行し、アプリケーションをデバッグすることを許可する

通常、ユーザは、Visual Studio などを実行し、アプリケーションをデバッグするために管理者権限が必要です。ユーザ権限管理を使用して、指定されたアプリケーションの管理者権限を昇格します。

ユーザ権限を昇格するには、まず、1つ以上の再利用可能なポリシーを作成し、これらをルールに適用します。

  1. [ライブラリ] > [ユーザ権限ポリシー] ノードを選択します。
  2. [権限管理] リボンで、[ポリシーの追加] を選択します。
  3. 新しいポリシーを選択して右クリックし、[名前の変更] を選択します。
  4. Visual Studio の昇格」など、ポリシーの直感的な名前を入力します。

  5. [権限管理] リボンで、[グループ処理の追加] を選択します。

    [アカウントの選択] ダイアログが表示されます。

  6. ポリシーに追加するグループを参照し、選択します。

    グループは、[ルール] 作業領域の [グループ メンバーシップ] タブに追加されます。

  7. タブで、[メンバーシップの追加] が [処理] 列で指定されていることを確認します。

    ユーザは、グループのメンバーであるかのように、アプリケーションを実行できます。

  1. [ライブラリ] > [ユーザ権限ポリシー] ノードを選択します。
  2. [権限管理] リボンで、[ポリシーの追加] を選択します。
  3. 新しいポリシーを選択して右クリックし、[名前の変更] を選択します。
  4. デバッグの実行」など、ポリシーの直感的な名前を入力します。

  5. [権限] タブを選択します。

    [権限] 作業領域が表示されます。

  6. [処理] 列でデバッグ権限のドロップダウンメニューを選択し、[有効] を選択します。
  1. ナビゲーション ペインで、[ルール] > [グループ] を選択します。

  2. [ルール] リボンで [ルールの追加] ドロップダウン矢印を選択し、[グループ ルール] を選択します。

    [グループ ルールの追加] ダイアログが表示されます。

  3. [アカウント] フィールドにドメイン名を入力します。
  4. [追加] をクリックします。

  1. 作成したルールの下の [ユーザ権限] ノードを選択します。

    [ユーザ権限] 作業領域が表示されます。

  2. [権限管理] リボンで、[項目の追加] > [アプリケーション] > [ファイル] を選択します。
    [ユーザ権限管理のファイルを追加] ダイアログが表示されます。
  3. Visual Studio アプリケーション ファイルを参照して選択します。
  4. [ポリシーを子プロセスに適用する] オプションを選択します。

  5. [追加] をクリックします。

    実行ファイルのファイル パスと名前が作業領域の [アプリケーション] タブに追加されます。

  6. タブの [ユーザ権限ポリシー] 列で、[Visual Studio の昇格] ポリシーを選択します。これは、手順1で作成されたポリシーです。

  1. [ユーザ権限] 作業領域で、[権限管理] リボンから、[項目の追加] > [アプリケーション] > [ファイル] を選択します。

    [ユーザ権限管理のファイルを追加] ダイアログが表示されます。

  2. [ファイル] フィールドに * を入力します。これは、すべてのデバッグ アプリケーションを許可します。
  3. [追加] をクリックします。

  4. [ユーザ権限ポリシー] 列で [デバッグの実行] ポリシーを選択します。

    これは、手順4で作成されたポリシーです。

構成を保存します。

コントロール パネル コンポーネントを実行するためのユーザ権限の昇格

多くのローミング ユーザは、次のように、管理者としてさまざまなタスクを実行する必要があります。

  • プリンタのインストール
  • ネットワークとファイアウォール設定の変更
  • 日時の変更
  • プログラムの追加と削除

これらのタスクのすべてにおいて、コンポーネントを管理者として実行する必要があります。

ユーザ権限管理を使用して、個別のコンポーネントの権限を昇格し、非管理者標準ユーザが役割を実行するための変更ができるようにします。

コンポーネントの権限の昇格

  1. 適用されるルール ノードの下で、[ユーザ権限] ノードを選択します。たとえば、[グループ] > [すべてのユーザ] ノードを選択します。

  2. [権限管理] リボンで、[項目の追加] > [コンポーネントの追加] を選択します。

    [コンポーネントの選択] ダイアログが表示されます。

  3. 昇格する1つ以上のコンポーネントを選択し、[OK] をクリックします。

    [コンポーネントの選択] ダイアログの上部にあるフィルタを使用すると、コンポーネントをオペレーティング システムでフィルタリングできます。

    コンポーネントは、ポリシー作業領域の [コンポーネント] タブに一覧表示されます。

  4. ビルトイン昇格ポリシーが [ユーザ権限ポリシー] 列で選択されていることを確認します。
  5. 構成を保存します。

ディスクのデフラグでは管理者権限が必要であり、特定のコンポーネントによって統制されます。権限管理を使用して、このコンポーネントのユーザ権限を昇格するため、ディスクのデフラグを許可します。

  1. 適用されるルール ノードを選択します。たとえば、[グループ] > [すべてのユーザ] ノードを選択します。

  2. [権限管理] リボンで、[項目の追加] > [コンポーネントの追加] を選択します。

    [コンポーネントの選択] ダイアログが表示されます。

  3. [デフラグ] コンポーネントを選択し、[OK] をクリックします。

    [コンポーネントの選択] ダイアログの上部にあるフィルタを使用すると、コンポーネントをオペレーティング システムでフィルタリングできます。

    コンポーネントが、ルールの作業領域にある [コンポーネント] タブに追加されます。

  4. [ユーザ権限ポリシー] 列のドロップダウン矢印を選択し、[セキュリティ情報昇格] ポリシーを選択します。
  5. 構成を保存します。

Microsoft Windows の更新機能は特定のコンポーネントによって統制されます。権限管理を使用して、このコンポーネントの権限を昇格し、非管理者標準ユーザが役割を実行するための変更ができるようにします。

アプレットの権限を昇格するには

  1. 適用されるルール ノードを選択します。たとえば、[グループ] > [すべてのユーザ] ノードを選択します。

  2. [権限管理] リボンで、[項目の追加] > [コンポーネントの追加] を選択します。

    [コンポーネントの選択] ダイアログが表示されます。

  3. 自動更新/Windows コンポーネントを選択し、[OK] をクリックします。

    [コンポーネントの選択] ダイアログの上部にあるフィルタを使用すると、コンポーネントをオペレーティング システムでフィルタリングできます。

    コンポーネントが、ルールの作業領域にある [コンポーネント] タブに追加されます。

  4. [ユーザ権限ポリシー] 列のドロップダウン矢印を選択し、[セキュリティ情報昇格] ポリシーを選択します。
  5. 構成を保存します。

アプリケーション権限を制限するための権限の降格

管理者としてアプリケーションを実行すると、ユーザは、多数の望ましくない設定を変更したり、アプリケーションをインストールしたり、場合によってはデスクトップをインターネットに開放することができます。ユーザ権限管理を使用して、管理者レベル ユーザを、標準ユーザ モードの Internet Explorer などの実行に制限し、デスクトップを保護します。

ユーザ権限を昇格するには、まずポリシーを作成し、これをルールに適用する必要があります。

  1. [ライブラリ] > [ユーザ権限ポリシー] ノードに移動します。
  2. [権限管理] リボンで、[ポリシーの追加] を選択します。
  3. 新しいポリシーを選択して右クリックし、[名前の変更] を選択します。
  4. 管理者権限の降格」などのわかりやすい名前をポリシーに付けます。
  5. 新しいポリシーを選択し、[権限管理] リボンで、[グループ処理の追加] を選択します。
    [アカウントの選択] ダイアログが表示されます。

  6. ポリシーに追加するグループを参照し、選択します。これらは、アプリケーションを実行するためのアカウント認証資格情報です。追加 をクリックします。

    グループは、[ポリシー] 作業領域の [グループ メンバーシップ] タブに一覧表示されます。

  7. [処理] 列で、[メンバーシップの破棄] を選択します。
    • [グループ メンバーシップ] タブを使用して、アプリケーションを実行する認証資格情報を指定します。
    • [権限] タブでは、アプリケーションに対するユーザの権限を詳細に制御できます。
    • [プロパティ] タブは、完全性レベルを指定するために使用されます。完全性レベルが低いアプリケーションは、完全性レベルが高いアプリケーションと相互運用することができません。
  1. [ルール] > [グループ] > [すべてのユーザ] > [ユーザ権限] ノードに移動します。
  2. [権限管理] リボンで、[項目の追加] ドロップダウン矢印を選択して、[アプリケーション] を参照し、次のいずれかを実行します。
    • ファイル
    • フォルダ
    • 署名
    • グループ
  3. 追加する項目を選択します。
  4. ユーザ権限ポリシーを、手順1で作成されたポリシーに設定します。
  5. すべてのユーザノードを選択します。
  6. セキュリティ レベル スライダを制限まで移動します。
  7. 構成を保存します。

イベント9018は、ユーザにアプリケーション変更権限が付与されるときを監査します。

コンポーネントを実行するためのユーザ権限の降格

ユーザ権限管理を使用して、個別のコンポーネントの権限を降格し、非管理者標準ユーザが変更できないようにします。

コンポーネントの権限の降格

  1. 適用されるルール ノードの下で、[ユーザ権限] ノードを選択します。たとえば、[グループ] > [すべてのユーザ] ノードを選択します。

  2. [権限管理] リボンで、[項目の追加] > [コンポーネントの追加] を選択します。

    [コンポーネントの選択] ダイアログが表示されます。

  3. 権限を降格する1つ以上のコンポーネントを選択し、[OK] をクリックします。

    [コンポーネントの選択] ダイアログの上部にあるフィルタを使用すると、コンポーネントをオペレーティング システムでフィルタリングできます。

    選択したコンポーネントは、作業領域の [コンポーネント] タブに表示されます。

  4. [ユーザ権限ポリシー] 列のドロップダウン矢印を選択し、[ビルトイン制限] ポリシーを選択します。
  5. 構成を保存します。

サービスはコントロール パネルのコンポーネントです。ユーザ権限管理を使用して、サービス コンポーネントの権限を降格し、非管理者標準ユーザがサービスを開始および停止できないようにします。

  1. 適用されるルール ノードの下で、[ユーザ権限] ノードを選択します。たとえば、[グループ] > [すべてのユーザ] ノードを選択します。

  2. [権限管理] リボンで、[項目の追加] > [コンポーネントの追加] を選択します。

    [コンポーネントの選択] ダイアログが表示されます。

  3. [サービス] コンポーネントを選択し、[OK] をクリックします。

    [コンポーネントの選択] ダイアログの上部にあるフィルタを使用すると、コンポーネントをオペレーティング システムでフィルタリングできます。

    選択したコンポーネントは、作業領域の [コンポーネント] タブに表示されます。

  4. [ユーザ権限ポリシー] 列のドロップダウン矢印を選択し、[ビルトイン制限] ポリシーを選択します。
  5. 構成を保存します。

保護されたダイアログ

管理者は Application Control および権限管理を使用して、標準ユーザを管理者権限に昇格させることができます。ユーザの管理者権限を許可すると、重要なシステム ファイルを含むすべてのファイルと、ファイルの削除や名前の変更などの機能へのアクセスを付与します。このような操作はシステムを危険にさらす可能性があります。

Application Control および権限管理には保護された共通ダイアログ機能があり、ユーザによるファイルの操作を禁止します。ダイアログボックスが開き、ファイルへのアクセスを提供しますが、ファイルの削除や名前変更はできます。

Application Control は、ユーザが本来アクセスできる領域へのアクセスを制限しません。

管理者および保護された共通ダイアログに昇格

シナリオ

  • あなたは IT 管理者です
  • 新しいユーザ権限ポリシーを作成しています

プロセス

  1. [権限管理] リボンで、[ライブラリ] > [ユーザ権限ポリシー] ノードに移動し、[ポリシーの追加] を選択します。

    新しいポリシーが作成されます。

  2. 新しいポリシーを右クリックし、[名前の変更] を選択します。
  3. 管理者に昇格」など、ポリシーの直感的な名前を入力します。

  4. 新しいポリシーを選択し、[権限管理] リボンの [グループ処理の追加] を選択します。

    [アカウントの選択] ダイアログが表示されます。

  5. [アカウント] フィールドに管理者アカウントを入力するか、[参照] ボタンを使用して、アカウントを検索します。追加 をクリックします。
  6. [メンバーシップの追加] が [処理] 列で選択されていることを確認します。これは既定の設定です。[メンバーシップの追加] オプションでは、ユーザが指定されたグループのメンバーであるかのように、アプリケーションを実行できます。[メンバーシップの破棄] オプションでは、ユーザはアプリケーションを実行できません。
  7. 適用されるグループの下の [ユーザ権限] ノードを選択します。たとえば、すべてのユーザ グループを選択します。
  8. [権限管理] リボンで、[項目の追加] > [アプリケーション] > [ファイル] を選択します。
  9. [ユーザ権限管理のファイルを追加] ダイアログが表示されます。
  10. 共通ダイアログを保護するアプリケーションの名前を入力するか、[参照] ボタンをクリックして、アプリケーションを参照します。
  11. [共通ダイアログに適用する] オプションが選択されていることを確認します。
  12. [追加] をクリックします。
  13. 手順1~6で作成されたポリシーが [ユーザ権限ポリシー] 列で選択されていることを確認します。
  14. 構成を保存します。