今週は、クライアントPCに対する管理者権限と、Active Directoryに参加しているWindows Vistaで、UAC(User Account Control)が発動したときの挙動について解説する。

クライアントPCに対する管理者権限

Active Directoryに参加したクライアントPCで、Active Directoryのドメインアカウントを使ってログオンすると、その間はローカルアカウントを使用していないことになる。したがって、当該ユーザーがクライアントPCに対して持つ権限を[ネットワークIDウィザード]で指定する際に「管理者」にしていないと、ドメインアカウントを使ってログオンしている間は、クライアントPCに対する管理者権限はない。

個々のユーザーに対して、自分が使用するクライアントPCに対する管理者権限を持たせるかどうかは、それぞれの組織のポリシーに依存するだろう。管理者権限を持たせるところもあれば、持たせないところもあるはずだ。

管理者権限を持たせない場合、Windows XPでは単に、管理者権限が必要な操作を行えないだけということになる。それに対してWindows Vistaでは、UACが関わってくる分だけ状況が複雑だ。

まず、Active Directoryに参加しているWindows Vistaでローカルコンピュータに対する管理者権限を持つユーザーの一覧を示す。

・Active Directoryにログオンしているユーザーで、かつ、[ネットワークIDウィザード]を使ったActive Directoryへの参加操作を行った際に、「管理者」に指定したユーザー
・Windows Vistaをセットアップしたときに作成した、ローカルユーザーアカウント
・Active Directoryに対して管理者権限を持つユーザー、すなわちDomain Adminsグループのメンバー

Active Directory参加時でもUACは発動する

UACはワークグループ環境に限定した機能ではないので、Active Directoryに参加しているときでも、当該クライアントPCに対する管理者権限が必要な操作を行うと、通常時と同様に発動する。

ワークグループ環境であれば、単に[続行]と[キャンセル]のいずれかを選択するだけだが、Active Directoryに参加しているコンピュータでは状況が異なる。というのは、ログオン中のユーザーが必ずしも、ローカルコンピュータに対する管理者権限を持っているとは限らないからだ。

ログオン中のユーザーがローカルコンピュータに対する管理者権限を持っていれば、そのユーザーのユーザー名とパスワードを指定すればよい。しかし、そうでない場合はどうなるのだろうか ?

Active Directoryに参加しているWindows VistaでUACが発動して、かつ、ログオン中のユーザーが当該クライアントPCに対する管理者権限を持たないときに表示する画面は、以下のようなものになる。

Active Directoryに参加しているWindows Vistaが表示するUAC画面。当該クライアントPCに対する管理者権限を持つユーザーの、ユーザー名とパスワードを指定しなければならない

通常と異なるのは、[続行][キャンセル]のいずれかを選択するのではなく、ユーザー名とパスワードの指定を求めてくる点だ。ここで指定するのは、前述した、当該クライアントPCに対する管理者権限を持つユーザーアカウントでなければならない。