今週は、クライアントPCに対する管理者権限と、Active Directoryに参加しているWindows Vistaで、UAC(User Account Control)が発動したときの挙動について解説する。
クライアントPCに対する管理者権限
Active Directoryに参加したクライアントPCで、Active Directoryのドメインアカウントを使ってログオンすると、その間はローカルアカウントを使用していないことになる。したがって、当該ユーザーがクライアントPCに対して持つ権限を[ネットワークIDウィザード]で指定する際に「管理者」にしていないと、ドメインアカウントを使ってログオンしている間は、クライアントPCに対する管理者権限はない。
個々のユーザーに対して、自分が使用するクライアントPCに対する管理者権限を持たせるかどうかは、それぞれの組織のポリシーに依存するだろう。管理者権限を持たせるところもあれば、持たせないところもあるはずだ。
管理者権限を持たせない場合、Windows XPでは単に、管理者権限が必要な操作を行えないだけということになる。それに対してWindows Vistaでは、UACが関わってくる分だけ状況が複雑だ。
まず、Active Directoryに参加しているWindows Vistaでローカルコンピュータに対する管理者権限を持つユーザーの一覧を示す。
・Active Directoryにログオンしているユーザーで、かつ、[ネットワークIDウィザード]を使ったActive Directoryへの参加操作を行った際に、「管理者」に指定したユーザー
・Windows Vistaをセットアップしたときに作成した、ローカルユーザーアカウント
・Active Directoryに対して管理者権限を持つユーザー、すなわちDomain Adminsグループのメンバー
Active Directory参加時でもUACは発動する
UACはワークグループ環境に限定した機能ではないので、Active Directoryに参加しているときでも、当該クライアントPCに対する管理者権限が必要な操作を行うと、通常時と同様に発動する。
ワークグループ環境であれば、単に[続行]と[キャンセル]のいずれかを選択するだけだが、Active Directoryに参加しているコンピュータでは状況が異なる。というのは、ログオン中のユーザーが必ずしも、ローカルコンピュータに対する管理者権限を持っているとは限らないからだ。
ログオン中のユーザーがローカルコンピュータに対する管理者権限を持っていれば、そのユーザーのユーザー名とパスワードを指定すればよい。しかし、そうでない場合はどうなるのだろうか ?
Active Directoryに参加しているWindows VistaでUACが発動して、かつ、ログオン中のユーザーが当該クライアントPCに対する管理者権限を持たないときに表示する画面は、以下のようなものになる。
通常と異なるのは、[続行][キャンセル]のいずれかを選択するのではなく、ユーザー名とパスワードの指定を求めてくる点だ。ここで指定するのは、前述した、当該クライアントPCに対する管理者権限を持つユーザーアカウントでなければならない。