- PR -

Vistaの「管理者として実行」アプリをユーザーが停止できてしまう

1
投稿者投稿内容
ヤッチャペケ
会議室デビュー日: 2008/07/02
投稿数: 10
投稿日時: 2008-12-17 20:10
ドメインに参加している Windows Vista Business SP1 クライアントをユーザー権限でログオンし、
メモ帳などを「管理者として実行」によりドメイン管理者権限で起動したとします。

この状態で、ユーザー権限で開いたタスクマネージャから管理者権限で起動したはずのメモ帳などを
「プロセスの終了」で終了させることができるのは、Vistaの仕様なのでしょうか。

同様の操作を同ドメイン上にある Windows XP Professional SP3 クライアントのユーザー権限でログオンした状態で行うと、
「アクセスが拒否されました」となり、終了させることができません。

Vistaタスクマネージャのプロセスには、確かにドメイン管理者のユーザー名でメモ帳が起動されています。

Vistaクライアントは、クリーンインストール後、直ぐにドメインに参加させた状態です。
サービスやレジストリなどはまったく触っていない、素の状態です。
また、グループポリシー、ローカルポリシーも設定ありません。

可能であれば、Windows XP と同じように、Windows Vista であっても、ユーザー権限からは管理者権限で起動させた
アプリケーションを停止させないようにしたいのですが、ご教授お願います。
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2008-12-25 00:10
Process ACL の問題でしょうから、Process Explorer で確認してみては?
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2008-12-25 00:44
Vista 以降で仕様変更されていますね。

SID "S-1-5-5-X-Y" に Terminate, Read Memory, Query Information, Query Limited Information, Read Permissions の権利が許可されていますね。

SID "S-1-5-5-X-Y" は logon session を表すもので、起動したときの logon session が Vista 以降は勝手に付与されるみたいです。XP では logon session の entry が無いことを確認しています。

Windows サーバー オペレーティング システムの既知のセキュリティ識別子

ちなみに私はこの仕様変更は望ましいものだと思います。XP では終了させられない問題がいろいろ発生しましたから。

ということで、別の方法使って process の ACL が問題無いように起動するより仕方ないかと思います。

CreateProcessAsUser あたりを使ってゴリゴリやればできるでしょうね。
アウ
ベテラン
会議室デビュー日: 2008/12/18
投稿数: 72
投稿日時: 2009-01-03 14:36
(利用規約違反のため削除いたしました。@ITクラブメンバーシップセンター)
アウ
ベテラン
会議室デビュー日: 2008/12/18
投稿数: 72
投稿日時: 2009-01-03 14:37
(利用規約違反のため削除いたしました。@ITクラブメンバーシップセンター)
ヤッチャペケ
会議室デビュー日: 2008/07/02
投稿数: 10
投稿日時: 2009-01-07 12:20
ちゃっぴさん返答ありがとうございます。
お礼が遅くなり、すみませんでした。

やはり仕様変更でしたか。
この仕様に頼った開発運用をしていたものですから、残念です。

ゴリゴリやれるスキルを身に着け、挑戦したいと思います。

ありがとうございました。
1

スキルアップ/キャリアアップ(JOB@IT)