Vistaの地平
第7回 管理者権限での実行を制限するユーザー・アカウント制御UAC(前編)

3.UACで表示されるダイアログの種類

畑中 哲
2007/04/05

 それでは、UACに対応しているアプリケーションで「盾」マークの操作をしようとしたときの実際例を見てみよう。

「盾」マークの操作をしようとすると、許可を求めるダイアログ・ボックスが表示される

 「盾」マークの操作をしようとするたびに、画面全体が暗くフェードアウトし、許可を求めるダイアログ・ボックスが前面に表示される。これはアプリケーション自身ではなく、Windowsのシステムが表示しているダイアログ・ボックスだ。

 このダイアログ・ボックスでユーザーが明示的に許可した場合にだけ、権限が昇格して、操作が行われる(行うことが可能になる)。たとえ管理者ユーザーとしてログオンしていても、ダイアログ・ボックスで許可しなければ操作は行われない(失敗する)。

許可を求めるダイアログ・ボックス
UACに対応しているアプリケーションで、「盾」マークの操作をしようとすると、画面全体が暗くなり、許可を求めるダイアログ・ボックスが表示される。ユーザーがそのダイアログ・ボックスで明示的に許可した場合にだけ、操作が行われる(行うことができる)。たとえ管理者ユーザーとしてログオンしていても、ダイアログ・ボックスで許可しなければ操作は行われない(失敗する)。
  「盾」マークの操作をしようとすると……。
  このように、まず画面全体が暗くなる。
  そして許可を求めるダイアログ・ボックスが前面に表示される。

 ダイアログ・ボックスには数種類あり、それぞれの色や文言に、システム全体に影響を与える操作をしようとしているアプリケーションの性質が反映されている。また、管理者ユーザーとしてログオンしている場合と、一般ユーザーとしてログオンしている場合とで異なる。以下、それらのダイアログ・ボックスについて見てみよう

管理者ユーザーとしてログオンしている場合のダイアログ・ボックス(Consent UI)

 管理者ユーザーとしてログオンしている場合のダイアログ・ボックスは、次のようなものがある。

■ブロックされているアプリケーション
 「ソフトウェアの制限のポリシー」で制限されている発行元のアプリケーションの場合は、赤いダイアログ・ボックスが表示される。許可することはできない。

ブロックされているアプリケーションで「盾」マークの操作をしようとしたときのダイアログ・ボックス
「ソフトウェアの制限のポリシー」で制限されている発行元のアプリケーションの場合は、赤いダイアログ・ボックスが表示される。許可することはできない。
  アプリケーションのファイル名。
  このボタンをクリックして閉じることしかできず、システム全体に影響を与える操作を許可することはできない。

■署名されていないアプリケーション
 署名されていないアプリケーションや、いわゆる「オレオレ証明書*1」で署名されているアプリケーションの場合は、黄色いダイアログ・ボックスが表示される。

*1 「オレオレ証明書」とは、自分自身で署名して、自分自身で発行しているといった、身元の不確かな証明書のこと。形式的には証明書の要件を満たしているが、その内容には何の信頼性の裏付けもない。オレオレ詐欺にちなんでこう呼ばれる。

署名されていないアプリケーションで「盾」マークの操作をしようとしたときのダイアログ・ボックス
署名されていないアプリケーションや、いわゆる「オレオレ証明書」で署名されているアプリケーションの場合は、黄色いダイアログ・ボックスが表示される。
  アプリケーションのファイル名。
  これをクリックすると、システム全体に影響を与える操作は実行されない。
  これをクリックすると、権限が昇格して、システム全体に影響を与える操作が実行される。

■署名されているアプリケーション
 署名されているアプリケーションの場合は、灰色のダイアログ・ボックスが表示される。

署名されているアプリケーションで「盾」マークの操作をしようとしたときのダイアログ・ボックス
署名されているアプリケーションの場合は、灰色のダイアログ・ボックスが表示される。
  アプリケーションのアイコン。
  アプリケーションの名前。
  アプリケーションの発行元。
  これをクリックすると、権限が昇格して、システム全体に影響を与える操作が実行される。
  これをクリックすると、システム全体に影響を与える操作は実行されない。

■Windows Vistaが提供するアプリケーション
 Windows Vistaが提供するアプリケーションの場合は、青いダイアログ・ボックスが表示される。

Windows Vistaが提供するアプリケーションで「盾」マークの操作をしようとしたときのダイアログ・ボックス
Windows Vistaが提供するアプリケーションの場合は、青いダイアログ・ボックスが表示される。
  アプリケーションのアイコン。
  アプリケーションの名前。
  アプリケーションの発行元。
  これをクリックすると、権限が昇格して、システム全体に影響を与える操作が実行される。
  このボタンをクリックすると、システム全体に影響を与える操作は実行されない。

一般ユーザーとしてログオンしている場合のダイアログ・ボックス(Credential UI/Over-the-Shoulder:OTS)

 一般ユーザーとしてログオンしている場合でも、「盾」マークの操作をしようとすると、ダイアログ・ボックスが表示される。そのダイアログ・ボックスの色や文言には、操作しようとしているアプリケーションの性質が反映されている。ここまでは、管理者ユーザーとしてログオンしている場合と同じだ。

 だが管理者ユーザーとしてログオンしている場合と異なるのは、ダイアログ・ボックスでユーザー・アカウントを選択できるという点である。選択してパスワードを入力すると、そのユーザーとして操作を実行できる。管理者ユーザーとしてログオンしている場合のように同じユーザーの権限が昇格して実行するのではなく、まったく別のユーザーとして実行するのである。これは実質的には、従来の「別のユーザーとして実行」(RunAs/Secondary Logon)機能を、よりシームレスにしたものといえる。「Over-the-Shoulder(肩越し):OTS」と呼ばれることもある。

■ワークグループ・ネットワークの場合
 コンピュータがワークグループ・ネットワークのメンバーとして構成されている場合は次のようなダイアログが表示される。この場合は操作を実行したいユーザー・アカウントを選択して、パスワードだけ入力すればよい。

一般ユーザーとしてログオンし、Windows Vistaが提供するアプリケーションで「盾」マークの操作をしようとしたときのダイアログ・ボックス(ワークグループ・ネットワークの場合)
ワークグループ・ネットワークの場合は、一般ユーザーとしてログオンして「盾」マークの操作をしようとすると、許可を求めるダイアログ・ボックスにはユーザー・アカウントの一覧が表示される。操作を実行させたいユーザー・アカウントを選択してパスワードを入力すると、そのユーザーとして操作を実行できる。
  アプリケーションのアイコン。
  アプリケーションの名前。
  アプリケーションの発行元。
  ユーザー・アカウントの一覧。
  操作を実行させたいユーザー・アカウントを選び、パスワードを入力する。
  これをクリックすると、システム全体に影響を与える操作が、選択したユーザーとして実行される。
  これをクリックすると、システム全体に影響を与える操作は実行されない。

■ドメイン・ネットワークの場合
 コンピュータがドメイン・ネットワークに参加している場合は、パフォーマンス上の理由から、ダイアログ・ボックスにユーザー・アカウント一覧は出ない(一覧を列挙するにはコストがかかるため)。そのため利用者は、ユーザー名とパスワードの両方を入力する必要がある。

一般ユーザーとしてログオンし、Windows Vistaが提供するアプリケーションで「盾」マークの操作をしようとしたときのダイアログ・ボックス(ドメイン・ネットワークの場合)
ドメインに参加している場合は、ユーザー名とパスワードの両方を入力する必要がある。
  アプリケーションのアイコン。
  アプリケーションの名前。
  アプリケーションの発行元。
  ここに、操作を実行させたいユーザー名を入力する。
  操作を実行ユーザーのパスワードを入力する。
  これをクリックすると、システム全体に影響を与える操作が、指定されたユーザーとして実行される。
  これをクリックすると、システム全体に影響を与える操作は実行されない。

 今回は、Windows VistaにおけるUACの概要と、UACによる操作のブロックの例(ダイアログ・ボックスの表示)について見てきた。次回の後編では、UACの内部的な仕組みと、従来との互換性問題などについて解説する。 End of Article


 INDEX
  Vistaの地平
  第7回 管理者権限での実行を制限するユーザー・アカウント制御UAC(前編)
    1.管理者権限で利用するWindows OS
    2.管理者権限での実行を制限するUAC
  3.UACで表示されるダイアログの種類
 
 「 Vistaの地平 」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間