まともに読むひとが無さそうな質問

このような質問文をまともに読むひとはまずいない。サーバー担当のフォーラムオペレーターでも回答に困る。

 

（質問）

UACの状態表示が変わってしまう

 

＜問題点＞
ADのグループポリシーを用いてUAC設定をプッシュしているが、ログオンするアカウントによってUACのレベルが変わってしまっているように見える。

＜UACの設定レベル＞
便宜上以下のように呼びます。
レベル1.常に通知する
レベル2.プログラムがソフトウェアをインストールする場合、またはコンピュータに変更を加えようとする場合、ユーザーがWindows設定を変更する場合に通知する（デスクトップを暗転しない）
レベル3.プログラムがコンピュータに変更を加えようとする場合のみ通知する（デスクトップを暗転しない）
レベル4.通知しない

＜AD環境＞
ドメインの機能レベル：Windows Server 2003
ドメインコントローラ：Windows Server 2008 R2/Windows Server 2003 R2/Windows Server 2003/混在　FSMOはWin2008R2

＜AD参加PCでの動作＞
a．アプリケーションインストールの為に一時的にUACをオフにする。

管理者アカウントでログオンし、下記コマンドを記載したBATファイルを管理者として実行させてオフにしている。

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /f /v EnableLUA /t reg_dword /d 0
 reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /f /v "ConsentPromptBehaviorAdmin" /t reg_dword /d 0
 reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /f /v "PromptOnSecureDesktop" /t reg_dword /d 0

参考　http://www.vector.co.jp/soft/winnt/util/se433836.html

 

b.グループポリシーでUACはレベル2になるように設定しているので、"a"の作業後に特にオンにはしていない。

 

c.管理者アカウントでログオン中にグループポリシーを再適用（gpupdate /forceコマンド）するとコントロールパネルのGUIから確認したUACはレベル2になる。

 

d.標準アカウントでログオン中にグループポリシーを再適用（gpupdate /forceコマンド）するとコントロールパネルのGUIから確認したUACはレベル1になる。

元のUACレベルがレベル2でもレベル4でも結果は同じ

但し、レジストリ値に変化は無い。表示上の問題？

 

＜グループポリシーでの設定箇所と内容＞
[コンピュータの構成]－[ポリシー]－[Windowsの設定]－[セキュリティの設定]－[ローカルポリシー]－[セキュリティ オプション]
対応レジストリキー
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
System

ユーザー アカウント制御: UIAccess アプリケーションで、セキュリティで保護されたデスクトップを使用せずに昇格のプロンプトを表示できるようにする
未定義
キー名不明

ユーザー アカウント制御: アプリケーションのインストールを検出し、昇格をプロンプトする
未定義
EnableInstallerDetection　1

ユーザー アカウント制御: ビルトイン Administrator アカウントのための管理者承認モードを使用する
未定義
FilterAdministratorToken　0

ユーザー アカウント制御: 安全な場所にインストールされている UIAccess アプリケーションの昇格のみ
未定義
EnableSecureUIAPaths　1

ユーザー アカウント制御: 各ユーザーの場所へのファイルまたはレジストリの書き込みエラーを仮想化する
未定義
EnableVirtualization　1

ユーザー アカウント制御: 管理者承認モードを有効にする
有効
EnableLUA　1

ユーザー アカウント制御: 管理者承認モードでの管理者に対する昇格時のプロンプトの動作
Windows 以外のバイナリに対する同意を要求する
ConsentPromptBehaviorAdmin　5
※レベル1はレジストリキーの値が"2"、レベル2はレジストリキーの値が"5"

ユーザー アカウント制御: 署名および検証された実行ファイルのみを昇格する
未定義
ValidateAdminCodeSignatures　0

ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える
有効
PromptOnSecureDesktop　1

ユーザー アカウント制御: 標準ユーザーに対する昇格時のプロンプトの動作
未定義
ConsentPromptBehaviorUser

＜参考URL＞
Windows7のUACに関するレジストリの説明
http://www.yoshibaworks.com/ayacy/inasoft/talk/h200905a.html

ポリシーに関する説明
http://pasofaq.jp/windows/admintools/policyuaclist7.htm

 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（TechNetページ）

http://technet.microsoft.com/ja-jp/library/dd851527.aspx

（msdn参考資料）

http://msdn.microsoft.com/ja-jp/windows/dd883236.aspx

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/104c2ca7-bf20-413e-8194-1fb65b5e1449/#a03a260b-1c86-4244-ad08-47661b130b7a