セカンダリ ログオン (別のユーザーとして実行) : ローカル管理コンテキストでのプログラムとツールの起動

文書翻訳 文書翻訳
文書番号: 225035 - 対象製品
この記事は、以前は次の ID で公開されていました: JP225035
すべて展開する | すべて折りたたむ

目次

概要

Windows 2000 のセカンダリ ログオンでは、管理者は管理アカウント以外のアカウントでログオンし、信頼している管理プログラムを管理コンテキストで実行することによって、(ログ オフせずに) そのまま管理タスクを実行することができます。この場合、システム管理者には 2 つのユーザー アカウントが必要です。基本的特権を有する通常のアカウントと、管理アカウントです (この管理アカウントは、管理者ごとに異なる管理アカウントか、または管理者間で共有されている単一管理アカウントのいずれかを使用できます)。

セカンダリ ログオンは、"トロイの木馬" 攻撃が疑われるプログラムを実行する管理者 (信頼できない Web サイトにアクセスしている Microsoft Internet Explorer を管理コンテキストで実行する場合など) のセキュリティ対策となります。

本来はシステム管理者のための機能であるセカンダリ ログオンですが、複数のアカウントを持つユーザーが、別のアカウントからログ オフせずにプログラムを起動するときにも使用することができます。

セカンダリ ログオン サービスは、Windows 2000 の "クリーン" インストール後に自動的に起動されます。Windows 2000 の "クリーン" インストールとは、空白のハード ディスクに Windows 2000 をインストールする場合、または Windows の既存バージョンがインストールされているフォルダ以外のフォルダに Windows 2000 をインストールする場合を指します。

詳細

ローカル コンピュータの管理コンテキストでコマンド シェルを起動する

一般ユーザーとしてログオンしているときに、以下の操作を行います。
  1. [スタート] メニューの [ファイル名を指定して実行] をクリックし、runas /user:machine_name\administrator cmd と入力します。ここで、machine_name には使用するコンピュータの名前を代入します。次に [OK] をクリックします。
  2. コンソール ウィンドウが表示され、machine_name\administrator アカウントのパスワードを入力するよう求められます。管理者アカウントのパスワードを入力して、Enter キーを押します。
  3. 管理コンテキストで実行される新しいコンソールが表示されます (コンソールのタイトルには、[ユーザー:machine_name\administrator] と明記されています)。
このコンソール ウィンドウから、どんなコマンド ベース管理プログラムでも起動することができます。

一般ユーザーとしてログオンしながら管理コンテキストでコントロール パネルのツールを起動する

一般ユーザーとしてログオンしているときに、以下の操作を行います。
  1. [スタート] メニューをクリックし、[設定] をポイントして、[コントロール パネル] をクリックします。
  2. 管理コンテキストで実行するツールを選択します (例 : [ハードウェアの追加と削除])。
  3. ツールのアイコンを 1 回左クリックして、選択したツールを反転表示します。
  4. Shift キーを押しながら、アイコンを右クリックします。コマンド リストに [別のユーザーとして実行] が表示されます。
  5. [別のユーザーとして実行] をクリックします。[別のユーザーとして実行] ダイアログ ボックスが表示されます。
  6. 管理者アカウント名とパスワードを適切なフィールドに入力します。メモ : ドメイン名も変更できます。
  7. 管理者アカウントの資格情報を入力して [OK] をクリックすると、ツールに関連付けられているプログラムが管理コンテキストで起動されます。

管理コンテキストでショートカットを起動する

以下の例では [コンピュータの管理] プログラムへのショートカットを使用しますが、この方法は、.EXE ファイルのショートカット、および .TXT、.DOC、.MSC ファイルなど登録されているファイルの種類のショートカットに対して有効です。

一般ユーザーとしてログオンしているときに、以下の操作を行います。
  1. Windows エクスプローラで、COMPMGMT.MSC ファイルのショートカットをデスクトップ上に作成します。COMPMGMT.MSC は、\%WINDIR%\SYSTEM32 ディレクトリにあります。既定では、これはブート パーティションの \WINNT\SYSTEM32 ディレクトリです。
  2. デスクトップ上で、[compmgmt へのショートカット] アイコンを 1 回左クリックして、反転表示します。
  3. Shift キーを押しながら、デスクトップ上の [compmgmt へのショートカット] アイコンを右クリックします。
  4. [別のユーザーとして実行] をクリックします。[別のユーザーとして実行] ダイアログ ボックスが表示されます。
  5. 適切なフィールドに、管理者アカウント名とパスワードを入力して、[OK] をクリックします。
MMC コンソールが起動され、コンピュータの管理スナップインがロードされます。このスナップインは、このとき管理コンテキストで実行されています。

また、ショートカットを開くと常に代替資格情報が使用されるように設定するには、ショートカットの [プロパティ] を以下のように構成します。
  1. MMC コンソールを閉じて開き、デスクトップ上の [compmgmt へのショートカット] アイコンを 1 回左クリックして、アイコンを反転表示します。アイコンを右クリックして、[プロパティ] をクリックします。
  2. [プロパティ] ダイアログ ボックスの中央部分に、[別のユーザーとして実行] チェック ボックスがあります。このチェック ボックスをオンにして [OK] をクリックし、[プロパティ] ダイアログ ボックスを閉じます。
  3. [compmgmt へのショートカット] アイコンをダブルクリックして、コンソールを起動します。
  4. [別のユーザーとして実行] ダイアログ ボックスが表示されます。適切なフィールドに資格情報を入力し、[OK] をクリックします。
この方法は、ショートカットを作成して、それを常に異なるセキュリティ コンテキストで実行する場合に役立ちます。

一般ユーザーとしてログオンしながら管理コンテキストでプログラムを起動する

この例ではメモ帳を使用しますが、同じ方法で、どの Windows プログラムでも代替セキュリティ コンテキストで起動することができます。

一般ユーザーとしてログオンしているときに、以下の操作を行います。
  1. Windows エクスプローラで、NOTEPAD.EXE ファイルをデスクトップにコピーします。NOTEPAD.EXE は、\%WINDIR%\ ディレクトリにあります。既定では、これはブート パーティションの \WINNT\ ディレクトリにあります。
  2. デスクトップ上の [NOTEPAD.EXE へのショートカット] アイコンを 1 回左クリックして、反転表示します。
  3. Shift キーを押しながら、[NOTEPAD.EXE へのショートカット] アイコンを右クリックします。
  4. [別のユーザーとして実行] をクリックします。[別のユーザーとして実行] ダイアログ ボックスが表示されます。
  5. 管理者アカウント名とパスワードを入力し、[OK] をクリックします。
これで、管理コンテキストでメモ帳がスタートアップします。

メモ : プログラムがどのセキュリティ コンテキストで動作しているかを示す表示はありません。これは、Windows プログラムで独自のタイトルが定義されるため、呼び出したプログラムでタイトルを操作することができないからです。このため、異なるコンテキストで複数のプロセスをスタートアップした場合、混乱を生じることがあります。

保存されている .msc ファイルを使用して管理コンテキストで MMC を起動する

以下の例では、既存の .MSC ファイル、COMPMGMT.MSC を使用します。しかし、以下の方法を使えば、異なるセキュリティ コンテキストで、どんな MSC ファイルでも指定できます。

一般ユーザーとしてログオンしているときに、以下の操作を行います。
  1. Windows エクスプローラで、COMPMGMT.MSC ファイルをデスクトップにコピーします。COMPMGMT.MSC は、\%WINDIR%\SYSTEM32 ディレクトリにあります。既定では、これはブート パーティションの \WINNT\SYSTEM32 ディレクトリです。
  2. デスクトップの [compmgmt へのショートカット] アイコンを 1 回左クリックして、反転表示します。
  3. Shift キーを押しながら、デスクトップの [compmgmt へのショートカット] アイコンを右クリックします。
  4. [別のユーザーとして実行] をクリックします。[別のユーザーとして実行] ダイアログ ボックスが表示されます。
  5. 適切なフィールドに管理者アカウント名とパスワードを入力し、[OK] をクリックします。
新しい MMC コンソールが表示され、コンピュータの管理スナップインがロードされます。このスナップインは、このとき管理コンテキストで実行されています。同様にして、システム管理者は、カスタムの Microsoft 管理コンソールを作成して、頻繁に使用する管理スナップインを保存し、セカンダリ ログオンを使用して、これらのスナップインを管理コンテキストで実行することができます。

管理セキュリティ コンテキストで Windows エクスプローラ シェルを実行する

一般ユーザーとしてログオンしているときに、以下の操作を行います。
  1. [タスク マネージャ] を起動します。タスク バーを右クリックして、[タスク マネージャ] をクリックします。
  2. [プロセス] タブをクリックします。
  3. [explorer.exe] をクリックします。[プロセスの終了] をクリックし、警告のポップアップ メッセージで [はい] をクリックします。デスクトップが消えます。タスク マネージャなど、ユーザーが起動したプログラムは表示されています。
  4. [アプリケーション] タブをクリックします。
  5. [新しいタスク] をクリックします。
  6. "runas /user:machine/domain name\administrator explorer.exe" と入力し、[OK] をクリックします。
  7. コンソール ウィンドウが表示され、パスワードの入力を求められます。タスク マネージャを最小化し、パスワードを入力して Enter キーを押します。デスクトップが再表示され、タスク バー、ショートカット、[スタートアップ] フォルダのアイテムなどが表示されます。
  8. 必要な管理タスクを実行します。たとえば、[スタート] メニューの [設定] をポイントし、[コントロール パネル] をクリックすると、管理コンテキストでコントロール パネルを使用できます。
  9. 作業が終了したら、管理者をログオフします。新しいシェルが自動的に起動され、元のユーザー コンテキストで実行されます。

他のセキュリティ コンテキストを実行する

上記の例は、管理コンテキストで実行するセカンダリ ログオンの使用方法を示しています。しかし、他のセキュリティ コンテキストでもこの機能を利用できないわけではありません。一般に、この機能を使えば、任意のプログラムやツールを任意のコンテキストで実行することができます。ただし以下の条件が必要です。
  • 代替コンテキストに有効なアカウントの資格情報を提供できる。
  • 代替コンテキストが、システムに "ローカルでログオン" できる。
  • そのプログラムまたはツールが、システム上で使用でき、代替コンテキストにアクセスできる。

制約とトラブルシューティング

プログラムまたはツールが正常に起動しない場合、以下のような原因が考えられます。
  • システム上で、セカンダリ ログオン サービスが起動されていない場合。[マイ コンピュータ] を右クリックし、[管理] をクリックします。[コンピュータの管理] で [システム ツール] をクリックします。次に [サービス] をクリックして、セカンダリ ログオン サービスが起動されているかどうかを確認します。
  • 提供された資格情報が正しくない場合。最初に表示される Windows のログオン画面からシステムにログオンし、資格情報を確認します。
  • あるネットワーク パスから EXE の起動を試みていて、そのパスへの接続に使用した資格情報が、EXE の起動に使用した資格情報と同じでない場合。EXE の起動に使用した資格情報が、ネットワーク パスへのアクセスを持っていない場合があります。この場合、runas を使用して Windows 2000 コマンド プロンプトを起動し、net use でネットワーク パスに再接続し、次に EXE を起動します。
  • 一部のプログラムは、Windows エクスプローラ シェルによって間接的に起動されます。このような例として、[コントロール パネル] や [プリンタ] フォルダなどがあります。シェルは、最初のログオンの間にプライマリ セキュリティで起動されるため、シェルから起動されたプロセスはすべて、そのセキュリティ コンテキスト内にあります。これを回避するには、[別のユーザーとして実行] を使用してツールを起動するか、または既存のシェルを終了して、管理コンテキストでエクスプローラ シェルを再起動します。

詳細

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 225035 (最終更新日 1999-12-29) をもとに作成したものです。

プロパティ

文書番号: 225035 - 最終更新日: 2004年9月6日 - リビジョン: 3.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Server
キーワード:?
kbhowto kbtool kbenv KB225035
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com