上級ユーザー向け Windows Vista の組み込みの管理者アカウントへの変更についての情報

2010 年 4 月 13 日に、service pack がインストールされていない Windows Vista のサポートが終了しました。Windows のセキュリティ更新プログラムの受信を続行するには、Windows Vista を Service Pack 2 (SP2) で 実行していることを確認してください。 詳細については、このマイクロソフト web サイトを参照してください: 一部のバージョンの Windows のサポートは終了しています。

はじめに

この資料では、Windows Vista の組み込みの管理者アカウントへの変更について説明します。

詳細

バック グラウンド

既定では、ビルトインの管理者アカウントを管理者と呼びます。さらに、ビルトインの管理者アカウントには、相対 ID (RID) 500 が割り当てられます。Windows Vista では、既定のユーザー アカウントの種類は、標準的なユーザーです。標準ユーザーは、ユーザー アカウントの権限が制限され、Windows のアクセス許可の制限です。次のセクションで詳細にビルトインの管理者アカウントが変更された方法では、Windows Vista の組み込みのユーザー アカウントの攻撃を受ける可能性を減らします。

注: これらの変更は RID が 500、ビルトインの管理者アカウントにのみ適用されます。

新規インストールとして Windows Vista をインストールするときの動作

既定では、ビルトインの管理者アカウントは、Windows Vista の新しいインストールでは無効になります。Unattend.xml ファイルの既定の動作をオーバーライドしない限り、この現象が発生します。Windows Vista の Unattend.xml ファイルを使用する方法の詳細については、次のマイクロソフト Web サイトを参照してください。True の場合、Windows へようこそ] スキップする < SkipMachineOOBE > 要素を設定する場合は、ユーザー アカウントを作成する必要があります。 または Microsoft Windows シェル セットアップ コンポーネントを使用して管理者のパスワードを指定する必要があります。これらのアクションのどちらでもない場合は、セーフ モードでコンピューターを再起動しない限りは、コンピューターにログオンすることはできません。

次のコード例は、Unattend.xml ファイルで < 自動ログオン > 要素を使用して、ビルトインの管理者アカウントを有効にする方法を示しています。さらに、次のコード例を示して < SkipMachineOOBE > 要素を使用する方法です。
<AutoLogon>    <Enabled>true</Enabled>
<LogonCount>9999</LogonCount>
<Username>Administrator</Username>
<Password>
<Value>""</Value>
<PlainText>true</PlainText>
</Password>
</AutoLogon>
<OOBE>
<HideEULAPage>true</HideEULAPage>
<ProtectYourPC>3</ProtectYourPC>
<SkipMachineOOBE>true</SkipMachineOOBE>
<SkipUserOOBE>true</SkipUserOOBE>
</OOBE>
<UserAccounts>
<AdministratorPassword>
<Value>""</Value>
<PlainText>true</PlainText>
</AdministratorPassword>
</UserAccounts>

注:
  • Unattend.xml ファイルでは、< 値 > 要素は、ビルトインの管理者アカウントのパスワードを指定します。< 値 > 要素を次のコード例に示します。ビルトインの管理者アカウントに強力なパスワードを作成することをお勧めします。強力なパスワードの詳細については、次のマイクロソフト Web サイトを参照してください。
  • 実行する前に、ビルトイン administrator アカウントの状態に関係なく、 Sysprep.exe/OOBEコマンドでは、インストールが完了した後に、ビルトインの管理者アカウントが無効になっています。

Windows XP から Windows Vista にアップグレードするときの動作

ビルトインの管理者アカウントは、Windows XP からのアップグレード中にのみアクティブなローカル管理者アカウントを、Windows Vista は有効になっているビルトインの管理者アカウントを残します。さらに、Windows Vista では、ビルトインの管理者アカウントを管理者承認モードになります。管理者承認モードは、ユーザー アカウント制御 (UAC) のコンポーネントです。UAC は、管理者が管理者の資格情報を必要とするすべてのアクションを承認する必要があります。

次の条件の 1 つ以上が true の場合は、ビルトインの管理者アカウントはこの作業中のローカル管理者アカウントではありません。
  • ビルトインの管理者アカウントで、ローカル セキュリティ アカウント マネージャー (SAM) が見つかりません。
  • ビルトインの管理者アカウントは、ローカルの Administrators グループのメンバーではありません。
  • ビルトインの管理者アカウントが無効になります。
  • ビルトインの管理者アカウントは、ローカルでログオンを拒否する] ポリシー設定で定義されます。
  • ビルトイン administrator アカウント名は、Windows のログオン画面から明示的にフィルターされています。
次のレジストリ キーは、ユーザー アカウント名が Windows のログオン画面から明示的にフィルター処理されたかどうかを決定します。
レジストリ キーHKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
値の名前UserAccountName
タイプDWORD32
値のデータ0 = は、Windows のログオン画面に表示されません。
0 より大きい値は、Windows のログオン画面に表示されますを =
注: ビルトインの管理者アカウントは、Windows のログオン画面に表示するのには明示的に定義されて、Windows Vista は、ビルトインの管理者アカウントを使用できます。さらに、Windows Vista は、管理者承認モードにビルトインの管理者アカウントを配置します。この現象は、アクティブなローカル管理者アカウントの状態に関係なく発生します。

セーフ モードでコンピューターを起動するときの動作

ビルトインの管理者アカウントが無効の場合は、次の条件のいずれかが true の場合、ビルトインの管理者アカウントを使用して、セーフ モードでコンピューターにログオンすることはできません。
  • コンピューターは、ドメインのメンバーです。
  • 1 つ以上のアクティブなローカル管理者アカウントが存在しています。
ただし、代わりに、任意のアクティブなローカル管理者アカウントを使用するとコンピューター ログオンできます。セーフ モードでは、次の条件のいずれかが true の場合、システム回復の無効なビルトイン管理者アカウントを使用してコンピューターにログオンすることができます。
  • 意図せず、最後のローカル管理者アカウントを降格します。
  • 最後のローカル管理者アカウントが誤って無効にします。
  • 最後のローカル管理者アカウントを誤って削除します。
コンピューターを再起動する前に、新しいアクティブなローカル管理者アカウントを作成または古いアクティブなローカル管理者アカウントを回復します。

ビルトインの管理者アカウントが無効の場合、ビルトインの管理者アカウントを使用して、セーフ モードでドメインに参加しているコンピューターにログオンできません。既定では、アクティブなローカル管理者アカウントが存在しない場合は、アクティブなローカル管理者アカウントを作成するのには Domain Admins グループのメンバーとしてコンピューターにログオンすることができます。"セーフ モードとネットワーク] でコンピューターを起動する必要があるがログインしていない場合コンピューターの前に、Domain Admins グループのメンバーとして、資格情報がキャッシュされていないために、これを行う必要があります。コンピューターがドメインから離れましたが後、は、コンピューターがドメインに参加していないコンピューターの動作に戻ります。

注: 忘れないでくださいユーザー名とその他のアクティブなローカル管理者アカウントのパスワードを確認します。ビルトインの管理者アカウントが無効になっている場合、およびユーザー名やその他のアクティブなローカル管理者アカウントのパスワードを忘れた場合は、場合がありますコンピューターに追加の管理上の変更を加えることです。さらに、まったくログオンできない場合があります。ホーム ユーザーには、ほかのアクティブなローカル管理者アカウントにアクセスが失われないことを確認するのには次対策を講じる必要があります。
  • コントロール パネルの [アカウントのパスワード リセット ディスクを作成するのにユーザー アカウントでパスワード ディスクの作成ウィザードを使用します。パスワード リセット ディスクを安全な場所に保存またはリムーバブル USB デバイスを安全な場所に格納します。
  • アカウントのパスワードのヒントを作成します。
  • ユーザー名とパスワードをメモし、ユーザー名とパスワードを安全な場所に保管します。
プロパティ

文書番号:942956 - 最終更新日: 2017/02/02 - リビジョン: 1

フィードバック