ユーザー アカウント (User Account)
アカウントの種類
- ローカルアカウント
- Microsoftアカウント
- 家族アカウント
- Active Directoryアカウント
- Azure ADアカウント
ローカル アカウント
ローカル アカウントを追加するには、[追加するユーザーがメール アドレスを持っていません]をクリックし、さらに[Microsoft アカウントを持たないユーザーを追加する]をクリックします。アカウントをセットアップする - Windows ヘルプ
セキュリティの質問 (security questions)
アカウントの作成時にセキュリティの質問の回答を設定しないようにするには、アカウントの作成時にパスワードを設定しないようにします。そして後からパスワードだけを設定します。Windows10 で「セキュリティの質問」を回避する – 分析室の屋根裏
権限
- 標準アカウント (Standard accounts)
- 管理者アカウント (Administrator accounts)
- Guestアカウント (Guest accounts) … Windows 10で廃止
ユーザー名
Windows 8
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IdentityStore\Cache\GlobalStore\IdentityCache\[ハイフン区切りの英数字] "DisplayName"
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IdentityStore\Cache\GlobalStore\IdentityCache\[ハイフン区切りの英数字] "UserName"
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "DefaultUserName=MicrosoftAccount\xx"
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LastUsedUsername=MicrosoftAccount\xx"
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion "RegisteredOwner"
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion "RegisteredOwner"
ユーザーアカウント制御 (UAC : User Account Control)
UACの有効化
Windows 8
UACが無効になっている状態では管理者権限が必要な操作は無効にされ、何も操作できません。よってその状態では、コントロールパネルの[ユーザーアカウント制御設定の変更]をクリックしても、何も反応しません。つまり無効にされたUACは標準ユーザーでは有効にできず、管理者としてログオンしてから設定を変更する必要があります。
管理者特権での実行
つねにアプリケーションを管理者特権で実行するには、そのアプリケーションの実行ファイルのプロパティを開き、[互換性]タブの[特権レベル]にある「管理者としてこのプログラムを実行する」にチェックを入れます。
この項目がグレーアウトしていて変更できないとしたら、
- ユーザーが管理者としてログオンしていない
- アプリケーションが、つねに管理者特権で実行できないようになっている
- アプリケーションの実行に、管理者特権が不要
- アプリケーションが、システムの一部である
のいずれかがその理由です。このうち2~3は諦めるしかありませんが、1の理由ならば管理者としてログオンしてからやり直します。しかしそうしても、設定を変更できないこともあります。その場合には、一時的にUACを無効にしてみます。
参考
ユーザー プロファイル (User Profiles)
ユーザー プロファイルとは、ユーザーごとに保存されるシステムやアプリケーションの設定の集合です。
ユーザー プロファイルの削除
ユーザーの利用状況によっては、このユーザープロファイルが多くのディスク領域を占めることがあります。アカウントは残したいがそのデータは不要ならば、これを削除することで無駄なデータを削減できます。Windows TIPS:不要になったユーザー・プロファイルを削除する - @IT デジタルアドバンテージ (2004/02/07)
ユーザー プロファイルの情報は、[システムのプロパティ]の[詳細設定]タブのユーザー プロファイルにある[設定]をクリックすることで確認できます。
そしてこのウィンドウで対象のプロファイルを選択し、[削除]をクリックすることでこれを削除できます。
アカウント ポリシー (Account policies)
パスワードのポリシー (Password Policy)
- 複雑さの要件を満たす必要があるパスワード (Password must meet complexity requirements)
- 暗号化を元に戻せる状態でパスワードを保存する (Store passwords using reversible encryption)
- パスワードの履歴を記録する (Enforce password history)
- パスワードの有効期間 (Maximum password age)
- パスワードの変更禁止期間 (Minimum password age)
- パスワードの長さ (Minimum password length)
これらはローカル セキュリティ ポリシーの【アカウント ポリシー → パスワードのポリシー】、またはNETコマンドで設定を変更できます。
アカウント ロックアウトのポリシー (Account Lockout Policy)
- ロックアウト期間 (Account lockout duration) … ロックアウトされたアカウントが、自動的にロック解除されるまでのロックアウト時間
- ロックアウト カウンターのリセット (Reset account lockout counter after) … ログオン失敗後、ログオン失敗のカウンターが0にリセットされるまでに必要な時間
- アカウントのロックアウトのしきい値 (Account lockout threshold) … ロックアウトされる原因となるログオン失敗回数
これらもパスワードのポリシー同様にNETコマンドで設定できますが、そのことがヘルプで示されていません。[NT]INFO: ドキュメント化されていない「Net Accounts」スイッチ
| ロックアウト期間 | /LOCKOUTDURATION:minutes |
| ロックアウト カウンターのリセット | /LOCKOUTWINDOW:minutes |
| ロックアウトのしきい値 | /LOCKOUTTHRESHOLD:number of failed attempts |
たとえばロックアウトのしきい値を5に設定するには、次のようにします。
C:\NET ACCOUNTS /LOCKOUTTHRESHOLD:5
ロックアウトのしきい値を0より大きな値にしたときは、ロックアウト期間はカウンターのリセット以上の値に設定しなければなりません。さもなくばシステムエラー87が発生し、設定に失敗します。
ロックアウトの解除
ロックアウトされると、そのユーザーでは「参照されたアカウントは現在ロックアウトされているため、ログオンできない可能性があります。」としてサインインできません。この場合にはロックアウト期間が経過するのを待つか、ロックアウトされていない管理者権限を持つユーザーでサインインし、これを解除します。
ロックアウトの解除はNETコマンドか、コンピュータの管理の【システム ツール → ローカル ユーザーとグループ → ユーザー】で対象ユーザーのプロパティを表示し、[アカウントのロックアウト]のチェックを外すことで行えます。dynabook.com | サポート情報 | ”参照されたアカウントは現在ロックアウトされているため、ログオンできない可能性があります。”メッセージが表示された場合の対処方法<Windows Vista(R)>
参考
参考
- Windows 7実践ナビ - ローカル・ポリシーでセキュリティを強化する:ITpro (2010/07/01)
- Account Policies | TechNet (Windows 8)
- アカウント ポリシー | MSDN (Windows Server 2003)
SID (Security Identifier) / セキュリティ識別子
SIDとは、Windowsのユーザアカウントやユーザグループの識別子です。SIDとは 〔 セキュリティ識別子 〕 【 Sercurity IDentifier 】 - IT用語辞典 e-Words
| 名前 | SID | 説明 |
|---|---|---|
| Everyone | S-1-1-0 | Windows Server 2003では、認証を受けたユーザーとGuestの総称。それ以前のOSでは、さらに匿名アクセスのユーザーも含む |
| Creator Owner | S-1-3-0 | オブジェクトの作成者。アクセス制御エントリ (ACE) は継承可能で、システムによってオブジェクトの現在の所有者に振り替えられる |
| Creator Group | S-1-3-1 | オブジェクト作成者のグループ。アクセス制御エントリ (ACE) は継承可能で、システムによってオブジェクトの現在の所有者が所属するプライマリ グループに振り替えられる |
| 名前 | 説明 |
|---|---|
| Dialup | ダイヤルアップ接続を経由してログオンしたすべてのユーザー |
| Network | ネットワーク経由でログオンしているすべてのユーザー。対話的ログオンを行うユーザー用のアクセス トークンは、このSIDに含まれない |
| Batch | タスク スケジューラでスケジュールされた場合のような、「バッチ キュー」を介してログオンしているユーザー |
| Interactive | ローカルあるいはリモート デスクトップを介して、コンピュータに対話的にログオンしているユーザー |
| Service | サービスとしてシステムにログオンしている、すべてのセキュリティ プリンシパルの集合体を意味するグループ。グループのメンバーは、OSによって管理される |
| Anonymous Logon | ユーザー名とパスワードの情報を送信せず、匿名でネットワーク経由の接続を行っているユーザー |
| Self (Principal Self) | Active Directoryドメインにおける、ユーザー、グループ、コンピュータの3種類のオブジェクトの所有者 |
| Authenticated Users | ユーザー名とパスワードの情報を入力して認証を受けた、すべてのユーザー。なおGuestアカウントにパスワードが設定されている場合、そのGuestアカウントは含まれない |
| Terminal Server Users | Terminal Services Ver.4.0のアプリケーション互換モードを使用してログオンしている、すべてのユーザー |
| This Organization | 同じフォレスト、あるいはドメインに所属しているユーザーの総称。「Other Organization」SIDが存在しない場合に、認証サーバによって設定される |
| Local System | OSによって使用されるサービス アカウント |
| Other Organization | ほかのフォレスト、あるいはドメインに所属しているユーザーの総称 |
| 名前 | 説明 |
|---|---|
| Administrators | Administrator (管理者) グループ |
| Users | ユーザー グループ |
| Guests | ゲスト グループ |
| Account Operators | アカウント管理者グループ |
| Server Operators | サーバ管理者グループ |
| Print Operators | プリンタ管理者グループ |
| Backup Operators | バックアップ管理者グループ |
| Replicator | 複製管理者グループ |
| 名前 | 説明 |
|---|---|
| Administrator | ドメインの管理者 |
| Guest | ドメインのゲスト アカウント |
| Domain Admins | ドメインの管理者グループ |
| Domain Users | ドメインのユーザー グループ |
| Domain Guests | ドメインのゲスト グループ |
SIDの確認
ユーザーのSIDは、whoamiコマンドで確認できます。たとえば現在のユーザーのSIDを確認するには、
c:\>whoami /user
とします。whoamiコマンドでユーザーのSIDや権利を調査する - @IT 打越浩幸 (2010/06/11)
不明なアカウント (Account Unknown)
保護者による制限 (Parental Controls)
特定のユーザーアカウントに、機能制限を設けられます。
- Webフィルター
- 時間制限
- ゲームおよび Windows ストア アプリの制限
- デスクトップ アプリの制限
また「活動記録レポート」で、利用状況を記録することもできます。
活動レポート (activity reports)
活動レポートのデータはイベントとして記録されており、その詳細はイベントビューアーで確認できます。【アプリケーションとサービス ログ → Microsoft → Windows → ParentalControls → Operational】で表示されるイベントがそれです。
- 保護者による制限における活動レポートの削除方法 | 気ままな宇宙人 (2009/07/05)
- How to Delete Parental Control Activity Reports | eHow Kefa Olang
参考
- お子様の PC の利用状況を管理する - Microsoft Windows ヘルプ (対象はWindows 8)
参考
サインイン
自動サインイン
netplwiz (ユーザー アカウント コントロール パネル) で特定のユーザーを選択し、[ユーザーがこのコンピューターを使うには、ユーザー名とパスワードの入力が必要]のチェックを外すことで、パスワードの入力なしにそのユーザーでサインインするようになります。
- Windows 10で起動時のパスワード入力を省略する方法 - NEC LAVIE公式サイト
- Configure a User Account to Log On Automatically on Windows 7 | TechNet
Windows Hello
生体認証 (指紋認証、顔認証、虹彩認証)
- Windows Hello | Microsoft Learn
- Windows 10に生体認証機能「Windows Hello」が搭載 ~パスワード代わりに虹彩や指紋で認証 - PC Watch 若杉紀彦 (2015/03/18)
トラブル対処法
サインイン画面が表示されない
Ctrl + Alt + Delを押してみます。これはnetplwiz (ユーザー アカウント コントロール パネル) の[セキュリティで保護されたサインイン (Secure sign-in)]で[ユーザーが必ず Ctrl+Alt+Del キーを押す]が有効にされているためで、これを無効にすることでこの入力も省略できます。Windows 10で常に「Ctrl」+「Alt」+「Delete」キーでサインインする方法 - NEC LAVIE公式サイト
セキュリティのために、ユーザーがサインインするときに Ctrl + Alt + Del キーを押すように設定することができます。これにより、認証 Windows サインイン画面が表示され、サインインを装ってパスワード情報を取得するプログラムからシステムを保護することが保証されます。
セキュリティで保護されたサインイン
サインインを2回要求される
Windows 10 Fall Creators Update以降、サインインをくり返し要求されることがあります。その場合には設定の【アカウント → サインイン オプション】の[更新または再起動の後にサインイン情報を使ってデバイスのセットアップを自動的に完了します。]をオフにすることで、解決できることがあります。
- Windows10 Fall Creators - マイクロソフト コミュニティ (2017/10/19)
- Windows 10 Creator Update must login twice - Microsoft Community (2017/10/28)
他のユーザーがサインインしている
再起動やシャットダウン時に「このままシャットダウンすると、この PC を使っているユーザーの作業内容が保存されない可能性があります。」や「まだ他のユーザーがこの PC を使っています。このままシャットダウンすると、そのユーザーの作業内容が保存されない可能性があります。」のように表示されることがあります。この「他のユーザー」に心当たりがないならば、セットアップの自動完了の機能によるものかも知れません。
これを無効にするには、設定の[サインイン オプション]の[サインイン情報を使用してデバイスのセットアップを自動的に完了し、更新または再起動後にアプリを再び開くことができるようにします。]をオフにします。Windows 10の更新プログラム適用を自動的に完了する:Tech TIPS - @IT 小林章彦 (2018/11/09)
参考
- Windows 8レボリューション:第5回 ユーザー・アカウントとパーソナル設定 (1/3) - @IT 打越浩幸 (2012/10/18)
- 「取りあえず管理者アカウントで」という思考停止はもうやめよう - @IT 上野宣 (2006/08/30)
- Windows 7で安全なGuestアカウントを作る - @IT 小林章彦 (2010/10/15)