ユーザー アカウント (User Account)

アカウントの種類

  • ローカルアカウント
  • Microsoftアカウント (Microsoft account / MSA)
    • 家族アカウント
  • Active Directoryアカウント
  • Azure ADアカウント
Windows 10で利用できるアカウントの種類と管理方法:Windows 10 The Latest(1/4 ページ) - @IT 打越浩幸 (2015/09/17)

ローカル アカウント (Local Accounts)

Windows 11でのアカウントの作成

Windows 11ではMicrosoftアカウントを使用することを要求されますが、Pro版ならば初期設定ウィザードの[このデバイスをどのように設定しますか?]で

  • 職場または学校用に設定する (Set up for work or school) では、Microsoftアカウントを入力せずに[サインイン オプション]から[代わりにドメインに参加する]
  • 個人用に設定 (Set up for personal use) では、[オフラインアカウント] 選択肢から削除されているため、「職場または学校用に設定する」からアカウントを作成する

を選択することで、ローカル アカウントを作成できます。【Windows 11】サインインアカウントとしてローカルアカウントが設定できない?:Tech TIPS - @IT 小林章彦 (2022/03/03)

Home版ではこの方法を用いられないため、とりあえずMicrosoftアカウントでサインインしてから、設定の[ローカル アカウントでのサインインに切り替える]からローカル アカウントに変更します。

Microsoftアカウントからの変更

設定の【アカウント → ユーザーの情報】を開き、[アカウントの設定]の[ローカル アカウントでのサインインに切り替える]から、ローカル アカウントに変更できます。Microsoftアカウントからローカルアカウントに変更する方法 - NEC LAVIE公式サイト

Microsoftのツールにサインインしていると、[アカウントの設定]が[すべての Microsoft アプリへのログインを自動的に停止]の表記になることがあります。この場合はこれをクリックすると、ローカル アカウントに変更できます。

Microsoftアカウントの削除

設定の【アカウント → メールとアカウント】で登録されているMicrosoftアカウントを一覧でき、個別にWindowsへの登録を削除できます。

アカウントの追加

Windows 11

Windows 11でローカル アカウントを追加するには、【他のユーザー】で[アカウントの追加]を選択し、[このユーザーのサインイン情報がありません]から[Microsoft アカウントを持たないユーザーを追加する]と進みます。

Windows 10

Windows 10でローカル アカウントを追加するには、【家族とその他のユーザー → その他のユーザーをこの PC に追加】で[追加するユーザーがメール アドレスを持っていません]をクリックし、さらに[Microsoft アカウントを持たないユーザーを追加する]をクリックします。 アカウントをセットアップする - Windows ヘルプ [Windows 10] 新規でユーザーアカウントを作成する方法 | Sony JP

セキュリティの質問 (security questions)

アカウントの作成時にセキュリティの質問の回答を設定しないようにするには、アカウントの作成時にパスワードを設定しないようにします。そして後からパスワードだけを設定します。Windows10 で「セキュリティの質問」を回避する – 分析室の屋根裏

権限

  • 標準アカウント (Standard accounts)
  • 管理者アカウント (Administrator accounts)
  • Guestアカウント (Guest accounts) … Windows 10で廃止
ユーザー アカウントとは - Microsoft Windows ヘルプ

アカウントの権限は、管理者のアカウントで変更できます。Windows 11でユーザーアカウントの種類(管理者/標準ユーザー)を変更する方法 - Q&A

アカウント名 (ユーザー名)

ローカル アカウントのアカウント名、コントロールパネルの[アカウント名の変更]から変更できます。【Windows 10】現在使用しているユーザーアカウント名を変更する方法:Tech TIPS - @IT 小林章彦 (2022/08/29)

Windows 8

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IdentityStore\Cache\GlobalStore\IdentityCache\[ハイフン区切りの英数字] "DisplayName"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IdentityStore\Cache\GlobalStore\IdentityCache\[ハイフン区切りの英数字] "UserName"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "DefaultUserName=MicrosoftAccount\xx"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LastUsedUsername=MicrosoftAccount\xx"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion "RegisteredOwner"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion "RegisteredOwner"

ユーザーアカウント制御 (UAC : User Account Control)

UACの有効化

Windows 8

UACが無効になっている状態では管理者権限が必要な操作は無効にされ、何も操作できません。よってその状態では、コントロールパネルの[ユーザーアカウント制御設定の変更]をクリックしても、何も反応しません。つまり無効にされたUACは標準ユーザーでは有効にできず、管理者としてログオンしてから設定を変更する必要があります。

管理者特権での実行

つねにアプリケーションを管理者特権で実行するには、そのアプリケーションの実行ファイルのプロパティを開き、[互換性]タブの[特権レベル]にある「管理者としてこのプログラムを実行する」にチェックを入れます。

この項目がグレーアウトしていて変更できないとしたら、

  1. ユーザーが管理者としてログオンしていない
  2. アプリケーションが、つねに管理者特権で実行できないようになっている
  3. アプリケーションの実行に、管理者特権が不要
  4. アプリケーションが、システムの一部である

のいずれかがその理由です。このうち2~3は諦めるしかありませんが、1の理由ならば管理者としてログオンしてからやり直します。しかしそうしても、設定を変更できないこともあります。その場合には、一時的にUACを無効にしてみます。

仮想ストア (VirtualStore)

仮想ストアとは、UACにより禁止されている領域へ書き込まれようとしたときにリダイレクトされる、ユーザー固有の領域です。ファイルとレジストリの仮想化を理解する:サクッとおいしいVistaチップス 8枚め - ITmedia PC USER 織田薫 (2007/05/15)

  • ファイル … %LOCALAPPDATA%\VirtualStore
  • レジストリ … HKEY_CURRENT_USER\Software\Classes\VirtualStore

参考

ユーザー プロファイル (User Profiles)

ユーザー プロファイルとは、ユーザーごとに保存されるシステムやアプリケーションの設定の集合です。

ユーザー プロファイルの削除

ユーザーの利用状況によっては、このユーザープロファイルが多くのディスク領域を占めることがあります。アカウントは残したいがそのデータは不要ならば、これを削除することで無駄なデータを削減できます。Windows TIPS:不要になったユーザー・プロファイルを削除する - @IT デジタルアドバンテージ (2004/02/07)

ユーザー プロファイルの情報は、[システムのプロパティ]の[詳細設定]タブのユーザー プロファイルにある[設定]をクリックすることで確認できます。

そしてこのウィンドウで対象のプロファイルを選択し、[削除]をクリックすることでこれを削除できます。

参考

アカウント ポリシー (Account policies)

パスワードのポリシー (Password Policy)

  • 複雑さの要件を満たす必要があるパスワード (Password must meet complexity requirements)
  • 暗号化を元に戻せる状態でパスワードを保存する (Store passwords using reversible encryption)
  • パスワードの履歴を記録する (Enforce password history)
  • パスワードの有効期間 (Maximum password age)
  • パスワードの変更禁止期間 (Minimum password age)
  • パスワードの長さ (Minimum password length)
パスワード ポリシー設定を変更する - Windows ヘルプ - Windows 7

これらはローカル セキュリティ ポリシーの【アカウント ポリシー → パスワードのポリシー】、またはNETコマンドで設定を変更できます。

アカウント ロックアウトのポリシー (Account Lockout Policy)

  • ロックアウト期間 (Account lockout duration) … ロックアウトされたアカウントが、自動的にロック解除されるまでのロックアウト時間
  • ロックアウト カウンターのリセット (Reset account lockout counter after) … ログオン失敗後、ログオン失敗のカウンターが0にリセットされるまでに必要な時間
  • アカウントのロックアウトのしきい値 (Account lockout threshold) … ロックアウトされる原因となるログオン失敗回数

これらもパスワードのポリシー同様にNETコマンドで設定できますが、そのことがヘルプで示されていません。[NT]INFO: ドキュメント化されていない「Net Accounts」スイッチ

   
ロックアウト期間 /LOCKOUTDURATION:minutes
ロックアウト カウンターのリセット ※1 /LOCKOUTWINDOW:minutes
ロックアウトのしきい値 /LOCKOUTTHRESHOLD:number of failed attempts

※1 ロックアウト監視ウィンドウ (Lockout observation window) と表記されることもある

たとえばロックアウトのしきい値を5に設定するには、次のようにします。

C:\NET ACCOUNTS /LOCKOUTTHRESHOLD:5

ロックアウトのしきい値を0より大きな値にしたときは、ロックアウト期間はカウンターのリセット以上の値に設定しなければなりません。さもなくばシステムエラー87が発生し、設定に失敗します。

ロックアウトの解除

ロックアウトされると、そのユーザーでは「参照されたアカウントは現在ロックアウトされているため、ログオンできない可能性があります。」としてサインインできません。この場合にはロックアウト期間が経過するのを待つか、ロックアウトされていない管理者権限を持つユーザーでサインインし、これを解除します。

ロックアウトの解除はNETコマンドか、コンピュータの管理の【システム ツール → ローカル ユーザーとグループ → ユーザー】で対象ユーザーのプロパティを表示し、[アカウントのロックアウト]のチェックを外すことで行えます。dynabook.com | サポート情報 | ”参照されたアカウントは現在ロックアウトされているため、ログオンできない可能性があります。”メッセージが表示された場合の対処方法<Windows Vista(R)>

参考

参考

SID (Security Identifier) / セキュリティ識別子

SIDとは、Windowsのユーザアカウントやユーザグループの識別子です。SIDとは 〔 セキュリティ識別子 〕 【 Sercurity IDentifier 】 - IT用語辞典 e-Words

Universal Well Known SID
名前 SID 説明
Everyone S-1-1-0 Windows Server 2003では、認証を受けたユーザーとGuestの総称。それ以前のOSでは、さらに匿名アクセスのユーザーも含む
Creator Owner S-1-3-0 オブジェクトの作成者。アクセス制御エントリ (ACE) は継承可能で、システムによってオブジェクトの現在の所有者に振り替えられる
Creator Group S-1-3-1 オブジェクト作成者のグループ。アクセス制御エントリ (ACE) は継承可能で、システムによってオブジェクトの現在の所有者が所属するプライマリ グループに振り替えられる
Well Known SID
名前 SID 説明
Dialup S-1-5-1 ダイヤルアップ接続を経由してログオンしたすべてのユーザー
Network S-1-5-2 ネットワーク経由でログオンしているすべてのユーザー。対話的ログオンを行うユーザー用のアクセス トークンは、このSIDに含まれない
Batch S-1-5-3 タスク スケジューラでスケジュールされた場合のような、「バッチ キュー」を介してログオンしているユーザー
Interactive S-1-5-4 ローカルあるいはリモート デスクトップを介して、コンピュータに対話的にログオンしているユーザー
Service S-1-5-6 サービスとしてシステムにログオンしている、すべてのセキュリティ プリンシパルの集合体を意味するグループ。グループのメンバーは、OSによって管理される
Anonymous Logon S-1-5-7 ユーザー名とパスワードの情報を送信せず、匿名でネットワーク経由の接続を行っているユーザー
Self (Principal Self) S-1-5-10 Active Directoryドメインにおける、ユーザー、グループ、コンピュータの3種類のオブジェクトの所有者
Authenticated Users S-1-5-11 ユーザー名とパスワードの情報を入力して認証を受けた、すべてのユーザー。なおGuestアカウントにパスワードが設定されている場合、そのGuestアカウントは含まれない "Users" と "Authenticated Users" の違いは?
Terminal Server Users S-1-5-13 Terminal Services Ver.4.0のアプリケーション互換モードを使用してログオンしている、すべてのユーザー
This Organization S-1-5-15 同じフォレスト、あるいはドメインに所属しているユーザーの総称。「Other Organization」SIDが存在しない場合に、認証サーバによって設定される
LocalSystem S-1-5-18 OSによって使用されるサービス アカウント
LocalService S-1-5-19  
NetworkService S-1-5-20  
Domain S-1-5-21 ドメインに固有なアカウント用SID
Other Organization S-1-5-1000 ほかのフォレスト、あるいはドメインに所属しているユーザーの総称
ローカル グループSID
名前 SID 説明
Administrators S-1-5-32-544 Administrator (管理者) グループ
Users S-1-5-32-545 ユーザー グループ
Guests S-1-5-32-546 ゲスト グループ
Account Operators S-1-5-32-548 アカウント管理者グループ
Server Operators S-1-5-32-549 サーバ管理者グループ
Print Operators S-1-5-32-550 プリンタ管理者グループ
Backup Operators S-1-5-32-551 バックアップ管理者グループ
Replicator S-1-5-32-552 複製管理者グループ
ドメインSID
名前 SID 説明
Administrator S-1-5-21-***-500 ドメインの管理者
Guest S-1-5-21-***-501 ドメインのゲスト アカウント
Domain Admins S-1-5-21-***-512 ドメインの管理者グループ
Domain Users S-1-5-21-***-513 ドメインのユーザー グループ
Domain Guests S-1-5-21-***-514 ドメインのゲスト グループ
  S-1-5-21-***-1000以降 ドメインの管理者が定義した、ユーザーアカウントまたはユーザーグループ
@IT:Windows TIPS -- Knowledge:オブジェクトを識別するSIDとは? 井上孝司 (2013/03/25) 特殊な ID グループ | Microsoft Learn

S-1-5-21-<Domain ID>-<RID>の書式 Domain SIDs - Security Identifier -

SIDの確認

ユーザーのSIDは、whoamiコマンドで確認できます。たとえば現在のユーザーのSIDを確認するには、

c:\>whoami /user

とします。whoamiコマンドでユーザーのSIDや権利を調査する - @IT 打越浩幸 (2010/06/11)

不明なアカウント (Account Unknown)

保護者による制限 (Parental Controls)

特定のユーザーアカウントに、機能制限を設けられます。

  • Webフィルター
  • 時間制限
  • ゲームおよび Windows ストア アプリの制限
  • デスクトップ アプリの制限

また「活動記録レポート」で、利用状況を記録することもできます。

活動レポート (activity reports)

活動レポートのデータはイベントとして記録されており、その詳細はイベントビューアーで確認できます。【アプリケーションとサービス ログ → Microsoft → Windows → ParentalControls → Operational】で表示されるイベントがそれです。

参考

参考

サインイン

自動サインイン

netplwiz (ユーザー アカウント コントロール パネル) で特定のユーザーを選択し、[ユーザーがこのコンピューターを使うには、ユーザー名とパスワードの入力が必要]のチェックを外すことで、パスワードの入力なしにそのユーザーでサインインするようになります。

ローカルアカウントでは、この[ユーザーがこのコンピューターを使うには…]のチェックボックスは表示されず、サインインのパスワードを削除することで自動サインインするようにできます。 起動時のパスワード入力を省略したい(文書番号:a50001) | 日本HP LIVEサポートナビ Windows 11で自動サインインの設定/解除ができない場合の対処方法 - NEC LAVIE公式サイト

Windows Hello

生体認証 (指紋認証、顔認証、虹彩認証)

トラブル対処法

サインイン画面が表示されない

Ctrl + Alt + Delを押してみます。これはnetplwiz (ユーザー アカウント コントロール パネル) の[セキュリティで保護されたサインイン (Secure sign-in)]で[ユーザーが必ず Ctrl+Alt+Del キーを押す]が有効にされているためで、これを無効にすることでこの入力も省略できます。Windows 10で常に「Ctrl」+「Alt」+「Delete」キーでサインインする方法 - NEC LAVIE公式サイト

セキュリティのために、ユーザーがサインインするときに Ctrl + Alt + Del キーを押すように設定することができます。これにより、認証 Windows サインイン画面が表示され、サインインを装ってパスワード情報を取得するプログラムからシステムを保護することが保証されます。

セキュリティで保護されたサインイン

これは元々はWindows Server向けの機能で、Secure Attention Sequence (SAS : セキュアアテンションシーケンス) と呼ばれます。【IT雑学】Ctrl-Alt-Delって何?:仕事と生活と私――ITエンジニアの人生:オルタナティブ・ブログ 横山哲也 (2022/12/24)

サインインを2回要求される

Windows 10 Fall Creators Update以降、サインインをくり返し要求されることがあります。その場合には設定の【アカウント → サインイン オプション】の[更新または再起動の後にサインイン情報を使ってデバイスのセットアップを自動的に完了します。]をオフにすることで、解決できることがあります。

他のユーザーがサインインしている

再起動やシャットダウン時に「このままシャットダウンすると、この PC を使っているユーザーの作業内容が保存されない可能性があります。」や「まだ他のユーザーがこの PC を使っています。このままシャットダウンすると、そのユーザーの作業内容が保存されない可能性があります。」のように表示されることがあります。この「他のユーザー」に心当たりがないならば、セットアップの自動完了の機能によるものかも知れません。

これを無効にするには、設定の[サインイン オプション]の[サインイン情報を使用してデバイスのセットアップを自動的に完了し、更新または再起動後にアプリを再び開くことができるようにします。]をオフにします。Windows 10の更新プログラム適用を自動的に完了する:Tech TIPS - @IT 小林章彦 (2018/11/09)

参考

ファイルのパーミッション