ユーザー アカウント (User Account)

アカウントの種類

  • ローカルアカウント
  • Microsoftアカウント
    • 家族アカウント
  • Active Directoryアカウント
  • Azure ADアカウント
Windows 10で利用できるアカウントの種類と管理方法:Windows 10 The Latest(1/4 ページ) - @IT 打越浩幸 (2015/09/17)

ローカル アカウント

ローカル アカウントを追加するには、[追加するユーザーがメール アドレスを持っていません]をクリックし、さらに[Microsoft アカウントを持たないユーザーを追加する]をクリックします。アカウントをセットアップする - Windows ヘルプ

セキュリティの質問 (security questions)

アカウントの作成時にセキュリティの質問の回答を設定しないようにするには、アカウントの作成時にパスワードを設定しないようにします。そして後からパスワードだけを設定します。Windows10 で「セキュリティの質問」を回避する – 分析室の屋根裏

権限

  • 標準アカウント (Standard accounts)
  • 管理者アカウント (Administrator accounts)
  • Guestアカウント (Guest accounts) … Windows 10で廃止
ユーザー アカウントとは - Microsoft Windows ヘルプ

ユーザー名

Windows 8

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IdentityStore\Cache\GlobalStore\IdentityCache\[ハイフン区切りの英数字] "DisplayName"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IdentityStore\Cache\GlobalStore\IdentityCache\[ハイフン区切りの英数字] "UserName"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "DefaultUserName=MicrosoftAccount\xx"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LastUsedUsername=MicrosoftAccount\xx"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion "RegisteredOwner"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion "RegisteredOwner"

ユーザーアカウント制御 (UAC : User Account Control)

UACの有効化

Windows 8

UACが無効になっている状態では管理者権限が必要な操作は無効にされ、何も操作できません。よってその状態では、コントロールパネルの[ユーザーアカウント制御設定の変更]をクリックしても、何も反応しません。つまり無効にされたUACは標準ユーザーでは有効にできず、管理者としてログオンしてから設定を変更する必要があります。

管理者特権での実行

つねにアプリケーションを管理者特権で実行するには、そのアプリケーションの実行ファイルのプロパティを開き、[互換性]タブの[特権レベル]にある「管理者としてこのプログラムを実行する」にチェックを入れます。

この項目がグレーアウトしていて変更できないとしたら、

  1. ユーザーが管理者としてログオンしていない
  2. アプリケーションが、つねに管理者特権で実行できないようになっている
  3. アプリケーションの実行に、管理者特権が不要
  4. アプリケーションが、システムの一部である

のいずれかがその理由です。このうち2~3は諦めるしかありませんが、1の理由ならば管理者としてログオンしてからやり直します。しかしそうしても、設定を変更できないこともあります。その場合には、一時的にUACを無効にしてみます。

ユーザー プロファイル (User Profiles)

ユーザー プロファイルとは、ユーザーごとに保存されるシステムやアプリケーションの設定の集合です。

ユーザー プロファイルの削除

ユーザーの利用状況によっては、このユーザープロファイルが多くのディスク領域を占めることがあります。アカウントは残したいがそのデータは不要ならば、これを削除することで無駄なデータを削減できます。Windows TIPS:不要になったユーザー・プロファイルを削除する - @IT デジタルアドバンテージ (2004/02/07)

ユーザー プロファイルの情報は、[システムのプロパティ]の[詳細設定]タブのユーザー プロファイルにある[設定]をクリックすることで確認できます。

そしてこのウィンドウで対象のプロファイルを選択し、[削除]をクリックすることでこれを削除できます。

アカウント ポリシー (Account policies)

パスワードのポリシー (Password Policy)

  • 複雑さの要件を満たす必要があるパスワード (Password must meet complexity requirements)
  • 暗号化を元に戻せる状態でパスワードを保存する (Store passwords using reversible encryption)
  • パスワードの履歴を記録する (Enforce password history)
  • パスワードの有効期間 (Maximum password age)
  • パスワードの変更禁止期間 (Minimum password age)
  • パスワードの長さ (Minimum password length)
パスワード ポリシー設定を変更する - Windows ヘルプ - Windows 7

これらはローカル セキュリティ ポリシーの【アカウント ポリシー → パスワードのポリシー】、またはNETコマンドで設定を変更できます。

アカウント ロックアウトのポリシー (Account Lockout Policy)

  • ロックアウト期間 (Account lockout duration) … ロックアウトされたアカウントが、自動的にロック解除されるまでのロックアウト時間
  • ロックアウト カウンターのリセット (Reset account lockout counter after) … ログオン失敗後、ログオン失敗のカウンターが0にリセットされるまでに必要な時間
  • アカウントのロックアウトのしきい値 (Account lockout threshold) … ロックアウトされる原因となるログオン失敗回数

これらもパスワードのポリシー同様にNETコマンドで設定できますが、そのことがヘルプで示されていません。[NT]INFO: ドキュメント化されていない「Net Accounts」スイッチ

   
ロックアウト期間 /LOCKOUTDURATION:minutes
ロックアウト カウンターのリセット /LOCKOUTWINDOW:minutes
ロックアウトのしきい値 /LOCKOUTTHRESHOLD:number of failed attempts

たとえばロックアウトのしきい値を5に設定するには、次のようにします。

C:\NET ACCOUNTS /LOCKOUTTHRESHOLD:5

ロックアウトのしきい値を0より大きな値にしたときは、ロックアウト期間はカウンターのリセット以上の値に設定しなければなりません。さもなくばシステムエラー87が発生し、設定に失敗します。

ロックアウトの解除

ロックアウトされると、そのユーザーでは「参照されたアカウントは現在ロックアウトされているため、ログオンできない可能性があります。」としてサインインできません。この場合にはロックアウト期間が経過するのを待つか、ロックアウトされていない管理者権限を持つユーザーでサインインし、これを解除します。

ロックアウトの解除はNETコマンドか、コンピュータの管理の【システム ツール → ローカル ユーザーとグループ → ユーザー】で対象ユーザーのプロパティを表示し、[アカウントのロックアウト]のチェックを外すことで行えます。dynabook.com | サポート情報 | ”参照されたアカウントは現在ロックアウトされているため、ログオンできない可能性があります。”メッセージが表示された場合の対処方法<Windows Vista(R)>

SID (Security Identifier) / セキュリティ識別子

SIDとは、Windowsのユーザアカウントやユーザグループの識別子です。SIDとは 〔 セキュリティ識別子 〕 【 Sercurity IDentifier 】 - 意味/解説/説明/定義 : IT用語辞典

Universal Well Known SID
名前 SID 説明
Everyone S-1-1-0 Windows Server 2003では、認証を受けたユーザーとGuestの総称。それ以前のOSでは、さらに匿名アクセスのユーザーも含む
Creator Owner S-1-3-0 オブジェクトの作成者。アクセス制御エントリ (ACE) は継承可能で、システムによってオブジェクトの現在の所有者に振り替えられる
Creator Group S-1-3-1 オブジェクト作成者のグループ。アクセス制御エントリ (ACE) は継承可能で、システムによってオブジェクトの現在の所有者が所属するプライマリ グループに振り替えられる
Well Known SID
名前 説明
Dialup ダイヤルアップ接続を経由してログオンしたすべてのユーザー
Network ネットワーク経由でログオンしているすべてのユーザー。対話的ログオンを行うユーザー用のアクセス トークンは、このSIDに含まれない
Batch タスク スケジューラでスケジュールされた場合のような、「バッチ キュー」を介してログオンしているユーザー
Interactive ローカルあるいはリモート デスクトップを介して、コンピュータに対話的にログオンしているユーザー
Service サービスとしてシステムにログオンしている、すべてのセキュリティ プリンシパルの集合体を意味するグループ。グループのメンバーは、OSによって管理される
Anonymous Logon ユーザー名とパスワードの情報を送信せず、匿名でネットワーク経由の接続を行っているユーザー
Self (Principal Self) Active Directoryドメインにおける、ユーザー、グループ、コンピュータの3種類のオブジェクトの所有者
Authenticated Users ユーザー名とパスワードの情報を入力して認証を受けた、すべてのユーザー。なおGuestアカウントにパスワードが設定されている場合、そのGuestアカウントは含まれない
Terminal Server Users Terminal Services Ver.4.0のアプリケーション互換モードを使用してログオンしている、すべてのユーザー
This Organization 同じフォレスト、あるいはドメインに所属しているユーザーの総称。「Other Organization」SIDが存在しない場合に、認証サーバによって設定される
Local System OSによって使用されるサービス アカウント
Other Organization ほかのフォレスト、あるいはドメインに所属しているユーザーの総称
ローカル グループSID
名前 説明
Administrators Administrator (管理者) グループ
Users ユーザー グループ
Guests ゲスト グループ
Account Operators アカウント管理者グループ
Server Operators サーバ管理者グループ
Print Operators プリンタ管理者グループ
Backup Operators バックアップ管理者グループ
Replicator 複製管理者グループ
ドメインSID
名前 説明
Administrator ドメインの管理者
Guest ドメインのゲスト アカウント
Domain Admins ドメインの管理者グループ
Domain Users ドメインのユーザー グループ
Domain Guests ドメインのゲスト グループ
@IT:Windows TIPS -- Knowledge:オブジェクトを識別するSIDとは? 井上孝司 (2013/03/25)

SIDの確認

ユーザーのSIDは、whoamiコマンドで確認できます。たとえば現在のユーザーのSIDを確認するには、

c:\>whoami /user

とします。whoamiコマンドでユーザーのSIDや権利を調査する - @IT 打越浩幸 (2010/06/11)

不明なアカウント (Account Unknown)

保護者による制限 (Parental Controls)

特定のユーザーアカウントに、機能制限を設けられます。

  • Webフィルター
  • 時間制限
  • ゲームおよび Windows ストア アプリの制限
  • デスクトップ アプリの制限

また「活動記録レポート」で、利用状況を記録することもできます。

活動レポート (activity reports)

活動レポートのデータはイベントとして記録されており、その詳細はイベントビューアーで確認できます。【アプリケーションとサービス ログ → Microsoft → Windows → ParentalControls → Operational】で表示されるイベントがそれです。

サインイン

自動サインイン

netplwiz (ユーザー アカウント コントロール パネル) で特定のユーザーを選択し、[ユーザーがこのコンピューターを使うには、ユーザー名とパスワードの入力が必要]のチェックを外すことで、パスワードの入力なしにそのユーザーでサインインするようになります。

Windows Hello

生体認証 (指紋認証、顔認証、虹彩認証)

トラブル対処法

サインイン画面が表示されない

Ctrl + Alt + Delを押してみます。これはnetplwiz (ユーザー アカウント コントロール パネル) の[セキュリティで保護されたサインイン (Secure sign-in)]で[ユーザーが必ず Ctrl+Alt+Del キーを押す]が有効にされているためで、これを無効にすることでこの入力も省略できます。Windows 10で常に「Ctrl」+「Alt」+「Delete」キーでサインインする方法 - NEC LAVIE公式サイト

セキュリティのために、ユーザーがサインインするときに Ctrl + Alt + Del キーを押すように設定することができます。これにより、認証 Windows サインイン画面が表示され、サインインを装ってパスワード情報を取得するプログラムからシステムを保護することが保証されます。

セキュリティで保護されたサインイン

サインインを2回要求される

Windows 10 Fall Creators Update以降、サインインをくり返し要求されることがあります。その場合には設定の【アカウント → サインイン オプション】の[更新または再起動の後にサインイン情報を使ってデバイスのセットアップを自動的に完了します。]をオフにすることで、解決できることがあります。

他のユーザーがサインインしている

再起動やシャットダウン時に「このままシャットダウンすると、この PC を使っているユーザーの作業内容が保存されない可能性があります。」や「まだ他のユーザーがこの PC を使っています。このままシャットダウンすると、そのユーザーの作業内容が保存されない可能性があります。」のように表示されることがあります。この「他のユーザー」に心当たりがないならば、セットアップの自動完了の機能によるものかも知れません。

これを無効にするには、設定の[サインイン オプション]の[サインイン情報を使用してデバイスのセットアップを自動的に完了し、更新または再起動後にアプリを再び開くことができるようにします。]をオフにします。Windows 10の更新プログラム適用を自動的に完了する:Tech TIPS - @IT 小林章彦 (2018/11/09)

複数の技術系サイトから、まとめて検索