ユーザー アカウント (User Account)

ユーザー名

Windows 8

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IdentityStore\Cache\GlobalStore\IdentityCache\[ハイフン区切りの英数字] "DisplayName"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IdentityStore\Cache\GlobalStore\IdentityCache\[ハイフン区切りの英数字] "UserName"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "DefaultUserName=MicrosoftAccount\xx"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LastUsedUsername=MicrosoftAccount\xx"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion "RegisteredOwner"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion "RegisteredOwner"

ローカル アカウント

ローカル アカウントを追加するには、[追加するユーザーがメール アドレスを持っていません]をクリックし、さらに[Microsoft アカウントを持たないユーザーを追加する]をクリックします。

ユーザーアカウント制御 (UAC : User Account Control)

UACの有効化

Windows 8

UACが無効になっている状態では管理者権限が必要な操作は無効にされ、何も操作できません。よってその状態では、コントロールパネルの[ユーザーアカウント制御設定の変更]をクリックしても、何も反応しません。つまり無効にされたUACは標準ユーザーでは有効にできず、管理者としてログオンしてから設定を変更する必要があります。

管理者特権での実行

つねにアプリケーションを管理者特権で実行するには、そのアプリケーションの実行ファイルのプロパティを開き、[互換性]タブの[特権レベル]にある「管理者としてこのプログラムを実行する」にチェックを入れます。

この項目がグレーアウトしていて変更できないとしたら、

  1. ユーザーが管理者としてログオンしていない
  2. アプリケーションが、つねに管理者特権で実行できないようになっている
  3. アプリケーションの実行に、管理者特権が不要
  4. アプリケーションが、システムの一部である

のいずれかがその理由です。このうち2~3は諦めるしかありませんが、1の理由ならば管理者としてログオンしてからやり直します。しかしそうしても、設定を変更できないこともあります。その場合には、一時的にUACを無効にしてみます。

ユーザー プロファイル (User Profiles)

ユーザー プロファイルとは、ユーザーごとに保存されるシステムやアプリケーションの設定の集合です。

ユーザー プロファイルの削除

ユーザーの利用状況によっては、このユーザープロファイルが多くのディスク領域を占めることがあります。アカウントは残したいがそのデータは不要ならば、これを削除することで無駄なデータを削減できます。Windows TIPS:不要になったユーザー・プロファイルを削除する - @IT デジタルアドバンテージ (2004/02/07)

ユーザー プロファイルの情報は、[システムのプロパティ]の[詳細設定]タブのユーザー プロファイルにある[設定]をクリックすることで確認できます。

そしてこのウィンドウで対象のプロファイルを選択し、[削除]をクリックすることでこれを削除できます。

アカウント ポリシー (Account policies)

パスワードのポリシー (Password Policy)

  • 複雑さの要件を満たす必要があるパスワード (Password must meet complexity requirements)
  • 暗号化を元に戻せる状態でパスワードを保存する (Store passwords using reversible encryption)
  • パスワードの履歴を記録する (Enforce password history)
  • パスワードの有効期間 (Maximum password age)
  • パスワードの変更禁止期間 (Minimum password age)
  • パスワードの長さ (Minimum password length)
パスワード ポリシー設定を変更する - Windows ヘルプ - Windows 7

これらはローカル セキュリティ ポリシーの【アカウント ポリシー → パスワードのポリシー】、またはNETコマンドで設定を変更できます。

アカウント ロックアウトのポリシー (Account Lockout Policy)

  • ロックアウト期間 (Account lockout duration) … ロックアウトされたアカウントが、自動的にロック解除されるまでのロックアウト時間
  • ロックアウト カウンターのリセット (Reset account lockout counter after) … ログオン失敗後、ログオン失敗のカウンターが0にリセットされるまでに必要な時間
  • アカウントのロックアウトのしきい値 (Account lockout threshold) … ロックアウトされる原因となるログオン失敗回数

これらもパスワードのポリシー同様にNETコマンドで設定できますが、そのことがヘルプで示されていません。[NT]INFO: ドキュメント化されていない「Net Accounts」スイッチ

   
ロックアウト期間 /LOCKOUTDURATION:minutes
ロックアウト カウンターのリセット /LOCKOUTWINDOW:minutes
ロックアウトのしきい値 /LOCKOUTTHRESHOLD:number of failed attempts

たとえばロックアウトのしきい値を5に設定するには、次のようにします。

C:\NET ACCOUNTS /LOCKOUTTHRESHOLD:5

ロックアウトのしきい値を0より大きな値にしたときは、ロックアウト期間はカウンターのリセット以上の値に設定しなければなりません。さもなくばシステムエラー87が発生し、設定に失敗します。

ロックアウトの解除

ロックアウトされると、そのユーザーでは「参照されたアカウントは現在ロックアウトされているため、ログオンできない可能性があります。」としてサインインできません。この場合にはロックアウト期間が経過するのを待つか、ロックアウトされていない管理者権限を持つユーザーでサインインし、これを解除します。

ロックアウトの解除はNETコマンドか、コンピュータの管理の【システム ツール → ローカル ユーザーとグループ → ユーザー】で対象ユーザーのプロパティを表示し、[アカウントのロックアウト]のチェックを外すことで行えます。dynabook.com | サポート情報 | ”参照されたアカウントは現在ロックアウトされているため、ログオンできない可能性があります。”メッセージが表示された場合の対処方法<Windows Vista(R)>

SID (Security Identifier) / セキュリティ識別子

SIDとは、Windowsのユーザアカウントやユーザグループの識別子です。SIDとは 〔 セキュリティ識別子 〕 【 Sercurity IDentifier 】 - 意味/解説/説明/定義 : IT用語辞典

Universal Well Known SID
名前 SID 説明
Everyone S-1-1-0 Windows Server 2003では、認証を受けたユーザーとGuestの総称。それ以前のOSでは、さらに匿名アクセスのユーザーも含む
Creator Owner S-1-3-0 オブジェクトの作成者。アクセス制御エントリ (ACE) は継承可能で、システムによってオブジェクトの現在の所有者に振り替えられる
Creator Group S-1-3-1 オブジェクト作成者のグループ。アクセス制御エントリ (ACE) は継承可能で、システムによってオブジェクトの現在の所有者が所属するプライマリ グループに振り替えられる
Well Known SID
名前 説明
Dialup ダイヤルアップ接続を経由してログオンしたすべてのユーザー
Network ネットワーク経由でログオンしているすべてのユーザー。対話的ログオンを行うユーザー用のアクセス トークンは、このSIDに含まれない
Batch タスク スケジューラでスケジュールされた場合のような、「バッチ キュー」を介してログオンしているユーザー
Interactive ローカルあるいはリモート デスクトップを介して、コンピュータに対話的にログオンしているユーザー
Service サービスとしてシステムにログオンしている、すべてのセキュリティ プリンシパルの集合体を意味するグループ。グループのメンバーは、OSによって管理される
Anonymous Logon ユーザー名とパスワードの情報を送信せず、匿名でネットワーク経由の接続を行っているユーザー
Self (Principal Self) Active Directoryドメインにおける、ユーザー、グループ、コンピュータの3種類のオブジェクトの所有者
Authenticated Users ユーザー名とパスワードの情報を入力して認証を受けた、すべてのユーザー。なおGuestアカウントにパスワードが設定されている場合、そのGuestアカウントは含まれない
Terminal Server Users Terminal Services Ver.4.0のアプリケーション互換モードを使用してログオンしている、すべてのユーザー
This Organization 同じフォレスト、あるいはドメインに所属しているユーザーの総称。「Other Organization」SIDが存在しない場合に、認証サーバによって設定される
Local System OSによって使用されるサービス アカウント
Other Organization ほかのフォレスト、あるいはドメインに所属しているユーザーの総称
ローカル グループSID
名前 説明
Administrators Administrator (管理者) グループ
Users ユーザー グループ
Guests ゲスト グループ
Account Operators アカウント管理者グループ
Server Operators サーバ管理者グループ
Print Operators プリンタ管理者グループ
Backup Operators バックアップ管理者グループ
Replicator 複製管理者グループ
ドメインSID
名前 説明
Administrator ドメインの管理者
Guest ドメインのゲスト アカウント
Domain Admins ドメインの管理者グループ
Domain Users ドメインのユーザー グループ
Domain Guests ドメインのゲスト グループ
@IT:Windows TIPS -- Knowledge:オブジェクトを識別するSIDとは? 井上孝司 (2013/03/25)

SIDの確認

ユーザーのSIDは、whoamiコマンドで確認できます。たとえば現在のユーザーのSIDを確認するには、

c:\>whoami /user

とします。whoamiコマンドでユーザーのSIDや権利を調査する - @IT 打越浩幸 (2010/06/11)

不明なアカウント (Account Unknown)

保護者による制限 (Parental Controls)

特定のユーザーアカウントに、機能制限を設けられます。

  • Webフィルター
  • 時間制限
  • ゲームおよび Windows ストア アプリの制限
  • デスクトップ アプリの制限

また「活動記録レポート」で、利用状況を記録することもできます。

活動レポート (activity reports)

活動レポートのデータはイベントとして記録されており、その詳細はイベントビューアーで確認できます。【アプリケーションとサービス ログ → Microsoft → Windows → ParentalControls → Operational】で表示されるイベントがそれです。

サインイン

自動サインイン

netplwiz (ユーザー アカウント コントロール パネル) で特定のユーザーを選択し、[ユーザーがこのコンピューターを使うには、ユーザー名とパスワードの入力が必要]のチェックを外すことで、パスワードの入力なしにそのユーザーでサインインするようになります。

トラブル対処法

サインイン画面が表示されない

Ctrl + Alt + Delを押してみます。これはnetplwizの[セキュリティで保護されたサインイン (Secure sign-in)]で[ユーザーが必ず Ctrl+Alt+Del キーを押す]が有効にされているためで、これを無効にすることでこの入力も省略できます。Windows 10で常に「Ctrl」+「Alt」+「Delete」キーでサインインする方法 - 121ware.com

セキュリティのために、ユーザーがサインインするときに Ctrl + Alt + Del キーを押すように設定することができます。これにより、認証 Windows サインイン画面が表示され、サインインを装ってパスワード情報を取得するプログラムからシステムを保護することが保証されます。

セキュリティで保護されたサインイン

サインインを2回要求される

Windows 10のFall Creators Update後、サインインをくり返し要求されることがあります。その場合には設定の【アカウント → サインイン オプション】の[更新または再起動の後にサインイン情報を使ってデバイスのセットアップを自動的に完了します。]をオフにすることで、解決できることがあります。

複数の技術系サイトから、まとめて検索