このセキュリティ設定は、ユーザーインターフェイスアクセシビリティ(UIAccessまたはUIA)プログラムが、標準ユーザーが使用している昇格プロンプトに対してセキュリティで保護されたデスクトップを自動的に無効にできるかどうかを制御します。
この設定を有効にすると、Windowsリモートアシスタンスを含むUIAプログラムは、昇格のための保護されたデスクトップを自動的に無効にすることができます。 エレベーションプロンプトも無効にしていない限り、プロンプトはセキュアデスクトップではなく対話ユーザーのデスクトップに表示されます。
この設定を無効にするか、構成しない場合、セキュリティ保護されたデスクトップは、対話型デスクトップのユーザーによって無効にするか、または「ユーザーアカウント制御:昇格を促すときに安全なデスクトップに切り替える」設定を無効にすることによってのみ無効にできます。
UIAプログラムは、ユーザーに代わってWindowsおよびアプリケーションプログラムと対話するように設計されています。 この設定により、UIAプログラムはセキュリティ保護されたデスクトップをバイパスして特定のケースでユーザビリティを向上させることができますが、セキュアデスクトップではなく通常の対話型デスクトップに昇格要求を表示することでセキュリティリスクが高くなります。
UIAプログラムは、UAC昇格のプロンプトなどのセキュリティ問題に関するプロンプトに応答できる必要があるため、UIAプログラムは信頼性が高くなければなりません。 信頼できるとみなされるためには、UIAプログラムにデジタル署名が必要です。 デフォルトでは、UIAプログラムは次の保護されたパスからのみ実行できます。
- .. \ Program Files \(およびサブフォルダ)
- .. \ Program Files(x86)\(および64ビット版Windowsのみのサブフォルダ)
- .. \ Windows \ System32 \
保護されたパスの要件は、「ユーザーアカウント制御:セキュリティで保護された場所にインストールされているUIAccessアプリケーションのみを昇格する」設定によって無効にすることができます。
この設定はすべてのUIAプログラムに適用されますが、主に特定のWindowsリモートアシスタンスのシナリオで使用されます。 Windows VistaのWindowsリモートアシスタンスプログラムは、UIAプログラムです。
ユーザーが管理者からリモートアシスタンスを要求し、リモートアシスタンスセッションが確立されると、対話ユーザーのセキュアデスクトップに昇格プロンプトが表示され、管理者のリモートセッションが一時停止されます。 昇格要求中にリモート管理者のセッションを一時停止しないようにするには、リモートアシスタンスセッションを設定するときに、[ユーザーアカウント制御のプロンプトにITエキスパートが応答する]チェックボックスをオンにします。 ただし、このチェックボックスをオンにすると、対話ユーザーが保護されたデスクトップ上の昇格プロンプトに応答する必要があります。 対話型ユーザーが標準ユーザーの場合、ユーザーは昇格を許可するために必要な信任状を持っていません。
この設定を有効にすると(「ユーザーアカウント制御:UIAccessアプリケーションでセキュリティで保護されたデスクトップを使用せずに高度を求めることができます」)、高度の要求は自動的にインタラクティブデスクトップ(安全なデスクトップではない)に送信され、 Windowsリモートアシスタンスセッション中にデスクトップが表示され、リモート管理者は昇格に適切な資格情報を提供できます。
この設定は、管理者のUAC昇格プロンプトの動作を変更しません。
この設定を有効にする場合は、「ユーザーアカウント制御:標準ユーザーに対する昇格プロンプトの動作」の効果も確認する必要があります。 「昇格要求を自動的に拒否する」として構成されている場合、昇格要求はユーザーに提示されません。
Andy O'Donnell編集:8/25/2016