EventLog Analyzer ナレッジベース

リモートUACの無効化


【現象/要望】
Windows Server 2008以降のWMIによるログ取得で、認証情報としてAdministratorグループに属するローカルユーザを作成したが、認証テストに失敗し、WMIを使用したログ取得ができない。

【原因】
Windows Server 2008以降の場合、UACの機能によって、管理者権限を持つローカルユーザー(ビルトインAdministratorユーザーは除く)に対して権限が制限されます。Windows Server 2008以降で認証情報として管理者権限を持つローカルユーザーで実行しても、管理者権限ではなく、一般ユーザーの権限で接続されてしまい、アクセス拒否が発生しログ取得が行えない場合があります。

表.リモートUAC比較

ユーザー LocalAccountTokenFilterPolicy を 0(リモートUAC有効) LocalAccountTokenFilterPolicy を 1(リモートUAC無効)
※デフォルト
ビルトイン administrator ログ取得可能 ログ取得可能
追加管理者アカウント ログ取得不可 ログ取得可能

【解決方法】
回避するには、UACを有効にしている場合、以下のいずれかの設定を実施します。

1. 認証に使用するユーザーにビルトインAdministratorユーザーを使用する
2. コマンドプロンプトを管理者権限で起動
3. 以下のコマンドを実行し、UACのリモート接続を許可するようにレジストリの値を更新する

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

表. リモート UAC 無効化のレジストリ値

項目
場所 HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Policies¥System
名前 LocalAccountTokenFilterPolicy
種類 DWORD
1

*許可したUACのリモート接続を解除する場合は、次のコマンドを実行してください。

reg delete HKLM\SOFTWARE\Microsoft\Windows\Current\Version\Policies\System /v LocalAccountTokenFilterPolicy /f

尚、UACを無効にしている場合は、認証情報にAdministratorsグループのユーザを使用してください。