Windows11 / アクセス権とUACについて教えてください。

現在Win11の端末の社内導入を推進する立場です。
当社用にキッティングされ納品されたWin11の端末が複数台あるのですが、これらの端末の挙動がWin10の時と変わっていて腹落ちしないので教えていただきたく。

現在デスクトップにファイルやインストーラーを作成すると
それらのアクセス権は
・SYSTEM
・ログインユーザー
・ローカルAdministratorsグループ
のフルコントロールの権限をもった状態で端末は展開されています。

通常一般ユーザーがソフトをインストールしようと思ったときに
管理者権限がないのでProgram files以下に書き込みができない状態/即ちインストールが出来ない状況ですが、

Win10の環境では
ローカルAdministratorsグループにローカルの管理者権限をもつドメインユーザー、「hogehogedomein@root」さんを登録しておけば
一般ユーザーの画面でインストーラーを別のユーザーを指定して実行で「hogehogedomein@root」で実行とするとUACもスキップし、すんなりソフトインストールが出来ていました。

しかしながらWin11の環境では
ローカルAdministratorsグループにローカルの管理者権限をもつドメインユーザー、「hogehogedomein@root」さんが登録されている環境でも
別のユーザーを指定して実行すると
指定されたデバイス、パス、またはファイルにアクセスできません。これらの項目にアクセスするための適切なアクセス許可がない可能性があります。というメッセージが表示されインストールできません。

試しに

・SYSTEM
・ログインユーザー
・ローカルAdministratorsグループ
→の後に
・hogehoge@root
を明示的に追加して、一般ユーザーの画面でインストーラーを別のユーザーを指定して実行で「hogehogedomein@root」で実行とするとUACはスキップされないものの、ソフトのインストールはできました。

このことからWin11のローカルAdministratorsグループにローカルの管理者権限をもつドメインユーザーを登録するという処理が上手く動いていないような気がするのですが、
これはOSによって挙動が変わるものなのでしょうか？

No.4 回答者： よっしーラボ 回答日時： 2024/10/28 17:47

No3です。

とりあえず、どの程度の知識があるかどうかわからないので、失礼しました。

Administratorsへのアカウント追加は、PowerShellで追加していると思いますので、

それであれば、まずは、
Get-LocalGroupMember -Group "Administrators"

で、アカウントがAdministratorsに正常に追加できているかどうか確認すればいいと思います

もし正常に追加できているのであれば、Windows11でのローカルPCのポリシーが変更されている可能性があると思います

なんのポリシーが変更されているかまでは、把握できてないので、インストール関係か、セキュリティ関連、MicrosoftStoreアプリ関係か、そういう設定だと思います

もし、アカウントが正常に追加されてなければ、AzureADかローカルドメインかで、アカウント設定方法が異なるので、その辺りの設定でしょうか？

この回答へのお礼

power shell たたいているわけではないですが、
コンピューターの管理からローカルAdministratorsグループにローカルの管理者権限をもつドメインユーザー、「hogehogedomein@root」さんが登録されているのを確認しています。無論PS実行した場合も同様です。
Win10の時には特に影響はなかったので、インストールを阻害するようなWin11にしかないようなポリシー・・・なんてあるんですかね；

お礼日時：2024/10/28 19:59

No.3 回答者： よっしーラボ 回答日時： 2024/10/26 21:30

Windows11が、Homeってことはないですよね？もしくは、ドメインに参加してないPCだからではないのでしょうか？

この回答へのお礼

さすがにそれはないです(笑)
ドメイン参加済でキッティングされている端末です。

お礼日時：2024/10/28 13:32

No.2 回答者： angkor_h 回答日時： 2024/10/24 22:58

No.1です。

> 管理者ユーザとは管理者権限（企業管理権限、利用者管理権限）を…
Windowsの操作権限に関するユーザーアカウントは、
管理者アカウント
標準アカウント
の二つしかありません、

> 企業管理権限、利用者管理権限
これは、企業に於いて設けた、運用上の権限名だと思います。

> ではActiveDirectoryってなんのためにあるんでしょうか
調べてみたら、以下でした。
「Windowsサーバーに搭載されるディレクトリサービスです。」
PC端末の「一般ユーザー」には、関係ないようです。

この回答へのお礼

いやすいません。No1さんもう回答大丈夫ですよ。
極々一般的に企業ユースで利用するAD環境のWindows端末において質問しているのであって、アカウントの種類の正式名称を確認したいわけでも普通の運用業務をしている人であれば、管理者ユーザー/一般ユーザーを通称として理解できますって・・・。私が正式名称を言えずに、No1さんが正式名称をしっていることは十分にわかりましたから、他の回答者さんからの質問に対する答えをいただきたいです。ご協力よろしくお願いします。ご返信不要です。

お礼日時：2024/10/25 09:51

No.1 回答者： angkor_h 回答日時： 2024/10/24 17:11

一般的に、企業における社員のPC利用は、

利用する社員自らが管理者権限の個別ユーザー名で利用しています。
なので、ユーザー権限と言う問題は生じることがありません。
「一般ユーザー」というのも意味不明です。
御社の使い方が特別なんだと思います。

この回答へのお礼

利用する社員自らが管理者権限の個別ユーザー名で利用しています。
>初耳です・・・ではActiveDirectoryってなんのためにあるんでしょうか・・・。
正確にいうとOS上では標準ユーザーというようですが、意味合い的には以下の通りです。意味不明であることはないと思いますが…
管理者ユーザとは管理者権限（企業管理権限、利用者管理権限）を持つユーザのことです。 一般ユーザとは管理者権限（企業管理権限、利用者管理権限）を持たないユーザのことです。 マスターユーザまたは管理者ユーザにより設定された権限の範囲内で、操作を行うことができます。

お礼日時：2024/10/24 21:17