このブログでは、ソフトウェアのインストールなどといった、単純な管理者権限を一時的にユーザーに付与する方法について説明したいと思います。ユーザーが一時的に管理者権限を使えることで、IT関連の停滞を防ぐことができます。
IT部門とエンドユーザーとの間でよく起こるやっかいなもめ事に、管理者特権の使用があります。エンドユーザーは、自分の個人用デバイスではこの権限が使えるのでソフトウェアのインストールなどの管理者権限が必要な機能を簡単に実行できます。ソフトウェアをインストールするためのセルフサービスを持たない多くの組織では、ソフトウェアをインストールするときIT部門に依頼する必要があり、煩わしいと感じたり、ちょっとした衝突が起きたりすることがあります。
企業ネットワークの場合、大勢のユーザーが利用するため、フィッシングやマルウェアの被害を受ける可能性が格段に高くなるので、Windows をエンドユーザーが常に管理者権限で管理するのはセキュリティ上問題があります。ですが、ソフトウェアのインストールなどといった、単純な管理者権限を一時的にユーザーが持つことは問題なさそうです。Make Me Admin アプリケーションを利用すると、それが可能になります。Make Me Admin は、管理者ではない Windows ユーザーに一時的に管理者権限を付与し、期間が終了したらその権限を削除します。
Makemeadmin のインストール
Make Me Admin のインストーラーは、Make Me Admin の Webサイトから、または Chocolatey を使用してダウンロードできます。私は Chocolatey の提唱者なので、Chocolatey を使ってダウンロードする方法を示します。
PS C:\> choco install makemeadmin -y
Chocolatey v0.10.15 Business
2 validations performed. 1 success(es), 1 warning(s), and 0 error(s).
Installing the following packages:
makemeadmin
By installing you accept licenses for the packages.
Progress: Downloading makemeadmin 2.3... 100%
makemeadmin v2.3
makemeadmin package files install completed. Performing other installation steps.
Installing 64-bit MakeMeAdmin 2.3.0 x64.msi...
MakeMeAdmin 2.3.0 x64.msi has been installed.
makemeadmin may be able to be automatically uninstalled.
The install of makemeadmin was successful.
Software install location not explicitly set, could be in package or
default install location if installer.
Chocolatey installed 1/1 packages.
See the log for details (C:\ProgramData\chocolatey\logs\chocolatey.log).
この時点で、Windows で “make me admin” を検索すると、見つかります
Make me Admin をオープンするとウィンドウが表示され、ユーザーが管理者でない場合は、”Grand Me Administrator Rights” (管理者権限を付与) を選択できます
Make Me Admin の設定
Make Me Admin を使用するための前提条件の1つは、アプリケーションを機能させるには、Windows でUAC(ユーザーアカウント制御)を少なくとも部分的に有効にする必要があることです。
Make Me Admin 設定をコントロールするために、インストールには使用可能なグループポリシーテンプレートが付属しています。たとえば、管理者権限を削除するまでの制限時間のデフォルトは10分ですが、これは “Admin Rights Timeout” 設定で変更できます。
アカウントの SID のリストを作成して、どのグループに管理者権限が許可されているかいないか、どのグループに管理者権限を付与できるかできないかを設定することもできます。また、ログが syslog サーバーに送信されるようにする syslog 設定も可能です。
Make Me Admin のサービスが停止すると、現在付与されている管理者権限はすべて削除されるようですが、これは優れた機能です。
テスト
テストとして、私のユーザーアカウントに管理者権限を付与してみました。管理者として cmd を開くなど、UAC(User Account Control、ユーザーアカウント制御)のプロンプトが出るものをダブルクリックすると、資格情報の入力を求められますが、これは正常な状態です
ログイン資格情報を入力すると、プロセスが実行され、Make Me Admin アプリケーションが機能したことが確認できました。これを検証するには、PowerShell のローカル管理者グループを見るとわかりますが、Make Me Admin アプリケーションもこの変更をイベントログに書き込みます。
PS C:\> Get-LocalGroupMember -Group Administrators -Member DOMAIN\dfrancis
ObjectClass Name PrincipalSource
----------- ---- ---------------
User DOMAIN\dfrancis ActiveDirectory
まとめ
Windows でのセキュリティ管理の基本として、エンタープライズ環境では、エンドユーザーはローカル管理者グループに所属することはできません。これによって生ずる問題は、エンドユーザーがソフトウェアをインストールしたいことがあっても(組織で許可されている場合に限りますが)独自では行えないという不便さです。Make Me Admin アプリケーションは、エンドユーザーに王国への鍵(全面的な管理者権限)を与えることなく、一時的に管理者権限を使用できる方法を提供します。いちいちIT部門に依頼することなくエンドユーザーが少しだけ独自に調整できる、優れたソリューションです。