グループ ポリシーは、RunAs.exe または "別のユーザーとして実行" のユーザー アカウントに適用されません

この記事では、RunAs.exe または "別のユーザーとして実行" のユーザー アカウントにグループ ポリシーが適用されない問題に関する情報を提供します。

適用対象: Windows クライアント (サポートされているすべてのバージョン)
元の KB 番号: 4569309

概要

Windows ユーザーは、プログラムまたはアプリケーションを別のユーザーとして実行できます。 これを行うには、ユーザーが [別の ユーザー として実行 ] コンテキスト メニュー コマンドを選択し (または、Runas.exe コマンド ライン ツールを使用)、代替アカウントの資格情報を指定します。

ベスト プラクティスとして、ユーザーは自分の資格情報を使用して、ワークステーションで通常の作業を行う必要があります。 必要に応じて、別のアカウント (管理者特権のアクセス許可を持つアカウントなど) の資格情報を指定して、特定のアプリケーションを実行できます。

ただし、ユーザーが代替資格情報を使用してサインインした場合、Windows は代替アカウントのグループ ポリシー設定を処理しません。 Windows では、ユーザー アカウントグループ ポリシー設定が処理されるのは、ユーザーがサインイン ユーザー インターフェイスを使用して自分のデスクトップにサインインした場合のみです。 一方、ユーザーが Runas.exe または 別のユーザーとして実行を使用してアプリケーションを起動すると、Windows は代替資格情報で実行される別のプロセスを開始します。 このような操作では、グループ ポリシー処理はトリガーされません。

この動作は仕様です。

詳細

グループ ポリシー設定は、Runas.exe または別のユーザーとして実行によって指定された代替ユーザー アカウントに適用することを意図していません。

Runas.exe は、代替アカウントに関連付けられているユーザー プロファイルを読み込むことができます。 ユーザーが以前にそのアカウントを使用してそのワークステーション上の Windows にサインインしていた場合、関連付けられているユーザー プロファイルには、その時点でイベントを処理グループ ポリシーによって設定されたレジストリ キーと値が含まれている可能性があります。 ただし、この動作は、ユーザーがコマンドにスイッチを /noprofile 含めるかどうかによって異なります。 ユーザーが を使用 runas /noprofileしてプロセスまたはアプリケーションを開始し、代替アカウントを指定した場合、Windows は代替ユーザー プロファイルを読み込まれません。 そのため、代替ユーザー プロファイルでは、グループ ポリシー設定を適用するための信頼性の高い方法は提供されません。

ユーザーが Runas.exe または 別のユーザーとして実行することを禁止する場合は、次の手順に従います。

1. セカンダリ ログオン サービス (seclogon.exe) を無効にします。

2. ソフトウェア制限ポリシーまたは AppLocker を使用して、Runas.exe バイナリ ファイルへのアクセスを禁止します。

3. グループ ポリシーを使用して、[別のユーザーとして実行] メニュー項目を削除します。 グループ ポリシー オブジェクト (GPO) は、スタート 画面でユーザー構成\管理用テンプレート\スタート メニューとタスク バー\[別のユーザーとして実行] コマンドを表示に変更します。

4. Windows レジストリで、次のエントリを設定します。

   • サブキー: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   • エントリ名: HideRunAsVerb
   • 型: DWORD
   • 値: 1