none
CreateProcessWithLogonW()について RRS feed

  • 質問

  • ドメインに参加している環境で、ドメイン管理者アカウントを指定し
    CreateProcessWithLogonW()を使用して管理者権限でEXE実行をしています。

    ローカル ポリシーの
    「ユーザー アカウント制御: ビルトイン Administrator アカウントのための管理者承認モードを使用する」
    が「有効」の場合、管理者権限を必要とする処理が失敗します。

    ドメイン管理者アカウントとビルトイン Administrator アカウントは
    関係ないと思っているのですが、影響するものなのでしょうか?
    アドバイスをお願いいたします。

    コード

    CreateProcessWithLogonW(
    				user,								
    				domain,
    				password,
    				LOGON_WITH_PROFILE,							
    				service,
    				param,
    				0,
    				NULL,
    				NULL,
    				&si,
    				&procInfo);
    2020年9月16日 7:40

回答

  • T-Ogawaさん、こんにちは。フォーラムオペレーターのKumoです。
    ご返信いただきありがとうございます。

    はい、そうですね。
    ポリシーを有効または無効にして、右クリック>管理者として実行、
    スクリーンにリクエスト リマインダーが表示されるかどうかをテストしてみてください。

    どうぞよろしくお願いいたします。

    MSDN/ TechNet Community Support Kumo ~参考になった投稿には「回答としてマーク」をご設定ください。なかった場合は「回答としてマークされていない」も設定できます。同じ問題で後から参照した方が、情報を見つけやすくなりますので、 ご協力くださいますようお願いいたします。また、MSDNサポートに賛辞や苦情がある場合は、MSDNFSF@microsoft.comまでお気軽にお問い合わせください。~

    • 回答としてマーク T-Ogawa 2020年9月29日 9:09
    2020年9月29日 3:02
    モデレータ

すべての返信

  • T-Ogawaさん、こんにちは。フォーラムオペレーターのKumoです。
    MSDNフォーラムにご投稿くださいましてありがとうございます。

    管理者承認モードが有効になっていない場合、ビルトイン管理者アカウントでは、すべてのアプリケーションがデフォルトで完全な管理者特権で実行されます。
    有効になっている場合、特権の昇格が必要な操作には、管理者が特権の昇格を許可または拒否することを許可するかどうかを確認するメッセージが表示されます。
    このメッセージにより、ビルトイン管理者アカウントで悪意無しのソフトウェアがひそかにインストールされる、または実行されることを確保します。

    また、CreateProcessWithLogonWでプロセスを昇格することはできません:
    Why Can’t I Elevate My Application to Run As Administrator While Using CreateProcessWithLogonW?

    どうぞよろしくお願いいたします。 

    MSDN/ TechNet Community Support Kumo ~参考になった投稿には「回答としてマーク」をご設定ください。なかった場合は「回答としてマークされていない」も設定できます。同じ問題で後から参照した方が、情報を見つけやすくなりますので、 ご協力くださいますようお願いいたします。また、MSDNサポートに賛辞や苦情がある場合は、MSDNFSF@microsoft.comまでお気軽にお問い合わせください。~

    2020年9月21日 3:04
    モデレータ
  • ご回答ありがとうございました。

    追加で質問させていただきます。

    ドメイン管理者アカウントであっても以下の設定が「有効」の場合は
    特権の昇格が必要な操作時に確認するメッセージが表示されるという
    ことで間違いないでしょうか?

    ローカル ポリシーの「ユーザー アカウント制御: ビルトイン Administrator アカウントのための管理者承認モードを使用する」
    2020年9月23日 7:40
  • T-Ogawaさん、こんにちは。フォーラムオペレーターのKumoです。
    ご返信いただきありがとうございます。

    このポリシーは、ビルトイン管理者アカウントにのみ影響します。

    管理者承認モードで管理者の昇格時のプロンプトの動作を変更したい場合は、この記事をご参照ください。

    どうぞよろしくお願いいたします。

    MSDN/ TechNet Community Support Kumo ~参考になった投稿には「回答としてマーク」をご設定ください。なかった場合は「回答としてマークされていない」も設定できます。同じ問題で後から参照した方が、情報を見つけやすくなりますので、 ご協力くださいますようお願いいたします。また、MSDNサポートに賛辞や苦情がある場合は、MSDNFSF@microsoft.comまでお気軽にお問い合わせください。~

    2020年9月24日 2:06
    モデレータ
  • ご回答ありがとうございました。

    ドメイン管理者アカウントを使用してCreateProcessWithLogonW()を実行していますが
    ローカル ポリシーの「ユーザー アカウント制御: ビルトイン Administrator アカウントのための管理者承認モードを使用する」を
    「有効」にすると挙動が変わります。

    以下URLの真ん中より下あたりに、ドメイン管理者アカウントの説明があり
    ビルトイン ドメイン Administrator アカウントというものを見つけました。
    このビルトイン ドメイン Administrator アカウントであれば上記のローカル ポリシーの
    影響を受けるということになりますでしょうか。

    https://docs.microsoft.com/ja-jp/security-updates/planningandimplementationguide/19869238
    2020年9月24日 10:58
  • T-Ogawaさん、こんにちは。フォーラムオペレーターのKumoです。
    ご返信いただきありがとうございます。

    ビルトイン管理者アカウントのポリシーの潜在的な影響により、
    「ローカル管理者アカウントを使ってログオンしたユーザーに、プログラムが特権の昇格を要求するたびに同意を求めます。」

    そして、ご提供いただいたURLに対して、
    ドメイン管理者アカウント
      「インストール後に作成してビルトイン ローカル Administrators グループまたは Domain Admins グループに追加したユーザー アカウントも、このカテゴリに含まれます。」

    ドメイン管理者ユーザーもビルトイン ローカル管理者に追加されていますか?

    また、プログラムで発生している実際の問題は何でしょうか。
    あなたのマニフェストに「requireAdministrator」を埋め込めるかもしれません。
    /MANIFESTUAC (UAC 情報をマニフェストに組み込む)

    どうぞよろしくお願いいたします。

    MSDN/ TechNet Community Support Kumo ~参考になった投稿には「回答としてマーク」をご設定ください。なかった場合は「回答としてマークされていない」も設定できます。同じ問題で後から参照した方が、情報を見つけやすくなりますので、 ご協力くださいますようお願いいたします。また、MSDNサポートに賛辞や苦情がある場合は、MSDNFSF@microsoft.comまでお気軽にお問い合わせください。~

    2020年9月25日 3:31
    モデレータ
  • ご回答ありがとうございました。

    使用していたドメイン管理アカウントは
    ビルトイン ドメイン Administrator アカウントでした。

    ドメイン管理者であってもビルトインだったために
    以下の設定が影響した思われますが、間違いないでしょうか。

    ローカル ポリシーの「ユーザー アカウント制御: ビルトイン Administrator アカウントのための管理者承認モードを使用する」

    2020年9月28日 5:07
  • T-Ogawaさん、こんにちは。フォーラムオペレーターのKumoです。
    ご返信いただきありがとうございます。

    はい、そうですね。
    ポリシーを有効または無効にして、右クリック>管理者として実行、
    スクリーンにリクエスト リマインダーが表示されるかどうかをテストしてみてください。

    どうぞよろしくお願いいたします。

    MSDN/ TechNet Community Support Kumo ~参考になった投稿には「回答としてマーク」をご設定ください。なかった場合は「回答としてマークされていない」も設定できます。同じ問題で後から参照した方が、情報を見つけやすくなりますので、 ご協力くださいますようお願いいたします。また、MSDNサポートに賛辞や苦情がある場合は、MSDNFSF@microsoft.comまでお気軽にお問い合わせください。~

    • 回答としてマーク T-Ogawa 2020年9月29日 9:09
    2020年9月29日 3:02
    モデレータ