アカウント名:
パスワード:
Windowsの場合はそんな用意がなかったか、きちんとアナウンスされてなかった
XPからVistaではNTの延長線上でしかないですね。
てか、Unixでgeekを気取ってる人間は、Windowsの「管理」にも質は違うが深さは同じぐらいの技術が必要であることを理解しようとしないのは何故だろう。
# 2000でも確認しましたが、別ユーザーで実行はまだないですね。
ですんで、ちゃんと扱っている会社なんかでは別に混乱も無いんですけど。
まあ、ホームユーザー相手のアプリ屋なんかは、未だにその考えが理解できていない所もあるけどね。
ひどい上から目線でごめんなさい。 私も UAC の布教活動をしております。…が成果は芳しくありません。 UAC どころか Vista いらねーと言われる有様。
他のコメントにもありますが、保護されたデスクトップを切ることで暗転せずに昇格確認ダイアログは表示されるようになりますよ。もちろん「ボタンを押すだけで昇格」だけではなく「パスワード入力必須」にすることもできます。
ただ、あの暗転している状態は他のアプリからの干渉を受けない状態となっているため (OS 機能である音声入力も受け付けなくなります) スパイウェアなどからパスワード入力時にパスワードを守ったり、昇格 ok メッセージを伝えさせないようにするという防衛目的でもあります。この点でもよくできていると思いますよ。
管理ツール以下は何を開こうとしても出てくるのがうざいのは同意ですね。イベントを見たいだけなんだよ! とか。
UAC は su/sudo/gksu 等の他実装と比べ、うざさ、使いやすさのバランスとカスタマイズ可能な機能の面で現状最強だと思いますよ。
かなりアレなカスタマイズパターンとしては、確認なしで自動昇格 + 署名されているソフトウェアのみ昇格可能の形にするとかなり強烈。試してないけど、企業用ならこれで自社内 CA と MS CA だけ残して消してしまうとかやると、管理面でかなり楽になるかも?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
UAC切らない派 (スコア:5, すばらしい洞察)
Re:UAC切らない派 (スコア:3, 参考になる)
元ACと同じく、UACはVistaで追加された機能の中で最も評価できる機能だと思う。
私はプライベートでOSXも常用しているが、あちらはソフトウェアアップデート時にパスワード入力が必要だ。
むしろUACは、ユーザに手間をかけさせないよう良く練られていると言えるのじゃないか?
Re:UAC切らない派 (スコア:3, 参考になる)
そのときだけ管理者権限になって管理できる仕組みがありました。(それは、それでい
ろいろ問題が発生したようですが)
でも、Windowsの場合はそんな用意がなかったか、きちんとアナウンスされてな
かったので、みんなAdmin権限で作業するようになっちゃっただけ。
で、その習慣が蔓延しちゃった今頃になって、すばらしいセキュリティ機能を発明し
たかのごとく、UACなんか導入したからみんなイラついてるんです。10年以上放置、
あるいは悪習を奨励しておきながら今頃、「俺たちってセキュリティの最先端」みた
いな発言をするから......
まあ、いつものことですが。
Re:UAC切らない派 (スコア:4, 参考になる)
「きちんとアナウンスされてなかった」と言いたいのかも知れませんけど、それではMSが可哀想です。
Re:UAC切らない派 (スコア:5, 参考になる)
runas だけでは実行ユーザーを変更できてもUAC的に昇格した状態にはなりません。
そのプロセスの中で管理者権限を必要とするプログラムの実行時にUACのダイアログが出てきます。
たとえパスワードを知っていたとしても、自動で昇格させられるコマンドは存在しないわけで、マルウェア対策としてはがんばってると思います。
# 右メニューの「管理者として実行」から Cmd.exe を1つ起動しておくと、その中から起動したものはUACダイアログ出てこなくなるのでそーゆーコマンドプロンプトを1つ上げっぱなしにしています。
Re:UAC切らない派 (スコア:1)
Re:UAC切らない派 (スコア:2, 参考になる)
ある意味素直なアプリケーションでそれを実行すると、「別のユーザ」のプロファイルに書きこんでしまうので、実際に実行したいユーザ環境では起動できなかったりするんですよねぇ。
困ったもんです。
Re:UAC切らない派 (スコア:1)
「それでは可哀想」といいたいかもしれないけど、ちゃんとやってれば現状のこの惨状はないわけです。「可哀想」ですめば警察は要らない。
# そもそもNTを作るときにCutlerを開発の責任者にすえたのが間違いの始まり、というは私見。
life is too short to hate each other.
Re:UAC切らない派 (スコア:1, すばらしい洞察)
# 職場にすごいWindows使いがいればわかるのかなぁ‥‥‥。
# でも、GUIって、ノウハウの伝授がスクリーンショットとかになるから、大変だよね....
Re:UAC切らない派 (スコア:4, すばらしい洞察)
Windowsの管理はUIが通常のデスクトップと同様なので簡単そうに見えてるだけです。
しかし実態はLinuxやUnix系より遥かに複雑なセキュリティモデルであるアクセス権限や遷移モデルを理解していないとダメです。
そこら辺の理解が出来ていない人はActiveDirectoryすらマトモに理解できないかと。
開発も同様WindowsNT系ってプログラムを単純に動かすだけならかなり楽です。
ちょこっとメモリやりソースがリークしてたりしてもシステムには簡単には影響でないし。
しかし、真に動かすWindowsロゴを目指そうとした場合様々なハードルがあります。
例えばフォントサイズや高コントラスト配色に設定されたらその通りのUIになるように切り替える必要があります。
Windows上でポリシーが設定されていればそれにあわせて挙動を変更しないといけません。
# ユーザーに任意のアプリケーションを起動させないように機能にロックを掛けるなど
他PCに移動してログインしても大丈夫なように設定の保存先や保持する内容も吟味しなければなりません。
ファイルの読み書き、設定の読み書き、API呼び出しといった全てに細かいセキュリティ権限が存在し、
一覧表示、読み込み、新規書き込み、追記書き込み、削除、属性の設定、読み出し、所有者。暗号、偽装、匿名化等様々な属性やオプションがあります。
はっきり言うとRWX程度しか存在しないLinux等の簡易なセキュリティモデルよりかなり複雑です。
設計段階でセキュリティを意識し、どこでどのようにデータを使うか、そして必要な権限はどれ位かを意識しないと不要なUACを要求されます。
ある意味DBAの方の方がこういった権限モデルを意識して設計したり触る事が多いので理解しやすいかも。
正しく理解していれば最低権限であるゲストユーザーでも正しく動作するアプリケーションを作れますし、
そういったソフトであればUACも最小限しか出ないはずです。
しかし、そういった手間を掛けなかったり、設計するSEや日曜プログラマが理解していない為にダメダメな物が主流になってるのが現状なんですけどね。
Re:UAC切らない派 (スコア:2, すばらしい洞察)
Re:UAC切らない派 (スコア:1)
NT4.0以降で言っても、コントロールパネルの表示を変えてしまうなんてことをしやがりましたし、確かネットワークの設定画面やショートカットキーも変わったよね。
そーゆーとこ変えられると困るんだよね。個人利用で一台しかPCがないのならともかくだけど。
Re: (スコア:0)
普段から親切に教えないで「RTFM」を連呼すれば良かったんじゃないかと。
#良く "man hoge"とかかれたfj時代
Re: (スコア:0)
普段は興味がないから。
#政治と一緒だ。
Re: (スコア:0)
Windows標準のヘルプに書いてあることすら知らないとかここの過去の書き込みにもあったね
そんなんでもベテラン風に振る舞ってたりするんだからねぇ
Re: (スコア:0)
その途上、リテラシの低いユーザーに、どうやって「権限」という概念を提示するか、
というのは非常に難しい問題だったと思うんだけどね。
Re:UAC切らない派 (スコア:1)
ユーザー=俺
管理者=俺
が当たり前の状況だから。
組織でUNIXだとマシンは共有でインストールやパッチ当ては
管理者に「お願いねー。」だったから権限の違いは
業務の違い、担当者の違いやスキルの違い、として理解しやすかったけど、パソコンはそうではない。
俺=ユーザと俺=管理者の間の権限の違いは想像しにくいしスキルに至っては違いがない。
ましてWindowsの場合ログイン画面はあっても同時にログインできるのは一人だから余計イメージしにくい気はする。
Re:UAC切らない派 (スコア:1)
10年以上放置は私の間違いです。NT3.5の発売から、XP発売までの7年間ですね。
お詫びして訂正します。>MS
# 2000でも確認しましたが、別ユーザーで実行はまだないですね。
NT3.5のときでも、OSの仕組みとしてはきちんと用意されていて(当然だ)、
当時の友人は非常に簡単にsudo見たいな仕組みを作ってました。
それだけに、何で今頃、何で最初からやっとかないの思いが余計につのっちゃうん
ですよね。
Re:UAC切らない派 (スコア:2, 参考になる)
Shift キーを押しながら右クリックすればメニューが出ます。 RunAs コマンドもあります。
Re:UAC切らない派 (スコア:1)
別の人が、ヘルプファイルも読まないやつに限ってっていってるので、その上のヘルプをクリック
キーワードに、「別のユーザー」と入れると、「別のプロセスでフォルダーを開く」しか出てきません。
「別のユーザー」で検索をかけると、二つヒットします。
もうちょっとだったんだ、> MS
Re:UAC切らない派 (スコア:1)
Microsoft Updateとか。
Microsoft Updateで別のユーザーとして実行が機能しない。 (スコア:1)
Windows Update サイトまたは Microsoft Update サイトにアクセスしたときに "管理者のみ" というエラー メッセージが表示される [microsoft.com]
Re: (スコア:0)
Re:UAC切らない派 (スコア:1, すばらしい洞察)
Re: (スコア:0)
まぁUAC自体は評価できるかもしれないが、それは所詮、スタートラインに立ったというだけだよ。
Re:UAC切らない派 (スコア:1, すばらしい洞察)
くだらんうえに見当違いなたとえ話はやめな。
「正しく直しました」とアナウンスすることすら許さんと? これだから(略)
Re:UAC切らない派 (スコア:3, 参考になる)
MacOSX のパスワードダイアログ? 本当にそのダイアログはOSが出したものか、毎回確認している? gtkのgksu(だっけ? gtk使わんので知らん)なんて言わずもがな。suだって、suって打ってるからまだ多少安心できるけど、実行したプログラムが勝手にsuのプロンプト出したらまずmalwareを疑うのが筋。
他のインターフェィスと明らかに違う表示をした上で、その判断を受け付けるまで他の操作を一切拒絶する、というのは、確かにできて当たり前なんだけど、ポピュラーな商品としてはVistaがはじめて採用したセキュリティUIだと思うよ。
Re: (スコア:0)
Windows 以外ろくすっぽ使ったことない人間に。
なんで彼らは「ふーん、色々使ってきた人にはそう感じる人もいるんだ」と思えないのだろうか。
Re: (スコア:0)
Re: (スコア:0)
ですんで、ちゃんと扱っている会社なんかでは別に混乱も無いんですけど。
まあ、ホームユーザー相手のアプリ屋なんかは、未だにその考えが理解できていない所もあるけどね。
Re: (スコア:0)
>
> けど物事を評価するときは色眼鏡とったほうがいいですよ。
「オマエモナー」といわせたくてイライラさせたいんですね、わかります
Re:UAC切らない派 (スコア:3, 参考になる)
> 確かにUACを有効にしているとイライラしますが、記事で書かれているように、
> 大抵のユーザは何も考えずに許可、あるいはイライラしない為にUACを無効にしていると思います。
と書いてるけど、ソースの記事に書いてあるのは
> Microsoftがオプトイン方式でユーザーから収集した情報によると、
> ユーザーの88%はUACを有効にしているという。Cross氏はこのデータを挙げ、
> UACを無効にしているユーザーが多いというのは作り話だと主張した。
> さらに、ユーザーが内容を読みもせず、やみくもに警告を了承しているというのも作り話だという。
で、この段落の後にもこれを否定する内容は書いてない。
Re:UAC切らない派 (スコア:3, すばらしい洞察)
それより腹立たしいのは、UACがオンの状態で、「行儀の悪いプログラム」がレジストリのKHLM以下に書き込んだり、Program Files以下に書き込んだりしようとしたときに、一切の警告を出さずに透過的に仮想記憶域にリダイレクトされる機能です。
詳細は「uac リダイレクト virtualstore」で検索 [google.co.jp]してください。
警告を出した上でリダイレクト処理するなら、私もUACをオンにして常用しようと思ったかもしれません。しかしそうではないので、UCAは切っています。
つまり私がUACを切る理由は、ダイアログボックスが嫌だからではなくて、リダイレクト機能が嫌だからなのです。
UAC VirtualStore リダイレクト機能だけを無効にする (スコア:2, 参考になる)
というか私も好きではなかったのでさっき無効にしたところ。
設定画面の画像を自分のblog [live.com]
に置いときました。
Re:UAC VirtualStore リダイレクト機能だけを無効にする (スコア:1)
私が「Home Premium」などというものを買ってしまったばっかりに、
gpedit.mscやsecpol.mscの類が入っていないので、設定できない模様。orz
Re:UAC VirtualStore リダイレクト機能だけを無効にする (スコア:2, 参考になる)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
下にEnableVirtualizationをDWORDで作ってを0にすればOKかと。
参考:ユーザーアカウント制御(UAC)に関するセキュリティポリシー一覧 [pasofaq.jp]
各派閥へのコメント (スコア:3, おもしろおかしい)
ひどい上から目線でごめんなさい。
私も UAC の布教活動をしております。…が成果は芳しくありません。
UAC どころか Vista いらねーと言われる有様。
悔い改めなさい (スコア:2, おもしろおかしい)
客「イライラしてやった。今は反省している。」
Re:各派閥へのコメント (スコア:1)
#Vistaじゃないとできない事を知らないだけです。ごめんなさいw
Re:UAC切らない派 (スコア:1)
Best regards, でぃーすけ
Re:UAC切らない派 (スコア:1)
Re:UAC切らない派 (スコア:1)
ディスプレイの入力切り替え表示が出てしまって、ディスプレイのEXITボタン押す羽目に。
入力装置ならともかく、そうでないものの操作を強いられるのって
イラっとくるのレベルを超越してると思うんです。
# 主電源ついてる装置の電源コンセントが抜かれてるときとか。
Re: (スコア:0)
ちなみに私もUACはそのまま。
Re: (スコア:0)
Re:UAC切らない派 (スコア:1)
->そのデスクトップにはタスクバーがないorアクセスできない
->言語バーを表示しなければならない
という仕組みなんでしょうね
Re:UAC切らない派 (スコア:1)
ポートをListenするソフトを初めて起動するときにファイアーウォールソフトが警告するときも同じように思っていました。
変かなぁ?
Re: (スコア:0)
トロイやらマルウェアやらの話題の度に、管理者権限で使うのが問題だと言われてきたんですから
逆に切っている人 (スコア:0)
普段からユーザ権限を常用する癖がついてる人としては
UACは不便なだけなので、現在はきっています。(?)
どうせなら、su可能なエクスプローラーを実装してくれれば良かったのに。。。。
参考までに僕の使い方。
1. 普段使うユーザは制限ユーザでUAC不可
もしかすると、UACは有効にしたままでもいいのかもしれない
2. 管理者権限がほしいときは、ファイラーを右クリックして管理者として実行する。
3. 色々設定
4. ファイラーを一度終了する
ちなみに使用しているファイラーはXFです。
UACとの違いは、一度切り替えたユーザのままでいろいろいじれるところでしょうか。
管理者権限なんて基本的にいらないし。この程度で十分しょ?
ただ、最近のゲームって管理者権限でないと起動しないのですよねぇ
ROはちょっといじるだけで制限ユーザでも遊べるのだけど。。。
Re:逆に切っている人 (スコア:1, 興味深い)
権限昇格したウィンドウとファイルのドラッグ&ドロップができないのが致命的なまでに不便です。使わない人にはなにそれって感じでしょうけど、日常操作でかなり支障がでます。
UACで昇格したウィンドウと、通常のウィンドウが見た目で区別できないので、エクスプローラやエディタを昇格させるとさらに混乱に拍車をかけます。マウスカーソルも変わらない(メッセージ受けられませんからね)ので普通にドロップできそうに見えますし、UIとしては最低。
# 自分で切ったんじゃなくて、他のアプリのインストーラに勝手にUAC切られたんだけど
# わざわざ戻す気になれない
Re:UAC切らない派 (スコア:2, 参考になる)
他のコメントにもありますが、保護されたデスクトップを切ることで暗転せずに昇格確認ダイアログは表示されるようになりますよ。もちろん「ボタンを押すだけで昇格」だけではなく「パスワード入力必須」にすることもできます。
ただ、あの暗転している状態は他のアプリからの干渉を受けない状態となっているため (OS 機能である音声入力も受け付けなくなります) スパイウェアなどからパスワード入力時にパスワードを守ったり、昇格 ok メッセージを伝えさせないようにするという防衛目的でもあります。この点でもよくできていると思いますよ。
管理ツール以下は何を開こうとしても出てくるのがうざいのは同意ですね。イベントを見たいだけなんだよ! とか。
UAC は su/sudo/gksu 等の他実装と比べ、うざさ、使いやすさのバランスとカスタマイズ可能な機能の面で現状最強だと思いますよ。
かなりアレなカスタマイズパターンとしては、確認なしで自動昇格 + 署名されているソフトウェアのみ昇格可能の形にするとかなり強烈。試してないけど、企業用ならこれで自社内 CA と MS CA だけ残して消してしまうとかやると、管理面でかなり楽になるかも?