2006/03/30
中田　敦＝ITpro

連載目次へ >>

■Windows Vistaには，ログオン中のユーザーの権限を常に「標準ユーザー（Windows XPまでの制限ユーザー）」に制限する「User Account Control機能」が搭載される。旧式アプリケーションの中には，動作するのに管理者権限を必要とするものも少なくないので，互換性の問題が多発する恐れがある。
■そこでWindows Vistaでは，旧式アプリケーションの動作を容易にする「File and Registry Redirection」という仕組みが搭載される。標準ユーザー（制限ユーザー）に書き込み権限の無いフォルダやレジストリへの書き込みを，ユーザーごとの領域にリダイレクトするという機能である。

---

△　図をクリックすると拡大されます

図3●制限ユーザーでも旧式アプリケーションが使える新機能

　Windows Vistaでは制限ユーザーの利便性も向上されている。

　旧式アプリケーションの中には，Cドライブの直下やProgram Filesフォルダ，Windowsフォルダ，「HKEY_LOCAL_MACHINE」レジストリ・キーなどにデータを書き込むものがある。制限ユーザーにはこれらのフォルダやレジストリ・キーへの書き込み権限がないので，このようなアプリケーションをWindows XP/2003までのNT系OSで利用するには管理者権限が必要である。

　Windows Vistaでは管理者権限を与えなくてもこれらのアプリケーションを利用可能だ。「File and Registry Redirection」という機能が追加される。これは，制限ユーザーが実行するアプリケーションが書き込み権限のない領域にデータを書き込もうとすると，それを書き込み可能な領域（「C:\Virtual Store」の下に作られたユーザーごとのフォルダ）にリダイレクトする機能である（図3）。

管理者でもシステム改変が不可能に

△　図をクリックすると拡大されます

図4●Windows Vistaではフォルダのアクセス権が大幅変更

　Windows 2000以降が備える「Windowsファイル・プロテクション」を補完する仕組みも加わる。Windowsファイル・プロテクションは，システム・ファイルをユーザーが勝手に削除したり書き換えたりしても，それを元の状態に復元する機能だ。Windows Vistaではシステム・ファイルの削除や書き換え自体が難しくなる。

　Windows Vistaには「Trusted Installers」という新しいユーザー・グループが追加されており，主要なシステム・ファイルや重要なプログラム・ファイルの所有者が，従来のAdministratorsグループからTrusted Installersグループに変更された（図4）。

　従来のNT系OSでは，Administratorsグループが重要ファイルの所有者であり，フル・コントロール権限が与えられていた。そのため管理者アカウントならば，すべてのファイルの削除や改変が可能だった。

　しかしWindows Vistaでは，AdministratorsグループはProgram Filesフォルダやシステム・フォルダに書き込めるが，Trusted Installersグループが所有者であるファイルを削除したり上書きしたりする権限は与えられていない。管理者であっても，システムを改変できない。

　Trusted Installersグループの説明には「Members in this group are granted the right to install software.（このグループのメンバーはソフトウエアのインストールが許可されている）」とある。

　ただしTrusted Installersグループでなければアプリケーションがインストールできないわけではないようだ。編集部のテストでは，Office 2003や.NET Framework 1.1，Visual Studio .NET 2003，SQL Server 2000などが管理者権限だけでインストールできた。