【安全対策】Administratorをサインイン画面から非表示にする方法

Atom | RSS

このサイトを検索 | Search this site

Administrator をサインイン画面から非表示にするメリット

Administratorアカウントを有効化すると、サインイン画面の左下に「Administrator」と表示されます。

このアカウントはWindowsに組み込まれた特別な管理者権限を持つアカウントであり、システム変更などが可能です。そのため、第三者に使用可能な状態であることを知られるのは好ましくありません。

本記事では、Administratorアカウントを有効にしたまま、サインイン画面には表示させない方法を紹介します。

なお、本手順ではレジストリの編集を行うため、誤った操作を行うとWindowsが起動しなくなる可能性があります。実行は自己責任でお願いいたします。

Windowsの特殊なアカウント

この記事では、Windowsに初期搭載されているビルトインアカウントの中でも、特に重要な「Administrator」アカウントに焦点を当てています。

一般的なユーザーアカウント（例えば「ABC」という名前のアカウント）をAdministratorsグループに追加した場合、そのユーザーはシステムに対する「管理者権限」を得ます。しかし、これで「Administrator」アカウントと全く同じ権限を持つわけではありません。

大きな違いの一つは、UAC（ユーザーアカウント制御）の動作です。通常、Administratorsグループに属するユーザーがシステムに影響を与える操作を行う際には、セキュリティのためにUACの昇格プロンプトが表示され、許可を求められます。しかし、ビルトインの「Administrator」アカウントは、このUACの昇格プロンプトがデフォルトで無効になっています。つまり、追加の確認なしにシステム変更を実行できる、より直接的で強力な権限を持っているのです。

この違いからもわかるように、「Administrator」アカウントはWindowsシステムにおいて非常に特別な、かつ重要なアカウントであると言えます。そのため、その取り扱いには慎重さが求められ、通常は無効にしておくことが推奨されます。

ビルトインアカウント

Windowsのビルトインアカウントとは、OSのインストール時にあらかじめ用意されている標準アカウントのことを指します。代表的なものに、強力な管理者権限を持つ「Administrator」アカウントや、制限付きアクセスを提供する「Guest」アカウントなどがあります。

これらのアカウントは通常は無効化された状態になっており、日常的には使用されません。ただし、トラブルシューティング、システムの復旧、特権管理作業などが必要な場面では、一時的に有効化して使用することができます。

また、ビルトインアカウントの名前やパスワードは変更可能ですが、これを行うことで一部のシステム処理やセキュリティポリシーに影響が出る可能性があります。そのため、変更時には十分な注意と理解が求められます。

システムアカウント

Windowsのシステムアカウントとは、オペレーティングシステム内の各種サービスやプロセスを実行するために用意された内部専用アカウントです。これらは通常のユーザーが直接操作することはなく、Windowsの安定的な動作のために自動的に利用されます。

これらのアカウントはユーザーアカウントとは異なり、GUI上では表示されず、ログイン画面にも現れません。また、通常の方法でパスワードを設定することはできず、セキュリティ管理もOS側で自動的に行われます。

主なシステムアカウントには、次のようなものがあります。

システムアカウント／Windows
システムアカウント	説明
SYSTEM	最も高い権限を持ち、Windowsカーネルレベルで動作するサービスやプロセスを実行します。
LOCAL SERVICE	ローカルコンピューター上で限定的な権限で実行されるサービス用。
NETWORK SERVICE	ローカルとネットワークの両方にアクセス権を持つサービス用。

イベントID10016

イベントビューアーで確認できる [イベント ID: 10016] は、DCOM（分散コンポーネントオブジェクトモデル）コンポーネントに関連するエラーや警告です。

このログは、SYSTEM や LOCAL SERVICE といった特定のシステムアカウントに対するアクセス権の不足が原因で発生していることを示しています。これらのアカウントに適切なアクセス許可を付与することで、該当する DCOM エラーを回避することが可能です。

ビルトインアカウントを確認する方法

Administrator などのビルトインアカウントの状態は次の方法で確認することができます。

Administrator を有効化する方法

Administratorを有効化する方法を紹介します。

「ローカルユーザーとグループ」はWindows 11 Professional エディション以上のグレードで使用することができます。Homeエディションユーザーは、コマンドプロンプトを利用してAdministratorを有効化できます。

[選択肢]

ローカルユーザーとグループ（Windows 11 Pro）
コマンドプロンプト（Windows 11 Pro｜Home）

A. ローカルユーザとグループ

[手順]

ローカルユーザーとグループを展開する
ユーザーをポイントする
右ペインのAdministratorをダブルクリックする
アカウントを無効にするのチェックを外す
OKをクリックする
以上

B. コマンドプロンプト

[手順]

コマンドプロンプトを管理者モードで起動する
net user administrator /active:yes を実行する
以上

コマンドプロンプト（管理者）はスタートメニューから起動することができます。

スタート > Windows システムツール > コマンドプロンプト：右クリック > その他：管理者として実行

コマンドプロンプトのタイトルバーに「管理者：コマンドプロンプト」と表示されていることを確認しましょう。

Administrator を有効化するコマンド
c:\_	管理者：コマンドプロンプト	ー　□　×
C:\>net user administrator /active:yes

Administrator を無効化するコマンド
c:\_	管理者：コマンドプロンプト	ー　□　×
C:\>net user administrator /active:no

Administrator をサインイン画面から隠す方法

レジストリの操作は自己責任です

レジストリエディターを操作する前に、
不測の事態に備えてレジストリのバックアップを取っておきましょう。

[手順]

レジストリエディターを起動する
次の階層に移動する\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Winlogon配下にサブキーSpecialAccountsを作成する
SpecialAccounts配下にサブキーUserListを新規作成する
UserListをポイントして右ペインに新規DWORD（32ビット）を作成する
新規DWORD（32ビット）の名前をAdministratorにリネームする
AdministratorのDWORD（32ビット）の値を０にする
以上

手順5のスナップショット

UserListをポイントして右ペインに新規DWORD（32ビット）を作成する

手順終了後のスナップショット

Administrator=1 にするとサインイン画面にAdministratorが表示されます。

資料

ローカルユーザとグループに登録されていたアカウント

Administrator
DefaultAccount
Guest
HomeGroupUser$
WDAGUtilityAccount

Windowsを既定の設定で使用している時は、HomeGroupUser$ 以外は無効化されている（たぶん）。

WDAGUtilityAccountはWindowsサンドボックスをセットアップすると作成されます。

sandboxを有効化する方法（クリック！）

Administrator はコンピューターを使用するすべてのユーザーに影響を与えるような変更をそのコンピューターに対して行うことができるユーザーです。

Administrator は、セキュリティ設定の変更、ソフトウェアとハードウェアのインストール、コンピューター上にあるすべてのファイルへのアクセス、および他のユーザーアカウントを変更することができます。
support.microsoft.com