ネタもと:Credential Prompt Change in RC2
前に、「昇格プロンプトで、Administrators グループのユーザが列挙されるのはどうか」と、問題提起しましたが、RC2 で、列挙されないことになりました。
これ自体は、いいんだけど。その理由ってのが、おいおい。。。
Why did the UAC team make this change?
During enumeration of local machine administrators, the system must contact a domain controller (DC). While this enumeration occurred, an indeterminate progress bar appeared within the user list region. We received a large amount of feedback regarding the long period of time this progress bar took to disappear. We analyzed the problem in detail and found users experiencing unusually slow performance when the DC was unavailable or slow to respond. In order to place the dialog box in front of users as fast as possible, we changed the default behavior. Speed.
テキトー訳:
なぜ、このように変更しましたか?
ローカルマシンの管理者を列挙するために、システムはドメイン コントローラ(DC)と通信をしなければならない。このときに、当てにならないプログレス バーが表示されるんだ。このプログレス バーを消してみたんだけど、そうすると、列挙されるまでに長い時間がかかるだろう?そのことに対して、「遅い!」っていう、たくさんのフィードバックがあったのさ。問題を細かく分析してみたんだけど、 DC が応答を返さないとき、異様に遅くなることに気がついたんだ。だから、可能な限り早くダイアログ ボックスが表示されるように、デフォルトの挙動を変えたってわけさ。ほら、早くなっただろう?
えっと。。。スピードの問題ですか?
管理権限があるユーザが列挙されることを、“セキュリティ リスク”とは考えていないわけですね。
以前のエントリで、ちゃっぴさんから、「面倒」というご意見をいただきましたが、確かに面倒です。
特に、ドメインに参加していて、ドメインのアカウントにはローカルの管理権限を与えていない場合。開発/テスト用機器なんかは、このような設定になるのではないでしょうか。
何が面倒か。アカウント名には「アカウント名@ドメイン名」または、「ドメイン名\アカウント名」と、入力しなければなりません。または、コンピュータが所属するドメインはデフォルトとして扱われるので、アカウントのドメインがコンピュータのドメインと同一の場合は、ドメインの入力は必要ありません。
しかし、ドメインのアカウントにはローカルの管理権限を与えていないので、この場合は「コンピュータ名\アカウント名」と入力する必要があります。
ドロップダウンリストによる選択ではなく、手入力です。ほら、面倒でしょ?
レジストリを変更すると、以前の列挙型に出来るようです。
しかし。。。どんなレビューが行われたのか。それが知りたい。
投稿日時 : 2006年10月19日 22:14