はじめに
本記事はネットユーザー(@nobody)からの寄稿です。技術的な議論があればコメントをお寄せください。
管理者として起動するということは、単にプロセスを起動するだけではありません。実際の開発において遭遇する状況はもっと複雑になる可能性があります。例えば、ユーザーがアプリケーションを開く時点ですでに管理者として起動している場合、その時点では改めて管理者として起動する必要はありません。また、ユーザーが無人環境で使用する場合には、管理者権限昇格のプロンプト動作を考慮する必要があり、「通知せずに自動的に昇格する」設定の場合のみ管理者として起動すべきです。さらに、管理者起動は継承されることがあり、例えばアプリAが管理者として起動された場合、アプリAが起動するアプリBは通常、アプリAの管理者権限をデフォルトで継承します。
本記事では、主に無人環境において管理者として起動する実装手順を紹介します。他の状況については、これらの要素を柔軟に組み合わせることで実現可能と考えられます。
無人環境の主な特徴は、アプリケーションが自動起動、クラッシュ後の再起動、プログラムの自動実行であることです。プログラム中には、起動や実行を妨げる操作(例えばポップアップでユーザー確認を求めたり、ユーザー名やパスワードの入力を要求したりすること)があってはなりません。無人環境に対応するための主要な解決アプローチは、以下の図の通りです。
注意点として、ユーザーの権限昇格動作が「通知せずに自動的に昇格する」以外であり、かつどうしても管理者として起動しなければならない場合には、権限昇格動作を変更する必要があります。これには「gpedit.msc」を実行 → コンピューターの構成 → Windows 設定 → セキュリティの設定 → ローカル ポリシー → セキュリティ オプション → ユーザー アカウント制御: 管理者承認モードでの管理者に対する昇格時のプロンプトの動作 を変更することで対応できます。
実装手順
以下は、フローで設計された各ステップのコード実装方法です。
- 現在のアプリケーションが管理者として起動されているかを判断するコード:
public static bool IsRunAsAdmin()
{
WindowsIdentity windowsIdentity = WindowsIdentity.GetCurrent();
WindowsPrincipal windows = new WindowsPrincipal(windowsIdentity);
if (windows.IsInRole(WindowsBuiltInRole.Administrator))
{
return true;
}
return false;
}
注:このコードはユーザーが管理者として起動しているかどうかを判断するものであり、ユーザーが管理者であるかどうかを判断するものではありません。ユーザーが管理者であっても、アプリケーション起動時に管理者として起動されているとは限りません。インターネットで「ユーザーが管理者かどうかを判断する」と検索すると、このコードが多くヒットします。
- 管理者として起動する。これは最も基本的なコードです。
public static void RunAsAdmin()
{
ProcessStartInfo startInfo = new ProcessStartInfo();
// 管理者として起動するフラグを設定
startInfo.Verb = "runas";
// Shellを使用してプロセスを起動
startInfo.UseShellExecute = true;
startInfo.FileName = Process.GetCurrentProcess().MainModule.FileName;
Process.Start(startInfo);
}
注:Verb は管理者として起動するための識別子です。Verb の設定に加えて、UseShellExecute=true を設定し、Shell を使用してプロセスを起動する必要があります。これを設定しないと、起動時に管理者権限が継承されます。つまり、元のアプリケーションが管理者として起動されていなければ、継承後も管理者として起動されず、管理者としての起動に失敗します。起動オブジェクトには他にも多くのプロパティが設定可能ですので、読者が各自調査してください。
- 現在 UAC(ユーザーアカウント制御)が有効かどうかを判断します。UAC が無効な場合、現在のユーザーが管理者権限を持っていることを示します。
public static bool IsUACEnabled()
{
// レジストリキー
RegistryKey key = Registry.LocalMachine.OpenSubKey(@"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System", false);
if (key != null)
{
// サブキーEnableLUAの値を取得。1はUACが有効であることを示す
object value = key.GetValue("EnableLUA");
if (value != null && value.ToString() == "1")
{
return true;
}
}
return false;
}
- 現在のユーザーが管理者グループに属しているかどうかを判断します。
public static bool IsInAdminGroup()
{
WindowsIdentity windowsIdentity = WindowsIdentity.GetCurrent();
WindowsPrincipal windowsPrincipal = new WindowsPrincipal(windowsIdentity);
var claims = windowsPrincipal.Claims;
// クレームコレクションにはユーザーグループの情報が含まれます。S-1-5-32-544は管理者グループを表します
return claims.Any(c => c.Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid" && c.Value == "S-1-5-32-544");
}
- UAC 管理者権限昇格のプロンプト動作を判断します。ここでは動作が「通知せずに自動的に昇格する」かどうかを判断する必要があります。
public static bool IsUpPermissionWithOutTip()
{
// レジストリキー
RegistryKey key = Registry.LocalMachine.OpenSubKey(@"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System", false);
if (key != null)
{
// サブキーConsentPromptBehaviorAdminの値を取得。0は通知せずに自動的に昇格することを示し、ブロックが発生しない
object value = key.GetValue("ConsentPromptBehaviorAdmin");
if (value != null && value.ToString() == "0")
{
return true;
}
}
return false;
}
上記は主要なフローに基づいて抽出した5つのメソッドです。実際の開発では、管理者として起動に失敗した場合の無限再起動の問題なども考慮する必要があるかもしれません。また、これらのメソッドでは例外処理を考慮していないため、各自のニーズに応じて例外処理を追加してください。
まとめ
本記事は主に筆者の開発経験に基づいて、無人環境における実装方法をまとめたものです。読者は開発の際に実際のニーズに応じて柔軟に組み合わせたり、上記にない機能やロジックを追加したりしてください。筆者の関連知識にも盲点があるかもしれませんし、ロジックに考慮不足があるかもしれません。ご指摘いただければ幸いです。