別のユーザとしての実行の有効化

別のユーザとしての実行を使用すると、特定のユーザおよびグループに対して、別のユーザとしての実行要求を許可または拒否するルールを設定できます。

別のユーザとしての実行を有効化する方法

（オプション）カーネルモードインターセプトを有効にする手順を以下に示します。
1. CA Access Control を停止します。
2. 以下のレジストリエントリの値を 1 に変更します。
```
HKEY_LOCAL_MACHINE¥SOFTWARE¥ComputerAssociates¥AccessControl¥
SeOSD¥SurrogateInterceptionMode
```
3. CA Access Control を再起動します。
  注：ユーザモードインターセプトはデフォルトで有効になっています。
selang コマンドプロンプトウィンドウを開きます。
SURROGATE クラスを有効にします。
```
setoptions class+(SURROGATE)
```
CA Access Control に実装する SURROGATE レコードの selang ルールを定義します。
（カーネルモードインターセプトのみ）実際のユーザの代理として別のユーザとしての実行要求を行う、SYSTEM ユーザのルールを定義します。
```
auth SURROGATE USER.Administrator uid("NT AUTHORITY¥SYSTEM") acc(R)
```
Windows では、多くのユーティリティおよびサービス（例：RunAS など）を実行した元のユーザを、ユーティリティを実行したユーザではなく、ユーザ「NT AUTHORITY¥SYSTEM」として識別します。このユーティリティを実行したユーザが、別のユーザとして実行することを許可するように SYSTEM ユーザのルールを定義する必要があります。

例：別のユーザとしての実行要求を許可する

以下の selang ルールでは、データベース内のレコードで別のユーザとしての実行を明示的に拒否しない限り、どのユーザでも別のユーザとして実行することができます。

editres SURROGATE _default defaccess(READ)

例：特定のユーザに対して、別のユーザとしての実行を拒否する

以下の selang ルールでは、データベース内のレコードで別のユーザとしての実行を明示的に許可しない限り、どのユーザも別のユーザとして実行することはできません。

newres SURROGATE USER.Administrator defaccess(NONE)

例：グループに対して、別のユーザとしての実行を許可する

以下の例では、Administrators グループに属するメンバが Administrator として実行することを許可します。

authorize SURROGATE USER.Administrator gid("Administrators")