楽しても万全なグループポリシー
Active Directoryのグループポリシーは非常に多機能である。すべての紹介はできないので、今回は次の2つを実現するための設定に絞って説明する。
- ローカルディスク使用の制限を設定し、USBメモリなどを使用させない。
- システムフォルダ以外の実行型ファイルを起動させない。
<準備>
グループポリシーの設定対象には、「コンピュータ」と「ユーザー」の2通りがある。
対象の「コンピュータ」にグループポリシーを設定すれば、どのユーザーIDでログオンしても、そのポリシーがすべてのIDに対して強制される。一度設定すると、管理者のユーザーID(Administrator)も例外ではない。
コンピュータに対してグループポリシーを設定すると、そのコンピュータにログオンするすべてのユーザーIDに対してポリシーが適用される。
一方、対象の「ユーザーID」にグループポリシーを設定すれば、ドメイン内の別のPCを使っても「ユーザーID」に対する設定が、別のPC上でも適用される。
ユーザーIDに対してグループポリシーを設定すると、そのドメイン内にあるどのコンピュータにログオンしても、そのユーザーIDに対して設定されたポリシーが適用される。
