グループポリシーの適用には、[Active Directoryユーザーとコンピュータ]というソフトウェアを使って、組織単位(OU)というID管理用のフォルダを作る。OUに対象とするコンピュータID、もしくはユーザーIDを登録することによって、グループポリシーが適用される。
グループポリシーの適用を解除する場合は、対象とするコンピュータID、ユーザーIDをグループポリシーが設定されていないOUに移動すればよい。
OUの名前は、日本語でもアルファベットでも構わない。OUを作ったら、グループポリシーを適用する。グループポリシーの設定の集まりを「グループポリシーオブジェクト」と呼ぶ。
1.ローカルディスク使用の制限を設定し、USBメモリなどを使用させない。
制限するユーザー用にOUを作る。
グループポリシーのユーザーの構成を設定後、ローカルディスクにアクセスさせたくないユーザーIDをOUに移動する。USBを使わせたいユーザーIDはOUに移動しなければよい。
この設定を行うと、デスクトップを除き、ローカルドライブには一切アクセスできなくなる。そのため、「マイドキュメント」を「ネットワークドライブ」に結び付ける必要がある。マイドキュメントの設定方法については、連載の最終回「すでにあるPCをActive Directoryに登録する」で紹介する。
【注意1】この設定を行うと、指定されたユーザーIDからは、ローカルドライブに保存している書類にアクセスできなくなる。そこで最終回を待ってから実施するか、重要なファイルは、あらかじめネットワークドライブに保存しておくようにしてほしい。

【注意2】コマンドプロンプトを使うと、禁止されたディスクにアクセスできる。これを防ぐには、[スタート]メニューから[ファイル名を指定して実行]を削除し、[指定されたWindowsアプリケーションを実行しない]の設定に、[cmd.exe]を登録しておく。
2. システムフォルダ以外の実行型ファイルを起動させない。
グループポリシー適用するには、対象のコンピュータ用にOUを作り、コンピュータIDを移動する。システムファイルとは、[Windows]フォルダ以下のフォルダ、[Program Files]フォルダ以下のフォルダを指す。
実行型のファイルは、システム以外のフォルダにも置けるし、実行も可能である。通常の実行型ファイルは、[Program Files]フォルダに登録されるが、一般のユーザーIDではソフトウェアをインストールできない。

次回は、このグループポリシーの設定を行うための、実際の手順を説明する。