編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

カネ、ヒト、時間いらずのIT内部統制--第4章:サーバからPCを集中管理(準備編) - (page 4)

木村尚義

2007-05-28 13:22

 グループポリシーの適用には、[Active Directoryユーザーとコンピュータ]というソフトウェアを使って、組織単位(OU)というID管理用のフォルダを作る。OUに対象とするコンピュータID、もしくはユーザーIDを登録することによって、グループポリシーが適用される。

 グループポリシーの適用を解除する場合は、対象とするコンピュータID、ユーザーIDをグループポリシーが設定されていないOUに移動すればよい。

 OUの名前は、日本語でもアルファベットでも構わない。OUを作ったら、グループポリシーを適用する。グループポリシーの設定の集まりを「グループポリシーオブジェクト」と呼ぶ。

1.ローカルディスク使用の制限を設定し、USBメモリなどを使用させない。

 制限するユーザー用にOUを作る。

 グループポリシーのユーザーの構成を設定後、ローカルディスクにアクセスさせたくないユーザーIDをOUに移動する。USBを使わせたいユーザーIDはOUに移動しなければよい。

 この設定を行うと、デスクトップを除き、ローカルドライブには一切アクセスできなくなる。そのため、「マイドキュメント」を「ネットワークドライブ」に結び付ける必要がある。マイドキュメントの設定方法については、連載の最終回「すでにあるPCをActive Directoryに登録する」で紹介する。

【注意1】この設定を行うと、指定されたユーザーIDからは、ローカルドライブに保存している書類にアクセスできなくなる。そこで最終回を待ってから実施するか、重要なファイルは、あらかじめネットワークドライブに保存しておくようにしてほしい。

policy04 この設定後に、ローカルドライブにアクセスしようとするとこのようなダイアログが表示される。

【注意2】コマンドプロンプトを使うと、禁止されたディスクにアクセスできる。これを防ぐには、[スタート]メニューから[ファイル名を指定して実行]を削除し、[指定されたWindowsアプリケーションを実行しない]の設定に、[cmd.exe]を登録しておく。

2. システムフォルダ以外の実行型ファイルを起動させない。

 グループポリシー適用するには、対象のコンピュータ用にOUを作り、コンピュータIDを移動する。システムファイルとは、[Windows]フォルダ以下のフォルダ、[Program Files]フォルダ以下のフォルダを指す。

 実行型のファイルは、システム以外のフォルダにも置けるし、実行も可能である。通常の実行型ファイルは、[Program Files]フォルダに登録されるが、一般のユーザーIDではソフトウェアをインストールできない。

policy05 グループポリシーを適用した後、ユーザーID[Administrator]でメモ帳(Notepad.exe)をデスクトップにコピーして実行しようとすると、このようなダイアログが表示される。

 次回は、このグループポリシーの設定を行うための、実際の手順を説明する。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]