ソフマップ・ドットコム

Windows Server での仮想環境( Windows Server 2012 と SCVMM )での検証や勉強した事を書き綴る技術色の強いブログです。

特定の OU にグループポリシーを適用する。


Active Directory のユーザはそれぞれ、何かしらの OU 及び、グループに属しています。その OU やグループごとに必要なポリシーを適用するような管理をします。
例えば、研修用のアカウントではレジストリやコントロールパネルにアクセスできないようにしたり、アルバイト用のアカウントではコマンドプロントやリムーバブルディスクへのアクセスを制限したり設定します。
その様な設定方法を今回は解説します。
まず、今回のサンプルでは OU 「アルバイト従業員」に所属する、「アルバイト従業員」というアカウントを使用して、コントロールパネル・コマンドプロント・レジストリエディタ・Windows メッセンジャー・Windows メールへのアクセスを制限します。
それでは、最初に Active Directoryユーザとコンピュータを開きます。
そこで、左ペインで右クリック → 新規作成 を選択し、組織単位( OU )を作成します。
組織単位( OU )を作成
新しいオブジェクト – 組織単位( OU )が開くので、名前に「アルバイト従業員」と入力し OK をクリック。
名前に「アルバイト従業員」と入力
OU・アルバイト従業員が作成出来たら、ユーザ・「アルバイト従業員」を作成します。
ユーザ・「アルバイト従業員」を作成
次に、グループポリシーの管理を開き OU 「アルバイト従業員」を選択し、右クリック → 「このドメインに GPO を作成し、このコンテナーにリンクする」をクリックする。
「このドメインに GPO を作成し、このコンテナーにリンクする」をクリック
新しい GPO の名前を「アルバイト管理」と入力し OK をクリック。
GPO の名前を「アルバイト管理」と入力
作成された GPO が右ペインに表示されるので、選択して右クリックから編集を選択する。
右クリックから編集を選択
グループポリシー管理エディターが起動する。
ここから、ポリシーを適用していきます。まずは、コントロールパネルへのアクセスを禁止する設定から。
ユーザの構成 → ポリシー → 管理用テンプレート → コントロールパネルを展開し、右ペインに表示されている一覧の中にある「コントロールパネルへのアクセスを禁止する」をダブルクリックする。
コントロールパネルへのアクセスを禁止する
以下の画面で、有効にチェックを入れ、適用 → OK をクリックする。
有効にチェックを入れ、適用 → OK をクリック
これで、コントロールパネルへのアクセスは禁止されました。
次に、Windows Messenger の起動を禁止します。
ユーザの構成 → ポリシー → 管理用テンプレート → Windows コンポーネント → Windows Messenger を展開し、右ペインに表示されている一覧の中にある Windows Messenger の実行を許可しないをダブルクリックする。
Windows Messenger の実行を許可しないをダブルクリック
「Windows Messenger の実行を許可しない」の画面で有効を選択し、適用 → OK をクリックする。
611.jpg
これで、Windows Messenger は実行が出来なくなりました。
次に、Windows メールアプリケーションをオフに設定します。
ユーザの構成 → ポリシー → 管理用テンプレート → Windows コンポーネント → Windows メールを展開し、右ペインの一覧にある、Windows メールアプリケーションをオフにするをダブルクリック。
Windows メールアプリケーションをオフにするをダブルクリック
以下の画面で有効を選択し、適用 → OK をクリックする。
613.jpg
これで、Windows メールアプリケーションがオフになりました。
次に、コマンドプロントとレジストリエディタへのアクセスを禁止する設定を行います。
ユーザの構成 → ポリシー → 管理用テンプレート → システムを展開し、右ペインに表示される一覧の中から「コマンドプロントにアクセスできないようにする」をダブルクリックする。
「コマンドプロントにアクセスできないようにする」をダブルクリック
有効を選択し「コマンドプロントスクリプト処理も無効にしますか?」の欄で、「はい」を選択し、適用 → OK をクリックする。
615.jpg
次に「レジストリ編集ツールへのアクセスできないようにする」をダブルクリックする。
「レジストリ編集ツールへのアクセスできないようにする
有効を選択する。オプションの欄で、Regedit のサイレント実行を無効にしますか?の欄で「はい」を選択し、適用 → OK をクリックする。
616.jpg
以上で、各機能へのアクセスが出来ない様に設定しましたので、アルバイト従業員のアカウントを使ってログオンし、設定が有効になっているかを確認します。
アルバイト従業員のアカウントを使ってログオンし、設定が有効になっているかを確認
コマンドプロントを起動したところ「管理者によって使用不可にされています。」と表示され、操作出来ません。
管理者によって使用不可にされています。
レジストリエディタも同様に「管理者によって使用不可にされています。」と表示され、起動出来ません。
管理者によって使用不可にされています。
ネットワークと共有センターへアクセスしようとしたところ「このコンピュータの制限により、処理は取り消されました。システム管理者に問い合わせてください。」と表示され、アクセスできません。
これは、ネットワークと共有センターがコントロールパネル内の機能なので、コントロールパネルへのアクセスが禁止されているので、この様なメッセージが表示されます。
620.jpg
以上で、設定は完了ですが、これ以外にも様々なポリシーがありますので、状況に応じて設定するのが良いでしょう。



Facebook ページへの「いいね!」もお願いします。 Facebook ページで最新記事のお知らせと、外部サイトの紹介を行っています。
是非「いいね!」をしていただき、最新の情報を Facebook で受け取ってください。



コメントを残す

メールアドレスが公開されることはありません。

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>