本連載では「グループポリシー」でさまざまなセキュリティ機能を実装してきた。しかし、グループポリシーではセキュリティだけでなく、企業内で利用させる/利用させない機能も柔軟に制御できる。今回は、Windowsの「サービス」に注目し、その制御に利用可能なグループポリシー設定を紹介する。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Windowsでは、多くのプログラムが「サービス」と呼ばれる機能でその実行が制御されている。実際、多くのプログラムがサービスの設定で、Windowsの起動と同時に自動実行されるように構成されている。
一方、企業ではセキュリティポリシーや運用管理上の理由から、勝手に実行されたくないプログラムがあるはずだ。実行されたくないプログラムについては、本連載第6回「グループポリシーでアプリケーションの実行を制御する」で紹介したグループポリシー設定を利用することもできる。
しかし、実行されたくないプログラムがサービスで自動的に起動するように構成されているのであれば、そのサービスの設定をカスタマイズすることが最も適切な対処方法となる。
今回は、サービスから起動されるプログラムの実行を、グループポリシーで制御する方法を紹介する。
Windowsのサービスはコンピューターごとに独立した設定を持つため、本来は個々のコンピューターの「コントロールパネル」で設定を変更する必要がある。しかし、コンピューターの台数が多い企業では、個別に設定を変更するのは面倒だ。このような場合に、グループポリシーを活用して設定を一括変更しよう。
グループポリシーでサービスの設定を変更するには、「グループポリシーの管理」管理ツールを起動し、適用したい「グループポリシーオブジェクト」(GPO)の右クリックメニューから「編集」を選択すると表示されるGPOの編集画面で次の項目を構成する。
・「コンピューターの構成」−「ポリシー」−「Windowsの設定」−「セキュリティの設定」−「システムサービス」
「システムサービス」にはWindows標準のサービスが定義されており、それぞれのサービスのプロパティから「サービスのスタートアップモード」を設定できる(画面1)。
「サービスのスタートアップモード」はサービスとして登録されたプログラムをいつ起動するかを定義したもので、「自動」を選択すればWindowsの起動と同時にサービスも起動する。また、「手動」を選択すれば自動的には起動せず、ユーザーの任意のタイミングで起動できる。「無効」を選択すると、自動でも手動でもサービスを起動できなくなる。
「サービスのスタートアップモード」を「自動」「手動」「無効」から設定することで、サービスに関連付けられたプログラムの実行を制御できるようになる。
では、次からは実際の利用が想定されるサービスを見てみよう。
セキュリティ上の理由から、クライアントコンピューターでの印刷を禁止し、プリンターを利用できないように構成したいこともあるだろう。
この場合の構成方法はいくつか考えられるが、サービスを使って印刷を禁止するには、前出の画面1で紹介した「Print Spooler」サービスを「無効」に設定すればよい。「Print Spooler」サービスは印刷の実行時に利用するサービスであり、このサービスが無効になっていると印刷機能が利用できなくなる。
ドメインに参加している全てのコンピューターで印刷を禁止するように構成するのであれば、ドメインにリンクしたGPOで「Print Spooler」サービスを無効にするとよい。
Copyright © ITmedia, Inc. All Rights Reserved.