グループポリシーで利用させる／利用させない「サービス」を柔軟に制御する：基礎から分かるグループポリシー再入門（11）（2/2 ページ）

[国井傑（Microsoft MVP for Directory Services），株式会社ソフィアネットワーク]

デバイス検索サービスの利用を停止する

　Windows Vista以降で「ネットワーク探索」機能を有効にすると、Windowsはネットワーク内に存在するさまざまなデバイスを自動的に検索して、「Windowsエクスプローラー」上に表示するようになる（画面2）。

画面2　Windowsエクスプローラーの「ネットワーク」画面。同じネットワーク上にあるさまざまなコンピューター、デバイスが表示されている

　一見、便利に思えるかもしれないが、不要なデバイスが表示されることでユーザーの使い勝手が低下したり、デバイスを検索しようとする動作がコンピューターのパフォーマンスに悪影響を及ぼしたりしていると考えるのであれば、デバイスを発見するサービスを「無効」にすることも検討したい。

　コンピューター以外のデバイス検索に使われるプロトコルには、「SSDP（Simple Service Discovery Protocol）」と「WSD（Web Services on Devices）」がある。これらのプロトコルは、「Function Discovery Provider Host」サービスによってデバイスを検索するように命令されている。そのため、「Function Discovery Provider Host」サービスを無効にすれば、SSDP／WSDによるデバイス検索は行われなくなり、Windowsエクスプローラー上にもコンピューターの一覧だけが表示されるようになる。

Adobe Readerの自動アップデートを停止する

　次は、クライアントコンピューターで「Adobe Reader」の自動アップデートを実行させないための対処方法を説明しよう。

　Adobe Readerの自動アップデート機能はWindowsのサービスとして登録されているので（サービス名：Adobe Acrobat Update Service）、GPOでサービスを停止（無効に）すれば、自動アップデート機能も利用できなくなる。

　しかし、マイクロソフト以外のアプリケーションでは、GPOの「システムサービス」項目にそのサービス名が表示されないため、「システムサービス」項目から制御することができない。その場合には、次のいずれかの方法でサービスを制御する。

●制御方法1：「基本設定」項目を活用する

　GPOの編集画面には「システムサービス」の他にも、サービスをカスタマイズするために次の項目が用意されている。

サービスをカスタマイズする

・「コンピューターの構成」−「基本設定」−「コントロールパネルの設定」−「サービス」

　「グループポリシーの管理」管理ツールの左ペインで「サービス」項目を右クリックして「新規作成」→「サービス」を選択すると、サービスを新規登録するための画面が表示される（画面3）。

画面3　GPOの「サービス」画面からサービス設定を新規作成する

　ここで「サービス名」欄にサービスを追加して、特定のサービスに対する各種設定を行う。このとき選択できるサービスは、“GPOを操作するコンピューターにインストールされているサービスの一覧”となる。そのため、GPOを操作するコンピューターにAdobe Readerがインストールされていれば、Adobe Readerのサービスを追加できる。

　サービスを無効にするには「スタートアップ」リストボックスで「無効」を指定すると同時に、「サービス操作」欄で「サービスを停止する」も選択しておく。これにより、GPOが適用された瞬間からサービスは停止して、利用できなくなる。

●制御方法2：「レジストリ」項目を活用する

　サービスの設定は基本的にはレジストリに格納されているので、レジストリを直接編集することでサービスを無効化できる。レジストリをGPOから設定する場合は、次の項目を利用する。

サービスをレジストリで制御する

• 「コンピューターの構成」−「基本設定」−「Windowsの設定」−「レジストリ」

　「グループポリシーの管理」管理ツールの左ペインで「レジストリ」項目を右クリックして「新規作成」−「レジストリ項目」を選択すると、レジストリ設定を新しく登録する画面が表示される（画面4）。「ハイブ」欄に「HKEY_LOCAL_MACHINE」が選択されていることを確認し、「キーのパス」欄で「...」ボタンをクリックする。

画面4　GPOの「レジストリ」画面からレジストリ設定を新規作成する

　すると、画面5が表示されるので、画面上部で「SYSTEM￥CurrentControlSet￥Services￥AdobeARMService」を、画面下部で「Start」を選択して「OK」をクリックする。画面4に戻ったら、「値のデータ」に下1桁が「4」となるように入力して「OK」をクリックすれば設定は完了だ。

画面5　画面4の「キーのパス」欄にある「...」ボタンをクリックして表示される画面

　簡単にレジストリの構造を説明しておくと、サービスに関する設定はレジストリの「SYSTEM￥CurrentControlSet￥Services」に含まれるので、前出の画面5の上部では「Services」までを順番に選択する。

　そして、「Services」配下のどの部分を選択すればよいかについては、「サービス」管理ツールのプロパティを参考する。例えば、「Adobe Acrobat Update Service」の場合は、「サービス」管理ツールから「Adobe Acrobat Update Service」をダブルクリックする。すると、表示されるプロパティで、レジストリに登録されるサービス名が「AdobeARMService」であることを確認できる（画面6）。

画面6　「サービス」管理ツールから「Adobe Acrobat Update Service」サービスのプロパティを開いた様子

　では、ここでもう一度画面5に戻る。画面5の下部で「Start」という項目を選択しているが、Start値はサービスのスタートアップを自動／手動／無効のいずれかを設定する項目になる。自動は「2」、手動は「3」、そして無効は「4」という値が入る。そのため、画面5の下部で「Start」を選択し、そして画面4に戻って「値のデータ」に「4」という値を設定している。

　以上のルールを覚えておけば、他のサービスのスタートアップを無効にする設定も同様に行うことができる。

---

　今回は、サービスのスタートアップをグループポリシーで自動／手動／無効に設定する方法を中心にグループポリシーの設定項目を見てきた。そして、サービスの設定は「コンピューターの構成」−「ポリシー」だけでなく、「コンピューターの構成」−「基本設定」からも行えることを確認した。特に、「コンピューターの構成」−「基本設定」では、レジストリを直接編集するGPO設定も用意されており、今回のようにサービスの設定変更だけでなく、あらゆるレジストリを変更できるため、企業のニーズに合わせて多くの場面で活用できるだろう。

「基礎から分かるグループポリシー再入門」バックナンバー

• 「アカウントポリシー」でユーザーのパスワード設定を定義する
• 「管理用テンプレート」を拡張してアプリケーションの設定をカスタマイズする
• 「ポリシー」と「基本設定」の違いを理解する
• グループポリシーで「ストアアプリ」をインストールする
• コントロールパネルの設定項目をカスタマイズする
• Windows 10でグループポリシー設定を利用するには
• グループポリシーでファイルやフォルダー、レジストリを操作する
• ログオンスクリプトをグループポリシーに置き換えるには？
• フォルダーリダイレクトでユーザープロファイルを管理する
• グループポリシーで利用させる／利用させない「サービス」を柔軟に制御する
• これだけはやっておきたい！ 基本的なサーバー管理に役立つグループポリシー設定
• イベントビューアーでセキュリティ監査を行うためのグループポリシー設定
• “必要ないもの／使わないもの”は無効化し、クライアントのセキュリティを向上させる
• クライアントのセキュリティを強化するグループポリシー設定
• グループポリシーでアプリケーションの実行を制御する
• セキュリティの強化に役立つグループポリシー設定
• まだあるぞ！ グループポリシーの“鉄板”設定パート2
• すぐに使えるグループポリシーの“鉄板”設定
• グループポリシーを確実に運用するには
• グループポリシーの仕組み、理解できていますか？

筆者紹介

国井 傑（くにい すぐる）

株式会社ソフィアネットワーク取締役。1997年よりマイクロソフト認定トレーナーとして、Active DirectoryやActive Directoryフェデレーションサービス（AD FS）など、ID管理を中心としたトレーニングを提供している。2007年よりMicrosoft MVP for Directory Servicesを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。