検索
連載

グループポリシーで利用させる/利用させない「サービス」を柔軟に制御する基礎から分かるグループポリシー再入門(11)(2/2 ページ)

本連載では「グループポリシー」でさまざまなセキュリティ機能を実装してきた。しかし、グループポリシーではセキュリティだけでなく、企業内で利用させる/利用させない機能も柔軟に制御できる。今回は、Windowsの「サービス」に注目し、その制御に利用可能なグループポリシー設定を紹介する。

[国井傑(Microsoft MVP for Directory Services),株式会社ソフィアネットワーク] PC用表示 関連情報
Share
Tweet
LINE
Hatena
前のページへ |       

デバイス検索サービスの利用を停止する

 Windows Vista以降で「ネットワーク探索」機能を有効にすると、Windowsはネットワーク内に存在するさまざまなデバイスを自動的に検索して、「Windowsエクスプローラー」上に表示するようになる(画面2)。

画面2
画面2 Windowsエクスプローラーの「ネットワーク」画面。同じネットワーク上にあるさまざまなコンピューター、デバイスが表示されている

 一見、便利に思えるかもしれないが、不要なデバイスが表示されることでユーザーの使い勝手が低下したり、デバイスを検索しようとする動作がコンピューターのパフォーマンスに悪影響を及ぼしたりしていると考えるのであれば、デバイスを発見するサービスを「無効」にすることも検討したい。

 コンピューター以外のデバイス検索に使われるプロトコルには、「SSDP(Simple Service Discovery Protocol)」と「WSD(Web Services on Devices)」がある。これらのプロトコルは、「Function Discovery Provider Host」サービスによってデバイスを検索するように命令されている。そのため、「Function Discovery Provider Host」サービスを無効にすれば、SSDP/WSDによるデバイス検索は行われなくなり、Windowsエクスプローラー上にもコンピューターの一覧だけが表示されるようになる。

Adobe Readerの自動アップデートを停止する

 次は、クライアントコンピューターで「Adobe Reader」の自動アップデートを実行させないための対処方法を説明しよう。

 Adobe Readerの自動アップデート機能はWindowsのサービスとして登録されているので(サービス名:Adobe Acrobat Update Service)、GPOでサービスを停止(無効に)すれば、自動アップデート機能も利用できなくなる。

 しかし、マイクロソフト以外のアプリケーションでは、GPOの「システムサービス」項目にそのサービス名が表示されないため、「システムサービス」項目から制御することができない。その場合には、次のいずれかの方法でサービスを制御する。

●制御方法1:「基本設定」項目を活用する

 GPOの編集画面には「システムサービス」の他にも、サービスをカスタマイズするために次の項目が用意されている。

サービスをカスタマイズする

・「コンピューターの構成」−「基本設定」−「コントロールパネルの設定」−「サービス」


 「グループポリシーの管理」管理ツールの左ペインで「サービス」項目を右クリックして「新規作成」→「サービス」を選択すると、サービスを新規登録するための画面が表示される(画面3)。

画面3
画面3 GPOの「サービス」画面からサービス設定を新規作成する

 ここで「サービス名」欄にサービスを追加して、特定のサービスに対する各種設定を行う。このとき選択できるサービスは、“GPOを操作するコンピューターにインストールされているサービスの一覧”となる。そのため、GPOを操作するコンピューターにAdobe Readerがインストールされていれば、Adobe Readerのサービスを追加できる。

 サービスを無効にするには「スタートアップ」リストボックスで「無効」を指定すると同時に、「サービス操作」欄で「サービスを停止する」も選択しておく。これにより、GPOが適用された瞬間からサービスは停止して、利用できなくなる。

●制御方法2:「レジストリ」項目を活用する

 サービスの設定は基本的にはレジストリに格納されているので、レジストリを直接編集することでサービスを無効化できる。レジストリをGPOから設定する場合は、次の項目を利用する。

サービスをレジストリで制御する

  • 「コンピューターの構成」−「基本設定」−「Windowsの設定」−「レジストリ」

 「グループポリシーの管理」管理ツールの左ペインで「レジストリ」項目を右クリックして「新規作成」−「レジストリ項目」を選択すると、レジストリ設定を新しく登録する画面が表示される(画面4)。「ハイブ」欄に「HKEY_LOCAL_MACHINE」が選択されていることを確認し、「キーのパス」欄で「...」ボタンをクリックする。

画面4
画面4 GPOの「レジストリ」画面からレジストリ設定を新規作成する

 すると、画面5が表示されるので、画面上部で「SYSTEM¥CurrentControlSet¥Services¥AdobeARMService」を、画面下部で「Start」を選択して「OK」をクリックする。画面4に戻ったら、「値のデータ」に下1桁が「4」となるように入力して「OK」をクリックすれば設定は完了だ。

画面5
画面5 画面4の「キーのパス」欄にある「...」ボタンをクリックして表示される画面

 簡単にレジストリの構造を説明しておくと、サービスに関する設定はレジストリの「SYSTEM¥CurrentControlSet¥Services」に含まれるので、前出の画面5の上部では「Services」までを順番に選択する。

 そして、「Services」配下のどの部分を選択すればよいかについては、「サービス」管理ツールのプロパティを参考する。例えば、「Adobe Acrobat Update Service」の場合は、「サービス」管理ツールから「Adobe Acrobat Update Service」をダブルクリックする。すると、表示されるプロパティで、レジストリに登録されるサービス名が「AdobeARMService」であることを確認できる(画面6)。

画面6
画面6 「サービス」管理ツールから「Adobe Acrobat Update Service」サービスのプロパティを開いた様子

 では、ここでもう一度画面5に戻る。画面5の下部で「Start」という項目を選択しているが、Start値はサービスのスタートアップを自動/手動/無効のいずれかを設定する項目になる。自動は「2」、手動は「3」、そして無効は「4」という値が入る。そのため、画面5の下部で「Start」を選択し、そして画面4に戻って「値のデータ」に「4」という値を設定している。

 以上のルールを覚えておけば、他のサービスのスタートアップを無効にする設定も同様に行うことができる。

 今回は、サービスのスタートアップをグループポリシーで自動/手動/無効に設定する方法を中心にグループポリシーの設定項目を見てきた。そして、サービスの設定は「コンピューターの構成」−「ポリシー」だけでなく、「コンピューターの構成」−「基本設定」からも行えることを確認した。特に、「コンピューターの構成」−「基本設定」では、レジストリを直接編集するGPO設定も用意されており、今回のようにサービスの設定変更だけでなく、あらゆるレジストリを変更できるため、企業のニーズに合わせて多くの場面で活用できるだろう。

「基礎から分かるグループポリシー再入門」バックナンバー

筆者紹介

国井 傑(くにい すぐる)

株式会社ソフィアネットワーク取締役。1997年よりマイクロソフト認定トレーナーとして、Active DirectoryやActive Directoryフェデレーションサービス(AD FS)など、ID管理を中心としたトレーニングを提供している。2007年よりMicrosoft MVP for Directory Servicesを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       
ページトップに戻る