- PR -

グループポリシーでUSBメモリーなどのリムーバブルディスクを制限したい

1
投稿者投稿内容
chage
常連さん
会議室デビュー日: 2005/01/04
投稿数: 41
投稿日時: 2005-03-07 11:58
お疲れ様です。

ADのグループポリシーで特定のグループやユーザーに対して
USBメモリの使用を制限しようとしているのですが
正しい方法がわからず困っています。

[管理ツール]-[Activedirectoryユーザとコンピュータ]で
ツリーのドメインを右クリック、グループポリシータブを開いて
システムポリシーのセキュリティー(?)あたりにある、英語が羅列してある項目内の
「Removable Storage」をいじくれば実現できるのかと考えているのですが
「未定義」「手動」「自動」「無効」などの設定項目がありいまいちやり方が
わかりません・・・

どなたかおわかりになる方がいらっしゃいましたら、お教えいただければと思います。
宜しくお願いいたします。
ぱすたっち
会議室デビュー日: 2005/01/14
投稿数: 8
投稿日時: 2005-03-08 12:13
こんにちは。
USBストレージの設定はレジストリで行うようになると思われます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

のStart を3から4にすると関連のサービスが起動しなくなるので実現可能だそうです。
後は、それをどうポリシーで実現するかですが・・・。

#スクリプトでregコマンド叩くとか・・・。
chage
常連さん
会議室デビュー日: 2005/01/04
投稿数: 41
投稿日時: 2005-03-08 13:22
ぱすたっちさん、ありがとうございます。
レジストリからもいけるんですね。Winnt\inf\フォルダのusbstor.infファイルの
セキュリティアクセス許可などでも制限が出来るようなのですが、今回はADの
グループポリシーで実現しようと悪戦苦闘中です・・

お分かりになる方がいらっしゃいましたら、是非ご教授ください!!
ぱすたっち
会議室デビュー日: 2005/01/14
投稿数: 8
投稿日時: 2005-03-09 09:30
こんにちは。
おお、そういう方法もありますか。成程。

ちなみにデフォルトで存在するポリシー(GPMCで出てくる項目)には、該当機能を提供
する項目は確かありません・・・。

なので、chageさんが書き込んでいる内容と私が書いた内容から

*ポリシーに、私が書いたレジストリのパラメータを変更する項目を書き足す
*ポリシーのログオンスクリプトにバッチを組んで、regコマンドで該当レジストリを書き換える(動作未確認)
*MSの提供するXCACLS.vbsを同じくポリシーのログオンスクリプトで使って、usbstor.infのアクセス権を書き換える

の三択ですかね。

#すんません、時間無いのでとりあえず選択肢のみ・・・。
NAO
ぬし
会議室デビュー日: 2001/10/24
投稿数: 1256
お住まい・勤務地: 神奈川のはずれから東京の下町
投稿日時: 2005-03-11 10:16
お早うございます〜

カスタムでポリシーファイルを作れば良いのでは? 

1.テキストエディタで記述して拡張子admで保存して下さい。
2.グループポリシーオブシェクトエディタ→管理用テンプレート

で独自のグループポリシーが追加あされます。

3.表示→フィルタ→完全に管理〜のチェックをはずす

で設定したい方を選択すれば良いかと。

ちょうど解説記事が日経Windowsプロの3月号に載ってます
_________________
Inspired Ambitious
ISMS Assistant Auditor
chage
常連さん
会議室デビュー日: 2005/01/04
投稿数: 41
投稿日時: 2005-03-12 01:23
ぱすたっちさん、Naoさんありがとうございます!

とりあえず、日経Windowsプロを見てみますね。
結構難しいものなのですね・・
1

スキルアップ/キャリアアップ(JOB@IT)