- PR -

ActiveDirectoryにおける一般ユーザでのプログラムインストール制限

1
投稿者投稿内容
RY
会議室デビュー日: 2005/03/29
投稿数: 9
投稿日時: 2005-04-04 19:48
お世話になります。RYです。

ActiveDirectoryサーバについて,ご教授願います。

ActiveDirectoryサーバで管理する一般ユーザで使用するPCに対しては,フリーソフト
ウェアを含む全てのソフトウェアをインストールできなくすることは可能でしょうか?

ちなみに,「Domain Users」グループは,AcitveDirectoryサーバに登録したユーザが,
デフォルトで属するグループですが,「Domain Users」グループに属するユーザでは,
PCへプログラムのインストールが出来なくなるという話を聞いたのですが,特にその
ようなことはありません。

環境は以下の通りです。
[ActiveDirectoryサーバ]
OS:Windows Server 2003

[クライアント]
OS:WindowsXPproSP2

よろしくお願いします。
ティム
会議室デビュー日: 2005/04/01
投稿数: 9
投稿日時: 2005-04-04 21:30
ローカルPCのアカウント管理で、「ActiveDirectoryのアカウントに対し
Administrator権を与えない」という方法で、対処できます。

この場合、OSのセットアップなども管理者側で実施し、ユーザには
administratorとして一切作業させない という必要があります。
 →ただし、WindowsUpdateすら自分ではできなくなってしまうので、
  ご注意ください。

逆に、ユーザにローカルのadministrator を与えてしまうと、
ActiveDirectory のポリシをどう切っても無意味になって
しまうようです。
 →ドメインから外れることも任意にできてしまうので。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-04-05 00:02
こんばんわ.
引用:

ティムさんの書き込み (2005-04-04 21:30) より:

ローカルPCのアカウント管理で、「ActiveDirectoryのアカウントに対し
Administrator権を与えない」という方法で、対処できます。

一般ユーザーでも導入できてしまうものは無いわけではありません.
なので,ティム様はお困りなのだと思います.
引用:

逆に、ユーザにローカルのadministrator を与えてしまうと、
ActiveDirectory のポリシをどう切っても無意味になって
しまうようです。
 →ドメインから外れることも任意にできてしまうので。

Domain から外れないまでも,
Local Administrator として logon すればそのとおりになります.

たしか制限できないのではないかと思います.
商用のアプリケーションを用いてそのような仕組みが実現されているくらいですから.
RY
会議室デビュー日: 2005/03/29
投稿数: 9
投稿日時: 2005-04-05 00:32
こんばんわ。

ティムさん,kazさん,ご教授有難う御座います。

ティムさんから,教えて頂いた方法で,まずは,「ソフトウェアインストールの制限」
が可能かどうか試してみます。
しかし,現在ポリシでSUSによるアップデートを管理していますので,少し難しいかなと考えてます。
(ご教授有難う御座います。)

kazuさんの言われる「たしか制限できないのではないかと思います.商用のアプリケーションを用いてそのような仕組みが実現されているくらいですから.」は,「ActiveDirectoryの機能やポリシを使用して,クライアントへのソフトウェアインスト
ールをさせないことは出来ないのではないか」と言われているのですよね?

よろしくお願いします。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-04-05 00:45
引用:

RYさんの書き込み (2005-04-05 00:32) より:

ティムさんから,教えて頂いた方法で,まずは,「ソフトウェアインストールの制限」
が可能かどうか試してみます。
しかし,現在ポリシでSUSによるアップデートを管理していますので,少し難しいかなと考えてます。
(ご教授有難う御座います。)

SUS を利用しているなら,
一般 user のままでも security hostfix は適用できますが?
end-user に導入の可否を判断させない方法ならとくに管理者権限は必要ありません.
※次期 version では一般 user が任意で hotfix を
導入することができるようになるそうです.
引用:

kazuさんの言われる「たしか制限できないのではないかと思います.商用のアプリケーションを用いてそのような仕組みが実現されているくらいですから.」は,「ActiveDirectoryの機能やポリシを使用して,クライアントへのソフトウェアインスト
ールをさせないことは出来ないのではないか」と言われているのですよね?

です.
どこまで制限するかによるでしょうけど,
たとえば cd-rom drive や fdd を利用できないようにしてしまうとか,
※cd-rom や fd から software を導入できないようにする policy があったかな?
何らかの手段で実現できても,network 経由で software を採取すれば
導入できてしまうこともあるでしょうし.
「Windows Installer による導入を制限する」くらいならできるかもしれません.
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2005-04-05 01:12
登録されたApplicationしか起動できないようにしてはいかがでしょう?

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestirctRun]
のKeyを作成します。

次に、文字列値を作成し、Entryに1から始まる連番の数値を指定します。
そして、値に実行を許可するApplicationを指定します。

まあ、完璧ではありませんが・・・
ティム
会議室デビュー日: 2005/04/01
投稿数: 9
投稿日時: 2005-04-05 08:41
> 一般ユーザーでも導入できてしまうものは無いわけではありません.
確かに、ご指摘のとおりですね(_ _ヾ。

例えば、こんなグループポリシもあります。
----
 ユーザ構成→管理用テンプレート→コントロールパネル
   →アプリケーションの追加と削除を無効にする
   →Windowsコンポーネントの追加と削除を無効にする
   等々

 ユーザ構成→管理用テンプレート→システム
   →許可されたWindowsアプリケーションだけを実行する
   等々
----
Local Administrator をロックする方法としては、
 ・OSのインストールは全て管理者にて実施し、ユーザにはadministratorを
  持たせない。
あるいは
 ・一度Domainに参加させたら、Domain admins 権限のアカウントでmmcを用い、
  リモートから「ローカルユーザーとグループ」を操作し、Administrators
  (グループ)変更とAdministratorのパスワード更新を実施する
という手が使えます。

また、ActiveDirectoryのポリシコントロールで、hotfix等のプログラムを
強制インストールすることもできます。
 →ただし、既存アプリとのコンフリクトもあり得るのと、従業員啓発の意味から、
  私の回りではあまり使われていない手でもありますが・・・
1

スキルアップ/キャリアアップ(JOB@IT)