- PR -

一般ユーザによるセッティングの変更を防止する方法

1
投稿者投稿内容
ばみ
会議室デビュー日: 2002/12/31
投稿数: 12
投稿日時: 2003-04-30 20:09
海外のCommercial SchoolでIT管理者のアシスタントをしているのですが、
学生たちがPCのセッティングを勝手に変更したり、英語版のOSに無理に
他の言語のプログラムをインストールしようとするので困っています。

* 学生用のPCは、
OS: Windows2000 professional SP3 (英語版)

学生は「User」権限のみのアカウントおよびパスワードでしか
各PCへのLoginができないようになっています。

* 防止したいことは、
1. デスクトップのセッティング変更
2. Internet Explorerの「ホームページ」や「詳細」、セキュリティレベル等のセッティング変更
3. 一般ユーザからのプログラムのインストールの禁止

Window2000が本来持っている機能、例えばセキュリティ・ポリシーやレジストリの
編集等を利用してこれらのことを防止することは可能でしょうか?
基本的にWin2000では一般ユーザではプログラムのインストールができないのは
承知していますが、モノによってはインストールできてしまうものがあるので、
(例:NJStar−英語版OSで中国語・日本語・韓国語の変換を可能にするソフト。
バグが多く、システムストールを引き起こす頻度高)
これらのプログラムへの対処方法などご教示いただけるとありがたく思います。
井上孝司
ぬし
会議室デビュー日: 2001/09/08
投稿数: 668
お住まい・勤務地: 東京都
投稿日時: 2003-04-30 20:28
井上です。

これだけで完全な解決になるかどうか分かりませんが、固定ユーザープロファイルにしてしまってはいかがでしょう。ユーザーごとに、ユーザー プロファイル フォルダにある「NTUSER.DAT」ファイルを「NTUSER.MAN」にリネームすると固定ユーザープロファイルになり、設定変更結果が保存されなくなります。
_________________
www.kojii.net
はむ殿
会議室デビュー日: 2002/08/01
投稿数: 8
投稿日時: 2003-05-02 12:20
こんにちは、ぱみさん
引用:

ばみさんの書き込み (2003-04-30 20:09) より:

* 防止したいことは、
1. デスクトップのセッティング変更
2. Internet Explorerの「ホームページ」や「詳細」、セキュリティレベル等のセッティング変更
3. 一般ユーザからのプログラムのインストールの禁止

かつて仕事関係でそんな話題が出たときに、結果的にはレジストリをいじることで
解決(回避?)した覚えがあります。基本的には、グループポリシーでもいけそう
な感じがしたのですが、カスタムポリシーを作る時間がなかったので、直接やっち
ゃいました。概要は以下の通りです。
・「コントロールパネル」の非表示
・ドライブ表示の制限
 →CD−ROMも無効化しました。
・スタートメニューの表示内容制限
 →「ファイル名を指定して実行」も未表示にしました。
 等々

やり方は、JSCRIPTで処理内容を記述し、BATファイルでJSCRI
PTファイルを実行しました。
変更したレジストリは、以外と量があるので、ちょっとこの場では掲載できない
と思います。
具体的な内容があれば、お知らせできると思います。
それでは。
<追伸>
井上さんの方法も、別件で試してみたいと思います。(^^
井上孝司
ぬし
会議室デビュー日: 2001/09/08
投稿数: 668
お住まい・勤務地: 東京都
投稿日時: 2003-05-02 12:43
井上です。

IE については、設定用のタブを表示しないようにするグループポリシー設定があったと記憶しています。あと、「ソフトウェアの制限ポリシー」とかいうのがあったと思いますが、これも使えるかもしれません。もうちょっとヒマになったら調べてみましょう。
_________________
www.kojii.net
ばみ
会議室デビュー日: 2002/12/31
投稿数: 12
投稿日時: 2003-05-02 23:28
井上さん、はむ殿さん、アドバイスありがとうございます。
現在、井上さんからいただいたアドバイスを元にセッティングをしようとしているのですが、
拡張子を "man"に変更するだけではセッティングのロックができません。
自分でもいろいろ調べてみたところ、プロファイルを格納する共有フォルダを設定したり
しなくてはいけないのですね?
グループポリシーやカスタムポリシーはかなり有用だと思われるので、
自分でも詳細を調べているところです。
注意事項やヒントなどありましたらご教示いただけると嬉しく思います。
井上孝司
ぬし
会議室デビュー日: 2001/09/08
投稿数: 668
お住まい・勤務地: 東京都
投稿日時: 2003-05-03 10:11
井上です。

固定ユーザー プロファイルは、移動ユーザー プロファイルと組み合わせないと使い辛い部分があるかもしれません。個々のコンピュータごとに、ユーザー プロファイル フォルダを調べないといけませんから。<CM>この辺の話題は、拙著「Active Directory導入と運用の基本」でも取り上げています。</CM>

グループ ポリシーは、ドメインや OU 相互間で設定の継承と上書きが行われるので、注意しないと下位の OU のポリシーが上位ドメインや OU のポリシーを上書きしてしまって、設定したはずのものがされない、という目に遭うことがあります。Windows Server 2003 だと、適用されるポリシーの内容を事前に検証できて便利なんですけど。
_________________
www.kojii.net
1

スキルアップ/キャリアアップ(JOB@IT)