- PR -

一般ユーザの制限強化

1|2 次のページへ»
投稿者投稿内容
ばみ
会議室デビュー日: 2002/12/31
投稿数: 12
投稿日時: 2003-11-21 22:50
1台のPCを複数のユーザで共有しており、基本的には一般ユーザはuserグループ権限のみのアカウントでログインするようになっています。

一般ユーザに対して、以下の項目で制限を強化しようと思っています。

1. デスクトップのセッティング変更
- 壁紙の変更
- スクリーンセーバーの変更
- Active Desktopの有効化
2. Internet Explorerのセッティング変更
- IEのオプションセッティング全て
(オプションメニューそのものが選択できないようにできれば一番いいと思います)
3. 一般ユーザからのプログラムのインストール
- すでにインストールしてあるプログラム以外のEXEファイルの実行
4. あらゆる種類のEXEファイルのダウンロード

アドミン権限を持つユーザには影響を与えず、これらの項目を一般ユーザには禁止したいのです。
以前にも同じような内容で質問をしたことがありますが、サーバに頼らないPC単体での利用なので固定/移動ユーザプロファイルでのセッティングがあまり期待できません。
レジストリをいじることで実現可能だという話ですが、どのレジストリをどのように変更すればいいのか、どなたかご存知の方がいらっしゃったらご教示いただけたらと思います。

[システム環境]
Windows 2000 SP4 (英語版)
なな
ぬし
会議室デビュー日: 2003/06/22
投稿数: 659
お住まい・勤務地: 愛知県
投稿日時: 2003-11-25 13:11
> レジストリをいじることで実現可能だという話ですが、
> どのレジストリをどのように変更すればいいのか、
> どなたかご存知の方がいらっしゃったらご教示いただけたらと思います。

グループポリシーで実現可能と思われます。
Windows2000 Serverが手元にあれば、.admファイルをメモ帳で参照すれば、
どのポリシーがどのようなレジストリに対応しているか知ることができます。

また、英語でよければ、Resource KitのRegistry Referenceの、
「Group Policy Registry Table」に一覧があります。

> アドミン権限を持つユーザには影響を与えず、これらの項目を一般ユーザには禁止したいのです。

こちらは、あまり良いアイデアがありませんが...
上記ポリシーのレジストリ設定を、regedt32でレジストリアクセス権を操作することで、
特定グループに対してのみポリシーを有効にできるかも?


[ メッセージ編集済み 編集者: なな 編集日時 2003-11-25 13:16 ]
Atwight
常連さん
会議室デビュー日: 2003/11/20
投稿数: 46
お住まい・勤務地: 神奈川県在住
投稿日時: 2003-11-25 15:14
こんにちは

グループポリシーを使用するということでしたら、Administratorsグループをポリシーから外すことが出来ます。
というより、ユーザーレベルで制御することが出来ます。

ポリシーの[セキュリティ]タブに[読み取り]と[グループポリシーの適用]があるはずです。グループポリシーが適用されるにはこの両方の権利が必要です。

あとはセキュリティグループ等を使用してこの権利を制御すればできるはずです。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2003-11-25 23:15
こんばんわ,お世話になります.

>ポリシーの[セキュリティ]タブに[読み取り]と[グループポリシーの適用]があるはずです。グループポリシーが適用されるにはこの両方の権利が必要です。

具体的にどうやったらそのタブが表示されるんでしょう?手元の Windows Server 2003 のスタンドアロンの環境では見当たらなかったので...
井上孝司
ぬし
会議室デビュー日: 2001/09/08
投稿数: 668
お住まい・勤務地: 東京都
投稿日時: 2003-11-26 08:34
井上です。

元発言で「PC 単体での利用」って書いてあるのに、皆さん、グループポリシーに話を持っていってしまってるから… (苦笑)

もちろん、グループポリシーを使えば実現可能なのですが、どうしても単体で実現しなければならないということでしたら、個別のユーザーごとにレジストリをいじらざるを得ないのではないでしょうか。対象となるレジストリの探し方については、ななさんが書いておられるとおりです。
面倒なのは、新たにユーザーを追加した場合の扱いですが、HKEY_USERS\.Default 以下をいじくって解決できれば理想的ですね。試したことはありませんが。
_________________
www.kojii.net
はむ殿
会議室デビュー日: 2002/08/01
投稿数: 8
投稿日時: 2003-11-26 10:18
ばみさん、こんにちは。
私も、とある環境で似たようなことをしたことがあるので、お役に立てればと
思います。
結局は、ななさんと同じ方法を用いて(「.adm」ファイルの内容を調べて)、
「.reg」ファイルにまとめようかと思いましたが、最終的には「JScript」を
使用して、レジストリに書き込みを行うようにしました。
(制限をかけるユーザに対してですが・・・・・・)

「.adm」ファイル内を探すのは大変かと思いますので、以下のキーを中心に
探してみてはいかがでしょうか?。
(「HKEY_CURRENT_USER」を「HKCU」と略します。)

・HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
・HKCU\Software\Policies
・HKCU\Software\Policies\Microsoft

ばみ
会議室デビュー日: 2002/12/31
投稿数: 12
投稿日時: 2003-11-28 19:55
みなさん、貴重なご意見をいろいろとありがとうございます。
自分でもあれこれ調べてみて、やっぱりレジストリかな、という結論に達しています。
いまはどのレジストリが何をコントロールしているのかを調べているところです。
ところで、はむ殿さんの投稿に

引用:

結局は、ななさんと同じ方法を用いて(「.adm」ファイルの内容を調べて)、
「.reg」ファイルにまとめようかと思いましたが、最終的には「JScript」を
使用して、レジストリに書き込みを行うようにしました。
(制限をかけるユーザに対してですが・・・・・・)


とありますが、もしご面倒でなければどのようにコードを組めばいいのか、
実行の手順はどんな風になるのか、サンプルコードを教えていただけないでしょうか?
プログラミングはJava, VB, php等の経験があり、Scriptに関してはJavaScript,
VBScriptをWeb上で動かす程度のことはやったことがあるので、
まるっきりシロートというワケではありませんが。。。
これをレジストリの変更に応用するにはどうすればいいのか、
ポイントをかいつまんで教えていただければその後は自分でなんとか
展開できるのではないかと考えています。

幸いスペアのPCがあり、テストをすることも可能なので是非とも試してみたいのです。
なな
ぬし
会議室デビュー日: 2003/06/22
投稿数: 659
お住まい・勤務地: 愛知県
投稿日時: 2003-11-28 21:05
たくさんの回答がありますね。

> アドミン権限を持つユーザには影響を与えず、これらの項目を一般ユーザには禁止したいのです。

こちらをどのように対応するのか? によって、適したツールが決まると思います。

操作するレジストリ値によっても対応方法が制限される可能性もありますので...
具体的にどのあたりのレジストリ値を操作しようとしていますか?
(HKEY_LOCAL_MACHINE配下? HKEY_CURRENT_USER配下?)
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)