グループポリシーでネットワーク接続のプロパティを開けないようにする【Windows OS】:Tech TIPS
管理者権限を与えていると、ユーザーによってネットワーク設定の変更が可能である。そのせいでトラブルやセキュリティ上の問題が発生する可能性がある。ポリシーを使ってネットワーク接続のプロパティを開けなくすることで、ユーザーがネットワーク設定の変更や参照を行えないようにできる。
対象OS:Windows 2000/Windows XP/Windows Server 2003/Windows Vista
ユーザーにネットワーク設定を変更させたくない!
Active Directory環境であっても、運用上、クライアントPCに管理者権限を与えている場合も多いようだ。
このような場合、ユーザーによってネットワークの設定が変更できてしまい、無用なトラブルやセキュリティ上の問題を引き起こす原因となる。また、ユーザーが勝手に設定を変更して、ノートPCでセキュリティ上問題のある無線LANアクセスポイントに接続してしまうといったことを防ぐ意味でも、ネットワークの設定が変更できないようにしておくと安心である。
ネットワークの設定は、何らかの障害が発生するなどしない限り、最初に正しく設定しておけば、その後に変更の必要はない。Active Directory環境ならば、システムのさまざまな設定をグループポリシー機能を使って制御可能で、[ローカル エリア接続]や[ワイヤレス ネットワーク接続](以下、両方を合わせて「LAN接続」とする)プロパティを開けなくすることもできる。
設定されたポリシーは、クライアントが起動するときや、ユーザーがシステムにログオンするときなどに適用される。[LAN接続]のプロパティが開けなければ、ネットワーク設定を容易に変更できなくなる。
グループポリシーでネットワーク接続のプロパティを開けないようにするには
Active Directory環境ならば、管理者権限でログオンし、適用したいActive Directoryのグループポリシーを選択したうえで、グループポリシー管理コンソールを起動する。グループポリシー管理コンソールの使い方は、Tech TIPS「グループポリシーエディタの使用法」を参照のこと。
[ユーザーの構成]−[管理用テンプレート]−[ネットワーク]−[ネットワーク接続]を選択し、[Administrators用のWindows 2000のネットワーク接続設定を有効にする][LAN接続のプロパティへのアクセスを禁止する]の2つの状態を「有効」にする。
グループポリシー管理コンソールによる設定[Administrators用のWindows 2000のネットワーク接続設定を有効にする][LAN接続のプロパティへのアクセスを禁止する]のどちらを先に変更してもよい。
(1)[ユーザーの構成]−[管理用テンプレート]−[ネットワーク]−[ネットワーク接続]を選択する。
(2)Windows XP以降にも設定を反映させる場合は、[Administrators用のWindows 2000のネットワーク接続設定を有効にする]を有効にする→[A]へ
(3)LAN接続のプロパティへのアクセスを禁止する]のポリシーを有効にすることで、LAN接続のプロパティが開けなくなる→[B]へ
[A]
![[Administrators用のWindows 2000のネットワーク接続設定を有効にする]の設定画面](https://image.itmedia.co.jp/l/im/ait/articles/0710/12/l_wi-942policyedit02.png)
[Administrators用のWindows 2000のネットワーク接続設定を有効にする]の設定画面クライアントコンピュータにWindows XP以降が含まれる場合は、このポリシーを有効にする必要がある。
(1)[有効]を選択する。
![[LAN接続のプロパティへのアクセスを禁止する]の設定画面](https://image.itmedia.co.jp/l/im/ait/articles/0710/12/l_wi-942policyedit03.png)
クライアントコンピュータがWindows 2000のみの場合は、[Administrators用のWindows 2000のネットワーク接続設定を有効にする]は不要だ。一方、Windows XP以降にも設定を反映させるためには、この設定も「有効」にしておく必要がある。
これはWindows XP以降では、既定でAdministratorsに対する特定の機能を禁止する設定がなくなっているためだ。[Administrators用のWindows 2000のネットワーク接続設定を有効にする]のポリシーを有効にすることで、Windows 2000と同様、Administratorsに対する特定の機能が禁止可能となるため、[LAN接続のプロパティへのアクセスを禁止する]のポリシーが反映されることになる。
設定後、クライアントコンピュータで再ログオンをして、上記のポリシーをクライアントコンピュータに反映させる。
すると、Windows 2000では、[ネットワークとダイヤルアップ接続]の[ローカル エリア接続]を右クリックして表示されるポップアップメニューから[プロパティ]を選択しても、「接続のプロパティにアクセスするための特権が不足しています。管理者に問い合わせてください」というダイアログボックスが表示されるようになる。
![Windows 2000 SP4での[ローカル エリア接続]のプロパティを開いた際の警告画面](https://image.itmedia.co.jp/l/im/ait/articles/0710/12/l_wi-942policyedit04.png)
Windows 2000 SP4での[ローカル エリア接続]のプロパティを開いた際の警告画面[LAN接続のプロパティへのアクセスを禁止する]のポリシーを[有効]に設定すると、このように警告が表示されて設定変更ができなくなる。
(1)[ローカル エリア接続]を右クリックしてポップアップメニューを開き、[プロパティ]を選択する。
(2)「接続のプロパティにアクセスするための特権が不足しています。管理者に問い合わせてください」というダイアログボックスが表示される。設定変更はできない。
Windows XP以降では、[ローカル エリア接続]を右クリックして表示されるポップアップメニューの[プロパティ]がグレーアウトされて選択できないようになる。これにより、ユーザーはLAN接続の設定が容易に変更できなくなるわけだ。
![Windows XP SP2での[ローカル エリア接続]のポップアップメニュー](https://image.itmedia.co.jp/l/im/ait/articles/0710/12/l_wi-942policyedit05.png)
Windows XP SP2での[ローカル エリア接続]のポップアップメニュー[LAN接続のプロパティへのアクセスを禁止する]のポリシーを[有効]に設定すると、設定変更ができなくなる。
(1)[ローカル エリア接続]を右クリックして表示されるポップアップメニューの[プロパティ]がグレーアウトされて選択できない。
非Active Directory環境の場合は?
グループポリシーが利用できない場合は(Active Directoryを導入していない場合は)、コンピュータごとにローカルコンピュータポリシーで同様の設定を行うことで、[ローカル エリア接続]のプロパティを開けなくすることができる。ただし、ユーザーに管理者権限を与えている場合は、設定を戻して、再度プロパティが開けるようにできるので注意が必要だ。
■この記事と関連性の高い別の記事
Copyright© Digital Advantage Corp. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。