Windows TIPS ディレクトリ

グループ・ポリシー

更新日:2006/03/31

 サブディレクトリ
 グループ・ポリシー
WebブラウザのProxy設定を行うための4つの方法 − WPADのススメ −
リモート・デスクトップ接続を無効にする
リモート・デスクトップは便利な機能だが、万一不正アクセスを許すと影響が大きい。 / 企業のクライアントPCなど、リモート接続が不要なら、システムのプロパティから接続を不許可にできる。 / さらにグループ・ポリシーを使えば、ユーザーがリモート・デスクトップの設定を変更できなくすることができる。
ログオン画面で[シャットダウン]ボタンを有効/無効にする
ログオン画面に[シャットダウン]ボタンを表示させると、ログオンしなくてもシステムをシャットダウンできる。 / クライアントOSではこのボタンはデフォルトでは有効、サーバOSでは無効だが、場合によっては変更したいこともある。 / [シャットダウン]ボタンを表示させるかどうかは、グループ・ポリシーやローカル・セキュリティ・ポリシーで制御できる。
リモート・デスクトップの接続時間を制限する
リモート・デスクトップ接続を利用する場合、ログオフし忘れていると、離席したすきにリモートのコンピュータへアクセスされてしまう可能性がある。 / セキュリティのためには、セッションの接続可能時間を制限したり、一定時間アイドル状態が続いたら、強制的にセッションを終了したりするように設定しておくとよい。 / セッションのタイムアウト時間や切断時の強制終了を行うには、サーバ側の設定を変更する。
グループ・ポリシー・エディタの使用法
Windowsでは、コンピュータの初期設定などをグループ・ポリシー・オブジェクト(GPO)として定義しておき、システムにログオンするたびに、自動的にこれを適用できるようになっている。 / GPOを編集するには、グループ・ポリシー・エディタを使用するが、一般ユーザーが広く使うツールではないので、[スタート]メニューなどには登録されていない。 / これを起動するには、手作業でMMCを起動し、スナップインを追加する必要がある。
Windows Updateを無効化する
まだシステムに適用されていないhotfixを調査し、これをダウンロードして適用可能にするサービスとして、Windows Updateがある。 / 便利な機能なのだが、企業のクライアントに対し、ユーザー各自がWindows Updateを実行するのは難しい。 / そのような場合には、ユーザーによるWindows Updateの実行を禁止することができる。
共有フォルダのショートカット アイコンを[マイ ネットワーク]に追加しないようにする方法
Windows 2000では、アクセスした共有フォルダへのショートカット アイコンが自動的に作成される。これを禁止させる方法。
前回ログオン時のユーザー名を非表示にする
デフォルトでは、前回ログオンに成功したユーザーの名前がログオン・ダイアログに表示される。 / 利便性を考えてのことだが、ログオン認証の安全性をより高めるには、ユーザー名表示は行わないほうがよい。 / ローカル・セキュリティ・ポリシーの設定を変更すれば、これが可能である。
Active DirectoryのUsers/Computersコンテナをリダイレクトする
ユーザーやコンピュータ・オブジェクトは、デフォルトではUsersやComputersコンテナの中に作成される。 / コンテナにはグループ・ポリシーを適用できないため、UsersやComputersコンテナのオブジェクトだけに適用させるのは簡単ではない。 / リダイレクト機能を利用すると、UsersとComputersコンテナを任意の組織単位に割り当て、グループ・ポリシーを適用させることができる。
グループ・ポリシーでWinnyの実行を禁止する
Winnyによる情報漏えい時間が多発している。そのため企業ではWinnyの実行は禁止しておくのがよい。 / グループ・ポリシーのソフトウェアの制限機能を利用すると、Winnyの実行を禁止することができる。 / ただしこの方法はWindows XPとWindows Server 2003でしか利用できない。
グループ・ポリシー管理を強力に支援するGPMCを活用する
大規模なネットワークを統一的に管理するには、Active Directoryとグループ・ポリシーを活用するとよい。 / しかし従来は、グループ・ポリシー・オブジェクト(GPO)のバックアップが行えないことや、GPOの適用テストなどを簡単に行えないため、大規模ユーザーがグループ・ポリシーを積極的に活用するのは困難だった。 / グループ・ポリシー管理コンソールを利用すれば、これらの問題を解消して、グループ・ポリシーを柔軟に活用できるようになる。
リモート・デスクトップ接続でクリップボード共有を禁止する
リモート・デスクトップ接続を利用すると、別のマシンにリモートからログオンして作業できる。 / リモート・デスクトップでは、リモート・デスクトップ内の環境(サーバ)と、ローカル・コンピュータ(クライアント)の間でクリップボードを共有し、データを交換できるが、セキュリティ上の理由からこれを禁止したい場合もある。 / グループ・ポリシー・エディタを利用すれば、リモート・デスクトップ接続のリダイレクト機能を禁止できる。
共通ダイアログのショートカット・バーを変更する
Windowsシステムの共通オープン・ファイル・ダイアログには、特定のフォルダへ素早くアクセスするためのショートカット・バーが用意されている。 / このショートカットの内容を変更して、よく使う作業フォルダなどを割り当てておくことができる。 / ショートカットの内容を変更するには、TweakUIを利用するとよい。
業務に不要なプログラムの実行をグループ・ポリシーで禁止する
ファイル交換やゲーム・ソフトウェアなど、業務に必要のないプログラムやスクリプトの実行を禁止したいことがある。 / Active Directoryのグループ・ポリシー機能を利用すると、指定したプログラム・ファイルの実行を組織的に禁止できる。
Windows Server 2003 SP1の自動更新をブロックする
Windows Server 2003 SP1は2005年4月に正式公開され、すでにダウンロード・サイトなどから入手できる。 / 2005年7月26日からは、自動更新サイトでの提供が始まる予定であり、この日を過ぎるとシステムに自動的にSP1が適用される。 / 検証作業が未了などの理由でSP1の適用を延期したい場合は、SP1のブロック・ツールを利用して、レジストリを設定する。 / このツールを利用しても、2006年3月30日を過ぎると自動的にSP1が適用される。
dcgpofixでグループ・ポリシーをデフォルト状態に戻す
グループ・ポリシーを変更した結果、システムの動作が不安定になったり、システム障害の発生でグループ・ポリシー設定がおかしくなったりすることがある。 / このような場合はグループ・ポリシー設定を元に戻せばよいが、バックアップを取っていないと、復旧は簡単ではない。 / Windows Server 2003にはdcgpofixというコマンドがあり(Windows 2000ではrecreatedefpolコマンド)、Active Directory導入直後のデフォルトのグループ・ポリシー設定に戻すことができる。
リモート・デスクトップ接続の色数を変更する
Windows XPやWindows Server 2003のリモート・デスクトップ接続では、16bitや24bitが利用できる。 / デフォルトでは最大色数は16bitに制限されており、フルカラーで接続できない。 /フルカラーを利用するためには、サーバ側の設定を変更する。
Windowsファイアウォールのリモート管理を有効にする
Windowsファイアウォールを有効にすると、外部からのアクセスが一切禁止され、管理者ですらコンピュータの状態を調査できなくなる。 / Windowsファイアウォールのリモート管理モードを有効にすると、管理用のポートがいくつかオープンされ、管理ツールなどでリモート操作できるようになる。 / リモート管理モードは、グループ・ポリシーで設定するとよい。 / リモート管理モードを利用する場合は、必ずスコープも設定すること。
リモート管理機能のスコープ設定に注意
リモート管理機能のデフォルトのスコープは「*」であり、すべてのIPアドレスからの要求を受け付ける。 / リモート管理機能を利用する場合は、必ずスコープも設定しておかないと危険である。 / スコープには、LocalSubNetと組織内部で使用しているプライベートIPアドレスを指定しておくとよい。
リモート・デスクトップでサウンド機能を利用する
リモート・デスクトップ接続のオーディオのリダイレクト機能を使えば、セッション中で再生したオーディオ・データをクライアント側で再生することができる。 / Windows Server 2003のリモート・デスクトップ接続ではこの機能はデフォルトでは無効になっている。 / 設定を変更するにはグループ・ポリシーやローカル・コンピュータ・ポリシーを変更する。
XP SP2のファイアウォールでリモート管理を有効にする
Windows XP SP2では、デフォルトでファイアウォールが有効になり、外部からはアクセスできなくなっている。 / リモートからコンピュータを管理するためには、いくつかのポートをオープンにしなければならない。 / リモート管理するためには、ファイル共有とMS-RPCポートをオープンにすればよい。
Windows XP SP2のWindows Update/自動更新での適用を一時的に保留する
XP SP2は、展開前に既存環境との互換性を十分テストする必要がある。 / しかしWindows Updateや自動更新機能により、エンドユーザーの簡単な操作でXP SP2が適用できてしまう。 / このためマイクロソフトは、管理者が検証を終えるまでこれらでのXP SP2の適用を禁止するしくみを作り、ツールを公開した。
Windows XPにネットワーク接続できない
デフォルト状態のWindows XPでは、空のパスワードのアカウントであっても、コンソールからのログオンは可能である。しかし、ネットワーク経由での各種のサービス(ファイル共有、リモート・デスクトップ接続、telnet接続など)は不可能となっている。これを可能にするには、ローカル・セキュリティ・ポリシーを変更する。
グループ・ポリシーを使って、コンピュータの終了時にコマンドを実行する
コンピュータのシャットダウン時に何らかの処理を行いたい場合は、グループ・ポリシーを使って制御することができる。 / 起動時やシャットダウン時に実行するスクリプトは、[コンピュータの構成]にある[Windowsの設置]−[スクリプト]で指定する。 / バッチ・ファイルだけでなくJScriptやVBScriptなどのWSHスクリプトも実行可能である。
グループ・ポリシーでWindows Updateの実行を禁止する
インターネットでマイクロソフトが無償公開しているWindows Updateを利用すれば、Windowsを最新の状態に維持できる。 / しかしWindows Updateの実行には管理者権限が必要であり、パッチ管理を中央で集中化させたい場合にはなじまない。不用意な適用により、互換性問題が生じる場合もある。 / グループ・ポリシーを利用すれば、ユーザーによるWindows Updateの実行を禁止することができる。
リモートから「リモート デスクトップ」を許可する
リモート・デスクトップ接続を利用するためには、あらかじめコンソール画面で設定を行っておかなければならない。 / だがリモートからレジストリを操作すれば、コンソールで作業を行わなくても、リモート・デスクトップ接続を有効にすることができる。 / グループ・ポリシーを使えば、複数のコンピュータのリモート・デスクトップ接続をまとめて制御することができる。
「パスワードの複雑性」の要件
ユーザー名から類推が容易なパスワードや、短いパスワードの使用は安全性に問題があるので禁止させたいことがある。 / セキュリティ・ポリシーを変更すれば、ある種の「複雑性」を満たさないパスワードの使用を禁止することができる。 / ただしこのセキュリティ・ポリシーで強制できる条件は非常に限定的なので、補助的な運用ルールなども決めるのが望ましい。
gpupdateでグループ・ポリシーの適用を強制する
グループ・ポリシーを設定しても、すぐにクライアントには伝達されない。 / グループ・ポリシーをすぐに適用したければgpupdateコマンドを利用するとよい。 / gpupdate /forceコマンドを使うと、現在の状態にかかわらず、グループ・ポリシーを強制的に再適用させることができる。
A:ドライブを非表示にする
CD-ROMやネットワークの登場により、フロッピー・ドライブはほとんど使われなくなった。 / しかしエクスプローラではフロッピー・ドライブ・アイコンが表示されており、誤ってクリックしたりすると作業がもたつく原因になる。 / ドライブ・アイコンが不要なら、エクスプローラ上から非表示にして、必要なときにのみ呼び出すようにすればよい。


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間