2013年01月11日 / 情報セキュリティ
【情報セキュリティ】ActiveDirectory または グループポリシー(1)エクスプローラーで指定したドライブのみ表示させる
いつもは、マネジメントっぽいことを書いているので、めずらしく技術的なことを。
ActiveDirectoryとグループポリシーはセキュリティコントロールの技術としては、便利に出来ていると思います。
今回は、たぶんそのまま使えるドライブレターのコントロールについて。
管理用テンプレートの「windowsコンポーネント」-「エクスプローラー」-「指定したドライブをマイコンピューター内で非表示にする」を有効にします。
選択肢は、’ABCDドライブのみ制限’とか’すべてを制限’などが選べますが、その中に自分達にふさわしいものがない場合は自分でポリシーを作成する必要があります。
Windows2008R2からadmxになっていますが、admで作成し、それをインポートするのが手間がかからないと思います。2012は未確認です。どうなってるんでしょうね。
例:E、Fドライブだけ有効にしたい場合、下記のテキストファイルを.admで作成すれば、
グループポリシーエディターでインポートできます。
—ここから—
#if version <= 2
#endif
CLASS USER
CATEGORY !!WindowsComponentsAdd
CATEGORY !!WindowsExplorerAdd
POLICY !!NoDrives
KEYNAME “Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”
EXPLAIN !!NoDrivers_Help
PART “次の組み合わせの中から 1 つ選んでください” DROPDOWNLIST NOSORT REQUIRED
VALUENAME “NoDrives”
ITEMLIST
NAME “A、B、C、および D ドライブのみを制限する” VALUE NUMERIC 15
NAME “すべてのドライブを制限する” VALUE NUMERIC 67108863
;low 26 bits on (1 bit per drive)
NAME “ドライブを制限しない” VALUE NUMERIC 0
NAME “E、Fのみドライブを制限しない” VALUE NUMERIC 67108815
END ITEMLIST
END PART
END POLICY
END CATEGORY ;; WindowsExplorerAdd
END CATEGORY ;; WindowsComponentsAdd
[strings]
WindowsComponentsAdd=”Windows コンポーネント追加”
WindowsExplorerAdd=”ExplorerAdd”
NoDrives=”(add)指定したドライブを [マイ コンピューター] 内で非表示にする”
NoDrivers_Help=”追加分です 通常の管理テンプレートの方は未構成にしてください”
—ここまで—
有効にするドライブは、VALUE NUMERIC で指定しますが、詳しくはMicrosoftのtechページ等で確認できます。
http://support.microsoft.com/kb/231289/ja
もちろん、ドライブ自体が無くなるわけではないので、普通にプログラム等は参照しています。
あくまで、UIから消えてしまうだけです。
おやくに立てたかしら?