いつもは、マネジメントっぽいことを書いているので、めずらしく技術的なことを。

 

ActiveDirectoryとグループポリシーはセキュリティコントロールの技術としては、便利に出来ていると思います。

今回は、たぶんそのまま使えるドライブレターのコントロールについて。

 

管理用テンプレートの「windowsコンポーネント」－「エクスプローラー」-「指定したドライブをマイコンピューター内で非表示にする」を有効にします。

選択肢は、’ABCDドライブのみ制限’とか’すべてを制限’などが選べますが、その中に自分達にふさわしいものがない場合は自分でポリシーを作成する必要があります。

 

Windows2008R2からadmxになっていますが、admで作成し、それをインポートするのが手間がかからないと思います。2012は未確認です。どうなってるんでしょうね。

 

例：E、Fドライブだけ有効にしたい場合、下記のテキストファイルを.admで作成すれば、

グループポリシーエディターでインポートできます。

—ここから—

#if version <= 2
#endif

CLASS USER
CATEGORY !!WindowsComponentsAdd
CATEGORY !!WindowsExplorerAdd

POLICY !!NoDrives
KEYNAME “Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”

EXPLAIN !!NoDrivers_Help

PART “次の組み合わせの中から 1 つ選んでください” DROPDOWNLIST NOSORT REQUIRED

VALUENAME “NoDrives”

ITEMLIST

NAME “A、B、C、および D ドライブのみを制限する”         VALUE NUMERIC 15

NAME “すべてのドライブを制限する”                       VALUE NUMERIC 67108863

;low 26 bits on (1 bit per drive)

NAME “ドライブを制限しない”                             VALUE NUMERIC 0

NAME “E、Fのみドライブを制限しない”                     VALUE NUMERIC 67108815
END ITEMLIST

END PART

END POLICY

END CATEGORY ;; WindowsExplorerAdd
END CATEGORY ;; WindowsComponentsAdd

[strings]
WindowsComponentsAdd=”Windows コンポーネント追加”
WindowsExplorerAdd=”ExplorerAdd”
NoDrives=”(add)指定したドライブを [マイ コンピューター] 内で非表示にする”
NoDrivers_Help=”追加分です　通常の管理テンプレートの方は未構成にしてください”

—ここまで—

 

有効にするドライブは、VALUE NUMERIC で指定しますが、詳しくはMicrosoftのtechページ等で確認できます。

http://support.microsoft.com/kb/231289/ja

 

もちろん、ドライブ自体が無くなるわけではないので、普通にプログラム等は参照しています。

あくまで、UIから消えてしまうだけです。

 

おやくに立てたかしら？