アドバイザー佐野:今回の検証環境と設定項目は以下のとおりです。実際の環境では、USBに接続できる記憶装置だけでなく、本体付属のFDDやCD-Rドライブもデータ持ち出しに利用される可能性がありますから、これらに関しても制限してみましょう。検証を始める前に注意が1点。この機能を使って設定したレジストリは、他のポリシーと違って永続的に適用されます。ログオフしたり、シャットダウンしても、レジストリの値は削除・変更されません。元に戻したければ、グループポリシーの値とともに、レジストリも直接元の値に戻す必要があります。
■検証環境 テスト用ファイルサーバ :Windows Server 2003 テスト用クライアントPC :Windows XP ServicePack 2 ポリシーを適用するOU :コンピュータ管理用OU ※(Organizational Unit 組織単位) ※ポリシー適用対象となるクライアントPCをこのOUへ参加させておく
■設定項目
設定内容(表1)
アドバイザー佐野:こちらが.admファイルの記述方法です。
Windows 2000 Server ドキュメント
http://www.microsoft.com/windows2000/ja/server/help/default.asp?url=/windows2000/ja/server/help/sag_SPconcepts_38.htm?id=929
How to Write a Simple .Adm File for Registry-based Group Policy
http://technet2.microsoft.com/WindowsServer/en/Library/b05d42ce-b860-4464-ba81-e67f77f18a161033.mspx
プチアド:コレでいいのかな? どうもプログラムやスクリプトは苦手です。
アドバイザー佐野:ん、どれどれ。大丈夫そうですね。この手の設定ファイルは、インターネットを検索すればたくさんサンプルが見つかりますから、それを上手に利用するといいですよ。できあがったファイルは「 Removable.adm 」という名前をつけて%systemroot%inf(デフォルトではc:\Windows\Inf)に保存します。次に、新しいグループポリシーオブジェクト(GPO)を作成します。
プチアド:まずはグループポリシー管理コンソール(GPMC)を起動して――。
アドバイザー佐野:はい。GPMCを起動したら、ここで、新しいGPOを適用したい単位を選択します。今回は全コンピュータを管理するための「コンピュータ管理用OU」に適用します。OUを選択して右クリック、[GPOの作成およびリンク]をクリックし(画面2)、 [新しいGPO]画面が開いたら――。
 |
|---|
| 画面2●グループポリシー管理コンソール(画像クリックで拡大) |
プチアド:[名前]のテキストボックスに、GPOの名前(Write Protect)を入力して[OK]をクリックすると( 画面3 )、[コンピュータの管理用OU]に新しいGPO 「Write Protect」がリンクされた状態で作成されました( 画面4 )。
アドバイザー佐野:作成したWrite Protect GPOを右クリック、[編集]で[グループポリシーエディタ]を開きます。さらに[管理テンプレート]を右クリックして、[テンプレートの追加と削除]をクリックします(画面5)。
 |
|---|
| 画面5●テンプレートの追加と削除(画像クリックで拡大) |
プチアド:[テンプレートの追加と削除]画面が表示されました。ふぅむ、すでにいろいろテンプレートがありますね( 画面6 )。
アドバイザー佐野:それが現在使われているテンプレートです。[追加]をクリックして、[ポリシーテンプレート]から先ほど作成した「Removable.adm」を選択し( 画面7 )、前画面に戻って[閉じる]をクリックします。
プチアド:[リムーバブルメディアへの書き込み制限]テンプレートが追加されています。ということは、この中に新しい項目が――あ、さ、佐野さん、たいへんです。項目がありません( 画面8 )!
アドバイザー佐野:えっ、そんなはずは――あ、ごめんごめん、このままでは新しく追加した項目は表示されないのです。表示のフィルタを解除しないと。メニューバーから、[表示]-[フィルタ]を選択して、[完全に管理されているポリシー設定のみ表示します]からチェックを外してください(画面9)。
 |
|---|
| 画面9(画像クリックで拡大) |
 |
|---|
| 画面10(画像クリックで拡大) |
プチアド:おお、ポリシーが表示されました(画面10)。ダブルクリックすると、プロパティが表示されました( 画面11 、 画面12 )。
アドバイザー佐野:では、これらのポリシーを[有効]にし、[グループポリシーエディタ]を終了しましょう。ここから先は、前回( Case 4 )同様、このポリシーの適用状況をシミュレーションします。
プチアド:シミュレーションの結果は問題ありません(画面13)。
 |
|---|
| 画面13●ポリシー適用状況のシミュレーション(画像クリックで拡大) |
アドバイザー佐野:それでは、クライアントPCを起動・ログオンし、レジストリエディタで先ほど設定した内容が反映されているか確認してみましょう。まず、「USBバス上のブロック記憶装置の制御」で指定したレジストリ「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
StorageDevicePolicies」はどうですか?
プチアド:ありました。レジストリの値はちゃんと「WriteProtect:1」になっています( 画面14_a 、 画面14_b )。
アドバイザー佐野:この状態で、エクスプローラからUSBメモリにアクセスしてみます。正しく構成されていれば、データは読み込めても書き込みはできないはずです。
プチアド:ええっと、USBメモリ、USBメモリっ、と(カチッ)。おお、書き込みをしようとすると「このメディアは書込み禁止になっています」というエラーが表示されます(画面15)。ばっちりですね。
 |
|---|
| 画面15●USBメモリへの書き込みが禁止されている(画像クリックで拡大) |
アドバイザー佐野:残りの設定項目に関しても、同様にレジストリと動作を確認したら今回の検証は終了です。環境に合わせて他のポリシー(フロッピーディスクドライブを隠す設定など)やレジストリ(USBポートの使用を禁止するなど)と上手に組み合わせて利用してくださいね。
 |
|---|
 |
||||
 |
 |
 |
|
 |
 |
||||
佐野 央のプチ管理者は本日も大忙し
【アスキービジネス 新刊ムック】
【ASCII.jp SaaS・ASP】
