グループポリシーでのデバイス制御

グループポリシーだけでは完全な外部記憶媒体のデバイス制御は難しい。

 

（質問）

グループポリシーでのデバイス制御について

 

お世話になります。初めて質問させて頂きます。

 

テスト環境にてグループポリシーの適用をテストしておりましたが設定がうまくいかず、

以下のスレッドを参照しましたが別の部分で不明な点がありましたのでご質問させてください。

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/f68ce1ec-a0b3-4eae-b274-67e76f5ae1a1

http://social.technet.microsoft.com/forums/ja-JP/activedirectoryja/thread/28c234b4-9457-42f0-954a-6d9827471574/

 

当方のデバイス制御を行おうとしている環境は以下の様になっています。

 

サーバ：Windows2003R2 StandardEdition(機能レベル：Windows2000混在)※ドメイン環境

クライアント：WindowsXP/Vista/7

 

[質問]

１．クライアントがWindows2000/XPの場合「コンピュータの構成」で管理することができ、「ユーザーの構成」で管理できるのはWindowsVista/7以降とありますが、サーバーの機能レベル上げる、またはサーバを2008にするなどして、ユーザー単位でポリシー設定をすることは可能でしょうか。それとも、サーバーに関わらず、クライアントが2000/XPであれば、やはりユーザー単位ではできないのでしょうか。

 

２．グループポリシーがクライアントに適用された場合、ネットワークが切断した状態ではポリシーは適用されるのでしょうか。切断された状態でもデバイス制御が効いている。という環境にしたいです。

 

３．グループポリシーの適用タイミングについて、「コンピュータの構成」は起動時、「ユーザーの構成」はログオン時、以降は約90分間隔とありますが、ポリシーの内容が変わらなくてもこの間隔でクライアントのレジストリが書き換わるのでしょうか。クライアントの挙動に、レスポンスなど、なにか変化が起こりますでしょうか。

 

宜しくお願い致します。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 

（わかる範囲で調べた結果）

Windows XPのUSB制御のポリシーは以下レジストリ値をみる。コンピュータ単位のみ対象になる。

（１）USBメモリを禁止

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
値の名前 Start
型 REG_DWORD
値 3（使用を許可）／4（使用を禁止）

 

（２）USBメモリへの書き込みを禁止

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies

（StorageDevicePoliciesキーがない場合、キーを新規に作成する）
値の名前 WriteProtect
型 REG_DWORD
値 1

 

Vista以降は

・［コンピュータの構成］－［管理テンプレート］－［システム］－［リムーバブル記憶域へのアクセス］
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\

RemovableStorageDevices\{53f5630b-b6bf-11d0-94f2-00a0c91efb8b}! Deny_Write

コンピュータのみに設定

 

・［ユーザーの構成］－［管理テンプレート］－［システム］－［リムーバブル記憶域へのアクセス］

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\

RemovableStorageDevices\{53f5630b-b6bf-11d0-94f2-00a0c91efb8b}! Deny_Write

ユーザーのみに設定

 

（参考ページ）

http://news.livedoor.com/article/detail/3848807/

 

また、

情報漏えい対策ガイド（Windows Server 2003編）の

3.2 リムーバブル記憶装置がインストールされていない場合（Ｐ１８～
該当のリムーバブル記憶装置を禁止するポリシーにスタートアップで、スタートアップスクリプト「BlockRmStor.wsf /D:Everyone /Q」を追加すると（P20～P24参照）確かに、スタートアップでリムーバブル記憶装置をインストールきなくなる。しかし、このスタートアップスクリプトを追加し「ＳＤ記憶域カード」使用禁止のポリシーをリンクすると、クライアントのアプリケーションログに、「ＳＤ記憶域カード」に関するものと思われるエラーがでる。「ＳＤ記憶域カード」については使用禁止にはできない。

 この「ＳＤ記憶域カード」に関するアプリケーションログにエラーが出るとWindows XP にSP3　をインストールする際にエラーがでる。このXP SP3インストールエラー回避方法についてはしたの個人の方のブログで紹介されている

解決方法 Windows XP SP3 インストール時の失敗－ねこ鯖 nekoserver 鯖缶はたいへんだニャーの巻

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/7f455507-ed77-4889-a1b9-6c55fcc3bc52