人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

グループ単位でUSBメモリーへの書き込みを禁止にしたい。
Windows 2003 Server と クライアントがWindows XP,Windows 2000の環境です。
サーバーからグループ単位でレジストリを変更する方法が分かればよいのですが、GPO関連をあさっていますがうまくいきません。
ご教授願います。
参考リンク:http://arena.nikkeibp.co.jp/tec/winxp/20050304/111655/

●質問者: lilacmzh
●カテゴリ:コンピュータ
✍キーワード:GPO USBメモリ Windows Windows 2000 Windows XP
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

1 ● woodyone
●27ポイント

すでに色々と調べられているようですので、以下ののページでダウンロードできる「情報漏えい対策ガイド (Windows 編)」はご存知なのですよね。

http://www.microsoft.com/japan/windowsserver2003/activedirectory...

◎質問者からの返答

恥ずかしながら、存じ上げなかったです。

ご指定された内容はばっちりなのですが、やってみたところテンプレートになぜか表示されず、うまくいかない状況です。

今回のケースはこれで解決できますが、できればレジストリを変える方法も知りたいです。

admの内容を自分で変更するという方法はとれそうですが・・・

追記

強引に表示させられるように、admを書き換えて使ってみましたが、defalut Domain Policyでは適用されるのですが、OUにリンクを張ったGPOでは適用されず困ってます。

さらに追記

コンピュータの構成であることに気付きましたので適用されるようになりましたが、適用したいのは人単位なので、対応はいけてないです。


2 ● memo77
●27ポイント

グループというのがコンピュータであればGPOのログオンスクリプトでREGファイルを/Sオプション付きで実行するという方法はありますね。

http://www31.atwiki.jp/memo77/pages/13.html

グループというのがユーザーだとして、ユーザーに最低限の権限しかもたせてないとHKLMの下には手が出せないんですよね。


上の回答のとおりADのポリシーで配布するのが基本ですね。私のところではQNDという資産管理ソフトに管理者権限でコマンド投げさせたりもしてます。

◎質問者からの返答

グループはユーザーです。

実際にはいまだ解決できず・・・


3 ● upride
●26ポイント

OUに当該ユーザが所属しているとして

OU単位でログオフスクリプトをADから降らせて、

CreateProcessWithLogonW(WIN32API)で管理者になるexeを実行してレジをいじるってのはどうでしょうか?

結構頻繁にやってます

XPはドメインユーザになりすませなかったはずなので要注意

http://www.google.co.jp/search?hl=ja&q=CreateProcessWithLogo...

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ