はじめに
この記事ではActive directoryのグループポリシーについて、ポリシーの作成手順をご紹介します。
下記の方向けに記事を書いています。
仮想環境にてActive directoryのグループポリシーの操作を慣れたい方
Active directory初学者にも分かるように写真付きで解説していきます。
- 不要なプログラムの実行を禁止するグループポリシーが作成できる
実施手順
今回はメモ帳の実行を禁止するグループポリシーを作成していこうと思います!
メモ帳の実行ファイル名はNotepad.exeになります。メモ帳の実行ファイル名くらい知っているよ、の方はこのチャプターは飛ばしてグループポリシーの作成手順からお読みください。
実行中のファイル名を調べる方法
まずは、メモ帳がクライアントPCにて実行できるか確認してみましょう。
開き方はいくつかありますが、ファイル名を指定して実行から今回は開いていきたいと思います。
windowsキー + Rキーを押すと、ファイル名を指定して実行がデスクトップ画面左下に表示されますので、noteoadと入力し、Enterキーを押します。
そうするとメモ帳が開けると思います。
メモ帳を開いた状態で、もう一度ファイル名を指定して実行を開き、今度はtaskmgrと入力しEnterキーを押します。こちらはタスクマネージャを開くコマンドになります。
タスクマネージャーが表示され、現在PC上で動いているプロセスが確認できます。アプリの中にNotepad.exeがあります。こちらがメモ帳の実行ファイル名になります。
上記でグループポリシー作成前の確認事項は完了です。
実行ファイル名が不明な方はこの手順で確認ができます。
補足:実行ファイルの場所を開く方法
実行中のファイルを確認する場合の手順について解説します。
先ほどのタスクマネージャー上で確認したいプロセスを右クリックします。すると右クリックメニューにてファイルの場所を開くがありますので、そちらをクリックしてください。
すると実行中のファイルの格納場所が表示されます。今回の記事の場合、メモ帳の実行ファイルの場所を開いたのでNotepadが確認できます。
ちなみに拡張子も知りたいよって方向けはエクスプローラーの表示をクリックし、最下部の表示を選択します。その中のファイル名拡張子をクリックしてください。するとファイルの拡張子込みでファイル名が確認可能になります。
グループポリシー作成手順
では早速グループポリシーを作成していきましょう。
グループポリシーと紐づけるOUをまずは確認してください。このブログの場合はAccountsオブジェクトに紐づけることとします。
fish.jp > Organization > Accounts
グループポリシーの管理を開き、紐づけるOUを右クリックし、このドメインにGPOを作成し、このコンテナーにリンクするを選択してください。
本ブログの場合は、Accountsになります。
グループポリシーオブジェクトの名前を決めます。ポリシーの名前は管理する際に分かる名前であれば基本的にはなんでも大丈夫です。
会社によって命名規則は異なりますので、検証中の環境でもお勤めの会社の命名規則に合わせたい場合はそちらの入力規則名でも構いません。
今回の記事では不要なアプリの実行禁止を示すPolicy -Prohibit running unnecessary appsにて作成しました。名前の入力が終わりましたら、OKをクリックします。
すると、先ほど作成したグループポリシーオブジェクトがAccounts OU配下に紐づいた状態で作成できました。
先ほど作成したグループポリシーオブジェクトをクリックして選択します。下記のような表示が出る場合はOKをクリックして先に進みます。
選択した状態で右クリックし、編集をクリックします。
グループポリシー管理エディターが表示されます。
下記画像が少し見ずらいので補足しますが、
ユーザーの構成 > ポリシー > windowsの設定 > 管理用テンプレート > システムまで展開してください。するとシステムの中に「指定されたwindowsアプリケーションを実行しない」があります。
指定されたwindowsアプリケーションを実行しないをダブルクリックしてください。すると下記画像のような画面が表示されます。デフォルトでは未構成になっています。
構成内容は下記のとおりです。
- 有効(E)
- 実行を許可しないアプリケーションの一覧にNotepad.exeを追加
では実際に設定していきましょう。
まずは下記画像のように有効を選択します。
すると下記画像のように表示のグレーアウトが解除され、クリックできるようになります。表示をクリックします。
表示するコンテンツ画面が立ち上がりますので、下記赤枠内にNotepad.exeと入力し、OKをクリックします。
最初の構成画面に戻りますので、そのまま、OKをクリックします。
最後にグループポリシー管理エディターも「×」を押して閉じます。
ここまで設定できれば、グループポリシーでの設定は完了になります。
グループポリシーの管理にもどり、先ほど作成したグループポリシーオブジェクトを選択し、設定タブをクリックしてください。
一番下までスクロールして、実行を許可しないアプリケーションの一覧に先ほど設定したNotepad.exeが表示されていれば、グループポリシーの設定は完了です!
あとは、クライアント側で実際にメモ帳が開けないか確認していきましょう。
動作確認
クライアント端末側にて動作確認していきます。
筆者の環境の場合、クライアントPCはWIN-CLIENT-01になります。
コマンドプロンプトを立ち上げますファイル名を指定して実行からcmdと入力し、Enterキーを押します。
コマンドプロンプトが立ち上がりましたら、gpupdate /forceと入力し、Enterキーを押します。
下記画像のように、2つの表示が出れば、問題なく適用が完了です。
- コンピューター ポリシーの更新が正常に完了しました。
- ユーザー ポリシーの更新が正常に完了しました。
あとはファイル名を指定して実行からのnotepadと入力し、Enterキーを押します。
下記のようなメッセージが表示されれば、動作確認は完了になります。
最後に
この記事以外にもほかの設定を行うグループポリシーをご紹介しています。ほかに設定してみたいぜ!との心持の方はぜひ下記記事も読んでいただけると嬉しいです。
コメント