このチュートリアルでは、Windows 2012サーバー上のリムーバブルデバイスでUSB書き込みアクセスを無効にするようにグループポリシーを構成する方法を説明します。
このチュートリアルでは、CDまたはDVDの書き込みアクセスを無効にする方法も示します。
これはあなたのコンピュータ環境がより高いセキュリティレベルを達成するのを助けるでしょう。
ドメインコントローラはWindows 2012 R2を実行しています。
ドメインコンピュータはWindows 7と10を実行しています。
ハードウェアリスト:
次のセクションでは、このWindowsチュートリアルを作成するために使用される機器のリストを示します。
上記の各ハードウェアは、AmazonのWebサイトにあります。
Windows関連のチュートリアル:
このページでは、Windowsに関連するチュートリアルの一覧にすばやくアクセスできます。
チュートリアル – USB書き込みアクセスを無効にするためのGPOの作成
Active Directoryを使用してWindows 2012 R2を実行しているドメインコントローラで、次のタスクが実行されました。
[スタート]メニューをクリックし、グループポリシー管理ツールを見つけて開きます。
[グループポリシーの管理]画面で、[グループポリシーオブジェクト]という名前のフォルダを探します。
[グループポリシーオブジェクト]フォルダを右クリックし、[新規]オプションを選択します。
新しいポリシーの名前を入力します。
この例では、新しいGPOの名前はDENY USB WRITEとなりました。
[グループポリシーの管理]画面で、[グループポリシーオブジェクト]という名前のフォルダを展開します。
新しいグループポリシーオブジェクトを右クリックし、[編集]オプションを選択します。
グループポリシーエディタ画面では、ユーザー構成とコンピューター構成が表示されます。
コンピュータの設定のみを変更します。
ユーザー設定を変更する必要はありません。
グループポリシーエディタ画面で、コンピュータの構成フォルダを展開し、次の項目を探します。
•コンピュータの構成>管理用テンプレート>システム>リムーバブル記憶域アクセス
右側に、利用可能な構成オプションのリストが表示されます。
まず、USBストレージデバイスへの書き込みアクセスを無効にしましょう。
「リムーバブルディスク:書き込みアクセスを拒否する」という名前の構成項目をダブルクリックします。
構成項目画面で、「有効」オプションを選択する必要があります。
また、CDとDVDへの書き込みアクセスを無効にしたい場合。
CDおよびDVDという設定項目をダブルクリックします。書き込みアクセスを拒否します。
構成項目画面で、「有効」オプションを選択する必要があります。
グループポリシーの作成を終了するには、グループポリシーエディタウィンドウを閉じる必要があります。
グループポリシーウィンドウを閉じるときだけ、システムは設定を保存します。
チュートリアル – USB書き込みアクセス制限GPOの適用
これで、ネットワーク制限GPOの作成が完了しました。
ただし、新しいグループポリシーを有効にする必要があります。
グループポリシー管理画面で、目的の組織単位を右クリックし、既存のGPOをリンクするオプションを選択する必要があります。
この例では、DENY USB WRITEというグループポリシーをTECH.LOCALというドメインのルートにリンクします。
GPOを適用した後、10分または20分待つ必要があります。
この間、GPOは他のドメインコントローラにレプリケートされます。
20分待ってから、ユーザーのコンピュータを再起動する必要があります。
起動時に、コンピュータは新しいグループポリシーのコピーを取得して適用します。
設定をテストするには、USBストレージドライブをコンピュータに接続してファイルを保存する必要があります。
お使いのコンピュータは、USBストレージデバイスへの書き込みアクセスを自動的に拒否する必要があります。
