none
グループポリシーでレジストリエディターの利用を制限する RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    一部のドメインユーザに対してレジストリエディターの利用を制限したいです。

    ドメインユーザには以下のようなポリシーを設定しています。

    ・ユーザアカウント制御を無効(業務システムを利用するのに必要なため)
    ・ドメインユーザの権限はUsers

    このような状況でレジストリエディターの制限を行うことは可能でしょうか。
    理想としてはレジストリエディターを利用するのに管理者用パスワードが必要という状況を作りたいです。

    よろしくお願いします。

    2018年12月27日 0:28
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    一部のドメインユーザに対してレジストリエディターの利用を制限したい

    これは何の目的でしょう。例えば Windows 10 では Users グループのユーザでもレジストリ エディターを起動できますが、HLKLM などアクセス権がない場所は見れても変更できないので、

    ドメインユーザの権限はUsers

    であれば、マシングローバルな設定の変更などはできません。アクセス権のあるユーザー自身のプロファイル関連でも UI から構成できない設定は(レジストリを)変更させたくないということでしょうか?

    単純にユーザー権限での起動を制限するのであれば、ソフトウェアの制限ポリシーか AppLocker を使えばよいのではないかと思います。

    Hebikuzure aka Murachi Akira


    2018年12月27日 1:56
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、古典的な方法ですが、グループポリシーでユーザーの構成にある「レジストリ編集ツールへアクセスできないようにする」を利用すれば、シアワセになれるでしょう。

    https://getadmx.com/?Category=Windows_10_2016&Policy=Microsoft.Policies.WindowsTools::DisableRegedit&Language=ja-jp

    ただし、UAC昇格の表示をレジストリエディタに行わせることは、基本的にムリです。HKCUという「利用ユーザーが所有権を持つレジストリハイブ」を読み込むため、(読み込み先)データベースのアクセス許可で制御する方法はないためです。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2018年12月27日 2:02
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    一部のドメインユーザに対してレジストリエディターの利用を制限したい

    これは何の目的でしょう。例えば Windows 10 では Users グループのユーザでもレジストリ エディターを起動できますが、HLKLM などアクセス権がない場所は見れても変更できないので、

    ドメインユーザの権限はUsers

    であれば、マシングローバルな設定の変更などはできません。アクセス権のあるユーザー自身のプロファイル関連でも UI から構成できない設定は(レジストリを)変更させたくないということでしょうか?

    単純にユーザー権限での起動を制限するのであれば、ソフトウェアの制限ポリシーか AppLocker を使えばよいのではないかと思います。

    Hebikuzure aka Murachi Akira


    2018年12月27日 1:56
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、古典的な方法ですが、グループポリシーでユーザーの構成にある「レジストリ編集ツールへアクセスできないようにする」を利用すれば、シアワセになれるでしょう。

    https://getadmx.com/?Category=Windows_10_2016&Policy=Microsoft.Policies.WindowsTools::DisableRegedit&Language=ja-jp

    ただし、UAC昇格の表示をレジストリエディタに行わせることは、基本的にムリです。HKCUという「利用ユーザーが所有権を持つレジストリハイブ」を読み込むため、(読み込み先)データベースのアクセス許可で制御する方法はないためです。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2018年12月27日 2:02
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ご回答ありがとうございます。

    >これは何の目的でしょう。例えば Windows 10 では Users グループのユーザでもレジストリ エディターを起動できますが、>HLKLM などアクセス権がない場所は見れても変更できないので、

    → この仕様を私が知りませんでした。目的はユーザに操作させないようにすることですが、見れないことが一番だと思います。実際の環境でこの仕様を確認してから回答とさせてください。

    2018年12月27日 2:20
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ご回答ありがとうございます。

    頂いたURLを確認しました。実際の環境で検証致します。

    2018年12月27日 2:21
    |
  • Question
    サインインして投票
    0
    サインインして投票
    非管理者ユーザーには一切起動させないということであれば、チャブーンさんが紹介しているポリシーで良いと思います。

    Hebikuzure aka Murachi Akira

    2018年12月27日 2:29
    |