none
またまたログオンスクリプト RRS feed

  • 質問

  • 前回こちらのフォーラムでログオンスクリプトについて質問したものです。

    ログオンスクリプトは使用しないつもりでしたが、ログオンスクリプトを使用しないと

    完全にUSBメモリーの使用を禁止できない為、やむなく使用することにしました。

    そしてまた問題が起きてしまいました。またみなさんの力をかしてください。

     

    前回同様windowsserver2003のドメインコントローラーに繋がっているクライアントPCの

    USBメモリーを使用禁止にしようとして、マイクロソフトの「WindowsServer2003情報漏えい対策ガイド」を見て

    ログオンスクリプトの設定をしました。

    このガイドに乗っていたwsfファイルをユーザープロパティのプロファイル、ログオンスクリプトに各ユーザーごとに「BlockRmStor.wsf /D:Everyone /Q」で追加しました。

     

    私の会社ではWindows2000とXPが繋がっているのですが、あるPC(windowsXP)がスクリプトを一時的に解除する必要があり、

    解除しようとしました。そこで解除したいユーザーのプロパティのログオンスクリプトを「BlockRmStor.wsf /R:Everyone /Q」

    に変更しました。しかしスクリプトを解除できません。

     

    そのPCのアプリケーションログを見ると複数のエラーが記録されていました。

    エラーログの一つです↓

     

    イベントの種類: エラー
    イベント ソース: WSH
    イベント カテゴリ: なし
    イベント ID: 1
    日付:  2008/08/20
    時刻:  9:16:27
    ユーザー:  N/A
    コンピュータ: PC0014
    説明:
    cacls.exe "C:\WINNT\Inf\usbstor.inf" /E /D "Everyone": エラー 0x5

     

    いろいろ調べましたが全然分かりません。

    分かる方がいらしたら教えてください。

    2008年9月11日 7:59

回答

  • http://download.microsoft.com/download/1/8/b/18bee864-d3f9-4e01-a253-e55142688418/InformationLeakageMeasuresGuideforWin.doc

     

    上記文書P18

    3.2 リムーバブル記憶装置がインストールされていない場合

     

    (以下抜粋すると)

    コンピュータにリムーバブル記憶装置がインストールされていない場合は、所定のファイルのアクセス許可を変更することにより対象のリムーバブル記憶装置をインストールできないようにします。これは管理者がグループ ポリシーのスタートアップ スクリプトを設定することにより、ドメインに所属しているクライアント コンピュータに対してリムーバブル記憶装置の使用を禁止します。」

     

    とあります。

     

    BlockRmStor.wsfファイルをユーザープロパティのプロファイル、ログオンスクリプトに各ユーザーごとに

    BlockRmStor.wsf /D:Everyone /Q」で追加するのではなく、該当のリムーバブル記憶装置をスタートアップ時においてインストールを禁止する「OU(組織単位)」に作成・リンクした、リムーバブル記憶装置の使用制限したグループポリシーのコンソールツリーで[コンピュータの構成][Windows の設定][スクリプト(スタートアップ/シャットダウン)]を展開してBlockRmStor.wsfファイルを追加するものと理解しております。(P20P24参照)

     

    確かに、リムーバブル記憶装置全面禁止のOU(組織単位)に全面禁止のポリシーをリンクし、そのポリシーにスタートアップで、「BlockRmStor.wsf /D:Everyone /Q」を追加すると完全使用禁止にできます。

    実際は、リムーバブル記憶装置全面禁止のOU(組織単位)、USB記憶装置のみ使用許可するOU、フロッピーディスクのみ使用許可するOU・・・といった具合にOUを分けて使用を許可する場合は全面禁止のOUから、USB記憶装置のみ使用許可するOUへ移動させるといったやり方をしています。(SD記憶域カードについてはご質問のようなアプリケーションログにエラーがでています。)

    完全なリムーバブル記憶装置の禁止・解除は、ご質問のように難しいようです。

     

    2008年9月12日 10:24

すべての返信

  • http://download.microsoft.com/download/1/8/b/18bee864-d3f9-4e01-a253-e55142688418/InformationLeakageMeasuresGuideforWin.doc

     

    上記文書P18

    3.2 リムーバブル記憶装置がインストールされていない場合

     

    (以下抜粋すると)

    コンピュータにリムーバブル記憶装置がインストールされていない場合は、所定のファイルのアクセス許可を変更することにより対象のリムーバブル記憶装置をインストールできないようにします。これは管理者がグループ ポリシーのスタートアップ スクリプトを設定することにより、ドメインに所属しているクライアント コンピュータに対してリムーバブル記憶装置の使用を禁止します。」

     

    とあります。

     

    BlockRmStor.wsfファイルをユーザープロパティのプロファイル、ログオンスクリプトに各ユーザーごとに

    BlockRmStor.wsf /D:Everyone /Q」で追加するのではなく、該当のリムーバブル記憶装置をスタートアップ時においてインストールを禁止する「OU(組織単位)」に作成・リンクした、リムーバブル記憶装置の使用制限したグループポリシーのコンソールツリーで[コンピュータの構成][Windows の設定][スクリプト(スタートアップ/シャットダウン)]を展開してBlockRmStor.wsfファイルを追加するものと理解しております。(P20P24参照)

     

    確かに、リムーバブル記憶装置全面禁止のOU(組織単位)に全面禁止のポリシーをリンクし、そのポリシーにスタートアップで、「BlockRmStor.wsf /D:Everyone /Q」を追加すると完全使用禁止にできます。

    実際は、リムーバブル記憶装置全面禁止のOU(組織単位)、USB記憶装置のみ使用許可するOU、フロッピーディスクのみ使用許可するOU・・・といった具合にOUを分けて使用を許可する場合は全面禁止のOUから、USB記憶装置のみ使用許可するOUへ移動させるといったやり方をしています。(SD記憶域カードについてはご質問のようなアプリケーションログにエラーがでています。)

    完全なリムーバブル記憶装置の禁止・解除は、ご質問のように難しいようです。

     

    2008年9月12日 10:24
  •  

    試験問題作成委員会さんいつも返信ありがとう御座います。

    また貴重なアドバイスありがとう御座います。

     

    今回のBlockRmStor.wsf スクリプトが無効に出来ない問題は

    無効に出来ないクライアントPCがドメインに参加しているユーザーに

    そのPCのAdministrator権限を与えることで解決しました。

     

    これからも「完全なリムーバブル記憶装置の禁止・解除」を実現するために頑張ります!

     

    ありがとう御座いました。

    2008年9月17日 6:15
  • こんにちは、フォーラムオペレーターの鈴木裕子です

     

    試験問題作成委員会 さん、いつも丁寧な回答をありがとうございます!

    r505r2000 さん、その後いかがですか?また何かありましたら、ぜひ投稿してくださいね。がんばってください!

     

    今回は、試験問題作成委員会 さんの投稿が大変参考になったのではないかと思われましたので、

    勝手ながら私のほうで回答チェックをつけさせていただきました。

    r505r2000 さんはチェックの解除ができますので、もし不適切でしたら修正をお願いします。

     

    これからもForumをご活用くださいね!

    それでは。

    2008年9月25日 2:16
    モデレータ