none
特定アプリケーションを使用禁止について RRS feed

  • 質問

  • お世話になります。

    Widnwos10 Enterprise を使ってノートパソコンをシンクライアント化しようとしています。

    その中で、管理者以外のユーザーにIEを使用させないようにするための設定を試みているのですがうまく出来ません。

    こちらで考えついた方法はNOIEというグループを作成してここに一般ユーザーを登録し、そのグループに対してApplockerを使用して、%PROGRAMFILES%Internet Explorer\iexplore.exeを拒否で設定しようとしています。

    手動で設定したPCでのテストではうまくいったのですが、Sysprepをかけて一般化すると、NOIEグループ名がのSID表示になってしまい展開したPCではポリシーが有効になりません。

    ビルトイングループ以外のグループに対して作成したApplockerのポリシーを一般化したイメージに持って行くことは出来ないのでしょうか?

    Sysprepでグループ名が持ち越せない前提で、Powershellのスクリプトファイルを作成して、Sysprep後の最初の起動時にApplockerのポリシーを登録する方法で出来ないか試しているのですが、こちらは拒否設定がうまく出来ず止まっています。

    仮にスクリプトがうまく動いても、オートログインユーザーは一般ユーザーになるので、こちらもまだまだ苦労しそうですが・・・。

    初期起動時の自動設定が難しそうだったらSysprep後マシン名を変更するついでに手動でスクリプトを走らせようと思っていますので、拒否のしかたが分かれば何とかなりそうです。まとめて設定する方法は見つけたのですが、それを参考にして単発設定を試みているのですがうまくいきません。

    文章が長くなってしまったので質問まとめます。

    1. Sysprepをしても、ビルトイングループ以外のグループ名を持ち越せるか? 

    2.そもそもこのやり方はアプリケーションを使用させない手法としてあっているのか? 

    3. PwerShellでApplockerのポリシーを拒否設定にするにはどうするのか?

    4.他に良い方法があったら教えてください。

    よろしくお願いします。



    • 編集済み 火野 2016年7月12日 7:48
    2016年7月12日 7:46

すべての返信

  • 前提となる要件が今一つ理解できないのですが、Applocker のポリシーを Active Directory のグループ ポリシーとして展開するという話ではなく、WorkGroup での話という事なのでしょうか。


    hebikuzure

    2016年7月12日 8:58
  • 返信ありがとうございます。

    用途として、VMwareのクライアント専用端末として使用する予定ですので、ノートPCそのものをADで管理する予定はありません。すべてローカルグループポリシーで設定を行います。

    シェルの変更をしてViewクライアントのみ起動という手段を使えば、他のアプリケーションのことを気にしなくて済んだのですが、無線LANのアクセスポイントを切り替えたいという要望があるためこの方法も使えず、今回のような事になりました。

    よろしくお願いします。


    • 編集済み 火野 2016年7月12日 10:09
    2016年7月12日 9:48
  • チャブーンです。

    1. Sysprepをしても、ビルトイングループ以外のグループ名を持ち越せるか? 

    Sysprepでは「コンピュータ固有SID」を変更しますので、その影響を受ける作成済みグループ名を引き継ぐことはできないでしょう。

    よくわからないのですが

    その中で、管理者以外のユーザーにIEを使用させないようにするための設定を試みているのですが

    ということでしたら、ビルトイングループの「Users」に設定するのはまずいのでしょうか?ローカルアカウントではユーザによってAdministratorsとUsersははっきり分かれており、両方属しているユーザは一般的に存在しません。ですからそれなり効果はあるようにも思われます。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年7月19日 4:01
    2016年7月15日 2:52
  • 後々の管理を考えるとクライアント PC 自体を AD で管理する方が良いように思いますが、十分検討の上でそうされないのであれば、チャブーンが書かれているようにビルトインの Users グループを利用するというのが一番現実的でしょう。


    hebikuzure

    • 回答の候補に設定 佐伯玲 2016年7月19日 4:01
    2016年7月15日 15:26
  • チャブーンさん

    hebikuzureさん

    返信ありがとうございます。

    実はUsersグループに対してApplockerを設定する方法は質問前に試していますが、管理者ユーザーも拒否されてしまい期待どおりに動作しませんでした。そのため別のグループを作って~ という方法で出来ないかと考えていたのですが、最初の質問が長くなってしまったので、その部分をはしょってしまいました。すみません。

    そこで、Administratorグループに明示的に許可を与え上書きできないかと思って試してみましたが、だめでした。調べたところ拒否が優先されるとのことでした。


    また、PowershellのApplockerコマンドレットを使い許可設定は何の問題も無く設定できましたが、拒否設定はうまく動いておりません。単純にAllowになっている値をDenyにするだけのはずですが設定が変えられず頓挫しています。

    最終的に、New-applockerPolicyコマンドレットで作成した設定をXMLファイルに出力、それをエディタで編集、Set-ApplockerPolicyに読み込ませるという方法で設定が出来ることは確認できたのでまずはこれをスクリプトファイルにし、自動化出来るようにすることを目指しています。

    ADを使えば出来そうなのは確認しているのですが、諸事情がありましてこれらの端末はADに接続出来ません。

    Powershellの勉強をしながらなので、なかなか進みませんが何らかの形になったら報告させていただきます。

    2016年7月20日 2:01
  • こちら、同じ問題に直面したので解決策の共有です。

    Sysprep後でユーザを作成した後、応答ファイルのFirstLogon要素で起動時に

    (Get-LocalUser <ユーザ名> |Select -expand SID).SID
    
    (Get-Content <XMLファイル> ) -replace "古いユーザのSID","再作成されたユーザのSID" | Out-File <XMLファイル>
    
    Set-AppLockerPolicy -XMLPolicy <XMLファイル>

    のようにSysprepごとに書き換えてインポートすることで解決しています。
    あるいはApplockerのコマンドレットでしょうが、いずれもSysprep後に実行しないといけないようです。

    UsersグループはSID変わらないのですが、ビルトインAdministratorで

    whoami /groups

    コマンドを実行したところ、間接的にBUILTIN\Usersグループに所属していました。
    Authienticated Users が Users に属しているので、これ経由かもしれません。

    2019年2月28日 8:15