none
GPOによるフォルダアクセス制御について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    いつも参考にさせていただいております。

    会社のパソコンのセキュリティ対策としてグループポリシーなどを利用して以下を実施してみました。

    1、ドメインユーザーのローカルadministratorの権限をUSERS権限に変更

    2、GPOにてwindows、programfilesのフォルダ以外でEXEなどの実行ファイルを禁止

    を行ってみたところ、flashのアップデートが止まる様になってしまいました。

    調べてみると、インターネット一時ファイルにアップデートファイルがダウンロードされてprogramfilesにインストールされるようなので追加で

    3、GPOにてadobeのデジタル証明書がついている物はインストール出来る

    設定を追加してみたところインストール画面までは行くようになったのですが、そのあと0%から進まなくなりました。

    やはりusers権限だとprogramfilesでのインストールが出来ないのでしょうか?

    なんとか、1、2のは変えずに、flashのアップデートを実施出来る様にしたいのですが、回避方法がわかりません。

    どのたかご教授お願いできますでしょうか?

    よろしくお願いします。

    2015年11月13日 12:38
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、お話しいただいた範囲だけを考慮すると、おそらく「Program Files」フォルダのアクセス許可の問題で、インストーラの実行ユーザに書き込み権限がないことが原因のような気がします。

    「Program Files」と「Program Files(x86)」フォルダには、制限ユーザは書き込み許可を持っていません。したがって処理が進まないように見えますが、インストーラ側がこのような挙動を想定したメッセージの実装をしていないのかもしれません。簡単に切り分ける方法は、試験的なクライアントを用意し、「Program Files」フォルダに制限ユーザのアクセス許可をフルコントロールにして試してみることです。

    ただ、現実的には制限ユーザのフルコントロールは問題があるため、一般的には、Adobe flashのアップデータをコマンド実行できる方法を探し、それを「スタートアップスクリプト」で実行するといいかもしれません。スタートアップスクリプトでは、該当プログラムはシステムアカウント権限で実行され、すべてのインストール作業が可能です。この際ユーザログオン前にflashのアップデートは完了していることになります。逆を言えば、「ユーザログオンしないと使用できない」場合は、この方法は使えないことに注意してください。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク 殿下たか 2015年11月16日 14:28
    2015年11月16日 2:51
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    返信ありがとうございます。

    システムアカウント権限でインストール可能なのは知りませんでした。

    一度スタートアップスクリプトで対応してみたいと思います。

    flashのコマンドはサイレントインストールが可能な様なので一度試してみます。

    またJREも同様にできる様なのでご教授の手法をもとに展開したいと思います。

    非常に参考になりました。ありがとうございます。

    • 回答としてマーク 殿下たか 2015年11月16日 14:36
    2015年11月16日 14:36
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、お話しいただいた範囲だけを考慮すると、おそらく「Program Files」フォルダのアクセス許可の問題で、インストーラの実行ユーザに書き込み権限がないことが原因のような気がします。

    「Program Files」と「Program Files(x86)」フォルダには、制限ユーザは書き込み許可を持っていません。したがって処理が進まないように見えますが、インストーラ側がこのような挙動を想定したメッセージの実装をしていないのかもしれません。簡単に切り分ける方法は、試験的なクライアントを用意し、「Program Files」フォルダに制限ユーザのアクセス許可をフルコントロールにして試してみることです。

    ただ、現実的には制限ユーザのフルコントロールは問題があるため、一般的には、Adobe flashのアップデータをコマンド実行できる方法を探し、それを「スタートアップスクリプト」で実行するといいかもしれません。スタートアップスクリプトでは、該当プログラムはシステムアカウント権限で実行され、すべてのインストール作業が可能です。この際ユーザログオン前にflashのアップデートは完了していることになります。逆を言えば、「ユーザログオンしないと使用できない」場合は、この方法は使えないことに注意してください。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク 殿下たか 2015年11月16日 14:28
    2015年11月16日 2:51
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    返信ありがとうございます。

    システムアカウント権限でインストール可能なのは知りませんでした。

    一度スタートアップスクリプトで対応してみたいと思います。

    flashのコマンドはサイレントインストールが可能な様なので一度試してみます。

    またJREも同様にできる様なのでご教授の手法をもとに展開したいと思います。

    非常に参考になりました。ありがとうございます。

    • 回答としてマーク 殿下たか 2015年11月16日 14:36
    2015年11月16日 14:36
    |