はじめまして。
ローカルグループポリシーエディタを使用しデバイスのインストールの制限を検討しています。
[ローカルコンピュータポリシー]-[コンピュータの構成]-[管理用テンプレート]-[システム]-[デバイスのインストール]-[デバイスのインストールの制限] を使用。
環境:Windows 7 enterprise x64
現在はPCで動作確認ですが、ActiveDirectory GPOで使用したいと考えております。
要件は下記になります。
”限定されたUSBメモリのみを利用可としそれ以外のUSBメモリの使用を禁止する"
(シリアルナンバーで一意に制限したいのですが...設定項目がないので
そこで、
①「これらのデバイスIDと一致するデバイスのインストールを許可する 」
→使用を許可するUSBメモリのデバイスIDを設定 (例:USB\VID_1234&PID_5678&REV_0000
②「他のポリシー設定で記述されていないデバイスのインストールを禁止する」
→有効
すると確かに、登録外のUSBメモリのデバイスはインストールされないのですが、その他USBマウスやキーボードまで拒否されてしまいます。
仕方がないので
③「これらのデバイスセットアップクラスと一致するドライバを使用したデバイスのインストールを許可する」
→試に マウスのデバイス クラス GUID を入力({4d36e96f-e325-11ce-bfc1-08002be10318})
①、②、③を併用するも③に関しては有効とならず、デバイスのインストールは拒否されます...なぜ?
Q1:上記設定に誤りがあるのでしょうか.
Q2:そもそも①、②、③の設定が正しいとして③に使用するであろうヘッドセットやUSBハブのGUIDを全て入力するオペレーションなのでしょうか.
Q3:何か良い方法はないでしょうか.
Q4:手元にドメインコントローラがないのですがグループポリシーでも同様でしょうか.
以上、宜しくお願い致します。
