none
グループポリシーでのUSB書き込み禁止について RRS feed

  • 質問

  • <環境>

    サーバー : windows 2003 server(windows 2000ネイティブモード)

    クライアント : windows XP

    <質問事項>

     ログインのユーザーによって、USBの書き込みの有無を制御したい。

    下記内容を行いましたが、どうしても、ユーザーでの制御が出来ません。どうしたら良いのでしょうか?

    <行った事>

    1、active directoryにて OU(組織単体)を作成し、そこにグループポリシーでUSB書き込み有無のポリシーを記述

      ○中にコンピューター名を入れると制御しますが、ユーザー名を入れても制御しない。

     

    2010年6月28日 5:56

回答

  • こんにちは。

    クライアントがWindows XPの場合、USB書き込み禁止のポリシーはコンピュータ単位のみです。
    ユーザー単位で行いたい場合はクライアントはVista以降が必要です。

    Windows XPのUSB書き込み禁止のポリシーは以下レジストリ値を変更します。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies
    WriteProtect

    レジストリのHKEY_LOCAL_MACHINEを変更するため、コンピュータ単位のみ対象になります。ユーザー単位で行うことはできません。
    以下の資料が参考になります。
    http://news.livedoor.com/article/detail/3848807/


    Vista以降は、次のポリシーが追加されています。
    ・[コンピュータの構成]-[管理テンプレート]-[システム]-[リムーバブル記憶域へのアクセス]
    ・[ユーザーの構成]-[管理テンプレート]-[システム]-[リムーバブル記憶域へのアクセス]

    前者のポリシーはレジストリで言うと
    HKLM\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630b-b6bf-11d0-94f2-00a0c91efb8b}!Deny_Read
    です。レジストリのHKEY_LOCAL_MACHINEを変更するため、コンピュータのみに設定できるポリシーです。

    後者のポリシーは、レジストリで言うと
    HKCU\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630b-b6bf-11d0-94f2-00a0c91efb8b}!Deny_Read
    です。レジストリのHKEY_CURRENT_USERを変更するため、ユーザーのみに設定できるポリシーです

    2010年7月1日 7:59

すべての返信

  • こんにちは。

    クライアントがWindows XPの場合、USB書き込み禁止のポリシーはコンピュータ単位のみです。
    ユーザー単位で行いたい場合はクライアントはVista以降が必要です。

    Windows XPのUSB書き込み禁止のポリシーは以下レジストリ値を変更します。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies
    WriteProtect

    レジストリのHKEY_LOCAL_MACHINEを変更するため、コンピュータ単位のみ対象になります。ユーザー単位で行うことはできません。
    以下の資料が参考になります。
    http://news.livedoor.com/article/detail/3848807/


    Vista以降は、次のポリシーが追加されています。
    ・[コンピュータの構成]-[管理テンプレート]-[システム]-[リムーバブル記憶域へのアクセス]
    ・[ユーザーの構成]-[管理テンプレート]-[システム]-[リムーバブル記憶域へのアクセス]

    前者のポリシーはレジストリで言うと
    HKLM\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630b-b6bf-11d0-94f2-00a0c91efb8b}!Deny_Read
    です。レジストリのHKEY_LOCAL_MACHINEを変更するため、コンピュータのみに設定できるポリシーです。

    後者のポリシーは、レジストリで言うと
    HKCU\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630b-b6bf-11d0-94f2-00a0c91efb8b}!Deny_Read
    です。レジストリのHKEY_CURRENT_USERを変更するため、ユーザーのみに設定できるポリシーです

    2010年7月1日 7:59
  • 中年やっちゅうねん さん

    ありがとうございます。やはりユーザー単位では出来ないですよね。

    散々調べましたが、出来そうになかったんで、簡易的にですが、自分自身使いやすいプログラムを作成しました。

    もっとユーザー単位で制御できればありがたいですが・・・・

    2010年7月4日 9:44