組織に必ず数名はITオタクがいて情報システム部門に物申してきます。一言、素人は黙ってろ!
本記事では、そんなITオタクを牽制する意味も含めてコマンドプロンプトを実行させない設定をGPOで行う方法を解説します。
グループポリシー(GPO)の作成と適用手順
「グループポリシーて何?」という方は「グループポリシーの作成と適用手順」Active Directoryをフル活用して端末を完全制御しちゃおう!!で細かい説明をしていますのでご参照ください。実例を用いて説明をしていますので、全くの初心者でもグルーポプリシーが自由に扱えるようになります。
GPOの設定
グループポリシー管理エディターから「コマンドプロンプトにアクセスできないようにする」を開いてください。
・ユーザーの構成
・・ポリシー
・・・管理用テンプレート
・・・・システム
1.未構成を有効にしてください。
2.「コマンドプロンプトスクリプト処理も無効にしますか?」の選択枠は以下の通り
はい → 拡張子が「.bat」となっているバッチファイルも実行不可能になります。
いいえ → 拡張子が「.bat」となっているバッチは実行可能です。
タスクスケジューラ等でバッチを起動するような構成の場合は、「いいえ」を選択しておきます。
<詳細説明>
このポリシー設定は、ユーザーが対話型コマンド プロンプトである Cmd.exe を実行できないようにします。 このポリシー設定により、バッチ ファイル (.cmd および .bat) がコンピューター上で実行できるかどうかも決定されます。
このポリシー設定を有効にした場合、ユーザーがコマンド ウィンドウを開こうとすると、設定によってこの操作が実行禁止になっているというメッセージが表示されます。
このポリシー設定を無効にした場合、または構成しなかった場合、ユーザーは Cmd.exe およびバッチ ファイルを通常どおり実行できます。
注: コンピューターがログオン、ログオフ、スタートアップ、シャットダウンのバッチ ファイルのスクリプトを使用している場合、またはユーザーがリモート デスクトップ サービスを使用している場合は、バッチ ファイルを実行できるようにしてください。
検証
GPOを適用してコマンドプロンプトを起動してみましょう。
下図の通り「コマンド プロンプトは管理者によって使用不可にされています」とアラートが出てコマンドプロンプトの実行ができなくなります。
また、「コマンドプロンプトスクリプト処理も無効にしますか?」で「いいえ」を選択した場合も同様のメッセージが出ます。
レジストリエディターを使用不可にする場合
レジストリエディターを使用不可にする方法は以下の記事をご参照ください。
コメント