本記事では、グループポリシーでレジストリの変更を不可にする方法を解説します。
グループポリシー(GPO)の作成と適用手順
「グループポリシーて何?」という方は「グループポリシーの作成と適用手順」Active Directoryをフル活用して端末を完全制御しちゃおう!!で細かい説明をしていますのでご参照ください。実例を用いて説明をしていますので、全くの初心者でもグルーポプリシーが自由に扱えるようになります。
GPOの設定
グループポリシー管理エディターから「レジストリ編集ツールへアクセスできないようにする」を開いてください。
・ユーザーの構成
・・ポリシー
・・・管理用テンプレート
・・・・システム
1.未構成を有効にしてください。
2.「regeditのサイレント実行を無効にしますか?」の選択枠は以下の通り
あまり知られていませんが、レジストリの編集はコマンドプロンプトからも実行できます。「はい」にするとコマンドプロンプトからもレジストリの編集ができなくなります。「いいえ」だとレジストリエディターは起動できませんが、コマンドプロンプトからは編集ができます。
<詳細説明>
Windows レジストリ エディター Regedit.exe を無効にします。
このポリシー設定を有効にした場合、ユーザーが Regedit.exe を開始しようとすると、この操作はポリシー設定によって禁止されているとメッセージが表示されます。
このポリシー設定を無効にした場合、または構成しなかった場合、ユーザーは Regedit.exe を通常どおり実行できます。
ユーザーが他の管理ツールを使用できないようにするには、[指定された Windows アプリケーションだけを実行する] ポリシー設定を使用してください。
検証
GPOを適用してレジストリエディターを起動してみましょう。
下図の通り「レジストリ編集は、管理者によって使用不可にされています。」とアラートが出てレジストリエディターが実行ができなくなります。
コマンドプロンプトを使用不可にする場合
コマンドプロンプトを使用不可にする方法は以下の記事をご参照ください。
コメント