次の方法で共有

Administratorsグループに属する一部のユーザーにグループポリシーエディターを使わせない方法について

Anonymous
2024-12-18T08:50:10+00:00

Administrators権限(グループ)を保有する特定のユーザーにのみ、グループポリシーエディターの操作権限を剥奪したい要件があります。
グループポリシーにて制御することになると想像していますが、具体的な方法が見出せていません。

以下の背景を前提に適切な方法をご教授いただきたく、よろしくお願いいたします。

・特定ユーザー(以下 「user_a」 とします)はアプリ実行ユーザであるため、複数の開発ユーザーがパスワードを認識している

・「user_a」 はAdministratorsグループに所属

・「user_a」は、グループポリシーにて、リモートデスクトップ接続を許可しない設定としている

・開発ユーザー(複数)はUsersグループのみに所属となっている(RDP接続にてサーバへアクセス可能)

この環境下にて、開発ユーザがRDP接続し、gpedit.msc を「user_a」で実行し、「user_a」 にRDP接続を許可するよう設定変更

させることを防ぎたい。

Windows Server ID およびアクセス管理 グループ ポリシー オブジェクトの展開

ロックされた質問。 この質問は、Microsoft サポート コミュニティから移行されました。 役に立つかどうかに投票することはできますが、コメントの追加、質問への返信やフォローはできません。 プライバシーを保護するために、移行された質問のユーザー プロファイルは匿名化されます。

0 件のコメント
承認済みの回答
  1. Anonymous
    2024-12-18T10:43:19+00:00

    この応答は自動的に翻訳されています。 その結果、文法上の誤りや奇妙な言い回しが生じる可能性があります。

    こんにちはCobra918、

    マイクロソフト コミュニティ フォーラムに投稿していただき、ありがとうございます。

    Administrators グループのメンバーがグループ ポリシー エディター (gpedit.msc) を使用できないようにするには、管理者が既定で gpedit.msc などのシステム ツールを完全に制御できるため、少し注意が必要です。ただし、次の回避策を検討できます。

    1. NTFSアクセス許可を使用してアクセスを拒否します。
      • 「C:\Windows\System32」ディレクトリに移動します。
      • 「gpedit.msc」ファイルを見つけます。
      • ファイルを右クリックして、[プロパティ]を選択します。
      • 「セキュリティ」タブに移動します。
      • 「詳細」をクリックし、「権限の変更」をクリックします。
      • 特定のユーザー (以下「user_a」と呼びます) を見つけ、 フル コントロールのアクセス許可を [拒否] に設定します。
      注: 管理者アカウントの権限を拒否すると、意図しない副作用が発生する可能性があるため、この方法は一般的にはお勧めしません。
    2. ローカル ポリシーを変更します。
      • 「secpol.msc」を実行して、ローカルセキュリティポリシーエディターを開きます。
      • [Local Policies -> User Rights Assignment] に移動します。
      • 「ネットワークからこのコンピューターにアクセスする」および「ネットワークからこのコンピューターへのアクセスを拒否する」設定を変更して、ユーザーがgpedit.mscにリモートでアクセスする機能を制限します。

    管理ユーザーを制限すると、システムの管理とトラブルシューティングの機能に影響を与える可能性があるため、その影響を慎重に検討することが重要です。制限によって問題が発生した場合に備えて、バックアップ計画があることを常に確認してください。

    上記の情報がお役に立てば幸いです。

    ご不明な点やご不明な点がございましたら、お気軽にお知らせください。

    よろしくお願いいたします

    デイジー・ジョウ

    2 人がこの回答が役に立ったと思いました。
    0 件のコメント
承認済みの回答
  1. Anonymous
    2024-12-26T03:03:18+00:00

    チャブーンです。

    この件ですが、単純に技術的なレベルでの話しということでしたら、可能ではあります。

    まず、ローカルポリシーの場合ですが、少しメンドウな方法になります。MMC管理とスナップイン画面から行う方法です。

    1. mmc.exeを管理者権限で起動します。
    2. [スナップインの追加と削除]を選択します。
    3. [グループ ポリシー オブジェクト エディター]を選択し、[追加]ボタンをクリックします。
    4. [参照]ボタンをクリックし、[ユーザー]タブを選択します。
    5. 該当するユーザーを選択し、[OK]ボタンをクリックします。
    6. グループポリシーオブジェクト欄に[ローカルコンピューター<ユーザー名>]と記載されていることを確認し、[完了]ボタンをクリックします。

    この状況で出たグループポリシーエディター設定で、[Windows管理コンソール]-[制限および許可するスナップイン]配下にある[グループ ポリシー オブジェクト エディター]を制限すればいいように思います。

    ドメイングループポリシーの場合は、上記と同じグループポリシー設定を「セキュリティフィルター」を構成したGPOで行います。セキュリティフィルターでは、対象のユーザーアカウントのみが[読み取り]と[グループポリシーの適用]が行われるよう、設定の必要があります。セキュリティフィルターの詳細については、以下を参照してください。

    【Avtive Directory】GPOセキュリティフィルターを設定するとポリシーが適用されない件 | TechLog

    1 人がこの回答が役に立ったと思いました。
    0 件のコメント

1 件の追加の回答

並べ替え方法: 最も役に立つ
最も役に立つ 新しい順 古い順
  1. Anonymous
    2024-12-19T06:36:20+00:00

    ドメイン環境であれば、ドメイン ポリシーは(ローカルの Administrators に属していても)Domain Admins ドメイン グループに属していなければ編集できませんが、これはワークグループ環境の話なのでしょうか?

    Administrators 全体に対するアクセス権を変更することはお勧めできませんが、「開発ユーザー」(または開発ユーザーが属しているグループ)に対して「拒否」のアクセス権を構成することで gpedit.msc の起動は禁止できるでしょう。ただし管理者コマンドプロンプトを「user_a」で実行し、コマンドでアクセス権を変更することは可能なので、これで十分と言う訳には行きません。

    個人的には、要件面で無理があるように思いますので、現在のアカウント運用から見直した方が良いように思います。

    0 件のコメント