アクティブディレクトリーでインストールの制限をする方法

Question

アクティブディレクトリーのグループポリシー等で、

一般ユーザーに対してインストール・アンインストールを制御する方法を教えてください。

やりたいこと

・一般ユーザーでインストーラーを使ってのインストールの制御（できなくする）

・一般ユーザーですでにインストールしてあるアプリケーションのアンインストールの制御（できなくする）

GPOですとソフトウェアの制限ポリシーとApplockerがあるかと思いますが、

これですとファイルやフォルダーのパスを指定しないといけないため、

例えばユーザーが新規でフォルダーを作成した場合に制限に指定していないフォルダーで

インストーラーを実行した場合にインストールが実行できてしまうと思います。

パスで指定しないで、ワイルドカード等を用いて全フォルダーに対して

一括でインストールとアンインストールを制御する方法または別の良いやり方があれば

詳しい方いたら教えていただけないでしょうか。

Answer 1

この応答は自動的に翻訳されています。これにより、文法上の誤りや奇妙な言い回しが発生する可能性があります。

こんにちは KK_1991、ありがとう

Microsoft コミュニティ フォーラムに投稿してくれたお客様。

ソフトウェア制限ポリシーと Applocker を除き、次のユーザー ポリシー設定を試すことができます。

[ユーザーの構成][ポリシー][管理用テンプレート][システム][ 指定した Windows アプリケーションを実行しない] を使用するか、[ 指定した Windows アプリケーションのみを実行する] を使用できます。

1. DC に OU を作成します。
2. この OU にユーザオブジェクトを配置します。
   3.GPO を作成および編集します ([ユーザーの構成][ポリシー][管理用テンプレート][システム][ 指定した Windows アプリケーションを実行し ない] または [ 指定した Windows アプリケーションのみを実行する] に移動します)。
   この GPO を上記の OU に 4.Link します。

参考までに同様のスレッドがあります。

windows - グループポリシーを使用して特定のアプリケーションが特定のマシンで実行されるのを防ぐにはどうすればよいですか?- サーバー障害

上記の情報がお役に立てば幸いです。

ご不明な点やご不明な点がございましたら、お気軽にお問い合わせください。

よろしくお願いいたします

デイジー・チョウ

Answer 2

この問題については要件をよく考えるべきでしょう。

ユーザーに管理者権限を与えなければ、マシングローバルでインストールされるアプリケーションはインストールもアンインストールもできなくなります。

ただしユーザー単位でインストール可能なアプリケーションは（ストアアプリを含めて）インストール可能です。

ユーザー単位でインストール可能なアプリケーションのインストールをすべて抑止することは非常に難しいので、本当にそれが必要かどうか検討されることをお勧めします。

※アプリのインストールを行っても永続させない方法としては、固定ユーザー プロファイルの利用は検討に値します。

固定ユーザー プロファイルの作成 - Windows Client Management | Microsoft Learn

「 通常ローミング ユーザー プロファイルに保存されるユーザーのセッション中に行われた構成の変更は、必須ユーザー プロファイルが割り当てられているときに保存されません。

固定ユーザー プロファイルは、キオスク デバイスや教育機関での使用など、標準化が重要な場面で役立ちます。 必須のユーザー プロファイルに変更を加えることができるのはシステム管理者だけです。」