次の方法で共有

グループ ポリシーを使用してデバイスのインストールを制御するためのステップBy-Step ガイド

  • [アーティクル]

 

デイブ・ビショップ

更新日: 2007 年 6 月

の概要: Windows Server 2008 および Windows Vista オペレーティング システムを使用すると、管理者は管理するコンピューターにインストールできるデバイスを決定できます。 このガイドでは、デバイスのインストール プロセスを要約し、デバイスのインストールを制御するためのいくつかの手法を示します。 (34 ページ印刷)

内容

紹介
   このガイドを使用する必要があるユーザー
   グループ ポリシーを使用してデバイスのインストールを制御する利点
シナリオの概要
テクノロジ レビュー
   Windows でのデバイスのインストール
   デバイス インストールのグループ ポリシー設定
   リムーバブル 記憶域アクセスのグループ ポリシー設定
シナリオを完了するための要件
   前提条件の手順
すべてのデバイスのインストールを禁止する
   すべてのデバイスのインストールを防止するための前提条件
   すべてのデバイスのインストールを禁止する手順
ユーザーが承認されたデバイスのみをインストールできるようにする
   ユーザーが承認されたデバイスのみをインストールできるようにするための前提条件
   ユーザーが承認されたデバイスのみをインストールできるようにする手順
禁止されているデバイスのインストールを防止する
   禁止されているデバイスのインストールを防止するための前提条件
   禁止されているデバイスのインストールを防止するための手順
リムーバブル メディアの読み取りと書き込みのアクセス許可を制御する
   リムーバブル メディアの読み取りおよび書き込みアクセス許可を制御するための前提条件
   リムーバブル メディアの読み取りおよび書き込みアクセス許可を制御する手順
結論
その他のリソース
バグとフィードバックのログ記録

紹介

このステップ バイ ステップ ガイドでは、ユーザーがインストールできるデバイスとインストールできないデバイスを指定するなど、管理するコンピューターへのデバイスのインストールを制御する方法について説明します。 具体的には、Windows Server 2008 と Windows Vista では、コンピューター ポリシーを次に適用できます。

  • ユーザーがデバイスをインストールできないようにします。
  • ユーザーが "承認済み" リストに含まれるデバイスのみをインストールできるようにします。 デバイスが一覧にない場合、ユーザーはそれをインストールできません。
  • ユーザーが "禁止" リストに含まれるデバイスをインストールできないようにします。 デバイスが一覧にない場合、ユーザーはそれをインストールできます。
  • 取り外し可能なデバイス、またはリムーバブル メディア (CD、DVD バーナー、フロッピー ディスク ドライブ、外付けハード ドライブ、ポータブル デバイス (メディア プレーヤー、スマートフォン、ポケット PC デバイスなど) を使用するデバイスのユーザーへの読み取りまたは書き込みアクセスを拒否します。

このガイドでは、デバイスのインストール プロセスについて説明し、Windows がデバイスとコンピューターで使用可能なデバイス ドライバー パッケージを照合するために使用する識別文字列について説明します。 このガイドでは、デバイスのインストールを制御する 3 つの方法についても説明します。 各シナリオは、特定のデバイスまたはデバイス クラスのインストールを許可または禁止するために使用できる 1 つの方法を段階的に示しています。 4 番目のシナリオでは、リムーバブルデバイスまたはリムーバブル メディアを使用するデバイスのユーザーに対する読み取りまたは書き込みアクセスを拒否する方法を示します。

シナリオで使用されるデバイスの例は、USB ストレージ デバイスです。 このガイドの手順は、別のデバイスを使用して実行できます。 ただし、別のデバイスを使用する場合、ガイドの手順は、コンピューターに表示されるユーザー インターフェイスと完全には一致しません。

重要な このガイドに記載されている手順は、テスト ラボ環境での使用を目的としています。 このステップ バイ ステップ ガイドは、付属のドキュメントを使用せずに Windows Server の機能を展開するために使用されるものではありません。スタンドアロン ドキュメントとして随意で使用する必要があります。

このガイドを使用する必要があるユーザー

このガイドは、次の対象ユーザーを対象としています。

  • Windows Vista と Windows Server 2008 を評価している情報技術プランナーとアナリスト
  • エンタープライズ情報技術プランナーとデザイナー
  • 組織内の信頼できるコンピューティングの実装を担当するセキュリティ アーキテクト
  • テクノロジに慣れたい管理者

グループ ポリシーを使用してデバイスのインストールを制御する利点

ユーザーがインストールできるデバイスを制限すると、次の利点があります。

データ盗難のリスクを軽減

  • ユーザーのコンピューターがリムーバブル メディアをサポートする未承認のデバイスをインストールできない場合、ユーザーが会社のデータの未承認のコピーを作成することはより困難です。 たとえば、ユーザーが CD-R デバイスをインストールできない場合、会社のデータのコピーを記録可能な CD に書き込むことはできません。 この利点は、データの盗難を排除することはできませんが、データの不正な削除に対する別の障壁を作成します。 また、グループ ポリシーを使用して、リムーバブルまたはリムーバブル メディアを使用するデバイスのユーザーへの書き込みアクセスを拒否することで、データ盗難のリスクを軽減することもできます。 グループ ポリシーを使用する場合は、グループごとにアクセス権を付与できます。

サポート コストの削減

  • ヘルプ デスクがトレーニングされ、サポート用に装備されているデバイスのみをユーザーがインストールするようにすることができます。 この利点により、サポート コストとユーザーの混乱が軽減されます。

シナリオの概要

このガイドに示されているシナリオは、管理するコンピューターでのデバイスのインストールと使用状況を制御する方法を示しています。 このシナリオでは、ローカル コンピューターでグループ ポリシーを使用して、ラボ環境での手順の使用を簡略化します。 複数のクライアント コンピューターを管理する環境では、Active Directory によって展開されたグループ ポリシーを使用してこれらの設定を適用する必要があります。 Active Directory によって展開されたグループ ポリシーを使用すると、ドメインまたはドメイン内の組織単位のメンバーであるすべてのコンピューターに設定を適用できます。 グループ ポリシーを使用してクライアント コンピューターを管理する方法の詳細については、Microsoft Web サイト グループ ポリシー を参照してください。

このガイドで説明するシナリオの説明を次に示します。

  • すべてのデバイスのインストールを禁止

    このシナリオでは、管理者は標準ユーザーがデバイスをインストールできないようにしますが、管理者はデバイスのインストールまたは更新を許可します。 このシナリオを完了するには、2 つのコンピューター ポリシーを構成します。 最初のコンピューター ポリシーでは、すべてのユーザーがデバイスをインストールできなくなり、2 番目のポリシーでは管理者が制限から除外されます。

  • 承認されたデバイスのみをインストールすることをユーザーに許可

    このシナリオでは、管理者は、承認されたデバイスの一覧に含まれるデバイスのみをユーザーにインストールできるようにしたいと考えています。 このシナリオは最初のシナリオに基づくため、このシナリオを実行する前に最初のシナリオを完了する必要があります。 このシナリオを完了するには、ユーザーが指定したデバイスのみをインストールできるように、承認されたデバイスの一覧を作成します。

  • 禁止されているデバイスのインストールのみを禁止する

    このシナリオでは、管理者は標準ユーザーにほとんどのデバイスのインストールを許可し、禁止されているデバイスの一覧に含まれるデバイスをインストールできないようにしたいと考えています。 このシナリオを完了するには、最初の 2 つのシナリオで作成したポリシーを削除する必要があります。 これらのポリシーを削除したら、禁止されているデバイスの一覧を作成して、指定したデバイス以外のデバイスをユーザーがインストールできるようにします。

  • リムーバブル メディア ストレージ デバイスの使用を制御

    このシナリオでは、管理者は、標準ユーザーがリムーバブル記憶域デバイス、または USB メモリ ドライブや CD または DVD バーナーなどのリムーバブル メディアを使用するデバイスにデータを書き込むのを防ぐ必要があります。 このシナリオを完了するには、コンピューター ポリシーを構成して読み取りアクセスを許可しますが、サンプル デバイスとコンピューター上の任意の CD または DVD バーナー デバイスへの書き込みアクセスを拒否します。

テクノロジ レビュー

以降のセクションでは、このガイドで説明するコア テクノロジの概要について説明します。

Windows でのデバイスのインストール

デバイスは、Windows が何らかの機能を実行するために対話するハードウェアの一部です。 Windows は、デバイス ドライバーと呼ばれるソフトウェアを介してのみデバイスと通信できます。 デバイス ドライバーをインストールするために、Windows はデバイスを検出し、その種類を認識し、その種類に一致するデバイス ドライバーを見つけます。

Windows では、2 種類の識別子を使用して、デバイスのインストールと構成を制御します。 Windows Vista および Windows Server 2008 のグループ ポリシー設定を使用して、許可またはブロックする識別子を指定できます。

識別子の 2 種類は次のとおりです。

  • デバイス識別文字列
  • デバイス セットアップ クラス

デバイス識別文字列

コンピューターにインストールされていないデバイスが Windows によって検出されると、オペレーティング システムはデバイスを照会してデバイス識別文字列の一覧を取得します。 デバイスには通常、デバイスの製造元が割り当てる複数のデバイス識別文字列があります。 デバイス ドライバー パッケージの一部である .inf ファイルには、同じデバイス識別文字列が含まれています。 Windows では、デバイスから取得したデバイス識別文字列とドライバー パッケージに含まれるデバイス識別文字列を照合することで、インストールするデバイス ドライバー パッケージを選択します。

Windows では、各文字列を使用して、デバイスをドライバー パッケージに一致させることができます。 文字列の範囲は、デバイスの 1 つのメイクとモデルに一致する非常に具体的なものから、デバイスのクラス全体に適用される可能性がある非常に一般的なものまでです。 デバイス識別文字列には、ハードウェア ID と互換性のある ID の 2 種類があります。

ハードウェア ID の

ハードウェア ID は、デバイスとドライバー パッケージの間で最も完全に一致する識別子です。 ハードウェア ID の一覧の最初の文字列は、デバイス ID と呼ばれます。これは、デバイスの正確な作成、モデル、リビジョンと一致するためです。 一覧の他のハードウェア ID は、デバイスの詳細と正確には一致しなくなります。 たとえば、ハードウェア ID は、デバイスのメイクとモデルを識別する場合がありますが、特定のリビジョンは識別できません。 このスキームを使用すると、正しいリビジョンのドライバーが使用できない場合に、デバイスの別のリビジョンに対してドライバーを使用できます。

互換性のある ID の

オペレーティング システムでデバイス ID またはその他のハードウェア ID との一致が見つからない場合、Windows はこれらの識別子を使用してデバイス ドライバーを選択します。 互換性のある ID は、適合性を低下させるために一覧表示されます。 これらの文字列は省略可能であり、指定された場合は、Diskなど、非常に汎用的です。 互換性のある ID を使用して一致が行われる場合、通常はデバイスの最も基本的な機能のみを使用できます。

プリンター、USB ストレージ デバイス、キーボードなどのデバイスをインストールすると、Windows はインストールしようとしているデバイスに一致するドライバー パッケージを検索します。 この検索中、Windows は、検出した各ドライバー パッケージに、ハードウェアまたは互換性のある ID に少なくとも 1 つの一致を持つ "ランク" を割り当てます。 ランクは、ドライバーがデバイスとどの程度一致するかを示します。 ランク番号が小さいほど、ドライバーとデバイスの間の一致が適切であることを示します。 0 のランクは、可能な限り最適な一致を表します。 デバイス ID とドライバー パッケージ内の 1 つのデバイス ID が一致すると、他のハードウェア ID のいずれかとの一致よりも低い (より良い) ランクになります。 同様に、ハードウェア ID に一致すると、互換性のある ID のいずれかと一致するよりもランクが高くなります。 Windows は、すべてのドライバー パッケージをランク付けした後、全体的なランクが最も低いものをインストールします。 ドライバー パッケージのランク付けと選択のプロセスの詳細については、MSDN ライブラリの「セットアップでドライバーを選択する方法」 を参照してください。

デバイス ドライバーのインストール プロセスの詳細については、「デバイス ドライバーの署名とステージングの ステップ バイ ステップ ガイド」の「テクノロジ レビュー」セクションを参照してください。

一部の物理デバイスでは、インストール時に 1 つ以上の論理デバイスが作成されます。 各論理デバイスは、物理デバイスの機能の一部を処理する場合があります。 たとえば、オールインワン スキャナー/FAX/プリンターなどの多機能デバイスには、関数ごとに異なるデバイス識別文字列が含まれる場合があります。

DMI を使用して論理デバイスを使用するデバイスのインストールを許可または禁止する場合は、そのデバイスのすべてのデバイス識別文字列を許可または禁止する必要があります。 たとえば、ユーザーが多機能デバイスのインストールを試みたが、物理デバイスと論理デバイスの両方のすべての識別文字列を許可または防止しなかった場合、インストールの試行によって予期しない結果が得られる可能性があります。 ハードウェア ID の詳細については、MSDN ライブラリの「デバイス識別文字列」を参照してください。

デバイス セットアップ クラス

デバイス セットアップ クラスは、別の種類の識別文字列です。 製造元は、デバイス ドライバー パッケージ内のデバイスにデバイス セットアップ クラスを割り当てます。 デバイス セットアップ クラスは、同じ方法でインストールおよび構成されたデバイスをグループ化します。 たとえば、すべての CD ドライブは CDROM デバイス セットアップ クラスに属し、インストール時に同じ共同インストーラーを使用します。 グローバル一意識別子 (GUID) と呼ばれる長い番号は、各デバイス セットアップ クラスを表します。 Windows が起動すると、検出されたすべてのデバイスの GUID を使用してメモリ内ツリー構造が構築されます。 デバイス自体のデバイス セットアップ クラスの GUID と共に、Windows では、デバイスが接続されているバスのデバイス セットアップ クラスの GUID をツリーに挿入する必要がある場合があります。

デバイス セットアップ クラスを使用して、ユーザーがデバイス ドライバーをインストールできないようにする場合は、デバイスのすべてのデバイス セットアップ クラスの GUID を指定する必要があります。または、目的の結果が得られない可能性があります。 インストールが失敗するか (成功したい場合)、または成功する可能性があります (失敗する場合)。

たとえば、オールインワン スキャナー/FAX/プリンターなどの多機能デバイスには、汎用多機能デバイスの GUID、プリンター関数の GUID、スキャナー関数の GUID などが含まれます。 個々の関数の GUID は、多機能デバイス GUID の下の "子ノード" です。 子ノードをインストールするには、Windows も親ノードをインストールできる必要があります。 プリンターおよびスキャナー機能の子 GUID に加えて、多機能デバイスの親 GUID のデバイス セットアップ クラスのインストールを許可する必要があります。

詳細については、MSDN ライブラリ デバイス セットアップ クラス を参照してください。

このガイドでは、デバイス セットアップ クラスを使用するシナリオについては説明しません。 ただし、このガイドのデバイス識別文字列で示されている基本原則は、デバイス セットアップ クラスにも適用されます。 特定のデバイスのデバイス セットアップ クラスを検出したら、ポリシーでデバイス セットアップ クラスを使用して、そのクラスのデバイス ドライバーのインストールを許可または禁止できます。

デバイス インストールのグループ ポリシー設定

デバイスのインストールの制御を有効にするために、Windows Vista と Windows Server 2008 ではいくつかのポリシー設定が導入されています。 これらのポリシー設定は、1 台のコンピューターで個別に構成することも、Active Directory ドメインのグループ ポリシーを使用して多数のコンピューターに適用することもできます。 グループ ポリシーを使用してクライアント コンピューターを管理する方法の詳細については、「グループ ポリシーの」を参照してください。

設定をスタンドアロン コンピューターまたは Active Directory ドメイン内の多数のコンピューターに適用する場合でも、グループ ポリシー オブジェクト エディターを使用してポリシー設定を構成して適用します。 詳細については、「グループ ポリシー オブジェクト エディターテクニカル リファレンス」を参照してください。

このガイドで使用される DMI ポリシー設定の簡単な説明を次に示します。

これらのポリシー設定は、ポリシー設定が適用されているコンピューターにログオンするすべてのユーザーに影響します。 これらのポリシーを特定のユーザーまたはグループに適用することはできません。ただし、ポリシー 管理者がデバイス インストール ポリシーをオーバーライドすることを許可します。 このポリシーは、このセクションの説明に従って他のポリシー設定を構成することで、コンピューターに適用するデバイスのインストール制限からローカル Administrators グループのメンバーを除外します。

  • 他のポリシー設定で説明されていないデバイスのインストールを禁止します。

    このポリシー設定は、他のポリシー設定で特に説明されていないデバイスのインストールを制御します。 このポリシー設定を有効にした場合、ユーザーは、これらのデバイス ID ポリシー設定に一致するデバイスのインストールを許可する 、またはポリシー設定 これらのデバイス クラスのデバイスのインストールを許可する によって説明されていない限り、デバイスのドライバーをインストールまたは更新できません。 このポリシー設定を無効にするか、未構成にした場合、[デバイス ID に一致するデバイスのインストールを禁止する] ポリシー設定、[これらのデバイス クラスのデバイスのインストールを禁止する] ポリシー設定、または [リムーバブル デバイスのインストールを禁止する] ポリシー設定で説明されていないデバイスのドライバー インストールおよび更新できます。

  • 管理者がデバイスのインストール ポリシーをオーバーライドすることを許可します。

    このポリシー設定を使用すると、ローカルの Administrators グループのメンバーは、他のポリシー設定に関係なく、任意のデバイスのドライバーをインストールおよび更新できます。 このポリシー設定を有効にした場合、管理者はハードウェアの追加ウィザードまたはドライバーの更新ウィザードを使用して、任意のデバイスのドライバーをインストールおよび更新できます。 このポリシー設定を無効にするか、未構成にした場合、管理者はデバイスのインストールを制限するすべてのポリシー設定の対象となります。

  • これらのデバイス ID に一致するデバイスのインストールを禁止します。

    このポリシー設定では、ユーザーがインストールできないデバイスのプラグ アンド プレイ ハードウェア ID と互換性のある ID の一覧を指定します。 このポリシー設定を有効にした場合、デバイスのハードウェア ID または互換性のある ID がこの一覧のドライバーと一致する場合、ユーザーはデバイスのドライバーをインストールまたは更新できません。 このポリシー設定を無効にするか、未構成にした場合、ユーザーはデバイスのインストールに関する他のポリシー設定で許可されているように、デバイスをインストールし、ドライバーを更新できます。

    このポリシー設定は、ユーザーがデバイスをインストールできるその他のポリシー設定よりも優先されます。 このポリシー設定は、そのデバイスのインストールを許可する別のポリシー設定と一致する場合でも、ユーザーがデバイスをインストールできないようにします。

  • これらのデバイス セットアップ クラスに一致するドライバーのインストールを禁止します。

    このポリシー設定では、ユーザーがインストールできないデバイスのプラグ アンド プレイ デバイス セットアップ クラス GUID の一覧を指定します。 このポリシー設定を有効にした場合、ユーザーは、一覧に示されているデバイス セットアップ クラスのいずれかに属するデバイスをインストールまたは更新できません。 このポリシー設定を無効にするか、未構成にした場合、ユーザーはデバイスのインストールに関する他のポリシー設定で許可されているとおりにデバイスをインストールおよび更新できます。

    このポリシー設定は、ユーザーがデバイスをインストールできるその他のポリシー設定よりも優先されます。 このポリシー設定は、ユーザーがデバイスのインストールを許可する別のポリシー設定と一致する場合でも、デバイスをインストールできないようにします。

  • これらのデバイス ID のいずれかに一致するデバイスのインストールを許可します。

    このポリシー設定では、ユーザーがインストールできるデバイスを記述するプラグ アンド プレイ ハードウェア ID と互換性のある ID の一覧を指定します。 この設定は、[他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定が有効になっており、ユーザーがデバイスをインストールできないポリシー設定よりも優先されない場合にのみ使用されます。 このポリシー設定を有効にした場合、ユーザーは、[デバイス ID に一致するデバイスのインストールを禁止する] ポリシー設定で特に禁止されていない場合は、この一覧の ID に一致するハードウェア ID または互換性のある ID を持つ 任意のデバイスをインストールして更新できます。これらのデバイス クラスのデバイスのインストールを禁止するポリシー設定、 または、リムーバブル デバイスのインストールを禁止する ポリシー設定。 別のポリシー設定でユーザーがデバイスをインストールできない場合、デバイスがこのポリシー設定の値によっても記述されている場合でも、ユーザーはデバイスをインストールできません。 このポリシー設定を無効にするか、未構成にしても、他のポリシーでデバイスが記述されていない場合は、他のポリシー設定で説明されていないデバイスのインストールを禁止 ポリシー設定によって、ユーザーがデバイスをインストールできるかどうかが決まります。

  • これらのデバイス クラスのドライバーを使用してデバイスのインストールを許可します。

    このポリシー設定では、ユーザーがインストールできるデバイスを記述するデバイス セットアップ クラス GUID の一覧を指定します。 この設定は、[他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定が有効になっており、ユーザーがデバイスをインストールできないポリシー設定よりも優先されない場合にのみ使用されます。 この設定を有効にした場合、ユーザーは、[これらのデバイス ID に一致するデバイスのインストールを禁止する] ポリシー設定、これらのデバイス クラスのデバイスのインストールを禁止するポリシー設定で特に禁止されていない場合は、この一覧の ID のいずれかに一致するハードウェア ID または互換性のある ID を持つデバイスをインストールして更新。 または、リムーバブル デバイスのインストールを禁止する ポリシー設定。 別のポリシー設定でユーザーがデバイスをインストールできない場合、デバイスがこのポリシー設定の値によっても記述されている場合でも、ユーザーはデバイスをインストールできません。 このポリシー設定を無効にするか、未構成にして、他のポリシー設定にデバイスが記述されていない場合は、[他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定によって、ユーザーがデバイスをインストールできるかどうかを決定します。

これらのポリシーの一部は、他のポリシーよりも優先されます。 次に示すフローチャートは、図 1 (下) に示すように、Windows がデバイスをインストールできるかどうかを判断するためにそれらを処理する方法を示しています。

Bb530324.grouppolicydeviceinstall01(en-us,MSDN.10).gif

図 1. ユーザーがデバイスをインストールできるかどうかを判断するときに Windows がポリシーを処理する方法

リムーバブル 記憶域アクセスのグループ ポリシー設定

Windows Vista および Windows Server 2008 では、管理者はコンピューター ポリシーを適用して、ユーザーがリムーバブル メディアを使用して任意のデバイスから読み取りまたは書き込みを行うことができるかどうかを制御できます。 これらのポリシーを使用すると、機密または機密の素材がリムーバブル メディアまたは記憶域を含むリムーバブル デバイスに書き込まれないようにし、その後、オンプレミスから持ち去ることができます。

これらのポリシー設定をコンピューター レベルで適用して、コンピューターにログオンするすべてのユーザーに影響を与えることができます。 ユーザー レベルで適用し、特定のユーザー アカウントへの適用を制限することもできます。 Active Directory 環境でグループ ポリシーを使用する場合は、単一のユーザー アカウントに加えて、ユーザー グループにポリシー設定を適用できます。 グループ ポリシーを使用すると、これらのポリシーを多数のコンピューターに効果的に適用することもできます。 グループ ポリシーを使用してクライアント コンピューターを管理する方法の詳細については、「グループ ポリシーの」を参照してください。

リムーバブル 記憶域アクセス ポリシーの設定には、管理者が強制的に再起動できるようにする設定も含まれています。 制限ポリシーの適用時にデバイスが使用中の場合、コンピューターが再起動されるまでポリシーが適用されない可能性があります。

ポリシー設定は 2 つの場所にあります。 コンピューターの構成\管理用テンプレート\System\リムーバブル 記憶域アクセス で見つかったポリシー設定は、コンピューターとそのコンピューターにログオンするすべてのユーザーに影響します。 ユーザー構成\管理用テンプレート\システム\リムーバブル 記憶域アクセス で見つかったポリシー設定は、グループポリシーが Active Directory を使用して適用されている場合、グループを含め、ポリシー設定が適用されているユーザーにのみ影響します。

リムーバブル 記憶域ドライブへの読み取りまたは書き込みアクセスを制御できるポリシーの簡単な説明を次に示します。 各デバイス カテゴリは、読み取りアクセスを拒否するポリシーと書き込みアクセスを拒否するポリシーの 2 つをサポートしています。

  • 時間 (秒単位) で再起動を強制

    リムーバブル 記憶域デバイスへのアクセス権の変更を強制するために、システムが再起動を待機する時間 (秒単位) を設定します。

    再起動が強制されない場合、システムが再起動されるまで変更は有効になりません。

  • CD および DVD

    これらのポリシー設定を使用すると、USB 接続デバイスを含む、CD および DVD リムーバブル 記憶域クラス内のデバイスへの読み取りまたは書き込みアクセスを拒否できます。

  • カスタム クラス を する

    これらのポリシー設定を使用すると、指定したリストにデバイス セットアップ クラス GUID が含まれているデバイスへの読み取りまたは書き込みアクセスを拒否できます。

  • フロッピー ドライブの

    これらのポリシー設定を使用すると、フロッピー ドライブ クラス内のデバイス (USB 接続デバイスを含む) への読み取りまたは書き込みアクセスを拒否できます。

  • リムーバブル ディスク の

    これらのポリシー設定を使用すると、USB メモリ ドライブや外部 USB ハード ディスク ドライブなどのハード ディスクをエミュレートするリムーバブル デバイスへの読み取りまたは書き込みアクセスを拒否できます。

  • テープ ドライブの

    これらのポリシー設定を使用すると、USB 接続デバイスを含むテープ ドライブへの読み取りまたは書き込みアクセスを拒否できます。

  • WPD デバイス を する

    これらのポリシー設定を使用すると、Windows ポータブル デバイス クラスのデバイスへの読み取りまたは書き込みアクセスを拒否できます。 これらのデバイスには、メディア プレーヤー、携帯電話、Windows CE デバイスなどの "スマート" デバイスが含まれます。

  • すべてのリムーバブル 記憶域クラス: すべてのアクセスを拒否

    このポリシー設定は、この一覧のポリシー設定よりも優先され、有効になっている場合は、リムーバブル 記憶域を使用していると識別されるデバイスへの読み取りと書き込みのアクセスを拒否します。 このポリシー設定を無効にするか、未構成にした場合、リムーバブル 記憶域クラスへの読み取りと書き込みのアクセスは、この一覧の他のポリシー設定によって課される制限に従って許可されます。

シナリオを完了するための要件

各シナリオを完了するには、次のものが必要です。

  • Windows Vista を実行しているクライアント コンピューター。 このガイドでは、このコンピューターを DMI-Client1と参照します。

  • USB メモリ ドライブ。 このガイドで説明するシナリオでは、サンプル デバイスとして USB メモリ ドライブを使用します。 このデバイスは、リムーバブル ディスク ドライブのように機能し、"サム ドライブ"、"フラッシュ ドライブ"、または "キーリング ドライブ" とも呼ばれます。ほとんどの USB メモリ ドライブでは、製造元が提供するドライバーは必要ありません。これらのデバイスは、Windows Vista および Windows Server 2008 で提供されるドライバーと連携します。

    この手順では、Windows Vista および Windows Server 2008 に含まれるドライバー以外のドライバーはデバイスに必要ないことを前提としています。 デバイスに製造元のドライバーが必要な場合は、Windows からドライバー ファイルの入力を求められたら、ドライバー ファイルを指定する必要があります。 この手順はシナリオには含まれません。

  • (省略可能)CD または DVD バーナー。 最後のシナリオでは、リムーバブル メディアを使用するデバイスを読み取り専用にする方法を示します。 実際に CD または DVD バーナーをインストールしなくても、コンピューター ポリシーを設定できます。 ただし、コンピューター ポリシーが有効であることを確認する場合は、使用する CD または DVD バーナー デバイスが必要です。

  • DMI-Client1 で保護された管理者アカウントへのアクセス。 このガイドでは、TestAdminこのアカウントを呼び出します。 このガイドの手順では、ほとんどの手順で管理者特権が必要です。 特に指示がない限り、各手順の開始時にこの管理者アカウントを使用して DMI-Client1 にログインする必要があります。

    注意 Windows Vista および Windows Server 2008 では、保護された管理者アカウントの概念が導入されています。 このアカウントは Administrators グループのメンバーですが、既定では、セキュリティ特権は直接使用されません。 管理者の昇格された権限を必要とするタスクを実行しようとすると、そのタスクを実行するためのアクセス許可を求めるダイアログ ボックスが生成されます。 このダイアログ ボックスについては、「ユーザー アカウント制御ページへの応答」セクションで説明します。 Microsoft では、可能な限り組み込みの管理者アカウントではなく、保護された管理者アカウントを使用することをお勧めします。

  • DMI-Client1の標準ユーザー アカウントにアクセスします。 このユーザー アカウントには、昇格されたアクセス許可を付与する特別なメンバーシップはありません。 このガイドでは、TestUserこのアカウントを呼び出します。 このアカウントを使用してコンピューターにログオンするように指示された場合にのみログオンします。 標準ユーザー アカウントでは、管理者の昇格された権限を必要とするタスクを実行しようとすると、管理者特権を持つアカウントの資格情報を要求するダイアログ ボックスが表示される可能性があります。 このダイアログ ボックスについては、「ユーザー アカウント制御ページへの応答」セクションで説明します。

前提条件の手順

ユーザーによるデバイスのインストールを許可または禁止するためのポリシーを実装する前に、デバイスのデバイス識別文字列を知っている必要があります。 また、USBメモリドライブとそれに関連するドライバを完全にアンインストールする方法も知っている必要があります。 次の手順では、このガイドのシナリオを正常に実行するようにコンピューターを構成します。

  1. [ユーザー アカウント制御] ページへの応答
  2. USB メモリ ドライブのデバイス識別文字列の決定
  3. USB メモリ ドライブのアンインストール

[ユーザー アカウント制御] ページへの応答

このガイド全体を通して、Administrators グループのメンバーのみが実行できるタスクを実行するように求められます。 Windows Vista および Windows Server 2008 では、管理者権限を必要とするタスクを実行しようとすると、次の処理が行われます。

  • 組み込みの管理者アカウントとしてログインしている場合 (推奨されません)、操作は続行されます。 既定では、組み込みの管理者アカウントは無効になっています。
  • 組み込みの Administrator アカウントではない Administrators グループのメンバーである場合は、続行するアクセス許可を求める ユーザーアカウント制御 ダイアログが表示されます。 [続行]クリックすると、タスクが続行されます。
  • 標準ユーザーとしてログオンしている場合は、タスクの実行を妨げる可能性があります。 タスクに応じて、管理者アカウントのユーザー名とパスワードを指定する ユーザーアカウント制御 ページを表示できます。 有効な資格情報を指定すると、指定した管理者アカウントのセキュリティ コンテキストでタスクが実行されます。 これらの資格情報を指定できない場合は、タスクを実行できません。

重要: 管理タスクを実行するための資格情報またはアクセス許可を指定する前に、開始したタスクに応答して ユーザー アカウント制御の ページが表示されていることを確認します。 ページが予期せず表示される場合は、[詳細] ボタンをクリックし、許可するタスクであることを確認します。

このガイドでは、これらの手順を実行する際に発生する ユーザー アカウント制御 ダイアログ ボックスが発生するたびに説明するわけではありません。 管理者として特定のタスクを実行するために特別な手順が必要な場合は、これらの手順がガイドに記載されています。

USB メモリ ドライブのデバイス識別文字列の決定

次の手順に従って、デバイスのデバイス識別文字列を決定できます。 デバイスのハードウェア ID と互換性のある ID がこのガイドに示されているものと一致しない場合は、デバイスに適した ID を使用します。

次のシナリオでは、USB メモリ ドライブをインストールしてからアンインストールする必要があります。 この手順では、Windows Vista および Windows Server 2008 に含まれているドライバー以外のドライバーがデバイスに必要ないことを前提としています。 デバイスに製造元のドライバーが必要な場合は、Windows からドライバー ファイルの入力を求められたら、ドライバー ファイルを指定する必要があります。 この手順はシナリオには含まれません。

デバイスのハードウェア ID と互換性のある ID は、2 つの方法で判断できます。 Device Manager は、オペレーティング システムに付属するグラフィカル ツール、またはドライバー開発キット (DDK) の一部としてダウンロードできるコマンド ライン ツールである DevCon を使用できます。 USB メモリ ドライブのデバイス識別文字列を表示するには、次の手順に従います。

重要 これらの手順は、USB メモリ ドライブに固有です。 別の種類のデバイスを使用している場合は、それに応じて手順を調整する必要があります。 大きな違いは、デバイス マネージャー階層内のデバイスの場所です。 Disk Drives ノードに配置するのではなく、適切なノードでデバイスを見つける必要があります。

デバイス マネージャー を使用してデバイス識別文字列を検索するには

  1. DMI-Client1\TestAdminとしてコンピューターにログオンします。

  2. USB メモリ ドライブを接続し、インストールを完了できるようにします。

  3. デバイス マネージャーを開くには、[スタート] ボタンをクリックし、[検索の開始] ボックス mmc devmgmt.msc を入力し、enterキー 押します。

  4. [ユーザー アカウント制御 ] ダイアログ ボックスが表示されたら、表示されるアクションが必要であることを確認し、[続行] クリックします。

    デバイス マネージャーが起動し、コンピューターで検出されたすべてのデバイスを表すツリーが表示されます。 ツリーの上部には、コンピューター名が横にあるノードがあります。 下位ノードは、コンピューター デバイスをグループ化するハードウェアのさまざまなカテゴリを表します。

  5. ディスク ドライブをダブルクリックして、一覧を開きます。

    Bb530324.grouppolicydeviceinstall02(en-us,MSDN.10).gif

    図 2. ダブルクリックして USB ディスク ドライブを開く

  6. USB メモリ ドライブのエントリを右クリックし、[プロパティ]クリックします。 [デバイスのプロパティ] ダイアログ ボックスが表示されます。

    Bb530324.grouppolicydeviceinstall03(en-us,MSDN.10).gif

    図 3. USB ドライブの [デバイスのプロパティ] ダイアログ ボックスが表示されます

  7. [の詳細] タブをクリックします。

  8. [プロパティ] の一覧で、[ハードウェア ID]クリックします。

  9. [で、表示される文字列を書き留めます。

    Bb530324.grouppolicydeviceinstall04(en-us,MSDN.10).gif

    図 4. USB ドライブの [プロパティ] ダイアログ ボックスの [値] に表示される文字列を記憶する

    注: テキストを強調表示して Ctrl キーを押しながら C キーを押すと、文字列をクリップボードにコピーできます。 多くのハードウェア ID には複数のアンダースコア文字があるため、識別子を指定する必要があるときに貼り付けることができるテキスト ファイルにコピーすると便利です。 この方法により、承認されたデバイスまたは禁止されているデバイスの一覧に特定の識別子を追加する必要がある場合に、エラーが発生する可能性が大幅に低下します。

  10. [プロパティ] の一覧で、[互換性のある ID]クリックします。

  11. [で、表示される文字列を書き留めます。

    Bb530324.grouppolicydeviceinstall05(en-us,MSDN.10).gif

    図 5. USB ドライブの [プロパティ] ダイアログ ボックスの [値] に表示される文字列を記憶する

DevCon コマンド ライン ユーティリティを使用してデバイス識別文字列を決定することもできます。 DevCon は、Microsoft のヘルプおよびサポート サイトからダウンロードできます。 詳細については、「DevCon コマンド ライン ユーティリティ関数を Device Managerの代わりに使用する方法」を参照してください。

DevCon の

DevCon HwIDs

USB メモリ ドライブのアンインストール

USB メモリ ドライブの日常的な使用では、通常は USB ポートからドライブを引き出すだけです。 ただし、このガイドでは、デバイス ドライバーをアンインストールして、各シナリオがコンピューターで適切な状態で起動されるようにする必要もあります。 指示されたときにデバイスのアンインストールと削除に失敗した場合、以下のシナリオでテストされたポリシーは影響を受けず、期待される結果は表示されません。 デバイスをアンインストールして削除するように指示されている場合は、このガイド全体で同じ手順を使用します。

重要 最後の手順に進むまで、デバイスを USB ポートから物理的に切断しないでください。

USB メモリ ドライブをアンインストールするには

  1. コンピューターの DMI-Client1\TestAdmin にログオンします。

  2. デバイス マネージャーを開くには、スタート] ボタンをクリックし、[検索の開始] ボックス mmc devmgmt.msc を入力し、enter キー

  3. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示されるアクションが目的の操作であることを確認し、[続行] クリック

  4. USB メモリ ドライブのエントリを右クリックし、[のアンインストール] クリックします。

    Bb530324.grouppolicydeviceinstall06(en-us,MSDN.10).gif

    図 6. 右クリックして USB メモリ ドライブをアンインストールする

  5. [デバイスの削除 確認] ダイアログ ボックスで、[ OK] をクリックして、アンインストール プロセスを完了できるようにします。

  6. Windows はアンインストール プロセスを完了すると、デバイス マネージャー ツリーからデバイス エントリを削除します。

  7. USB メモリ ドライブを USB ポートから取り外します。

すべてのデバイスのインストールを禁止する

このシナリオでは、最も制限の厳しい構成を実装するために必要な一般的な手順について説明します。この手順では、すべてのデバイスのインストールが禁止され、既存のデバイスを新しいデバイス ドライバーで更新することはできません。 ユーザーは、管理者の介入なしにデバイスをインストールして使用することはできません。 管理者は、必要に応じて任意のデバイスをインストールまたは更新できます。

すべてのデバイスのインストールを防止するための前提条件

このシナリオの手順を完了するには、このドキュメントの「USB メモリ ドライブのアンインストール」セクションの説明に従って、USB メモリ ドライブをアンインストールする必要があります。

すべてのデバイスのインストールを禁止する手順

  1. デバイスのインストールを禁止するようにポリシーを構成する
  2. 管理者がデバイスのインストール制限をオーバーライドできるようにポリシーを構成する
  3. ユーザーとしての制限設定の効果をテストする

デバイスのインストールを禁止するようにポリシーを構成する

デバイス のインストールまたは更新を禁止するポリシーを構成するには

  1. DMI-Client1\TestAdminとしてコンピューターにログオンします。

  2. グループ ポリシー オブジェクト エディターを開くには、[スタート] ボタン クリックし、[検索の開始] ボックス mmc gpedit.msc を入力し、enter キー

  3. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示されるアクションが目的の操作であることを確認し、[続行] クリック

  4. [グループ ポリシー オブジェクト エディター] ナビゲーション ウィンドウで、[コンピューターの構成] ダブルクリックして開きます。 次 管理用テンプレートを開き、システムを開き、デバイス インストールを開き、デバイス インストールの制限を開きます。

    Bb530324.grouppolicydeviceinstall07(en-us,MSDN.10).gif

    図 7. グループ ポリシー オブジェクト エディターのナビゲーション ウィンドウ

  5. 詳細ウィンドウで、[他のポリシー設定で説明されていないデバイスのインストールを禁止する] を右クリックし、[プロパティ]クリックします。

  6. ポリシー ダイアログ ボックスが現在の設定と共に表示されます。

  7. [設定] タブで、[有効 をクリックしてポリシーを有効にします。

  8. [OK をクリックして設定を保存し、グループ ポリシー オブジェクト エディターに戻ります。

管理者がデバイスのインストール制限をオーバーライドできるようにポリシーを構成する

次のポリシーを使用すると、管理者は、先ほど有効にしたポリシーを含め、他のデバイス インストール ポリシー設定によって課される制限をオーバーライドできます。

管理者がデバイスのインストール制限をオーバーライドできるようにポリシーを構成するには

  1. 詳細ウィンドウで、[管理者がデバイス インストール ポリシーのを上書きすることを許可する] を右クリックし、[プロパティ]クリックします。

  2. ポリシー ダイアログ ボックスが現在の設定と共に表示されます。

  3. [設定] タブで、[有効 をクリックしてポリシー設定を有効にします。

  4. [OK] をクリックして設定を保存し、グループ ポリシー オブジェクト エディターに戻ります。

  5. 両方のポリシーの状態が有効として表示されるようになりました。

    Bb530324.grouppolicydeviceinstall08s(en-us,MSDN.10).gif

    図 8. 両方のポリシーの状態が有効として表示されます

ユーザーとしての制限設定の効果をテストする

両方のポリシーが有効になっている場合は、それらをコンピューターに適用し、デバイスのインストールを試みて、制限が機能することを確認できます。

ユーザー としての制限設定の効果をテストするには

  1. デバイスがインストールされている場合は、このドキュメントの「USB メモリ ドライブのアンインストール」セクションの手順に従って、デバイスをアンインストールして削除します。

  2. [スタート] ボタンをクリックし、[検索の開始] ボックス 「gpupdate/force」と入力し、enter キー

  3. GPUdate コマンドが完了したら、コンピューターからログオフし、DMI-Client1\TestUserとしてログオンします。

  4. デバイス マネージャーを開くには、スタート] ボタンをクリックし、[検索の開始] ボックス mmc devmgmt.msc を入力し、enter キー

  5. 次のメッセージが表示され、デバイス マネージャーで変更を加えるアクセス許可がないことを示します。

    Bb530324.grouppolicydeviceinstall09(en-us,MSDN.10).gif

    図 9. アクセス許可がないことを示すメッセージが表示されます

  6. [OK] クリックしてメッセージを確認します。 (デバイス マネージャーが起動し、コンピューター内のデバイスを表示できます)。

  7. USB メモリ ドライブを接続します。

  8. インストールが正常に完了するまで、デバイスはデバイス マネージャーの その他のデバイス ノードの下に表示されます。

    Bb530324.grouppolicydeviceinstall10(en-us,MSDN.10).gif

    図 10. インストールが完了するまで、デバイスは [その他のデバイス] の下に表示されます

  9. 管理者権限を持たない標準ユーザーとしてログオンしており、デバイスのインストールが制限されているため、次のダイアログ ボックスが表示されます。

    Bb530324.grouppolicydeviceinstall11(en-us,MSDN.10).gif

    図 11. 管理者権限を持たない標準ユーザーとしてログオンしたときに表示されるダイアログ ボックス

  10. 一般的なユーザー応答をシミュレートするには、[ の検索] クリックし、ドライバー ソフトウェアをインストールします (推奨)。

  11. [ユーザー アカウント制御] ダイアログ ボックスのバリエーションが表示され、管理者権限を持つアカウントのユーザー名とパスワードの入力を求められます。

  12. ユーザーは管理者の資格情報を指定できないため、[キャンセル] クリックして、ユーザーが行うとおりに試行を中止します。

  13. デバイス ドライバーのインストールが失敗し、デバイスは その他のデバイス ノードの下に残り、機能していません。

    Bb530324.grouppolicydeviceinstall12(en-us,MSDN.10).gif

    図 12. デバイスのインストールが失敗し、デバイスが機能しない

ユーザーが承認されたデバイスのみをインストールできるようにする

このシナリオは、最初のシナリオである [すべてのデバイスのインストールを禁止する] に基づいています。このシナリオでは、デバイスのインストールを禁止しました。 このシナリオでは、許可されているデバイスの一覧をポリシーに追加し、USB メモリ ドライブのハードウェア ID を含めます。

ユーザーが承認されたデバイスのみをインストールできるようにするための前提条件

このタスクを完了するには、最初のシナリオ 「すべてのデバイスのインストールを禁止する」のすべての手順を最初に完了する必要があります。

ユーザーが承認されたデバイスのみをインストールできるようにする手順

このセクションでは、「許可されたデバイスの一覧を作成して、すべてのデバイスのインストールを禁止する」で課される制限に許可されたデバイスを追加します。

  1. 承認されたデバイスの一覧を作成する
  2. 承認されたデバイスの効果をテストする

承認されたデバイスの一覧を作成する

承認済みのデバイス リストを作成するには

  1. DMI-Client1\TestAdminとしてコンピューターにログオンします。

  2. デバイスが現在インストールされている場合は、このドキュメントの「USB メモリ ドライブのアンインストール」セクションの手順に従って、デバイスをアンインストールして削除します。

  3. グループ ポリシー オブジェクト エディターを開くには、[スタート] ボタン クリックし、[検索の開始] ボックス mmc gpedit.msc を入力し、enter キー

  4. [グループ ポリシー オブジェクト エディター] ナビゲーション ウィンドウで、[コンピューターの構成] ダブルクリックして開きます。 次 管理用テンプレートを開き、システムを開き、デバイス インストールを開き、デバイス インストールの制限を開きます。

  5. 詳細ウィンドウで、これらのデバイス IDのいずれかに一致するデバイスのインストールを許可する] を右クリックし、[ プロパティ] をクリックします。

  6. ポリシー ダイアログ ボックスが現在の設定と共に表示されます。

  7. [設定] タブで、[有効 をクリックして、このポリシーを有効にします。

    Bb530324.grouppolicydeviceinstall13(en-us,MSDN.10).gif

    図 13. [有効] をクリックしてポリシーを有効にする

  8. [ 表示] をクリックして、[コンテンツの表示] ダイアログ ボックスで許可されているデバイスの一覧を表示します。 (既定では、リストは空です)。

  9. [ 追加] をクリックして、[アイテムの追加] ダイアログ ボックスを開きます。

  10. デバイスのデバイス ID (最初のハードウェア ID) を入力します。

    Bb530324.grouppolicydeviceinstall14(en-us,MSDN.10).gif

    図 14. USB デバイスのデバイス ID を入力します

  11. [OK] クリックして、[コンテンツの表示] ダイアログ ボックスに戻ります。 これで、デバイスが一覧に表示されます。

    Bb530324.grouppolicydeviceinstall15(en-us,MSDN.10).gif

    図 15. デバイスのインストールが承認されました

  12. [OK] クリックしてポリシー ダイアログ ボックスに戻り、[OK] クリックして新しいポリシー設定を保存します。

承認されたデバイスの一覧をテストする

ポリシー設定を有効にすると、それをコンピューターに適用し、デバイスのインストールを試みることができます。

承認されたデバイスの一覧をテストするには

  1. [スタート] ボタンをクリックし、[検索の開始] ボックス 「gpupdate/force」と入力し、Enterキー 押します。

  2. gpudate コマンドが完了したら、コンピューターからログオフし、DMI-Client1\TestUserとしてログオンします。

  3. デバイス マネージャーを開くには、スタート] ボタンをクリックし、[検索の開始] ボックス mmc devmgmt.msc を入力し、enter キー

  4. 次のメッセージが表示され、デバイス マネージャーで変更を加えるアクセス許可がないことを示します。

    Bb530324.grouppolicydeviceinstall16s(en-us,MSDN.10).gif

    図 16. アクセス許可がないことを示すメッセージが表示されます

  5. [OK] クリックしてメッセージを閉じます。 デバイス マネージャーが起動し、コンピューター内のデバイスを表示できます。

  6. USB メモリ ドライブを接続します。

  7. デバイスは、Windows がインストールを完了するまで、[その他のデバイス] ノードの下にデバイス マネージャーに表示されます。

    Bb530324.grouppolicydeviceinstall17(en-us,MSDN.10).gif

    図 17. インストールが完了するまで、デバイスは [その他のデバイス] の下に表示されます

  8. Windows がインストールを完了すると、デバイスはデバイス マネージャーの [ディスク ドライブ] ノードに移動し、完全に機能します。

    Bb530324.grouppolicydeviceinstall18(en-us,MSDN.10).gif

    図 18. インストールが完了すると、デバイスは完全に機能します

禁止されているデバイスのインストールを防止する

このシナリオでは、デバイスのインストールを制御する別の方法を示します。 最初の 2 つのシナリオでは、承認されたデバイスの一覧で許可されているものを除くすべてのデバイスのインストールを禁止しました。 このシナリオでは、禁止されているデバイスの一覧を除くすべてのデバイスのインストールを許可します。 また、最初のシナリオで作成した管理者の例外も削除して、管理者でもポリシーの影響を受けます。

禁止されているデバイスのインストールを防止するための前提条件

「すべてのデバイスのインストールを禁止する」および「ユーザーが承認されたデバイスのみをインストールすることを許可する」の手順を完了した場合は、次の手順を使用してこれらのポリシーを無効にする必要があります。

  • すべてのデバイスのインストールを有効にします。
  • デバイスのインストールを許可する Administrators グループのメンバーの例外を削除します。
  • 承認されたデバイスの一覧からハードウェア ID を削除します。

すべてのデバイスのインストールを有効にするには

  1. DMI-Client1\TestAdminとしてコンピューターにログオンします。
  2. グループ ポリシー オブジェクト エディターを開くには、[スタート] ボタン クリックし、[検索の開始] ボックス mmc gpedit.msc を入力し、enter キー
  3. [グループ ポリシー オブジェクト エディター] ナビゲーション ウィンドウで、[コンピューターの構成] ダブルクリックして開きます。 次 管理用テンプレートを開き、システムを開き、デバイス インストールを開き、デバイス インストールの制限を開きます。
  4. 詳細ウィンドウで、他のポリシー設定で説明されていないデバイスのインストールを禁止する] ノードを右クリックし、[プロパティ] をクリックします。
  5. ポリシー ダイアログ ボックスが現在の設定と共に表示されます。
  6. [無効 ] をクリックして、ポリシー設定をオフにします。
  7. [OK] をクリックして設定を保存し、グループ ポリシー オブジェクト エディターに戻ります。

次の手順では、Administrators グループのメンバーに例外を付与したポリシーを削除します。

グループ ポリシーの制限に対する管理者の例外を削除するには

  1. [グループ ポリシー オブジェクト エディター] で、[管理者がデバイス インストール ポリシーのを上書きすることを許可する] を右クリックし、[プロパティ]クリックします。
  2. ポリシー ダイアログ ボックスが現在の設定と共に表示されます。
  3. [設定] タブで、[無効 をクリックしてポリシー設定をオフにします。
  4. [OK] をクリックして設定を保存し、グループ ポリシー オブジェクト エディターに戻ります。

次の手順では、2 番目のシナリオで作成した承認されたデバイスの一覧からハードウェア ID を削除します。

承認されたデバイスの一覧からハードウェア ID を削除するには

  1. グループ ポリシー オブジェクト エディターで、これらのデバイス IDに一致するデバイスのインストールを許可する] を右クリックし、[プロパティ] をクリックします。 ポリシー ダイアログ ボックスが現在の設定と共に表示されます。
  2. [設定] タブで、[ 表示] をクリックして、承認されたデバイスの一覧を表示します。
  3. [コンテンツの表示] ダイアログ ボックスで、USB メモリ ドライブの名前を選択し、[の削除] クリックします。 Windows によってデバイスが一覧から削除されます。
  4. [OK] クリックして [コンテンツの表示] ダイアログ ボックスを閉じ、ポリシー ダイアログ ボックスに戻ります。
  5. [無効 ] をクリックして、ポリシー設定をオフにします。
  6. [OK] クリックして変更を保存し、グループ ポリシー オブジェクト エディターに戻ります。

禁止されているデバイスのインストールを防止するための手順

ユーザーが特定のデバイスをインストールできないようにするには、禁止されているデバイスの一覧を作成します。 このセクションでは、次の操作を行います。

  1. 禁止されているデバイスの一覧を作成する
  2. 禁止されているデバイスの一覧をテストする

禁止されているデバイスの一覧を作成する

禁止されているデバイスの一覧を作成するには

  1. デバイスが現在インストールされている場合は、このドキュメントの「USB メモリ ドライブのアンインストール」セクションの手順に従って、デバイスをアンインストールして削除します。

  2. コンピューターに DMI-Client1\TestAdmin としてログオンします。

  3. まだ実行されていない場合は、グループ ポリシー オブジェクト エディターを起動します。 これを行うには、[スタート] ボタンをクリックし、[検索の開始] ボックスに mmc gpedit.msc と入力し、Enter キーを押します。

  4. ツリーで、[コンピューターの構成] をダブルクリックして開きます。 次に、[管理用テンプレート] を開き、[システム] を開き、[デバイスのインストール] を開き、[デバイスのインストールの制限] を開きます。

  5. 詳細ウィンドウで、右クリックしてこれらのデバイス ID に一致するデバイスのインストールを禁止し、[プロパティ] をクリックします。 ポリシー ダイアログ ボックスが現在の設定と共に表示されます。

  6. [設定] タブで、[有効] をクリックしてこのポリシーを有効にします。

    Bb530324.grouppolicydeviceinstall19(en-us,MSDN.10).gif

    図 19. [有効] をクリックしてポリシーをアクティブ化する

  7. [ 表示] をクリックして、禁止されているデバイスの一覧を表示します。

  8. [コンテンツの表示] ダイアログ ボックスで、[追加] をクリックします。

  9. [項目の追加] ダイアログ ボックスで、デバイス用に見つかったデバイス ID (最初のハードウェア ID) を入力します。

  10. [OK] クリックして、[コンテンツの表示] ダイアログ ボックスに戻ります。

  11. これで、デバイスが一覧に表示されます。

    Bb530324.grouppolicydeviceinstall20(en-us,MSDN.10).gif

    図 20. このデバイスのインストールが禁止されるようになりました

  12. [OK] クリックしてポリシー ダイアログ ボックスに戻り、[OK] クリックして新しいポリシー設定を保存します。

禁止されているデバイスの一覧をテストする

これで、デバイスのインストールを試みることができます。 ポリシーによってインストールが妨げられないため、他のデバイスをインストールできますが、Administrators グループのメンバーとしてログオンしている場合でも、この特定のデバイスをインストールすることはできません。

禁止されているデバイスの一覧をテストするには、

  1. [スタート] ボタンをクリックし、[検索の開始] ボックス 「gpupdate/force」と入力し、enter キー

  2. gpudate コマンドが完了したら、コマンド プロンプトを閉じます。

  3. デバイス マネージャーを開くには、スタート] ボタンをクリックし、[検索の開始] ボックス mmc devmgmt.msc を入力し、enter キー

  4. USB メモリ ドライブを接続します。

  5. デバイスがデバイス マネージャーの その他のデバイス ノードに表示されます。

  6. インストールが完了せず、デバイスが機能しません。

    Bb530324.grouppolicydeviceinstall21(en-us,MSDN.10).gif

    図 21. インストールが完了せず、デバイスが機能しない

  7. Windows では、インストールが失敗した理由を示すメッセージが通知領域に表示されます。

    Bb530324.grouppolicydeviceinstall22(en-us,MSDN.10).gif

    図 22. インストールが失敗した理由を示すメッセージが表示されます

  8. デバイスのドライバーを手動でインストールすることで、制限を回避できます。 デバイスを右クリックし、[ドライバー ソフトウェアの更新] をクリックします。

  9. オペレーティング システムによって、デバイスのデバイス ドライバーを指定するように求められます。

    Bb530324.grouppolicydeviceinstall23(en-us,MSDN.10).gif

    図 23. デバイス ドライバーのプロンプトが表示されます

  10. ユーザーが試みるものをシミュレートするには、[自動的に検索して更新されたドライバー ソフトウェアを検索します。

  11. Windows が見つかりましたが、ドライバーをインストールできなかったことを示すメッセージが表示されます。 最後の段落では、インストールの試行が失敗したことを説明します。これは、作成したポリシーによって禁止されているためです。

    Bb530324.grouppolicydeviceinstall24(en-us,MSDN.10).gif

    図 24. ダイアログ ボックスには、インストールに失敗した理由が表示されます

リムーバブル メディアの読み取りと書き込みのアクセス許可を制御する

このシナリオでは、Windows Vista および Windows Server 2008 を実行しているコンピューターで、リムーバブル メディアを使用するリムーバブル デバイスまたはデバイスへの読み取りまたは書き込みアクセスを制御する方法を示します。 このシナリオでは、USB メモリ ドライブを読み取り専用にするようにコンピューター ポリシーを設定します。 また、コンピューターに接続されている CD または DVD バーナーを読み取り専用にするようにコンピューター ポリシーを設定し、実質的に書き込み機能を無効にします。

リムーバブル メディアの読み取りおよび書き込みアクセス許可を制御するための前提条件

このセクションの手順を試す前に、USB メモリ ドライブのインストールを妨げるポリシーを無効にする必要があります。

USB メモリ ドライブのインストールを妨げるポリシーを無効にするには

  1. デバイスが現在インストールされている場合は、このドキュメントの「USB メモリ ドライブのアンインストール」セクションの手順に従って、デバイスをアンインストールして削除します。
  2. グループ ポリシー オブジェクト エディターの詳細ウィンドウで、これらのデバイス IDに一致するデバイスのインストールを禁止] を右クリックし、[プロパティ] をクリックします。
  3. ポリシー ダイアログ ボックスが現在の設定と共に表示されます。
  4. [設定] タブで、[ 表示] をクリックして、禁止されているデバイスの一覧を表示します。
  5. [コンテンツの表示] ダイアログ ボックスで、USB メモリ ドライブのをクリックし、[削除]をクリックし、[OK]クリックします。
  6. [設定] タブで、[無効 をクリックして、このポリシー設定をオフにします。
  7. [OK] クリックして変更を保存します。

リムーバブル メディアの読み取りおよび書き込みアクセス許可を制御する手順

  1. 特定のリムーバブル デバイス クラスへの書き込みアクセスを拒否するようにコンピューター ポリシーを設定する
  2. コンピューター のポリシー設定をテストする

特定のリムーバブル デバイス クラスへの書き込みアクセスを拒否するようにコンピューター ポリシーを設定する

この手順で設定したポリシーにより、多くのリムーバブル 記憶域デバイスへの書き込みアクセスがブロックされます。 ただし、デバイスへの書き込みアクセスをブロックする正確なコンピューター ポリシーは、特定の make デバイスとモデル デバイスによって異なる場合があります。 カスタム クラス ポリシーを使用することもできますが、特定のデバイスのデバイス セットアップ クラス GUID を識別する必要があります。

特定のリムーバブル デバイス クラスへの書き込みアクセスを拒否するには

  1. [グループ ポリシー オブジェクト エディター] ナビゲーション ウィンドウで、[コンピューターの構成]開き、[管理用テンプレート]開き、[システム開き、リムーバブル 記憶域アクセス開きます。
  2. CD と DVD 右クリックします。書き込みアクセスのを拒否し、[ プロパティ]をクリックします。
  3. [プロパティ] ダイアログ ボックスで、[有効 ] をクリックして制限を有効にし、[OK]クリックします。
  4. 次のコンピューター ポリシーについて、手順 2 と 3 を繰り返します。
    • リムーバブル ディスク: 書き込みアクセスを拒否する
    • フロッピー ドライブ: 書き込みアクセスを拒否する
    • WPD デバイス: 書き込みアクセスを拒否する
  5. グループ ポリシー オブジェクト エディターを閉じます。

コンピューター のポリシー設定をテストする

デバイスが使用中の場合、書き込みアクセス制限ポリシーをすぐに適用することはできません。 コンピューター ポリシーを適用するには、コンピューターを再起動します。

コンピューター ポリシー設定をテストするには

  1. [スタート] ボタンをクリックし、[検索の開始] ボックス 「gpupdate/force」と入力し、enter キー

  2. gpudate コマンドが完了したら、コンピューターを再起動します。

  3. DMI-Client1\TestAdminとしてコンピューターにログオンします。

  4. USB メモリ ドライブを接続し、Windows が動作中であることを通知するまで待ちます。

  5. [スタート]クリックし、[コンピューター] をクリックし、USB メモリ ドライブをダブルクリックします。

  6. Windows エクスプローラーで、詳細ウィンドウの開いている領域を右クリックし、[新しい] をクリックし、[フォルダー] をクリックします。

  7. Windows には、フォルダーの作成が失敗した理由を説明するエラー メッセージが表示されます。

    Bb530324.grouppolicydeviceinstall25(en-us,MSDN.10).gif

    図 25. フォルダーの作成が失敗した理由を説明するエラー メッセージ

  8. [続行 をクリックして、制限の回避を試みます。

  9. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示されるアクションが目的の操作であることを確認し、[続行] クリック

  10. Windows には、フォルダーに書き込めない理由を示す 2 番目のメッセージが表示されます。

    Bb530324.grouppolicydeviceinstall26(en-us,MSDN.10).gif

    図 26. 2 番目のエラー メッセージは、書き込みアクセス許可が許可されていない理由を示します

結論

このガイドでは、ラボ環境のサンプル デバイスを使用して、ユーザーがデバイスをインストールできるかどうかを制御する方法について説明しました。 また、リムーバブル 記憶域デバイスまたはリムーバブル メディアを使用するデバイスへのアクセスを制限する方法についても説明しました。 この方法でインストールとデバイスの使用を制御すると、セキュリティが向上し、ユーザーがインストールできるデバイスを組織が承認してサポートするデバイスに制限することで、ヘルプ デスクの有効性が向上します。 これらの構成を示すために使用されるシナリオには、次のものが含まれます。

  • すべてのデバイスのインストールを禁止します。

    このシナリオでは、標準ユーザーがデバイスをインストールできないようにしましたが、管理者はデバイスのインストールまたは更新を許可しました。

  • 承認されたデバイスのみをインストールすることをユーザーに許可します。

    このシナリオでは、標準ユーザーに対して、承認されたデバイスの一覧に含まれるデバイスのみをインストールすることを許可しました。

  • 禁止されているデバイスのみのインストールを禁止します。

    このシナリオでは、標準ユーザーにほとんどのデバイスのインストールを許可しましたが、禁止されているデバイスの一覧に含まれるデバイスのインストールを禁止しました。

  • リムーバブル メディア ストレージ デバイスの使用を制御します。

    このシナリオでは、標準ユーザーがリムーバブル記憶域デバイス、または USB メモリ ドライブや CD または DVD バーナーなどのリムーバブル メディアを使用するデバイスにデータを書き込めないようにしました。

その他のリソース

デバイスのインストールの詳細については、以下を参照してください。

DevCon ツールの詳細については、以下を参照してください。

Windows Vista でのユーザー アカウント制御の詳細については、以下を参照してください。

  • ユーザー アカウント制御 の

グループ ポリシーの詳細については、以下を参照してください。

バグとフィードバックのログ記録

フィードバックは大歓迎です。 含まれているシナリオが説明どおりに機能しない場合、またはテクノロジの使用方法をキャプチャできない場合は、お知らせください。 このドキュメントの品質を向上させるために、お客様が提供するフィードバックを使用します。 このドキュメントに関するコメントを Vista フィードバック (vistafb@microsoft.com) に送信します。

Windows Vista に関するフィードバックについては、https://www.microsoft.com/windowsvistaの Windows Vista Web ページの下部にある [お問い合わせ] リンクを使用してください。