グループ ポリシーを使用してドメイン 2016/2012 で USB ストレージ デバイスをブロックする方法。
このガイドでは、AD ドメイン 2016 または 2012 でグループ ポリシーを使用して、ドメイン全体または特定のドメイン ユーザーの USB ストレージ デバイスをブロックする方法について、順を追って説明します。より具体的には、このガイドの手順を読むと、その方法を学習できます。ドメイン内の任意のコンピュータに接続できる USB ストレージ デバイス (フラッシュ ドライブ、外付けハード ドライブ、スマートフォン、タブレットなど) へのアクセスを防止するか、特定のドメイン ユーザーのみに USB ストレージ アクセスを拒否します。
今日、私たちの多くは USB ストレージ デバイスを使用してデータを転送しています。ただし、組織にとって、従業員が外部ストレージ デバイスを使用する能力には、マルウェアの拡散や機密データの傍受などのセキュリティ リスクが含まれる場合があります。これらのリスクを回避するには、次の手順を参照して、グループ ポリシーを使用して、ドメイン内のすべてのユーザーとコンピューター、または特定のドメイン ユーザーのみに USB ストレージ デバイスへのアクセスをブロックすることができます。 *
* 注意事項:
1.この投稿では、グループ ポリシーを介して USB ドライブをブロックするために、Active Directory 2016 ドメイン コントローラーを使用して新しいグループ ポリシーを作成し、Windows 10 Pro および Windows 7 Pro ワークステーションを使用してそれを適用しました。
2. 「USB アクセスをブロックする」ポリシーは、ドメイン管理者や、USB キーボード、マウス、プリンターなど、接続されているその他の USB デバイスには影響しません。
3.グループ ポリシーを適用すると、ユーザーはどのタイプの USB ストレージ デバイスにもアクセスできなくなり、PC 上の USB ストレージ デバイスにアクセスしようとすると、次のいずれかのエラー メッセージが表示されます。
グループ ポリシーを使用して USB ストレージ デバイスへのアクセスを防止する方法 (サーバー 2012/2012R2/2016)
- パート 1. すべてのドメイン ユーザーの USB 読み取り/書き込みアクセスをブロックする
- パート 2. 特定のドメイン ユーザーの USB 読み取り/書き込みアクセスをブロックする
パート 1. 2016 年のドメイン全体で USB ストレージ デバイスへのアクセスをブロックする方法
ドメイン上の任意のコンピュータ (ユーザー) への接続された USB ストレージ デバイスへのアクセスを無効にするには:
1. Server 2016 AD Domain Controller で Server Manager を開きます。 ツールから メニューからグループ ポリシーの管理を開きます。 *
* さらに、コントロール パネルに移動します -> 管理ツール -> グループ ポリシー管理。
2. ドメインの下 、ドメインを選択してから 右クリック デフォルト ドメイン ポリシー [編集] を選択します .
3. 「グループ ポリシー管理エディター」で、次の場所に移動します:
- ユーザーの構成> ポリシー> 管理用テンプレート> システム> リムーバブル ストレージ アクセス
<強い>4. 右側のペインで、次をダブルクリックします:Removable Disks:Deny read access. *
* 注:
1. この時点での多くのチュートリアルでは、有効にすることを提案しています。 「すべてのリムーバブル ストレージ クラス:すべてのアクセスを拒否する」 ただし、テスト中に、このポリシーがスマートフォンまたはタブレットには適用されない (機能しない) ことがわかりました。
2. USB 書き込みアクセスをブロックする場合は、[リムーバブル ディスク:書き込みアクセスを拒否] を選択します。
5. 有効 にチェックを入れます [OK] をクリックします。
<強い>6.閉じる
7. グループ ポリシー エディター。再起動 サーバーとクライアント マシン、または gpupdate /force を実行します。 コマンドを使用して、新しいグループ ポリシー設定を (再起動せずに) サーバーとクライアントの両方に適用します。
パート 2. 特定のドメイン ユーザーが USB ストレージ デバイスにアクセスできないようにする方法
グループ ポリシーを使用して特定のユーザーのみに USB ストレージ デバイスへのアクセスを無効にするには、USB ストレージ デバイスにアクセスしたくないユーザーでグループを作成し、このグループに新しいポリシーを適用する必要があります。それを行うには:
ステップ 1. 無効な USB ユーザーでグループを作成します。 *
* 注:USB ユーザーが無効になっているグループを既に作成している場合は、手順 2 に進みます。
1. Active Directory ユーザーとコンピュータを開きます。
2. [ユーザー] を右クリックします。 左ペインの " オブジェクトをクリックし、[新規] を選択します> グループ
3. 新しいグループの名前 (「USB Disabled Users」など) を入力し、[OK] をクリックします。 . *
* 注:[グローバル] オプションと [セキュリティ] オプションはオンのままにします。
4. 新しく作成したグループを開き、[メンバー] を選択します タブをクリックし、[追加] をクリックします
5. USB ストレージ デバイスをブロックするドメイン ユーザーを選択し、[OK] をクリックします。
6. [OK] をクリックします グループ プロパティを閉じます。
ステップ 2. USB ストレージ デバイスを無効にする新しいグループ ポリシー オブジェクトを作成します。
1. グループ ポリシー管理を開きます。
2. [ドメイン] オブジェクトの下でドメインを右クリックし、[このドメインに GPO を作成してここにリンクする] を選択します。
3. 新しい GPO の名前 (「USB 無効」など) を入力し、[OK] をクリックします。
4. 新しい GPO を右クリックし、[編集] をクリックします。
5. 「グループ ポリシー管理エディター」で、次の場所に移動します:
- ユーザーの構成> ポリシー> 管理用テンプレート> システム> リムーバブル ストレージ アクセス
<強い>4. 右側のペインで、次をダブルクリックします:Removable Disks:Deny read access. *
* 注:
1. この時点での多くのチュートリアルでは、有効にすることを提案しています。 「すべてのリムーバブル ストレージ クラス:すべてのアクセスを拒否する」 ただし、テスト中に、このポリシーがスマートフォンまたはタブレットには適用されない (機能しない) ことがわかりました。
2. USB 書き込みアクセスをブロックする場合は、[リムーバブル ディスク:書き込みアクセスを拒否] を選択します。
5. 有効 にチェックを入れます [OK] をクリックします。
6.閉じる グループ ポリシー管理エディター ウィンドウ。
7. [グループ ポリシーの管理] に戻り、[USB 無効] GPO を選択し、[スコープ] タブで [追加] をクリックします。 ボタン (「セキュリティ フィルタリング」設定の下)。
8. 「USB 無効ユーザー」グループの名前 (この投稿では「USB 無効ユーザー」など) を入力し、[OK] をクリックします。 .
9. 完了したら、委任を選択します タブ
<強い>10. [委任] タブで、選択 認証されたユーザー [詳細strong>] をクリックします。
11 .セキュリティ オプションで、選択 認証されたユーザー チェックを外す グループ ポリシーを適用 チェックボックス。完了したら、[OK] をクリックします。
<強い>6.閉じる
7. グループ ポリシー エディター。再起動 サーバーとクライアント マシン、または「gpupdate /force " コマンド (管理者として) を実行して、新しいグループ ポリシー設定を (再起動せずに) サーバーとクライアントの両方に適用します。
それだけです!あなたの経験についてコメントを残して、このガイドが役に立ったかどうか教えてください。他の人を助けるために、このガイドを気に入って共有してください。
-
TPM v1.2 デバイスに USB から Windows 11 をインストールする方法
このチュートリアルには、TPM バージョン 1.2 およびサポートされていない CPU を搭載したデバイスに USB から Windows 11 をクリーン インストールする方法が含まれています。 お使いのコンピューターが TPM v1.2* をサポートしていて、「このコンピューターは Windows 11 を実行できません。このコンピューターは、このバージョンの Windows をインストールするための最小システム要件を満たしていません」というエラー メッセージが表示され、USB から Windows 11 をインストールできない場合、問題を解決するには、以下を読み続けてください。 *
-
Windows 10/11 にグループ ポリシー管理コンソールをインストールする方法。
このチュートリアルでは、グループ ポリシー管理コンソールを Windows 10/11 にインストールする方法を学習します。 グループ ポリシー管理コンソール (GPMC) は、Active Directory 環境でグループ ポリシーやその他の設定を管理するための高度な管理ツールです。ドメインベースのネットワークの管理者は GPMC ツールを使用して、次のオブジェクトを簡単に管理できます: Active Directory ユーザーとコンピュータ Active Directory サイトとサービス ポリシーの結果セット ACL 編集者 GPMC 委任ウィザード 実際には、グループ ポ