グループ ポリシーを使用してドメイン 2016/2012 で USB ストレージ デバイスをブロックする方法。

このガイドでは、AD ドメイン 2016 または 2012 でグループ ポリシーを使用して、ドメイン全体または特定のドメイン ユーザーの USB ストレージ デバイスをブロックする方法について、順を追って説明します。より具体的には、このガイドの手順を読むと、その方法を学習できます。ドメイン内の任意のコンピュータに接続できる USB ストレージ デバイス (フラッシュ ドライブ、外付けハード ドライブ、スマートフォン、タブレットなど) へのアクセスを防止するか、特定のドメイン ユーザーのみに USB ストレージ アクセスを拒否します。

今日、私たちの多くは USB ストレージ デバイスを使用してデータを転送しています。ただし、組織にとって、従業員が外部ストレージ デバイスを使用する能力には、マルウェアの拡散や機密データの傍受などのセキュリティ リスクが含まれる場合があります。これらのリスクを回避するには、次の手順を参照して、グループ ポリシーを使用して、ドメイン内のすべてのユーザーとコンピューター、または特定のドメイン ユーザーのみに USB ストレージ デバイスへのアクセスをブロックすることができます。 *

* 注意事項:
1.この投稿では、グループ ポリシーを介して USB ドライブをブロックするために、Active Directory 2016 ドメイン コントローラーを使用して新しいグループ ポリシーを作成し、Windows 10 Pro および Windows 7 Pro ワークステーションを使用してそれを適用しました。
2. 「USB アクセスをブロックする」ポリシーは、ドメイン管理者や、USB キーボード、マウス、プリンターなど、接続されているその他の USB デバイスには影響しません。
3.グループ ポリシーを適用すると、ユーザーはどのタイプの USB ストレージ デバイスにもアクセスできなくなり、PC 上の USB ストレージ デバイスにアクセスしようとすると、次のいずれかのエラー メッセージが表示されます。

グループ ポリシーを使用して USB ストレージ デバイスへのアクセスを防止する方法 (サーバー 2012/2012R2/2016)

• パート 1. すべてのドメイン ユーザーの USB 読み取り/書き込みアクセスをブロックする
• パート 2. 特定のドメイン ユーザーの USB 読み取り/書き込みアクセスをブロックする

パート 1. 2016 年のドメイン全体で USB ストレージ デバイスへのアクセスをブロックする方法

ドメイン上の任意のコンピュータ (ユーザー) への接続された USB ストレージ デバイスへのアクセスを無効にするには:

1. Server 2016 AD Domain Controller で Server Manager を開きます。 ツールから メニューからグループ ポリシーの管理を開きます。 *

* さらに、コントロール パネルに移動します -> 管理ツール -> グループ ポリシー管理。

2. ドメインの下 、ドメインを選択してから 右クリック デフォルト ドメイン ポリシー [編集] を選択します .

3. 「グループ ポリシー管理エディター」で、次の場所に移動します:

• ユーザーの構成> ポリシー> 管理用テンプレート> システム> リムーバブル ストレージ アクセス

<強い>4. 右側のペインで、次をダブルクリックします:Removable Disks:Deny read access. *

* 注:
1. この時点での多くのチュートリアルでは、有効にすることを提案しています。 「すべてのリムーバブル ストレージ クラス:すべてのアクセスを拒否する」 ただし、テスト中に、このポリシーがスマートフォンまたはタブレットには適用されない (機能しない) ことがわかりました。
2. USB 書き込みアクセスをブロックする場合は、[リムーバブル ディスク:書き込みアクセスを拒否] を選択します。

5. 有効 にチェックを入れます [OK] をクリックします。

<強い>6.閉じる
7. グループ ポリシー エディター。再起動 サーバーとクライアント マシン、または gpupdate /force を実行します。 コマンドを使用して、新しいグループ ポリシー設定を (再起動せずに) サーバーとクライアントの両方に適用します。

パート 2. 特定のドメイン ユーザーが USB ストレージ デバイスにアクセスできないようにする方法

グループ ポリシーを使用して特定のユーザーのみに USB ストレージ デバイスへのアクセスを無効にするには、USB ストレージ デバイスにアクセスしたくないユーザーでグループを作成し、このグループに新しいポリシーを適用する必要があります。それを行うには:

ステップ 1. 無効な USB ユーザーでグループを作成します。 *

* 注:USB ユーザーが無効になっているグループを既に作成している場合は、手順 2 に進みます。

1. Active Directory ユーザーとコンピュータを開きます。
2. [ユーザー] を右クリックします。 左ペインの " オブジェクトをクリックし、[新規] を選択します> グループ

3. 新しいグループの名前 (「USB Disabled Users」など) を入力し、[OK] をクリックします。 . *

* 注:[グローバル] オプションと [セキュリティ] オプションはオンのままにします。

4. 新しく作成したグループを開き、[メンバー] を選択します タブをクリックし、[追加] をクリックします

5. USB ストレージ デバイスをブロックするドメイン ユーザーを選択し、[OK] をクリックします。

6. [OK] をクリックします グループ プロパティを閉じます。

ステップ 2. USB ストレージ デバイスを無効にする新しいグループ ポリシー オブジェクトを作成します。

1. グループ ポリシー管理を開きます。
2. [ドメイン] オブジェクトの下でドメインを右クリックし、[このドメインに GPO を作成してここにリンクする] を選択します。

3. 新しい GPO の名前 (「USB 無効」など) を入力し、[OK] をクリックします。

4. 新しい GPO を右クリックし、[編集] をクリックします。

5. 「グループ ポリシー管理エディター」で、次の場所に移動します:

• ユーザーの構成> ポリシー> 管理用テンプレート> システム> リムーバブル ストレージ アクセス

<強い>4. 右側のペインで、次をダブルクリックします:Removable Disks:Deny read access. *

* 注:
1. この時点での多くのチュートリアルでは、有効にすることを提案しています。 「すべてのリムーバブル ストレージ クラス:すべてのアクセスを拒否する」 ただし、テスト中に、このポリシーがスマートフォンまたはタブレットには適用されない (機能しない) ことがわかりました。
2. USB 書き込みアクセスをブロックする場合は、[リムーバブル ディスク:書き込みアクセスを拒否] を選択します。

5. 有効 にチェックを入れます [OK] をクリックします。

6.閉じる グループ ポリシー管理エディター ウィンドウ。

7. [グループ ポリシーの管理] に戻り、[USB 無効] GPO を選択し、[スコープ] タブで [追加] をクリックします。 ボタン (「セキュリティ フィルタリング」設定の下)。

8. 「USB 無効ユーザー」グループの名前 (この投稿では「USB 無効ユーザー」など) を入力し、[OK] をクリックします。 .

9. 完了したら、委任を選択します タブ

<強い>10. [委任] タブで、選択 認証されたユーザー [詳細] をクリックします。

11 .セキュリティ オプションで、選択 認証されたユーザー チェックを外す グループ ポリシーを適用 チェックボックス。完了したら、[OK] をクリックします。

<強い>6.閉じる
7. グループ ポリシー エディター。再起動 サーバーとクライアント マシン、または「gpupdate /force " コマンド (管理者として) を実行して、新しいグループ ポリシー設定を (再起動せずに) サーバーとクライアントの両方に適用します。

それだけです!あなたの経験についてコメントを残して、このガイドが役に立ったかどうか教えてください。他の人を助けるために、このガイドを気に入って共有してください。