2007年 07月 20日
ZENworks のユーザポリシー(グループポリシー)
また、いくつものOUが存在する組織であれば、ひとつのポリシーでグループに対して適用させることもできるわけで、いくつものポリシーを管理する必要がありません。またIT部門であっても一般のユーザ(たとえば開発系)のユーザとヘルプデスク、システムオペレータ、技術運用部門とでは適用すべきポリシーが異なる場合があるでしょう。
また、学校などでは、教職員、生徒、システム管理+ヘルプデスクなどの3種類程度のポリシーを作ります。
ここでは主に、一般ユーザのポリシーと、管理者向けのポリシーをどのように設計すればよいかを考えてみることにします。
ユーザポリシーオブジェクトを作って、グループポリシーをチェックしてプロパティを開くと出てくるのがこの画面です。
「ユーザのログアウト時にポリシーを無効にしない」というチェックボックスがあります。このチェックを入れると最初に読み込まれたグループポリシーが次のログインでも有効になるということです。
-一般ユーザのポリシー
一般ユーザのポリシーではこのチェックはオンにしておきます。次のユーザ(一般ユーザ)がこのワークステーションを利用するときも同じポリシーが自動的に適用されます。
-管理者、ヘルプデスク
管理者、ヘルプデスクのポリシーはこのチェックを必ず解除します。解除するためのポリシーがダウンロードされて、自由にユーザのワークステーションを操作して変更することができます。また、このポリシーはログアウト後、無効になるため、一般ユーザが再びログインすると、一般ユーザ用のポリシーが適用されます。
一般には「ユーザの環境設定をキャッシュする」はチェックしない方が無難なようです。このあたりはヘルプをよく読んでください。
-グループポリシーの編集
ユーザのグループポリシーは、ユーザがログインして誰でもアクセスできるディレクトリに作成します。SYS:Login の下でも構いませんし、NetWare 版の場合は SYS:Public\ConsoleOne 以下がデフォルトで選択されます。
「編集」ボタンを押して、MMCを起動します。
「ユーザの構成」から、Internet Explorer の設定、管理用テンプレートなどをそれぞれ「構成」してゆきます。
一般ユーザ用テンプレート
たとえば、IE の設定など、特定のプロクシを通さない限りインターネットに出られないように設定したり、デフォルトで社内のポータルサイトを開くように設定するのがよいでしょう。
また、プログラムの追加と削除、コントロールパネルへのアクセス、スクリーンセーバーの設定が変えられないようにタブを削除する、ネットワークコンピュータをエクスプローラから削除する。特定のドライブを見せないようにする。 Regedit を使用できないようにするなどを「構成」します。
-管理者用テンプレート
管理者用テンプレートは「一般ユーザ」で制限されたポリシーを全て「無効」にする設定にしなければなりません。「未構成」のままではユーザが「制限」されたポリシーをそのまま引き継いでしまうため、修復したり問題解決することができなくなります。
-特定のドライブのみ見せる
この方法は別な項で説明していますが、必要によってはネットワークにマップされたドライブだけを見せる方法を使うことで、セキュリティ上の問題をずいぶん軽減させることができます。たとえば、P:(Private) と S:(Shared) ドライブだけがマイコンピュータに表示されなければ、いくらUSBドライブを挿してもエクスプローラからは認識させることができません。また、C:ドライブへの保管ができませんから、ほとんどのユーザはデータをマップされたドライブに保存するようになります。
必ずしも完璧ではありませんが、このようにユーザを誘導することで、データの損失やPCの紛失などから発生するセキュリティインシデントの頻度を低くすることができます。
非番のエンジニア