管理者のワークステーションのパスワードによる保護
管理者のワークステーションをパスワード付きのスクリーン セーバーで保護するための GPO を Admins OU 内のすべてのユーザー アカウントに適用します。この措置は、管理者がワークステーションから離れているときに、ほかのユーザーがネットワークへの管理アクセス権限を獲得することを抑止するために役立ちます。
パスワードで保護されたスクリーン セーバーは、コントロール パネルで指定した待機時間が過ぎるとワークステーションをロックするセキュリティ機構です。ユーザーは、ワークステーションをアンロックするためにパスワードを再入力する必要があります。
注意 シナリオ『グループ ポリシーによるソフトウェアの配布』で説明したように、Domain Admins セキュリティ グループのメンバに "Admin Tools" GPO を適用すると、Group Policy Creator Owners セキュリティ グループのメンバは、自身のワークステーションから GPO を作成できるようになります。既定の設定では、このグループのメンバは GPO を作成できますが、GPO を適用することはできません。一般に Group Policy Creator Owners は、Domain Admins グループの仕様に従って GPO を作成します。GPO によって影響を受けるユーザーとコンピュータの数は膨大になる可能性があるので、既定で GPO を適用する権限を実際に持つのはセキュリティ グループ Domain Admins または Enterprise Admins のメンバだけです (Group Policy Creators Owners グループに GPO を適用するアクセス許可を与えることもできますが、このシナリオの OU 設計ではこのようなアクセス許可を与えないことを選択しました) 。
シナリオ『グループ ポリシーによるソフトウェアの配布』では、IT 管理者が [Active Directory ユーザーとコンピュータ] を使用して "Admin Tools" GPO を作成する方法を説明しました。この方法で GPO を作成した場合、単一の手順で GPO を作成、適用することになります。Group Policy Creator Owners のメンバは (GPO を適用する権限を委任されていない限り) 、[Active Directory ユーザーとコンピュータ] を使用して GPO を作成することができません (ユーザーが Administrator としてログオンしない限り、[新規] ボタンは無効になります) 。Group Policy Creator Owners のメンバが GPO を作成するには、Windows 2000 Microsoft 管理コンソール (MMC) の [グループ ポリシー] スナップインを使用する必要があります。GPO が作成されれば、部門管理者がそれを適用できます。
"Password Protect Screen Savers" GPO には 2 つの設定が含まれます。まず、第 1 のパスワードで指定されたスクリーン セーバーをユーザーのデスクトップにインストールし、第 2 のパスワードでスクリーン セーバーを保護します。Windows 2000 サービス パック 1 を実行している場合は、第 3 の設定として、GPO の対象になる任意のユーザーに対して、コントロール パネルで非常に長いタイムアウト期間を設定することを禁止できます。
"Password Protect Screen Savers" GPO を作成するには
Seattle の Windows 2000 Professional ベースのコンピュータから、Group Policy Creator Owners セキュリティ グループのメンバ として noam.reskit.com にログオンします。
[スタート] メニューから、[ファイル名を指定して実行] をクリックします。
[ファイル名を指定して実行] ダイアログ ボックスで、mmcと入力し、[OK] をクリックします。Microsoft 管理コンソールが表示されます。
[コンソール] メニューで、[スナップインの追加と削除] をクリックします。
[スナップインの追加と削除] ダイアログ ボックスで [追加] をクリックします。
[スタンドアロン スナップインの追加] ダイアログ ボックスの [スナップイン] 列で、[グループ ポリシー] をクリックします (図 1 を参照) 。
[追加] をクリックして、グループ ポリシー オブジェクトの選択ウィザードを表示します。
[参照] をクリックして [グループ ポリシー オブジェクトの参照] ダイアログ ボックスを表示します。
[すべて] タブをクリックします。
[名前] ボックスの空の領域を右クリックし、[新規] をクリックします。
[名前] ボックスに [新規グループ ポリシー オブジェクト] が追加されます。
新しいグループ ポリシー オブジェクトの名前として Password Protect Screen Savers と入力し、[OK] をクリックします。
[完了] をクリックして、グループ ポリシー オブジェクトの選択ウィザードを閉じます。
[閉じる] をクリックして [スタンドアロン スナップインの追加] ダイアログ ボックスを閉じます。
[OK] をクリックして [スナップインの追加と削除] ダイアログ ボックスを閉じます。
コンソール ルートに [Password Protect Screen Savers] が追加されます。
図 2 で示すように [Password Protect Screen Savers] を展開します。
図 2: コンソール ルートへの GPO の追加
[ユーザーの構成] を展開します。
[管理用テンプレート] を展開します。
[コントロールパネル] を展開します。
[画面] をクリックします。
詳細ペインで、[スクリーン セーバーの実行可能ファイル名] を右クリックし、[プロパティ] をクリックします。
[ポリシー] タブをクリックし、[有効] をクリックします。
[スクリーン セーバーの実行可能ファイル名] ボックスで、.scr 拡張子を含めてスクリーン セーバーの名前を入力します (たとえば scrnsave.scr) 。
注意 WINNT\system32 フォルダに含まれないスクリーン セーバーを使用する場合は、スクリーン セーバーの完全修飾パスを入力します。適用する GPO で指定するスクリーン セーバーは、ユーザーのコンピュータにインストールされている必要があります。
[OK] をクリックします。
詳細ペインで、[スクリーン セーバー パスワードを保護する] を右クリックします。
[プロパティ] をクリックします。
[有効] をクリックします。
[OK] をクリックします。
[グループ ポリシー] スナップインを閉じます。自動的に GPO が保存されます。この GPO は、[Active Directory ユーザーとコンピュータ] からアクセスできます。
MMC コンソールを保存したい場合は、コンソールの設定を保存しますか、というメッセージが表示されときに [はい] をクリックすると、[名前を付けて保存] ダイアログ ボックスが表示されます。
選択したローカル ディスク上に、指定したファイル名でコンソールが保存されます。
メモ Windows 2000 サービス パック 1 を実行している場合は、[スクリーン セーバーのタイムアウト] を追加設定することによって、GPO の対象になる任意のユーザーに対して、コントロール パネルで非常に長いタイムアウト期間を設定するのを禁止することができます。
[ユーザーの構成] ノードで、[管理用テンプレート] を展開します。
[Windows コンポーネント] を展開します。
[コントロール パネル] を展開します。
[画面] をクリックします。
[グループ ポリシー] スナップインの詳細ペインで、[スクリーン セーバーのタイムアウト] を右クリックし、[プロパティ] をクリックします。
[ポリシー] タブをクリックし、[有効] をクリックします。
[アイドル時間] ボックスで、スクリーン セーバーを有効にするまで待機する秒数を設定します。
[OK] をクリックします。
これで管理者は GPO を適用できるようになります。
"Password Protect Screen Savers" GPO を適用するには
Seattle の Windows 2000 Professional ベースのコンピュータから Administrator として noam.reskit.com にログオンします。
[スタート] メニューから、[プログラム]、[管理のツール] をポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。
[noam.reskit.com] を展開します。
[Admins] を右クリックし、[プロパティ] をクリックします。
[グループ ポリシー] タブをクリックします。
[追加] をクリックします。[グループ ポリシー オブジェクトのリンクを追加します] ダイアログ ボックスが表示されます。
[すべて] タブをクリックします。
[名前] ボックスで、[Password Protect Screen Savers] を選択します。
[OK] をクリックして [グループ ポリシー オブジェクトのリンクを追加します] ダイアログ ボックスを閉じます。
[OK] をクリックして、[Admins のプロパティ] ダイアログ ボックスを閉じます。
関連情報
管理者のワークステーションのパスワードによる保護
関連資料
Windows 2000 リソース キットの詳細については、こちらを参照してください。
注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。