次の方法で共有

グループ ポリシーを使用したデバイスのインストールの制御に関するステップ バイ ステップ ガイド

  • [アーティクル]

 

デイブ・ビショップ

更新日: 2007 年 6 月

概要: 管理者は、Windows Server 2008 および Windows Vista オペレーティング システムを使用して、管理するコンピューターにインストールできるデバイスを決定できます。 このガイドでは、デバイスのインストール プロセスを要約し、デバイスのインストールを制御するためのいくつかの手法を示します。 (印刷された 34 ページ)。

内容

はじめに
   このガイドを使用する必要があるユーザー
   グループ ポリシーを使用してデバイスのインストールを制御する利点
シナリオの概要
テクノロジ レビュー
   Windows でのデバイスのインストール
   デバイスインストールのグループ ポリシー設定
   リムーバブル 記憶域アクセスのグループ ポリシー設定
シナリオを完了するための要件
   前提条件の手順
すべてのデバイスのインストールを防止する
   すべてのデバイスのインストールを防止するための前提条件
   すべてのデバイスのインストールを防止する手順
ユーザーが承認されたデバイスのみをインストールできるようにする
   ユーザーが承認されたデバイスのみをインストールできるようにするための前提条件
   ユーザーが承認されたデバイスのみをインストールできるようにする手順
禁止されているデバイスのインストールを防止する
   禁止されているデバイスのインストールを防止するための前提条件
   禁止されているデバイスのインストールを防止するための手順
リムーバブル メディアに対する読み取りおよび書き込みアクセス許可を制御する
   リムーバブル メディアに対する読み取りおよび書き込みアクセス許可を制御するための前提条件
   リムーバブル メディアに対する読み取りおよび書き込みアクセス許可を制御する手順
まとめ
その他のリソース
バグとフィードバックのログ記録

はじめに

このステップ バイ ステップ ガイドでは、ユーザーがインストールできるデバイスとインストールできないデバイスを指定するなど、管理するコンピューターへのデバイスのインストールを制御する方法について説明します。 具体的には、Windows Server 2008 と Windows Vista では、コンピューター ポリシーを次のように適用できます。

  • ユーザーがデバイスをインストールできないようにします。
  • ユーザーが "承認済み" の一覧に含まれるデバイスのみをインストールできるようにします。 デバイスが一覧にない場合、ユーザーはそれをインストールできません。
  • ユーザーが "禁止" の一覧に含まれるデバイスをインストールできないようにします。 デバイスが一覧にない場合は、ユーザーがそれをインストールできます。
  • 取り外し可能なデバイス、または CD や DVD バーナー、フロッピー ディスク ドライブ、外付けハード ドライブ、ポータブル デバイス (メディア プレーヤー、スマートフォン、ポケット PC デバイスなど) などのリムーバブル メディアを使用するデバイスのユーザーへの読み取りまたは書き込みアクセスを拒否します。

このガイドでは、デバイスのインストール プロセスについて説明し、Windows がデバイスとコンピューターで使用可能なデバイス ドライバー パッケージを照合するために使用する識別文字列について説明します。 このガイドでは、デバイスのインストールを制御する 3 つの方法についても説明します。 各シナリオでは、特定のデバイスまたはデバイス のクラスのインストールを許可または禁止するために使用できる 1 つの方法を段階的に示します。 4 番目のシナリオでは、リムーバブルデバイスまたはリムーバブル メディアを使用するデバイスのユーザーに対する読み取りまたは書き込みアクセスを拒否する方法を示します。

シナリオで使用されるデバイスの例は、USB ストレージ デバイスです。 このガイドの手順は、別のデバイスを使用して実行できます。 ただし、別のデバイスを使用する場合、ガイドの手順は、コンピューターに表示されるユーザー インターフェイスと完全には一致しません。

大事な このガイドに記載されている手順は、テスト ラボ環境での使用を目的としています。 このステップ バイ ステップ ガイドは、ドキュメントを添付せずに Windows Server 機能を展開するために使用されるものではありません。また、スタンドアロン ドキュメントとして随意に使用する必要があります。

このガイドを使用する必要があるユーザー

このガイドは次のユーザーを対象としています。

  • Windows Vista と Windows Server 2008 を評価している情報技術プランナーとアナリスト
  • エンタープライズ情報技術プランナーとデザイナー
  • organizationでの信頼できるコンピューティングの実装を担当するセキュリティ アーキテクト
  • テクノロジに慣れたい管理者

グループ ポリシーを使用してデバイスのインストールを制御する利点

ユーザーがインストールできるデバイスを制限すると、次の利点があります。

データ盗難のリスクを軽減する

  • ユーザーのコンピューターがリムーバブル メディアをサポートする未承認のデバイスをインストールできない場合、ユーザーが会社のデータの未承認のコピーを作成することはより困難です。 たとえば、ユーザーが CD-R デバイスをインストールできない場合、会社のデータのコピーを記録可能な CD に書き込むことはできません。 この利点は、データの盗難を排除することはできませんが、データを不正に削除するための別の障壁を作り出します。 また、グループ ポリシーを使用して、リムーバブルまたはリムーバブル メディアを使用するデバイスのユーザーへの書き込みアクセスを拒否することで、データ盗難のリスクを軽減することもできます。 グループ ポリシーを使用する場合は、グループごとにアクセス権を付与できます。

サポート コストを削減する

  • ヘルプ デスクがトレーニングされ、サポート用に装備されているデバイスのみをユーザーがインストールするようにすることができます。 この利点により、サポート コストとユーザーの混乱が軽減されます。

シナリオの概要

このガイドに示されているシナリオは、管理するコンピューターでのデバイスのインストールと使用状況を制御する方法を示しています。 このシナリオでは、ローカル コンピューターで グループ ポリシー を使用して、ラボ環境での手順の使用を簡略化します。 複数のクライアント コンピューターを管理する環境では、Active Directory によって展開グループ ポリシー使用して、これらの設定を適用する必要があります。 Active Directory によって展開グループ ポリシーを使用すると、ドメインまたはドメイン内の組織単位のメンバーであるすべてのコンピューターに設定を適用できます。 グループ ポリシーを使用してクライアント コンピューターを管理する方法の詳細については、Microsoft Web サイトの「グループ ポリシー」を参照してください。

このガイドで示されているシナリオの説明を次に示します。

  • すべてのデバイスのインストールを防止する

    このシナリオでは、管理者は標準ユーザーがデバイスをインストールできないようにしますが、管理者はデバイスのインストールまたは更新を許可します。 このシナリオを完了するには、2 つのコンピューター ポリシーを構成します。 最初のコンピューター ポリシーは、すべてのユーザーがデバイスをインストールできないようにし、2 つ目のポリシーでは管理者を制限から除外します。

  • ユーザーが承認されたデバイスのみをインストールできるようにする

    このシナリオでは、管理者は、承認されたデバイスの一覧に含まれるデバイスのみをユーザーにインストールできるようにしたいと考えています。 このシナリオは最初のシナリオに基づくため、このシナリオを試みる前に最初のシナリオを完了する必要があります。 このシナリオを完了するには、ユーザーが指定したデバイスのみをインストールできるように、承認されたデバイスの一覧を作成します。

  • 禁止されているデバイスのみのインストールを禁止する

    このシナリオでは、管理者は標準ユーザーがほとんどのデバイスをインストールできるようにし、禁止されているデバイスの一覧に含まれるデバイスをインストールできないようにしたいと考えています。 このシナリオを完了するには、最初の 2 つのシナリオで作成したポリシーを削除する必要があります。 これらのポリシーを削除したら、禁止されているデバイスの一覧を作成して、指定したデバイス以外のデバイスをユーザーがインストールできるようにします。

  • リムーバブル メディア ストレージ デバイスの使用を制御する

    このシナリオでは、管理者は、標準ユーザーがリムーバブル 記憶域デバイス、または USB メモリ ドライブや CD または DVD バーナーなどのリムーバブル メディアを使用するデバイスにデータを書き込むのを防ぐ必要があります。 このシナリオを完了するには、コンピューター ポリシーを構成して読み取りアクセスを許可しますが、サンプル デバイスとコンピューター上の任意の CD または DVD バーナー デバイスへの書き込みアクセスを拒否します。

テクノロジ レビュー

以降のセクションでは、このガイドで説明するコア テクノロジの概要について簡単に説明します。

Windows でのデバイスのインストール

デバイスは、Windows が何らかの機能を実行するために対話するハードウェアの一部です。 Windows は、デバイス ドライバーと呼ばれるソフトウェアの一部を介してのみデバイスと通信できます。 デバイス ドライバーをインストールするには、Windows によってデバイスが検出され、その種類が認識され、その種類に一致するデバイス ドライバーが検索されます。

Windows では、2 種類の識別子を使用して、デバイスのインストールと構成を制御します。 Windows Vista および Windows Server 2008 のグループ ポリシー設定を使用して、許可またはブロックする識別子を指定できます。

識別子の 2 種類は次のとおりです。

  • デバイス識別文字列
  • デバイス セットアップ クラス

デバイス識別文字列

コンピューターにインストールされていないデバイスが Windows によって検出されると、オペレーティング システムはデバイスに対してクエリを実行して、デバイス識別文字列の一覧を取得します。 デバイスには通常、デバイスの製造元が割り当てる複数のデバイス識別文字列があります。 デバイス ドライバー パッケージの一部である .inf ファイルには、同じデバイス識別文字列が含まれています。 Windows では、デバイスから取得したデバイス識別文字列をドライバー パッケージに含まれているデバイス識別文字列と照合することで、インストールするデバイス ドライバー パッケージを選択します。

Windows では、各文字列を使用して、デバイスをドライバー パッケージに一致させることができます。 文字列は、デバイスの 1 つの make とモデルに一致する非常に具体的なものから、非常に一般的なものまで、デバイスのクラス全体に適用される可能性があります。 デバイス識別文字列には、ハードウェア ID と互換 ID の 2 種類があります。

ハードウェア ID

ハードウェア ID は、デバイスとドライバー パッケージの間で最も完全に一致する識別子です。 ハードウェア ID の一覧の最初の文字列は、デバイス ID と呼ばれます。これは、デバイスの正確な作成、モデル、リビジョンと一致するためです。 一覧の他のハードウェア ID は、デバイスの詳細と正確に一致します。 たとえば、ハードウェア ID によってデバイスの作成とモデルが識別される場合がありますが、特定のリビジョンは識別されません。 このスキームにより、正しいリビジョンのドライバーが使用できない場合、Windows はデバイスの別のリビジョンにドライバーを使用できます。

互換性 ID

オペレーティング システムでデバイス ID またはその他のハードウェア ID との一致が見つからない場合、Windows はこれらの識別子を使用してデバイス ドライバーを選択します。 互換性のある ID は、適合性を低下させる順序で一覧表示されます。 これらの文字列は省略可能であり、指定された場合は Disk などの非常に汎用的です。 互換性のある ID を使用して一致する場合は、通常、デバイスの最も基本的な機能のみを使用できます。

プリンター、USB ストレージ デバイス、キーボードなどのデバイスをインストールすると、Windows はインストールしようとしているデバイスに一致するドライバー パッケージを検索します。 この検索中に、Windows は検出した各ドライバー パッケージに"ランク" を割り当て、ハードウェアまたは互換性のある ID に少なくとも 1 つの一致を持ちます。 ランクは、ドライバーがデバイスとどの程度一致するかを示します。 ランク番号が小さいほど、ドライバーとデバイスの間の一致が適切であることを示します。 0 のランクは、可能な限り最適な一致を表します。 デバイス ID とドライバー パッケージ内のデバイス ID が一致すると、他のハードウェア ID の 1 つに一致するよりも低い (より良い) ランクになります。 同様に、ハードウェア ID に一致すると、互換性のある ID のいずれかに一致するよりもランクが高くなります。 Windows がすべてのドライバー パッケージをランク付けすると、全体的なランクが最も低いものがインストールされます。 ドライバー パッケージのランク付けと選択のプロセスの詳細については、「MSDN ライブラリでの ドライバーの選択方法 」を参照してください。

メモ デバイス ドライバーのインストール プロセスの詳細については、「 デバイス ドライバーの署名とステージングのステップ バイ ステップ ガイド」の「テクノロジ レビュー」セクションを参照してください。

一部の物理デバイスでは、インストール時に 1 つ以上の論理デバイスが作成されます。 各論理デバイスは、物理デバイスの機能の一部を処理する場合があります。 たとえば、オールインワン スキャナー/FAX/プリンターなどの多機能デバイスには、関数ごとに異なるデバイス識別文字列が含まれる場合があります。

DMI を使用して論理デバイスを使用するデバイスのインストールを許可または禁止する場合は、そのデバイスのすべてのデバイス識別文字列を許可または禁止する必要があります。 たとえば、ユーザーが多機能デバイスのインストールを試みたが、物理デバイスと論理デバイスの両方のすべての識別文字列を許可または防止しなかった場合、インストール試行によって予期しない結果が得られる可能性があります。 ハードウェア ID の詳細については、MSDN ライブラリの 「デバイス識別文字列 」を参照してください。

デバイス セットアップ クラス

デバイス セットアップ クラスは、別の種類の識別文字列です。 製造元は、デバイス ドライバー パッケージ内のデバイスにデバイス セットアップ クラスを割り当てます。 デバイス セットアップ クラスは、同じ方法でインストールおよび構成されたデバイスをグループ化します。 たとえば、すべての CD ドライブは CDROM デバイス セットアップ クラスに属し、インストール時に同じ共同インストーラーを使用します。 グローバル一意識別子 (GUID) と呼ばれる長い数値は、各デバイス セットアップ クラスを表します。 Windows が起動すると、検出されたすべてのデバイスの GUID を使用してメモリ内ツリー構造が構築されます。 デバイス自体のデバイス セットアップ クラスの GUID と共に、Windows では、デバイスが接続されているバスのデバイス セットアップ クラスの GUID をツリーに挿入する必要がある場合があります。

デバイス セットアップ クラスを使用して、ユーザーがデバイス ドライバーをインストールできないようにする場合は、デバイスのすべてのデバイス セットアップ クラスの GUID を指定する必要があります。または、目的の結果が得られない可能性があります。 インストールが失敗するか (成功する場合)、または成功する可能性があります (失敗する場合)。

たとえば、オールインワン スキャナー/FAX/プリンターなどの多機能デバイスには、汎用多機能デバイスの GUID、プリンター関数の GUID、スキャナー関数の GUID などが含まれます。 個々の関数の GUID は、マルチファンクション デバイス GUID の下の "子ノード" です。 子ノードをインストールするには、Windows も親ノードをインストールできる必要があります。 プリンターおよびスキャナー関数の子 GUID に加えて、多機能デバイスの親 GUID のデバイス セットアップ クラスのインストールを許可する必要があります。

詳細については、「MSDN ライブラリの デバイス セットアップ クラス 」を参照してください。

このガイドでは、デバイス セットアップ クラスを使用するシナリオは示されていません。 ただし、このガイドのデバイス識別文字列で示されている基本的な原則は、デバイス セットアップ クラスにも適用されます。 特定のデバイスのデバイス セットアップ クラスを検出した後、ポリシーでそれを使用して、そのクラスのデバイスのデバイス ドライバーのインストールを許可または禁止できます。

デバイスインストールのグループ ポリシー設定

デバイスのインストールの制御を有効にするために、Windows Vista と Windows Server 2008 ではいくつかのポリシー設定が導入されています。 これらのポリシー設定は、1 台のコンピューターで個別に構成することも、Active Directory ドメインでグループ ポリシーを使用して多数のコンピューターに適用することもできます。 グループ ポリシーを使用してクライアント コンピューターを管理する方法の詳細については、「グループ ポリシー」を参照してください。

設定をスタンドアロン コンピューターまたは Active Directory ドメイン内の多くのコンピューターに適用する場合でも、グループ ポリシー オブジェクト エディターを使用してポリシー設定を構成して適用します。 詳細については、「グループ ポリシー オブジェクト エディターテクニカル リファレンス」を参照してください

このガイドで使用される DMI ポリシー設定の簡単な説明を次に示します。

メモ これらのポリシー設定は、ポリシー設定が適用されているコンピューターにログオンするすべてのユーザーに影響します。 これらのポリシーを特定のユーザーまたはグループに適用することはできません。ただし、[管理者が デバイスのインストール ポリシーをオーバーライドすることを許可する] ポリシーを除きます。 このポリシーは、このセクションで説明するように他のポリシー設定を構成することで、コンピューターに適用するデバイスのインストール制限からローカル Administrators グループのメンバーを除外します。

  • 他のポリシー設定で説明されていないデバイスのインストールを防止します。

    このポリシー設定は、他のポリシー設定で特に説明されていないデバイスのインストールを制御します。 このポリシー設定を有効にした場合、[デバイス ID に 一致するデバイスのインストールを許可する] ポリシー設定または [これらのデバイス クラスのデバイス のインストールを許可 する] ポリシー設定で説明されていない限り、ユーザーはデバイスのドライバーをインストールまたは更新できません。 このポリシー設定を無効にするか、未構成にした場合、[これらのデバイス ID に一致するデバイスのインストールを禁止する] ポリシー設定、[ これらのデバイス クラスのデバイスのインストール禁止 する] ポリシー設定、または [ リムーバブル デバイスのインストールを禁止 する] ポリシー設定で説明されていないデバイスのドライバーをインストールして更新できます。

  • 管理者がデバイスのインストール ポリシーをオーバーライドできるようにします。

    このポリシー設定を使用すると、ローカル Administrators グループのメンバーは、他のポリシー設定に関係なく、任意のデバイスのドライバーをインストールおよび更新できます。 このポリシー設定を有効にすると、管理者はハードウェアの追加ウィザードまたはドライバーの更新ウィザードを使用して、任意のデバイスのドライバーをインストールおよび更新できます。 このポリシー設定を無効にするか、未構成にした場合、管理者はデバイスのインストールを制限するすべてのポリシー設定の対象となります。

  • これらのデバイス ID と一致するデバイスのインストールを防止します。

    このポリシー設定では、ユーザーがインストールできないデバイスのプラグ アンド プレイ ハードウェア ID と互換性のある ID の一覧を指定します。 このポリシー設定を有効にした場合、ハードウェア ID または互換性のある ID がこの一覧のドライバーと一致する場合、ユーザーはデバイスのドライバーをインストールまたは更新できません。 このポリシー設定を無効にするか、未構成にした場合、ユーザーはデバイスのインストールに関する他のポリシー設定で許可されているように、デバイスをインストールしてドライバーを更新できます。

    メモ このポリシー設定は、ユーザーがデバイスをインストールできるようにする他のポリシー設定よりも優先されます。 このポリシー設定は、デバイスのインストールを許可する別のポリシー設定と一致する場合でも、ユーザーがデバイスをインストールできないようにします。

  • これらのデバイス セットアップ クラスに一致するドライバーのインストールを防止します。

    このポリシー設定では、ユーザーがインストールできないデバイスのプラグ アンド プレイ デバイス セットアップ クラス GUID の一覧を指定します。 このポリシー設定を有効にした場合、ユーザーは、一覧表示されているデバイス セットアップ クラスのいずれかに属するデバイスをインストールまたは更新できません。 このポリシー設定を無効にするか、未構成にした場合、ユーザーはデバイスのインストールに関する他のポリシー設定で許可されているとおりにデバイスをインストールおよび更新できます。

    メモ このポリシー設定は、ユーザーがデバイスをインストールできるようにする他のポリシー設定よりも優先されます。 このポリシー設定では、デバイスのインストールを許可する別のポリシー設定と一致する場合でも、ユーザーがデバイスをインストールできないようにします。

  • これらのデバイス ID のいずれかに一致するデバイスのインストールを許可します。

    このポリシー設定では、ユーザーがインストールできるデバイスを記述するプラグ アンド プレイ ハードウェア ID と互換性のある ID の一覧を指定します。 この設定は、[ 他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定 が有効になっており、ユーザーがデバイスをインストールできないようにするポリシー設定よりも優先されない場合にのみ使用されます。 このポリシー設定を有効にした場合、ユーザーは、[これらのデバイス ID に一致するデバイスのインストールを禁止する] ポリシー設定の [これらのデバイス クラスのデバイスのインストールを禁止する] ポリシー設定で、この一覧の ID に一致するハードウェア ID または互換性のある ID を持つデバイスをインストールおよび更新できます。 または [リムーバブル デバイスのインストールを禁止する] ポリシー設定。 別のポリシー設定でユーザーがデバイスをインストールできない場合、このポリシー設定の値によってデバイスも記述されている場合でも、ユーザーはデバイスをインストールできません。 このポリシー設定を無効にするか、未構成にしても、他のポリシーでデバイスが記述されていない場合は、[ 他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー 設定によって、ユーザーがデバイスをインストールできるかどうかが決まります。

  • これらのデバイス クラスのドライバーを使用して、デバイスのインストールを許可します。

    このポリシー設定では、ユーザーがインストールできるデバイスを記述するデバイス セットアップ クラス GUID の一覧を指定します。 この設定は、[ 他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー設定 が有効になっており、ユーザーがデバイスをインストールできないようにするポリシー設定よりも優先されない場合にのみ使用されます。 この設定を有効にした場合、[これらのデバイス ID に一致するデバイスのインストールを禁止する] ポリシー設定の [これらのデバイス クラスのデバイスのインストールを禁止する] ポリシー設定でインストールが特に禁止されていない場合は、この一覧の ID のいずれかに一致するハードウェア ID または互換性のある ID を持つデバイスをインストールして更新できます。 または [リムーバブル デバイスのインストールを禁止する] ポリシー設定。 別のポリシー設定でユーザーがデバイスをインストールできない場合、このポリシー設定の値によってデバイスも記述されている場合でも、ユーザーはデバイスをインストールできません。 このポリシー設定を無効にするか、未構成にし、他のポリシー設定でデバイスが記述されていない場合は、[ 他のポリシー設定で説明されていないデバイスのインストールを禁止する] ポリシー 設定によって、ユーザーがデバイスをインストールできるかどうかが決まります。

これらのポリシーの一部は、他のポリシーよりも優先されます。 次に示すフローチャートは、図 1 (以下) に示すように、ユーザーがデバイスをインストールできるかどうかを判断するために Windows がそれらを処理する方法を示しています。

Bb530324.grouppolicydeviceinstall01(en-us,MSDN.10).gif

図 1. ユーザーがデバイスをインストールできるかどうかを判断するときに Windows がポリシーを処理する方法

リムーバブル 記憶域アクセスのグループ ポリシー設定

Windows Vista および Windows Server 2008 では、管理者はコンピューター ポリシーを適用して、ユーザーがリムーバブル メディアを使用して任意のデバイスの読み取りまたは書き込みを行うことができるかどうかを制御できます。 これらのポリシーを使用すると、機密または機密の素材がリムーバブル メディアまたは記憶域を含むリムーバブル デバイスに書き込まれ、オンプレミスから持ち去られるのを防ぐことができます。

コンピューター レベルでこれらのポリシー設定を適用して、コンピューターにログオンするすべてのユーザーに影響を与えることができます。 ユーザー レベルで適用し、特定のユーザー アカウントに適用を制限することもできます。 Active Directory 環境でグループ ポリシーを使用する場合は、単一のユーザー アカウントに加えて、ユーザー グループにポリシー設定を適用できます。 グループ ポリシーでは、これらのポリシーを多数のコンピューターに効果的に適用することもできます。 グループ ポリシーを使用してクライアント コンピューターを管理する方法の詳細については、「グループ ポリシー」を参照してください。

リムーバブル 記憶域アクセス ポリシーの設定には、管理者が強制的に再起動できるようにする設定も含まれています。 制限ポリシーの適用時にデバイスが使用されている場合は、コンピューターが再起動されるまでポリシーが適用されないことがあります。

ポリシー設定は 2 つの場所にあります。 Computer Configuration\Administrative Templates\System\Removable Storage Access にあるポリシー設定は、コンピューターとそのコンピューターにログオンするすべてのユーザーに影響します。 User Configuration\Administrative Templates\System\Removable Storage Access で見つかったポリシー設定は、Active Directory を使用してグループ ポリシーが適用されている場合のグループを含め、ポリシー設定が適用されるユーザーにのみ影響します。

リムーバブル 記憶域ドライブへの読み取りまたは書き込みアクセスを制御できるようにするポリシーの簡単な説明を次に示します。 各デバイス カテゴリでは、読み取りアクセスを拒否するポリシーと書き込みアクセスを拒否するポリシーの 2 つのポリシーがサポートされています。

  • 再起動を強制する時間 (秒単位)

    リムーバブル 記憶域デバイスへのアクセス権の変更を強制するために、システムが再起動を待機する時間 (秒単位) を設定します。

    メモ 再起動が強制されていない場合、システムが再起動されるまで変更は有効になりません。

  • CD と DVD

    これらのポリシー設定を使用すると、USB に接続されているデバイスを含む、CD および DVD リムーバブル 記憶域クラス内のデバイスへの読み取りまたは書き込みアクセスを拒否できます。

  • カスタム クラス

    これらのポリシー設定を使用すると、指定したリストにデバイス セットアップ クラス GUID が含まれているデバイスへの読み取りまたは書き込みアクセスを拒否できます。

  • フロッピー ドライブ

    これらのポリシー設定を使用すると、USB に接続されているデバイスなど、フロッピー ドライブ クラスのデバイスへの読み取りまたは書き込みアクセスを拒否できます。

  • リムーバブル ディスク

    これらのポリシー設定を使用すると、USB メモリ ドライブや外部 USB ハード ディスク ドライブなどのハード ディスクである、またはエミュレートするリムーバブル デバイスへの読み取りまたは書き込みアクセスを拒否できます。

  • テープ ドライブ

    これらのポリシー設定を使用すると、USB 接続デバイスを含むテープ ドライブへの読み取りまたは書き込みアクセスを拒否できます。

  • WPD デバイス

    これらのポリシー設定を使用すると、Windows ポータブル デバイス クラスのデバイスへの読み取りまたは書き込みアクセスを拒否できます。 これらのデバイスには、メディア プレーヤー、携帯電話、Windows CE デバイスなどの "スマート" デバイスが含まれます。

  • すべてのリムーバブル 記憶域クラス: すべてのアクセスを拒否する

    このポリシー設定は、この一覧のポリシー設定よりも優先され、有効になっている場合は、リムーバブル 記憶域を使用していると識別されたデバイスへの読み取りおよび書き込みアクセスが拒否されます。 このポリシー設定を無効にするか、未構成にした場合、この一覧の他のポリシー設定によって課される制限に従って、リムーバブル 記憶域クラスへの読み取りおよび書き込みアクセスが許可されます。

シナリオを完了するための要件

各シナリオを完了するには、次が必要です。

  • Windows Vista を実行しているクライアント コンピューター。 このガイドでは、このコンピューターを DMI-Client1 と呼びます。

  • USB メモリ ドライブ。 このガイドで説明するシナリオでは、デバイスの例として USB メモリ ドライブを使用します。 このデバイスは、リムーバブル ディスク ドライブのように動作し、"サム ドライブ"、"フラッシュ ドライブ"、または "キーリング ドライブ" とも呼ばれます。ほとんどの USB メモリ ドライブでは、製造元が提供するドライバーは必要ありません。これらのデバイスは、Windows Vista および Windows Server 2008 で提供されるドライバーと連携します。

    メモ この手順では、Windows Vista および Windows Server 2008 に含まれているドライバー以外のドライバーがデバイスに必要ないことを前提としています。 デバイスに製造元のドライバーが必要な場合は、Windows からドライバー ファイルの入力を求められたら、ドライバー ファイルを指定する必要があります。 この手順は、シナリオには含まれていません。

  • (省略可能)CD または DVD バーナー。 最後のシナリオでは、リムーバブル メディアを使用してデバイスを読み取り専用にする方法を示します。 実際に CD または DVD バーナーをインストールしなくても、コンピューター ポリシーを設定できます。 ただし、コンピューター ポリシーが有効であることを確認する場合は、CD または DVD バーナー デバイスを使用する必要があります。

  • DMI-Client1 の保護された管理者アカウントへのアクセス。 このガイドでは、このアカウント TestAdmin を呼び出します。 このガイドの手順では、ほとんどの手順で管理者特権が必要です。 特に指示がない限り、各手順の最初にこの管理者アカウントを使用してDMI-Client1にログインする必要があります。

    メモ Windows Vista と Windows Server 2008 では、保護された管理者アカウントの概念が導入されています。 このアカウントは Administrators グループのメンバーですが、既定ではセキュリティ特権は直接使用されません。 管理者の昇格された権限を必要とするタスクを実行しようとすると、そのタスクを実行するためのアクセス許可を求めるダイアログ ボックスが生成されます。 このダイアログ ボックスについては、「ユーザー アカウント制御ページへの応答」セクションで説明します。 Microsoft では、可能な限り組み込みの管理者アカウントではなく、保護された管理者アカウントを使用することをお勧めします。

  • DMI-Client1 の標準ユーザー アカウントへのアクセス。 このユーザー アカウントには、昇格されたアクセス許可を付与する特別なメンバーシップはありません。 このガイドでは、このアカウント TestUser を呼び出します。 このアカウントを使用してコンピューターにログオンするのは、そのように指示された場合のみです。 標準ユーザー アカウントでは、管理者の昇格された権限を必要とするタスクを実行しようとすると、管理者特権を持つアカウントの資格情報を要求するダイアログ ボックスが表示される可能性があります。 このダイアログ ボックスについては、「ユーザー アカウント制御ページへの応答」セクションで説明します。

前提条件の手順

ユーザーによるデバイスのインストールを許可または禁止するためのポリシーを実装する前に、デバイスのデバイス識別文字列を知っている必要があります。 また、USBメモリドライブとそれに関連するドライバを完全にアンインストールする方法も知っている必要があります。 次の手順では、このガイドのシナリオを正常に実行するようにコンピューターを構成します。

  1. [ユーザー アカウント制御] ページへの応答
  2. USB メモリ ドライブのデバイス識別文字列の決定
  3. USB メモリ ドライブのアンインストール

[ユーザー アカウント制御] ページへの応答

このガイドでは、Administrators グループのメンバーのみが実行できるタスクを実行するように求められます。 Windows Vista および Windows Server 2008 では、管理者権限を必要とするタスクを実行しようとすると、次のことが発生します。

  • 組み込みの Administrator アカウントとしてログインしている場合 (推奨されません)、操作は単に続行されます。 既定では、組み込みの管理者アカウントは無効になっています。
  • 組み込みの Administrator アカウントではない Administrators グループのメンバーである場合は、続行するアクセス許可を求める [ユーザーアカウント制御 ] ダイアログが表示されます。 [続行] をクリックすると、タスクが続行されます。
  • 標準ユーザーとしてログオンしている場合は、タスクを実行できない可能性があります。 タスクに応じて、[ ユーザーアカウント制御 ] ページを表示して、管理者アカウントのユーザー名とパスワードを指定できます。 有効な資格情報を指定した場合、タスクは指定した管理者アカウントのセキュリティ コンテキストで実行されます。 これらの資格情報を指定できない場合は、タスクを実行できません。

大事な: 管理タスクを実行するための資格情報またはアクセス許可を指定する前に、開始したタスクに応答して [ ユーザー アカウント制御] ページが表示されていることを確認します。 ページが予期せず表示される場合は、[ 詳細 ] ボタンをクリックし、許可するタスクであることを確認します。

このガイドでは、これらの手順を実行するときに表示される [ ユーザー アカウント制御 ] ダイアログ ボックスが発生するたびに説明するわけではありません。 管理者として特定のタスクを実行するために特別な手順が必要な場合は、これらの手順がガイドに記載されています。

USB メモリ ドライブのデバイス識別文字列の決定

これらの手順に従うことで、デバイスのデバイス識別文字列を決定できます。 デバイスのハードウェア ID と互換性のある ID がこのガイドに示されているものと一致しない場合は、デバイスに適した ID を使用します。

メモ 次のシナリオでは、USB メモリ ドライブをインストールしてアンインストールする必要があります。 この手順では、Windows Vista および Windows Server 2008 に含まれているドライバー以外のドライバーがデバイスに必要ないことを前提としています。 デバイスに製造元のドライバーが必要な場合は、Windows からドライバー ファイルの入力を求められたら、ドライバー ファイルを指定する必要があります。 この手順は、シナリオには含まれていません。

デバイスのハードウェア ID と互換性のある ID は、2 つの方法で決定できます。 オペレーティング システムに含まれるグラフィカル ツールである デバイス マネージャー、またはドライバー開発キット (DDK) の一部としてダウンロードできるコマンド ライン ツールである DevCon を使用できます。 USB メモリ ドライブのデバイス識別文字列を表示するには、次の手順に従います。

大事な これらの手順は、USB メモリ ドライブに固有です。 別の種類のデバイスを使用している場合は、それに応じて手順を調整する必要があります。 大きな違いは、デバイス マネージャー階層内のデバイスの場所です。 ディスク ドライブ ノードに配置する代わりに、適切なノードでデバイスを見つける必要があります。

デバイス マネージャーを使用してデバイス識別文字列を検索するには

  1. コンピューターに DMI-Client1\TestAdmin としてログオンします。

  2. USB メモリ ドライブを接続し、インストールを完了できるようにします。

  3. デバイス マネージャー開くには、[スタート] ボタンをクリックし、[検索の開始] ボックスに「mmc devmgmt.msc」と入力し、Enter キーを押します。

  4. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[続行] をクリックします。

    デバイス マネージャーが起動し、コンピューターで検出されたすべてのデバイスを表すツリーが表示されます。 ツリーの上部には、コンピューター名が横にあるノードがあります。 下位ノードは、コンピューター デバイスをグループ化するハードウェアのさまざまなカテゴリを表します。

  5. [ ディスク ドライブ ] をダブルクリックして一覧を開きます。

    Bb530324.grouppolicydeviceinstall02(en-us,MSDN.10).gif

    図 2. ダブルクリックして USB ディスク ドライブを開く

  6. USB メモリ ドライブのエントリを右クリックし、[ プロパティ] をクリックします。 [ デバイスのプロパティ ] ダイアログ ボックスが表示されます。

    Bb530324.grouppolicydeviceinstall03(en-us,MSDN.10).gif

    図 3: USB ドライブの [デバイスのプロパティ] ダイアログ ボックスが表示されます

  7. [詳細] タブをクリックします。

  8. [ プロパティ ] ボックスの一覧で、[ ハードウェア ID] をクリックします。

  9. [ 値] で、表示される文字列をメモします。

    Bb530324.grouppolicydeviceinstall04(en-us,MSDN.10).gif

    図 4: USB ドライブの [プロパティ] ダイアログ ボックスの [値] に表示される文字列を思い出してください

    メモ: 文字列をクリップボードにコピーするには、テキストを強調表示し、Ctrl キーを押しながら C キーを押します。 多くのハードウェア ID には複数のアンダースコア文字があるため、識別子を指定する必要があるときに貼り付けることができるテキスト ファイルにコピーすると便利です。 この方法により、承認されたデバイスまたは禁止されているデバイスの一覧に特定の識別子を追加する必要がある場合にエラーが発生する可能性が大幅に低下します。

  10. [ プロパティ ] ボックスの一覧で、[ 互換性のある ID] をクリックします

  11. [ 値] で、表示される文字列をメモします。

    Bb530324.grouppolicydeviceinstall05(en-us,MSDN.10).gif

    図 5: USB ドライブの [プロパティ] ダイアログ ボックスの [値] に表示される文字列を思い出してください

メモ DevCon コマンド ライン ユーティリティを使用して、デバイス識別文字列を確認することもできます。 DevCon は、Microsoft のヘルプとサポート サイトからダウンロードできます。 詳細については、「デバイス マネージャーの代わりに DevCon コマンド ライン ユーティリティ関数を使用する」を参照してください。

Devcon

DevCon HwIDs

USB メモリ ドライブのアンインストール

通常、USB メモリ ドライブを日常的に使用する場合、通常は USB ポートからドライブを引き出すだけです。 ただし、このガイドでは、デバイス ドライバーをアンインストールして、各シナリオが適切な状態でコンピューターで開始されるようにする必要もあります。 指示に従ってデバイスのアンインストールと削除に失敗した場合、以下のシナリオでテストされたポリシーは影響を受けず、期待される結果は表示されません。 デバイスをアンインストールして削除するように指示されている場合は、このガイド全体で同じ手順を使用します。

大事な 最後の手順に進むまで、デバイスを USB ポートから物理的に切断しないでください。

USB メモリ ドライブをアンインストールするには

  1. コンピューター DMI-Client1\TestAdmin にログオンします。

  2. デバイス マネージャー開くには、[スタート] ボタンをクリックし、[検索の開始] ボックスに「mmc devmgmt.msc」と入力し、Enter キーを押します。

  3. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示されるアクションが目的の操作であることを確認し、[ 続行] をクリックします。

  4. USB メモリ ドライブのエントリを右クリックし、[ アンインストール] をクリックします。

    Bb530324.grouppolicydeviceinstall06(en-us,MSDN.10).gif

    図 6: 右クリックして USB メモリ ドライブをアンインストールする

  5. [ デバイスの削除の確認 ] ダイアログ ボックスで、[ OK] を クリックしてアンインストール プロセスを完了できるようにします。

  6. Windows はアンインストール プロセスを完了すると、デバイス マネージャー ツリーからデバイス エントリを削除します。

  7. USB メモリ ドライブを USB ポートから取り外します。

すべてのデバイスのインストールを防止する

このシナリオでは、最も制限の厳しい構成を実装するために必要な一般的な手順について説明します。ここでは、すべてのデバイスのインストールが禁止され、既存のデバイスを新しいデバイス ドライバーで更新することはできません。 ユーザーは、管理者の介入なしにデバイスをインストールして使用することはできません。 管理者は、必要に応じて任意のデバイスをインストールまたは更新できます。

すべてのデバイスのインストールを防止するための前提条件

このシナリオの手順を完了するには、このドキュメントの「USB メモリ ドライブのアンインストール」セクションの説明に従って、USB メモリ ドライブをアンインストールする必要があります。

すべてのデバイスのインストールを防止する手順

  1. デバイスのインストールを防ぐポリシーを構成する
  2. 管理者がデバイスのインストール制限をオーバーライドできるようにポリシーを構成する
  3. ユーザーとしての制限設定の効果をテストする

デバイスのインストールを防ぐポリシーを構成する

デバイスのインストールまたは更新を禁止するポリシーを構成するには

  1. コンピューターに DMI-Client1\TestAdmin としてログオンします。

  2. オブジェクト エディターグループ ポリシー開くには、[スタート] ボタンをクリックし、[検索の開始] ボックスに「mmc gpedit.msc」と入力し、Enter キーを押します。

  3. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[続行] をクリックします。

  4. [グループ ポリシー オブジェクト エディター] ナビゲーション ウィンドウで、[コンピューターの構成] をダブルクリックして開きます。 次 に、[管理用テンプレート] を開き、[ システム] を開き、[ デバイスのインストール] を開き、[ デバイスのインストールの制限] を開きます。

    Bb530324.grouppolicydeviceinstall07(en-us,MSDN.10).gif

    図 7: グループ ポリシー オブジェクト エディターのナビゲーション ウィンドウ

  5. 詳細ウィンドウで、[ 他のポリシー設定で説明されていないデバイスのインストールを禁止する] を右クリックし、[ プロパティ] をクリックします。

  6. ポリシー ダイアログ ボックスが表示され、現在の設定が表示されます。

  7. [ 設定 ] タブで、[ 有効] をクリックしてポリシーを有効にします。

  8. [OK] をクリックして設定を保存し、グループ ポリシー オブジェクト エディターに戻ります。

管理者がデバイスのインストール制限をオーバーライドできるようにポリシーを構成する

次のポリシーを使用すると、管理者は、先ほど有効にしたポリシーを含め、他のデバイス インストール ポリシー設定によって課される制限をオーバーライドできます。

管理者がデバイスのインストール制限をオーバーライドできるようにポリシーを構成するには

  1. 詳細ウィンドウで、[管理者がデバイスの インストール ポリシーをオーバーライドできるようにする] を右クリックし、[ プロパティ] をクリックします。

  2. ポリシー ダイアログ ボックスが表示され、現在の設定が表示されます。

  3. [ 設定 ] タブで、[ 有効] をクリックしてポリシー設定を有効にします。

  4. [OK] をクリックして設定を保存し、グループ ポリシー オブジェクト エディターに戻ります。

  5. 両方のポリシーの状態が有効として表示されるようになりました。

    Bb530324.grouppolicydeviceinstall08s(en-us,MSDN.10).gif

    図 8: 両方のポリシーの状態が有効として表示されます

ユーザーとしての制限設定の効果をテストする

両方のポリシーを有効にすると、それらをコンピューターに適用し、デバイスをインストールして制限が機能することを確認できます。

ユーザーとしての制限設定の効果をテストするには

  1. デバイスがインストールされている場合は、このドキュメントの「USB メモリ ドライブのアンインストール」セクションの手順に従って、デバイスをアンインストールして削除します。

  2. [ スタート ] ボタンをクリックし、[検索の開始] ボックスに 「gpupdate /force 」と入力し、 Enter キーを押します。

  3. GPUdate コマンドが完了したら、コンピューターからログオフし、 DMI-Client1\TestUser としてログオンします。

  4. デバイス マネージャー開くには、[スタート] ボタンをクリックし、[検索の開始] ボックスに「mmc devmgmt.msc」と入力し、Enter キーを押します。

  5. 次のメッセージが表示され、デバイス マネージャーに変更を加えるアクセス許可がないことを示します。

    Bb530324.grouppolicydeviceinstall09(en-us,MSDN.10).gif

    図 9: アクセス許可がないことを示すメッセージが表示されます

  6. [ OK] を クリックしてメッセージを確認します。 (デバイス マネージャーが起動し、コンピューター内のデバイスを表示できます。

  7. USB メモリ ドライブを接続します。

  8. インストールが正常に完了するまで、デバイスは [その他のデバイス] ノードの下のデバイス マネージャーに表示されます。

    Bb530324.grouppolicydeviceinstall10(en-us,MSDN.10).gif

    図 10: インストールが完了するまで、[その他のデバイス] の下にデバイスが表示されます

  9. 管理者権限を持たない標準ユーザーとしてログオンしており、デバイスのインストールが制限されているため、次のダイアログ ボックスが表示されます。

    Bb530324.grouppolicydeviceinstall11(en-us,MSDN.10).gif

    図 11: 管理者権限を持たない標準ユーザーとしてログオンしたときに表示されるダイアログ ボックス

  10. 一般的なユーザー応答をシミュレートするには、[ドライバー ソフトウェアの 検索 とインストール (推奨)] をクリックします。

  11. [ ユーザー アカウント制御 ] ダイアログ ボックスのバリアントが表示され、管理者権限を持つアカウントのユーザー名とパスワードの入力を求められます。

  12. ユーザーに指定する管理者資格情報がないため、[ キャンセル ] をクリックして、ユーザーが行うとおりに試行を中止します。

  13. デバイス ドライバーのインストールが失敗し、デバイスは [その他のデバイス ] ノードの下に残り、機能しません。

    Bb530324.grouppolicydeviceinstall12(en-us,MSDN.10).gif

    図 12. デバイスのインストールが失敗し、デバイスが機能しない

ユーザーが承認されたデバイスのみをインストールできるようにする

このシナリオは、最初のシナリオである [すべてのデバイスのインストールを禁止する] に基づいています。このシナリオでは、デバイスのインストールを禁止しました。 このシナリオでは、許可されているデバイスの一覧をポリシーに追加し、USB メモリ ドライブのハードウェア ID を含めます。

ユーザーが承認されたデバイスのみをインストールできるようにするための前提条件

このタスクを完了するには、最初のシナリオ 「すべてのデバイスのインストールを禁止する」のすべての手順を最初に完了する必要があります。

ユーザーが承認されたデバイスのみをインストールできるようにする手順

このセクションでは、許可されたデバイスの一覧を作成して、「すべてのデバイスのインストールを禁止する」の制限に許可されているデバイスを追加します。

  1. 承認されたデバイスの一覧を作成する
  2. 承認されたデバイスの効果をテストする

承認されたデバイスの一覧を作成する

承認済みデバイス リストを作成するには

  1. コンピューターに DMI-Client1\TestAdmin としてログオンします。

  2. デバイスが現在インストールされている場合は、このドキュメントの「USB メモリ ドライブのアンインストール」セクションの手順に従って、デバイスをアンインストールして削除します。

  3. オブジェクト エディターグループ ポリシー開くには、[スタート] ボタンをクリックし、[検索の開始] ボックスに「mmc gpedit.msc」と入力し、Enter キーを押します。

  4. [グループ ポリシー オブジェクト エディター] ナビゲーション ウィンドウで、[コンピューターの構成] をダブルクリックして開きます。 次 に、[管理用テンプレート] を開き、[ システム] を開き、[ デバイスのインストール] を開き、[ デバイスのインストールの制限] を開きます。

  5. 詳細ウィンドウで、[ これらのデバイス ID のいずれかに一致するデバイスのインストールを許可する] を右クリックし、[ プロパティ] をクリックします。

  6. ポリシー ダイアログ ボックスが表示され、現在の設定が表示されます。

  7. [設定] タブで、[ 有効] をクリックしてこのポリシーを有効にします。

    Bb530324.grouppolicydeviceinstall13(en-us,MSDN.10).gif

    図 13. [有効] をクリックしてポリシーを有効にする

  8. [ 表示 ] をクリックして、[コンテンツの表示] ダイアログ ボックスで許可されているデバイスの一覧を表示します。 (既定では、リストは空です)。

  9. [ 追加] をクリックして[項目の追加] ダイアログ ボックスを開きます。

  10. デバイスのデバイス ID (最初のハードウェア ID) を入力します。

    Bb530324.grouppolicydeviceinstall14(en-us,MSDN.10).gif

    図 14: USB デバイスのデバイス ID を入力します

  11. [ OK] をクリックして 、[コンテンツの表示] ダイアログ ボックスに戻ります。 これで、デバイスが一覧に表示されます。

    Bb530324.grouppolicydeviceinstall15(en-us,MSDN.10).gif

    図 15: デバイスのインストールが承認されました

  12. [ OK] を クリックしてポリシー ダイアログ ボックスに戻り、[ OK ] をクリックして新しいポリシー設定を保存します。

承認されたデバイスの一覧をテストする

ポリシー設定を有効にすると、それをコンピューターに適用し、デバイスのインストールを試みることができます。

承認されたデバイスの一覧をテストするには

  1. [ スタート ] ボタンをクリックし、[検索の開始] ボックスに 「gpupdate/force 」と入力し、 Enter キーを押します。

  2. gpudate コマンドが完了したら、コンピューターからログオフし、 DMI-Client1\TestUser としてログオンします。

  3. デバイス マネージャー開くには、[スタート] ボタンをクリックし、[検索の開始] ボックスに「mmc devmgmt.msc」と入力し、Enter キーを押します。

  4. 次のメッセージが表示され、デバイス マネージャーに変更を加えるアクセス許可がないことを示します。

    Bb530324.grouppolicydeviceinstall16s(en-us,MSDN.10).gif

    図 16: アクセス許可がないことを示すメッセージが表示されます

  5. [OK] をクリックしてメッセージを閉じます。 デバイス マネージャーが起動し、コンピューター内のデバイスを表示できます。

  6. USB メモリ ドライブを接続します。

  7. デバイスは、Windows がインストールを完了するまで、デバイス マネージャー [その他のデバイス] ノードに表示されます。

    Bb530324.grouppolicydeviceinstall17(en-us,MSDN.10).gif

    図 17: インストールが完了するまで、デバイスは [その他のデバイス] の下に表示されます

  8. Windows のインストールが完了すると、デバイスはデバイス マネージャーの [ディスク ドライブ] ノードに移動し、完全に機能します。

    Bb530324.grouppolicydeviceinstall18(en-us,MSDN.10).gif

    図 18: インストールが完了すると、デバイスは完全に機能します

禁止されているデバイスのインストールを防止する

このシナリオでは、デバイスのインストールを制御する別の方法を示します。 最初の 2 つのシナリオでは、承認されたデバイスの一覧で許可されているものを除き、すべてのデバイスのインストールを禁止しました。 このシナリオでは、禁止されているデバイスの一覧に含まれるデバイスを除くすべてのデバイスのインストールを許可します。 また、最初のシナリオで作成した管理者の例外も削除して、管理者であってもポリシーの影響を受けます。

禁止されているデバイスのインストールを防止するための前提条件

「すべてのデバイスのインストールを禁止する」および「ユーザーが承認されたデバイスのみをインストールすることを許可する」の手順を完了した場合は、次の手順を使用してこれらのポリシーを無効にする必要があります。

  • すべてのデバイスのインストールを有効にします。
  • Administrators グループのメンバーの例外を削除して、デバイスのインストールを許可します。
  • 承認されたデバイスの一覧からハードウェア ID を削除します。

すべてのデバイスのインストールを有効にするには

  1. コンピューターに DMI-Client1\TestAdmin としてログオンします。
  2. オブジェクト エディターグループ ポリシー開くには、[スタート] ボタンをクリックし、[検索の開始] ボックスに「mmc gpedit.msc」と入力し、Enter キーを押します。
  3. [グループ ポリシー オブジェクト エディター] ナビゲーション ウィンドウで、[コンピューターの構成] をダブルクリックして開きます。 次 に、[管理用テンプレート] を開き、[ システム] を開き、[ デバイスのインストール] を開き、[ デバイスのインストールの制限] を開きます。
  4. 詳細ウィンドウで、[ 他のポリシー設定で説明されていないデバイスのインストールを禁止する] ノードを右クリックし、[ プロパティ] をクリックします。
  5. ポリシー ダイアログ ボックスが表示され、現在の設定が表示されます。
  6. [ 無効] をクリックしてポリシー設定をオフにします。
  7. [OK] をクリックして設定を保存し、グループ ポリシー オブジェクト エディターに戻ります。

次の手順では、Administrators グループのメンバーに例外を付与したポリシーを削除します。

管理者が制限をグループ ポリシーする例外を削除するには

  1. グループ ポリシー オブジェクト エディターで、[管理者がデバイスのインストール ポリシーをオーバーライドできるようにする] を右クリックし、[プロパティ] をクリックします。
  2. ポリシー ダイアログ ボックスが表示され、現在の設定が表示されます。
  3. [設定] タブで、[ 無効 ] をクリックしてポリシー設定をオフにします。
  4. [OK] をクリックして設定を保存し、グループ ポリシー オブジェクト エディターに戻ります。

次の手順では、2 番目のシナリオで作成した承認されたデバイスの一覧からハードウェア ID を削除します。

承認されたデバイスの一覧からハードウェア ID を削除するには

  1. グループ ポリシー オブジェクト エディターで、[これらのデバイス ID のいずれかに一致するデバイスのインストールを許可する] を右クリックし、[プロパティ] をクリックします。 ポリシー ダイアログ ボックスが表示され、現在の設定が表示されます。
  2. [設定] タブの [ 表示 ] をクリックして、承認されたデバイスの一覧を表示します。
  3. [コンテンツの表示] ダイアログ ボックスで、USB メモリ ドライブの名前を選択し、[ 削除] をクリックします。 Windows によってデバイスが一覧から削除されます。
  4. [ OK] をクリックして [コンテンツの表示] ダイアログ ボックスを閉じ、ポリシー ダイアログ ボックスに戻ります。
  5. [ 無効] をクリックしてポリシー設定をオフにします。
  6. [OK] をクリックして変更を保存し、グループ ポリシー オブジェクト エディターに戻ります。

禁止されているデバイスのインストールを防止するための手順

ユーザーが特定のデバイスをインストールできないようにするには、禁止されているデバイスの一覧を作成します。 このセクションでは、次の作業を行います。

  1. 禁止されているデバイスの一覧を作成する
  2. 禁止されているデバイスの一覧をテストする

禁止されているデバイスの一覧を作成する

禁止されているデバイスの一覧を作成するには

  1. デバイスが現在インストールされている場合は、このドキュメントの「USB メモリ ドライブのアンインストール」セクションの手順に従って、デバイスをアンインストールして削除します。

  2. コンピューターに DMI-Client1\TestAdmin としてログオンします。

  3. まだ実行されていない場合は、オブジェクト エディターグループ ポリシー起動します。 これを行うには、[スタート] ボタンをクリックし、[検索の開始] ボックスに「mmc gpedit.msc」と入力し、Enter キーを押します。

  4. ツリーで、[コンピューターの構成] をダブルクリックして開きます。 次に、[管理用テンプレート] を開き、[システム] を開き、[デバイスのインストール] を開き、[デバイスのインストールの制限] を開きます。

  5. 詳細ウィンドウで、[これらのデバイス ID に一致するデバイスのインストールを禁止する] を右クリックし、[プロパティ] をクリックします。 ポリシー ダイアログ ボックスが表示され、現在の設定が表示されます。

  6. [設定] タブで、[有効] をクリックしてこのポリシーを有効にします。

    Bb530324.grouppolicydeviceinstall19(en-us,MSDN.10).gif

    図 19: [有効] をクリックしてポリシーをアクティブ化する

  7. [ 表示 ] をクリックして、禁止されているデバイスの一覧を表示します。

  8. [コンテンツの表示] ダイアログ ボックスで、[ 追加] をクリックします。

  9. [ 項目の追加 ] ダイアログ ボックスで、デバイス用に見つかったデバイス ID (最初のハードウェア ID) を入力します。

  10. [ OK] をクリックして 、[コンテンツの表示] ダイアログ ボックスに戻ります。

  11. これで、デバイスが一覧に表示されます。

    Bb530324.grouppolicydeviceinstall20(en-us,MSDN.10).gif

    図 20: このデバイスのインストールが禁止されるようになりました

  12. [ OK] を クリックしてポリシー ダイアログ ボックスに戻り、[ OK ] をクリックして新しいポリシー設定を保存します。

禁止されているデバイスの一覧をテストする

これで、デバイスのインストールを試みることができます。 ポリシーによってインストールが妨げられないため、他のデバイスをインストールできますが、Administrators グループのメンバーとしてログオンしている場合でも、この特定のデバイスをインストールすることはできません。

禁止されているデバイスの一覧をテストするには

  1. [ スタート ] ボタンをクリックし、[検索の開始] ボックスに 「gpupdate /force 」と入力し、 Enter キーを押します。

  2. gpudate コマンドが完了したら、コマンド プロンプトを閉じます。

  3. デバイス マネージャー開くには、[スタート] ボタンをクリックし、[検索の開始] ボックスに「mmc devmgmt.msc」と入力し、Enter キーを押します。

  4. USB メモリ ドライブを接続します。

  5. [その他のデバイス] ノードのデバイス マネージャーにデバイスが表示されます。

  6. インストールが完了せず、デバイスが機能しません。

    Bb530324.grouppolicydeviceinstall21(en-us,MSDN.10).gif

    図 21: インストールが完了せず、デバイスが機能しない

  7. Windows では、インストールが失敗した理由を示すメッセージが通知領域に表示されます。

    Bb530324.grouppolicydeviceinstall22(en-us,MSDN.10).gif

    図 22: インストールが失敗した理由を示すメッセージが表示されます

  8. デバイスのドライバーを手動でインストールすることで、制限を回避できます。 デバイスを右クリックし、[ ドライバー ソフトウェアの更新] をクリックします。

  9. オペレーティング システムによって、デバイスのデバイス ドライバーを指定するように求められます。

    Bb530324.grouppolicydeviceinstall23(en-us,MSDN.10).gif

    図 23: デバイス ドライバーのプロンプトが表示されます

  10. ユーザーが試みる可能性のあるものをシミュレートするには、[更新されたドライバー ソフトウェアを自動的に検索する] をクリックします。

  11. Windows が見つかりましたが、ドライバーをインストールできなかったことを示すメッセージが表示されます。 最後の段落では、作成したポリシーによってインストールが禁止されているため、インストールの試行が失敗したことを説明します。

    Bb530324.grouppolicydeviceinstall24(en-us,MSDN.10).gif

    図 24: ダイアログ ボックスでは、インストールに失敗した理由が説明されます

リムーバブル メディアに対する読み取りおよび書き込みアクセス許可を制御する

このシナリオでは、Windows Vista および Windows Server 2008 を実行しているコンピューターで、リムーバブル メディアを使用するリムーバブル デバイスまたはデバイスへの読み取りまたは書き込みアクセスを制御する方法を示します。 このシナリオでは、USB メモリ ドライブを読み取り専用にするようにコンピューター ポリシーを設定します。 また、コンピューターポリシーを設定して、コンピューターに接続されている CD または DVD バーナーを読み取り専用にし、実質的に書き込み機能を無効にします。

リムーバブル メディアに対する読み取りおよび書き込みアクセス許可を制御するための前提条件

このセクションの手順を試す前に、USB メモリ ドライブのインストールを妨げるポリシーを無効にする必要があります。

USB メモリ ドライブのインストールを妨げるポリシーを無効にするには

  1. デバイスが現在インストールされている場合は、このドキュメントの「USB メモリ ドライブのアンインストール」セクションの手順に従って、デバイスをアンインストールして削除します。
  2. グループ ポリシー オブジェクト エディターの詳細ウィンドウで、[これらのデバイス ID に一致するデバイスのインストールを禁止する] を右クリックし、[プロパティ] をクリックします。
  3. ポリシー ダイアログ ボックスが現在の設定と共に表示されます。
  4. [設定] タブの [ 表示 ] をクリックして、禁止されているデバイスの一覧を表示します。
  5. [コンテンツの表示] ダイアログ ボックスで、 USB メモリ ドライブをクリックし、[ 削除] をクリックして、[OK] をクリック します
  6. [設定] タブで [ 無効 ] をクリックして、このポリシー設定をオフにします。
  7. [ OK] を クリックして変更を保存します。

リムーバブル メディアに対する読み取りおよび書き込みアクセス許可を制御する手順

  1. 特定のリムーバブル デバイス クラスへの書き込みアクセスを拒否するようにコンピューター ポリシーを設定する
  2. コンピューター ポリシー設定をテストする

特定のリムーバブル デバイス クラスへの書き込みアクセスを拒否するようにコンピューター ポリシーを設定する

この手順で設定したポリシーは、多くのリムーバブル 記憶域デバイスへの書き込みアクセスをブロックします。 ただし、デバイスへの書き込みアクセスをブロックするコンピューター ポリシーは、特定の make デバイスとモデル デバイスによって異なる場合があります。 カスタム クラス ポリシーを使用することもできますが、特定のデバイスのデバイス セットアップ クラス GUID を識別する必要があります。

特定のリムーバブル デバイス クラスへの書き込みアクセスを拒否するには

  1. [グループ ポリシー オブジェクト エディター] ナビゲーション ウィンドウで、[コンピューターの構成] を開き、[管理用テンプレート] を開き、[システム] を開き、[リムーバブル 記憶域アクセス] を開きます。
  2. [CD と DVD: 書き込みアクセスを拒否する] を右クリックし、[プロパティ] をクリックします。
  3. [プロパティ] ダイアログ ボックスで、[ 有効] をクリックして制限を有効にし、[OK] をクリック します
  4. 次のコンピューター ポリシーについて、手順 2 と 3 を繰り返します。
    • リムーバブル ディスク: 書き込みアクセス権の拒否
    • フロッピー ドライブ: 書き込みアクセス権の拒否
    • WPD デバイス: 書き込みアクセス権の拒否
  5. オブジェクト エディターグループ ポリシー閉じます。

コンピューター ポリシー設定をテストする

デバイスが使用中の場合、書き込みアクセス制限ポリシーをすぐに適用することはできません。 コンピューター ポリシーを適用するには、コンピューターを再起動します。

コンピューター ポリシー設定をテストするには

  1. [ スタート ] ボタンをクリックし、[検索の開始] ボックスに 「gpupdate /force 」と入力し、 Enter キーを押します。

  2. gpudate コマンドが完了したら、コンピューターを再起動します。

  3. コンピューターに DMI-Client1\TestAdmin としてログオンします。

  4. USB メモリ ドライブを接続し、Windows が動作中であることを通知するまで待ちます。

  5. [ スタート] をクリックし、[ コンピューター] をクリックし、USB メモリ ドライブをダブルクリックします。

  6. Windows エクスプローラーで、詳細ウィンドウの開いている領域を右クリックし、[新規作成] をクリックし、[フォルダー] をクリックします

  7. フォルダーの作成が失敗した理由を説明するエラー メッセージが表示されます。

    Bb530324.grouppolicydeviceinstall25(en-us,MSDN.10).gif

    図 25: フォルダーの作成に失敗した理由を説明するエラー メッセージ

  8. [ 続行] をクリックして、制限の回避を試みます。

  9. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示されるアクションが目的の操作であることを確認し、[ 続行] をクリックします。

  10. Windows には、フォルダーに書き込めない理由を示す 2 番目のメッセージが表示されます。

    Bb530324.grouppolicydeviceinstall26(en-us,MSDN.10).gif

    図 26: 2 番目のエラー メッセージは、書き込みアクセス許可が許可されない理由を示します

まとめ

このガイドでは、ラボ環境でサンプル デバイスを使用して、ユーザーがデバイスをインストールできるかどうかを制御する方法について説明しました。 また、リムーバブル 記憶域デバイスまたはリムーバブル メディアを使用するデバイスへのアクセスを制限する方法についても学習しました。 この方法でインストールとデバイスの使用を制御すると、セキュリティが向上し、ユーザーがインストールできるデバイスをorganizationが承認およびサポートするデバイスに制限することで、ヘルプ デスクの有効性が向上します。 これらの構成を示すために使用されるシナリオには、次が含まれます。

  • すべてのデバイスのインストールを禁止します。

    このシナリオでは、標準ユーザーがデバイスをインストールできないようにしましたが、管理者はデバイスのインストールまたは更新を許可しました。

  • ユーザーが承認されたデバイスのみをインストールできるようにします。

    このシナリオでは、標準ユーザーに対して、承認されたデバイスの一覧に含まれるデバイスのみをインストールすることを許可しました。

  • 禁止されているデバイスのみのインストールを禁止します。

    このシナリオでは、標準ユーザーにほとんどのデバイスのインストールを許可したが、禁止されているデバイスの一覧に含まれるデバイスをインストールできないようにしました。

  • リムーバブル メディア ストレージ デバイスの使用を制御します。

    このシナリオでは、標準ユーザーがリムーバブル 記憶域デバイス、または USB メモリ ドライブや CD または DVD バーナーなどのリムーバブル メディアを使用するデバイスにデータを書き込めないようにしました。

その他のリソース

デバイスのインストールの詳細については、以下を参照してください。

DevCon ツールの詳細については、以下を参照してください。

Windows Vista でのユーザー アカウント制御の詳細については、以下を参照してください。

グループ ポリシーの詳細については、以下を参照してください。

バグとフィードバックのログ記録

ご意見、ご感想をお待ちしています。 含まれているシナリオが説明どおりに機能しない場合、またはテクノロジの使用方法をキャプチャできない場合は、お問い合わせください。 このドキュメントの品質を向上させるために、お客様が提供したフィードバックを使用します。 このドキュメントに関するコメントを Vista フィードバック (vistafb@microsoft.com) に送信します。

Windows Vista に関するフィードバックについては、 の Windows Vista Web ページ https://www.microsoft.com/windowsvistaの下部にある [お問い合わせ] リンクを使用してください。