グループ ポリシーを使用してリムーバブル デバイス アクセス制御を行う前に行っていただきたいこと

※ 2015 年 5 月 18 日に加筆いたしました。

 

いつも弊社製品をご利用いただきまして誠にありがとうございます。

Windows プラットフォーム サポートの加藤です。

本項では、グループ ポリシーを用いてリムーバブル デバイスへのアクセス制御を行う際にご注意いただきたい点についてご紹介させていただきます。

ポリシーを適用して制御を行う前にご注意いただけますことを推奨しておりますが、ポリシーを用いてリムーバブル デバイスへのアクセス制御を既に行っているお客様につきましても、

“意図した制御が行えていない場合の対処策” もしくは “不具合に対する予防措置” としてご利用いただくことをお奨めしております。

また、記載させていただいている不具合の内容は、弊社に報告されている事象の中でも代表的なシナリオでございます。そのためお客様の運用状況に一致しない場合でも、確認及び適用をご検討いただけますと幸いです。

 

 

<本項の概要>

----------------------------------------------------------------------------------------------------------------

■ある一定の条件下で起こる不具合に対する対処方法 (該当のOS)

  1. グループ ポリシーを用いたデバイスのアクセス制御の設定が反映されない (Windows 8, Windows 8.1)

 

■弊社製品の不具合に起因した問題に対する KB 及び修正プログラム (該当のOS)

  1.  リムーバブル記憶域へのアクセス制御ポリシーを設定しても正しく適用されない (Windows Vista, Windows 7, Windows Server 2008、Windows Server 2008 R2)

  2.  リムーバブル デバイスへのアクセス制御ポリシーを設定後、光学デバイス (DVD, CD) ドライブがエクプローラー等から見えなくなる (Windows Vista, Windows Server 2008)

  3.  アクセス制御ポリシーを設定していないにも関わらず、監査ポリシーを設定するとリムーバブル デバイスへのアクセスが拒否される (Windows 8、Windows Server 2012)

 4.  USB メモリを接続した際にポップアップ画面がちらちらする (Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2) ←New

----------------------------------------------------------------------------------------------------------------

        

 

■ある一定の条件下で起こる不具合に対する対処方法 (該当のOS)

1. グループ ポリシーを用いたデバイスのアクセス制御の設定が反映されない (Windows 8, Windows 8.1)

 

----------------------------------------------------------------------------------------------------------------

1. グループ ポリシーを用いたデバイスのアクセス制御の設定が反映されない (Windows 8, Windows 8.1)

----------------------------------------------------------------------------------------------------------------

弊社では、Windows 8 および Windows 8.1 のクライアント PC に対してリムーバブル デバイスへのアクセス制御を行なった場合、意図した制御が行えなくなる事象が発生することを確認しております。

以下の 3 つの条件すべてに該当する構成の場合は、リムーバブル デバイスへのアクセス制御が正しく反映されませんのでご注意ください。

 

< 既知のグループ ポリシーを用いたデバイスのアクセス制御の設定が反映されない 3 つの条件 >

 • 制御対象のクライアント PC が Windows 8 もしくは Windows 8.1 である。

 • グループ ポリシーは "ユーザーの構成" を使用して "リムーバブル記憶域へのアクセス" の設定を行っている。

 • 監査ポリシーの "リムーバブル記憶域の監査" が有効になっている。

 

これらの条件に該当した場合は、以下のいずれかの対応をご検討いただく必要がございます。

 

 <対処方法>

 • "リムーバブル記憶域へのアクセス" の設定を "ユーザーの構成" ではなく "コンピュータの構成" で行う。

 • 監査ポリシーの "リムーバブル記憶域の監査" を未構成に設定する。

 

 

■弊社製品の不具合に起因した問題に対する KB 及び修正プログラム (該当のOS)

1.  リムーバブル記憶域へのアクセス制御ポリシーを設定しても正しく適用されない (Windows Vista, Windows 7, Windows Server 2008、Windows Server 2008 R2)

2.  リムーバブル デバイスへのアクセス制御ポリシーを設定後、光学デバイス (DVD, CD) ドライブがエクプローラー等から見えなくなる (Windows Vista, Windows Server 2008)

3.  アクセス制御ポリシーを設定していないにも関わらず、監査ポリシーを設定するとリムーバブル デバイスへのアクセスが拒否される (Windows 8、Windows Server 2012)

 4.  USB メモリを接続した際にポップアップ画面がちらちらする (Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2)←New

 

----------------------------------------------------------------------------------------------------------------

1.  リムーバブル記憶域へのアクセス制御ポリシーを設定しても正しく適用されない  (Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2))

---------------------------------------------------------------------------------------------------------------

こちらは光学デバイス (DVD, CD) ドライブがエクプローラー等から見えなくなる現象に対する修正プログラムです。下記ご紹介の修正プログラムを適用いただいた後、レジストリー エディタにてレジストリを追加します。

なお、一度、光学デバイスが無効化されてしまうと、デバイス マネージャーから光学デバイスの削除を行い、再度デバイスを認識させる必要があります。修正プログラムの適用前にレジストリーを追加しておいても問題ございませんが、修正プログラムが適用されるまでは ApplyPolicyOnUserLogoff の値は無視されます。

更新プログラムとレジストリー追加後は再起動いただく必要がございます。

 

<KB 及び修正プログラム>

対応文書番号: 979621

A removable storage device is disabled when you enable a Group Policy to deny write access or to deny read access to the device on a computer that is running Windows Vista or Windows Server 2008

https://support.microsoft.com/kb/979621/en-us

 

<追加するレジストリ>

-----------------------------------------

キー

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices

ApplyPolicyOnUserLogoff

種類 : REG_DWORD

値 : 0x00000000

------------------------------------------

 

----------------------------------------------------------------------------------------------------------------

2. リムーバブル デバイスへのアクセス制御ポリシーを設定後、光学デバイス (DVD, CD) ドライブがエクプローラー等から見えなくなる  (Windows Vista, Windows Server 2008)

----------------------------------------------------------------------------------------------------------------

こちらはグループ ポリシーが正しく適用されない現象に対する修正プログラムです。

修正プログラム適用後は再起動いただく必要がございます。

 

<KB 及び修正プログラム>

文書番号: 2738898

Users cannot access removable devices after you enable and then disable a Group Policy setting in Windows Server 2008, in Windows 7 or in Windows Server 2008 R2

https://support.microsoft.com/kb/2738898/en-us

 

 

----------------------------------------------------------------------------------------------------------------

3. アクセス制御ポリシーを設定していないにも関わらず、監査ポリシーを設定するとリムーバブル デバイスへのアクセスが拒否される (Windows 8、Windows Server 2012)

----------------------------------------------------------------------------------------------------------------

こちらはWindows 8 および、Windows Server 2012 で、監査ポリシーを設定するとリムーバブル デバイスへのアクセスが拒否される現象に対するロール アップです。

月例のWindows Update を実施いただいている場合は、既に適用されているので、改めて適用いただく必要はございません。

ロールアップ適用後は再起動いただく必要がございます。

 

<ロールアップ>

Windows 8 および Windows Server 2012 の更新プログラムのロールアップ (2013 年 4 月)

https://support.microsoft.com/kb/2822241/ja

 

 

<問題の詳細>

Issues when the Audit object access policy is enabled on Removable Storage in Windows 8 or Windows Server 2012

https://support.microsoft.com/kb/2811670

 

----------------------------------------------------------------------------------------------------------------

 4.  USB メモリを接続した際にポップアップ画面がちらちらする (Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2)

----------------------------------------------------------------------------------------------------------------

こちらは  USB メモリを接続した際にポップアップ画面が揺れる現象に対する修正プログラムです。

修正プログラム適用後は再起動いただく必要がございます。

 

USB device remove and install repeatedly when it is connected to a Windows-based computer

https://support.microsoft.com/ja-jp/kb/2959144/en-us

 

 

 

参考:

Windows 8 および Windows 8.1 のリムーバブル デバイスへのアクセス制御の注意点について

https://blogs.technet.com/b/askcorejp/archive/2014/05/19/windows-8-windows-8-1.aspx

 

グループ ポリシーを用いたデバイスのアクセス制御について

https://blogs.technet.com/b/askcorejp/archive/2014/04/28/3516088.aspx

 

グループ ポリシーを用いた WPD デバイスの制限について

https://blogs.technet.com/b/askcorejp/archive/2014/08/18/wpd.aspx