[まとめ]Group Policy

2009/07/29 【Management】ディレクトリサービス復元モードのパスワードを忘れてしまったら?同期という手が用意されました。   2009/07/01 【Management】Set-GPRegistryValue で設定した値はGPMCレポートに出力されるか   2009/06/02 【Management】Set-GPRegistryValue で複数のレジストリエントリを一度に設定する   2009/06/01 【Managemnt】WS2008 R2:ADMXファイルを作らずに業務アプリのレジストリ設定をグループポリシー化する その2   2009/06/01 【Managemnt】WS2008 R2:ADMXファイルを作らずに業務アプリのレジストリ設定をグループポリシー化する 【Management】Devcon.exe でコマンドラインからデバイスを無効化 【Management】グループポリシー基本設定 の「適用できなくなった場合はこの項目を削除する」って? 【Management】「グループポリシー基本設定」でのパスワードを設定する場合の注意 【Management】グループポリシーに関する知識の整理~ADMX とWindows XP の関係 【Management】WS2008 で、グループポリシーを新規に作成しようとするとエラーが発生する 【Management】(余談ですが)[ドキュメント] が [最近使ったファイル] になっている件 【Management】ポリシーベースの QoS で遊んでみる 【Management】WS2008 GPMC の[フォルダリダイレクト] に [ドキュメント] が見当たらない場合の対処(暫定) 【Management】Windows 7(2008 R2)でグループポリシーがどうなるか 【Management】GPLogView でグループポリシーのトラブル追跡 【Management】IE8 ではグループポリシーの設定項目が100以上増え、IE8がらみの設定は1300… 【Management】(ご注意)グループポリシーの基本設定 - グループの管理で追加と削除が逆になっています 【BOOK】いまやってます~ Windows Server 2008 Group Policy…

0

【Management】Devcon.exe でコマンドラインからデバイスを無効化

あぁ、昔こんなコマンド使ってたなぁ..という方、けっこういらっしゃると思います。一部のバッチファイルマニアには有名なコマンドですね。 Windows7 Beta でも動くのかなぁ…とおもって確認したらちゃんと動作したので、せっかくなのでご紹介しておきます。 その名も Devcon.exe です。以下からダウンロードできます。自己解凍形式になっているので、どこかに解凍してからお使いください。64ビット版と32ビット版が格納されています。 デバイス マネージャとして機能する DevCon コマンド ライン ユーティリティ http://support.microsoft.com/kb/311272/ja さて、このコマンド、はたして何に使うコマンドなのか… 例えば、スタートアップスクリプト等を使用して、コマンドラインからデバイスを無効にもしくは有効にしたい場合ってありますよね。もしくは、ドライバーをインストールした後で、再起動するのではなくてハードウェアの再スキャンすることでデバイスを認識させたりとか。 私は以前に、ノートパソコンに標準実装されている「無線LANカード」を強制的に無効化するのに使ったり、USBカードリーダーの再認識を強制的に行わせるために使ったりしていました。 通常は以下のように「デバイスの管理」画面で[ハードウェア変更のスキャン]を行ったり、デバイスの有効/無効を切り替えます。 Devcon.exe を使用すると、これをコマンドライン上から行えます。 例えば、ノートパソコンによく実装されている Bluetoothデバイスを使わせたくないとしましょう。 事前に、以下のコマンドを使用して、無効化したい Bluetooth デバイスの ハードウェアIDを取得します。そのためには、「デバイスの管理」を使用して、無効化したいデバイスのプロパティを開きます。   [詳細]タブを開いて、プロパティから[ハードウェアID] を参照してください。 上の画面では「USB\VID_044E&PID_3017&REV_0218」と「USB\VID_044E&PID_3017」という2つのハードウェアIDが存在していることがわかります。 基本的に「文字列が長いほうのID」を使用すれば良いのですが、念のためにコマンドプロンプトから以下のコマンドを入力して、マッチするデバイスが1つであることを確認してください。 以下のように disable パラメタを使用するとデバイスは無効化できます。 ちなみに、Windows Server 2008 がドメインコントローラであり、かつWindows 2003/XP/Vista/2008 がクライアントの場合には、「グループポリシー基本設定」に用意されている「デバイス」で行うことができるので、Devconは必要ありません。

1

【Management】グループポリシー基本設定 の「適用できなくなった場合はこの項目を削除する」って?

GWのときこそメンテ時ですね!ということで、私も原稿が終わらなかったりとかいろいろで出社しています。 業務連絡 >O編集長 さま すみません、いま少しお待ちを… さて、グループポリシー基本設定(Group Policy Preferences)の各設定項目の中に「共通」オプションというものが用意されています。 この中に「適用できなくなった場合はこの項目を削除する」という設定があるのですが、これ、意味わかります? 正直、ちょっとわかりづらいですよね。ヘルプを読んでもいまいち…うーん…といったかんじです。 そこで、グループポリシー基本設定の中の「ローカルユーザー」を例にして解説してみます。 「ローカルユーザー」ポリシーは、ポリシーが適用されたときに、ユーザーを作成、変更、削除するためのものです。このポリシーによって、従来スタートアップスクリプトで行ってきたローカルユーザーの作成やパスワード変更等の設定を、ポリシーで一括管理できるようになります。 グループポリシー基本設定の特徴は、ログオンスクリプトやスタートアップスクリプト同様、本番環境に直接書き込んでしまうことです。(これを「タトゥー」と呼ぶことがあります。Windows NT 4.0 の頃のシステムポリシーも同様だったですね。) そのため、例えば上記のようなユーザーを作成した場合には、削除用のポリシーを作成するか手動で削除しない限り、ユーザーはローカルコンピューターに残り続けます。 通常はそれでも問題ないと思いますし、必要であれば「アカウントを無効」にでもしておけばよいと思いますが、それだと不都合な場合もあります。 例えば、 クライアントがシステム部門に所属しているときだけ処理したい といった場合。 グループポリシー基本設定は「タトゥー」ですから、クライアントがシステム部門OUからはずれても、一度作られたユーザーは削除されません。そこで使用するのが、「適用できなくなった場合はこの項目を削除する」です。 これをチェックしておけば、クライアントが、ポリシーがリンクされているOUから移動した場合、言い換えれば「ポリシーのスコープ外となった場合」に、自動的にユーザーを削除してくれます。 この「削除してくれる」処理ですが、正確に書くと「置換処理の際に再作成しない」という処理になります。 「適用できなくなった場合にはこの項目を削除する」が選択されると、操作モードが強制的に「置換」となり、これ以外を選択することができません。置換処理とは、「現在のオブジェクトを削除して、同じものを再作成する」という処理ですが、「同じものを再作成する」部分を実施しないことで事実上の削除を実現する、という処理になります。 さて、スコープ外という状況は、OUを移動したときばかりではありません。 上の画面ショットをごらんいただきたいのですが、グループポリシー基本設定の「共通」タブには、「項目レベルでターゲットを設定する」という設定項目が用意されています。 これもちょいとわかりずらいのですが、要は「ポリシー適用先のフィルター」です。このフィルターから外れた状態も「スコープ外」と判断されます。 このフィルターが実に多彩でして。以下をご覧ください。   コンピュータ名やIPアドレスだけでなく、特定のレジストリ値や、時間帯によってもフィルターをかけられるんですね!ログオンスクリプトでこれらを実現するために試行錯誤してきたエンジニアの方々には、垂涎ものの機能です。 「9時から17時までの間に起動された場合にはユーザーを作成し、それ以外の時間帯なら作らずに削除する」なんてことが可能です。 グループポリシー基本設定はとてもよい機能です。ログオンスクリプト代わりに是非ともお使いください。

2