こちらもGPで制限をかけています。
P.24に記載されているように,/D:Everyone /Q は有効にし,/R:Everyone は設定を元に戻す,という理解をしています。
初期はリムーバブル記憶装置がインストールできますので,一度/D:Everyone /Qで制限をかけたクライアントに対して,/R:Everyone のスイッチをつけてスタートアップスクリプトに組み込んで設定を元に戻す,ということですね。
/Q オプションはスクリプトのメッセージが出ないようにする。という理解であっていると思います。
回答2 (この回答は回答1に対する回答です)
- 投稿ID:A2008033588
- 投稿日時:2008/02/05 11:08
例えば、
USB記憶装置、IEEE 1394記憶装置、フロッピーディスク、SD記憶カード、CDのすべてを使用しないコンピュータ群をある特定のOUにいれ、すべて禁止のポリシーをリンクする場合は、そのポリシーのスタートアップで /D:Everyone /Q を指定する。
IEEE 1394記憶装置、フロッピーディスク、SD記憶カード、CDは使用しないが、USB記憶装置は使用するコンピュータ群をある特定のOUにいれ、USB記憶装置のみ許可するポリシーをリンクする場合は、そのポリシーのスタートアップで /D:Everyone /Q を指定する。ある、コンピュータがUSB記憶装置を使用する場合のみ、/R:Everyone /Q を指定し直す。USB記憶装置を使用するコンピュータを再起動する。そのコンピュータがUSB記憶装置の使用が終わったら、/D:Everyone /Q を指定し直す。
上記の考え方になるのでしょうか。でも、これでは忙しいですね。
いまいち、/R:Everyone /Q の設定を元に戻すという意味が良く分かっていないのです。
回答3 (この回答は回答2に対する回答です)
- 投稿ID:A2008034690
- 投稿日時:2008/02/06 12:13
そうですね。
USB記憶装置は使用するコンピュータ群では,P16の画面で,USB記憶装置デバイスの使用禁止を「無効」にするでいいと思います。あるパソコンでの使用が終わり,「無効」にする必要がなくなったら「有効」にすれば,再びUSB記憶装置が使用できるようになりますね。
/R:Everyone /Qは,日常の管理ではあまり使用しないかもしれませんね。
回答4 (この回答は回答3に対する回答です)
- 投稿ID:A2008034806
- 投稿日時:2008/02/06 14:23
ご回答ありがとうござます。私の質問文が悪くて申し訳ありませんでした。
要は知りたいのは、/R:Everyone /Q の意味のことです。
P16の画面で
USB記憶装置デバイスへの書き込み禁止
USB記憶装置デバイスの使用禁止
IEEE 1394記憶装置デバイスの使用禁止
フロッピーディスクの使用禁止
SD記憶カードの使用禁止
CDへの書き込み禁止
すべてを「有効」にした状態で、スタートアップで、/R:Everyone /Q を指定するとリムーバブル記憶装置(例えばUSB記憶装置)はインストールでき、読み取り・書き込みもできてしまうかどうかが知りたいのです。
回答5 (この回答は回答4に対する回答です)
- 投稿ID:A2008035415
- 投稿日時:2008/02/07 02:45
以下は、実験的にしたものてす。
あるコンピュータ群を入れた特定のOUで
(P16の画面で)
USB記憶装置デバイスへの書き込み禁止
USB記憶装置デバイスの使用禁止
IEEE 1394記憶装置デバイスの使用禁止
フロッピーディスクの使用禁止
SD記憶カードの使用禁止
CDへの書き込み禁止
すべてを「有効」にし、
(P24の画面で)
[スクリプト名] ボックスに「BlockRmStor.wsf」
[スクリプトのパラメータ] ボックスに「/R:Everyone /Q 」
と指定しました。
そのOUに入っているコンピュータでコマンドプロンプトより
>GPUPDATE /FORCE
を叩き、再起動しログオンすると、フロッピーディスクのアイコンは消え、USB記憶装置は差し込んでも認識されませんでした。ただ、PCカードスロットに差し込んだコンパクトフラッシュ(PCMCIA規格)は認識され、読み取り・書き込みともできました。IEEE 1394のポート・IEEE 1394記憶装置は無いので確認できませんでした。
そのOUに入っているコンピュータでコマンドプロンプトより下記のように、cacls.exeを叩くと
>cacls.exe %SystemRoot%\inf\flpydisk.inf
BUILTIN\Users:R
BUILTIN\Power Users:R
BUILTIN\Administrators:F
NT AUTHORITY\SYSTEM:F
>cacls.exe %SystemRoot%\inf\usbstor.inf
BUILTIN\Users:R
BUILTIN\Power Users:R
BUILTIN\Administrators:F
NT AUTHORITY\SYSTEM:F
>cacls.exe %SystemRoot%\inf\sbp2.inf
BUILTIN\Users:R
BUILTIN\Power Users:R
BUILTIN\Administrators:F
NT AUTHORITY\SYSTEM:F
cacls.exe %SystemRoot%\inf\sffdisk.inf
BUILTIN\Users:R
BUILTIN\Power Users:C
BUILTIN\Administrators:F
NT AUTHORITY\SYSTEM:F
<アカウント ドメインが見つかりません>F
の結果でした。
(P20〜P24画面で作成した)
BlockRmStor.wsf をダフルクリックしてみると(またはコマンドプロンプトより、>cscript BlockRmStor.wsf /? を叩くと)
使い方 : BlockRmStor.wsf [/D:値] [/R:値] [/Q:値]
オプション :
D : 指定されたグループ/ユーザーのリムーバブル記憶装置をインストールするためのア
クセスを拒否します
R : 指定されたグループ/ユーザーのリムーバブル記憶装置をインストールするためのア
クセス拒否を取り消します
Q : 処理の状況を表示しないモードをオンにします。既定はオフです
使用例:
BlockRmStor.wsf /D:Everyone
BlockRmStor.wsf /R:Everyone
BlockRmStor.wsf /D:Everyone /Q
/D または /R オプションのいずれかを指定する必要があります。
と表示されました。
結論として、/R:Everyone /Q と指定してもPCカードスロットに差し込んだコンパクトフラッシュ(PCMCIA規格)以外は認識されないのだから、「 指定されたグループ/ユーザーのリムーバブル記憶装置をインストールするためのアクセス拒否を取り消します」の意味を深く考えても仕方ないと感じました。
(P16の画面で)
使用を許可するリムーバブル記憶装置の使用禁止(書き込み禁止)だけ無効にするやり方が現実的なようです。