質問
文章からすると、Domain UserにローカルPCのAdministrator権限があると
察します。
自社では行っていませんが、グループポリシーでstelliotseltonsuo さん
の言われることはある程度実現できるかな?と思います。
●アプリケーションの追加と削除
「ユーザ構成」→「管理用テンプレート」→「コントロールパネル」→
「アプリケーションの追加と削除を無効にする」→「Windowsコンポーネ
ントの追加と削除を無効にする」
スタートメニューからたどっていくことででてくるセットアップメニュー
に対しては意味がないかもしれません
●アプリケーションの起動制限
「ユーザ構成」→「管理用テンプレート→システム」→「許可された
Windowsアプリケーションだけを実行する」
自社提供のアプリケーションを全部調べる必要があると思います
●会社指定のアプリケーションをアンインストールできないようにする
ユーザーのAdministrator権限をなくす、がよいかな?と思います。
実例ではないので、ご参考まで。
コメント(1)に対しての補足になると思いますのでURLをはります。
規則などで制約を加えれば、ここまで行なう必要がないように思いますが。
グループ ポリシーで制御してみようと思います。
社内の運用上の理由でAdministration権限を外すことができなく、いまそこを悩んでいます。
Administratorの権限を外すことができない時点で、グループポリシーで制限するのは労力ばかり大きく、ほぼ効果のない作業です。
「許可されたWindowsアプリケーションだけを実行する」を完全に設定できる組織であればAdministrator権限を取り上げられると思います。
アプリケーションの追加と削除だけを禁止しても、インストール不要なプログラムの実行を制限することはできないでしょう。
おそらくAdministrator権限を取り上げた状態でどう運用すればよいかの設計ができない状態なのだと思います。
これはテスト環境を作って(もしくはリテラシーの高いユーザーの本番環境で)、実際に起こる障害をひとつひとつクリアしていくしかありません。
この権限を制限したネットワークの管理ができるというのが今後の情報システム課員に必要とされるスキルだと思います。
困難な課題ですが、ぜひ挑戦してみることをお勧めします。
質問
アプリケーションの追加と削除の双方を制限させることを施策として検討しています。
具体的には
・「プログラムの追加と削除」からプログラムをインストールできないようにする
・「プログラムの追加と削除」からプログラムをアンインストールできないようにする
・会社で許可しているソフトウェア以外のプログラムのインストーラを実行しようとしても実行できない、もしくはインストールできないようにする
・会社指定のソフトウェアのアンインストーラを実行しようとしても実行できない、もしくはインストールできないようにする
をやりたいです。
資産管理ソフトウェアのものを導入すれば実現できそうなものの、予算やらなんやらの制約で資産管理ソフトウェアの導入がなかなか厳しい状況にあります。
皆様の会社ではどんな方法でこちらを実現していますでしょうか?
グループポリシーやアクセス権設定でxxxをやっている、資産管理ソフトウェアでxxxをやっているなどの例をどなたか教えて頂けませんでしょうか。
宜しくお願いします。