質問

2011年06月19日 21時39分
  • ActiveDirectoryのグループポリシーでのソフトウェアの制御ポリシー

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

先日PowerDVD11をユーザが使用するのに管理者権限でないと使用できない
ということで、ソフトウェア実行用の管理者権限のユーザを作り
ADに所属させグループポリシーのソフトウェアの制御ポリシーで
基本”許可しない”→追加制限でPowerDVD11だけを許可するという
設定をしました。

これでPowerDVD11以外は実行できないはずでした。
デスクトップのショートカットをたたくと制限され実行できませんでした。
ですがC:\Program Filesのソフトウェアの本体を実行すると起動してしまいました。

これでは意味がないので別の方法を検討しておりますが、なんで制御できないのか?がわかりません。

ADのソフトウェアの制御のポリシーはそういうものなのでしょうか?
それとも何か私の設定が間違ってたのでしょうか?

2件の回答があります

回答

お疲れ様です。

確認ですが、PowerDVD11利用専用のアカウントで、クライアントはログインし、そこでデスクトップのショートカットを利用した際に、起動しなかったと言うことでよいでしょうか?

プログラムが起動しなかった際に出たメッセージは、「管理者により制限されています」というような、ブロックされているようなメッセージでしょうか?
それともそのほかのメッセージでしょうか?

PowerDVDの仕様は詳しくはわかりませんが、複数のEXEが裡で実行される場合、その裡で実行されるEXEも許可してあげないとうまく動作しない可能性があると思います。

一度、ポリシーでたとえばメモ帳とかを許可した場合どのように動作するかとかも検証してみるといいと思います。

また、GP設定でプログラムの制約を入れる際に、EXEファイル名とよるハッシュを入れるパターンがあったと思いますが、どちらを利用されていますでしょうか?
ハッシュ値を入れている場合、ポリシーで設定したハッシュと実際のクライアントにあるEXEのハッシュが一致しているかを確認する必要があると思います。

まずは、なぜ動かないかの原因を探るためにはそのあたりからの調査になるかと思います。

2011年06月19日 21時57分

回答

お疲れ様です。

アドバイスありがとうございます。
説明不足&分かりずらくて申し訳ございません。

PowerDVD専用のアカウントを作り、そのアカウントでログインした際
PowerDVDしか起動できないようにADのソフトウェアの制限ポリシーを
規定で”許可しない”設定で、例外でPowerDVDだけ許可する設定を
ハッシュ規則でしました。

それでPowerDVDだけ実行できるように設定したかったのですが、
実際には他のソフトウェアも実行できてしまいました。

他のソフトウェアはデスクトップのショートカットからは制限がかかって
実行できなかったのですが、C:\Program Filesの.exeをたたくと起動してしまいました。
それでどうしてなのかな?と考えてみたものの全く分からず
なにかアドバイスをいただければと思い投稿させていただきました。

2011年06月21日 21時47分

あなたもコメントしましょう!