Windows TIPS
[System Environment]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

グループ・ポリシーでネットワーク接続のプロパティを開けないようにする

解説をスキップして操作方法を読む

デジタルアドバンテージ 小林 章彦 2007/10/12
対象OS
Windows 2000
Windows XP
Windows Server 2003
Windows Vista
管理者権限を与えていると、ユーザーによってネットワーク設定の変更が可能である。
ユーザーによってネットワークの設定が変更されると、トラブルやセキュリティ上の問題が発生する可能性がある。
ポリシーを使ってネットワーク接続のプロパティを開けなくすることで、ネットワーク設定の変更や参照を行えないようにできる。

解説

 Active Directory環境であっても、運用上、クライアントPCに管理者権限を与えている場合も多いようだ。このような場合、ユーザーによってネットワークの設定が変更できてしまい、無用なトラブルやセキュリティ上の問題を引き起こす原因となる。また、ユーザーが勝手に設定を変更して、ノートPCでセキュリティ上問題のある無線LANアクセス・ポイントに接続してしまうといったことを防ぐ意味でも、ネットワークの設定が変更できないようにしておくと安心である。

 ネットワークの設定は、何らかの障害が発生するなどしない限り、最初に正しく設定しておけば、その後に変更の必要はない。Active Directory環境ならば、システムのさまざまな設定をグループ・ポリシー機能を使って制御可能で、[ローカル エリア接続]や[ワイヤレス ネットワーク接続](以下、両方を合わせて「LAN接続」とする)プロパティを開けなくすることもできる。

 設定されたポリシーは、クライアントが起動するときや、ユーザーがシステムにログオンするときなどに適用される。[LAN接続]のプロパティが開けなければ、ネットワーク設定を容易に変更できなくなる。

操作方法

Active Directory環境の場合

 Active Directory環境ならば、管理者権限でログオンし、適用したいActive Directoryのグループ・ポリシーを選択したうえで、グループ・ポリシー管理コンソールを起動する。グループ・ポリシー管理コンソールの使い方は、「TIPS:グループ・ポリシー・エディタの使用法」を参照のこと。

 [ユーザーの構成]−[管理用テンプレート]−[ネットワーク]−[ネットワーク接続]を選択し、[Administrators用のWindows 2000のネットワーク接続設定を有効にする][LAN接続のプロパティへのアクセスを禁止する]の2つの状態を「有効」にする。クライアント・コンピュータがWindows 2000のみの場合は、[Administrators用のWindows 2000のネットワーク接続設定を有効にする]は不要だが、Windows XP以降にも設定を反映させるためには、この設定も「有効」にしておく必要がある。

グループ・ポリシー管理コンソールによる設定
[ユーザーの構成]−[管理用テンプレート]−[ネットワーク]−[ネットワーク接続]を選択し、[Administrators用のWindows 2000のネットワーク接続設定を有効にする]と[LAN接続のプロパティへのアクセスを禁止する]の状態を順番に設定する。設定の順番はないので、どちらを先に変更してもよい。
Windows XP以降にも設定を反映させる場合は、[Administrators用のWindows 2000のネットワーク接続設定を有効にする]を有効にする→
LAN接続のプロパティへのアクセスを禁止する]のポリシーを有効にすることで、LAN接続のプロパティが開けなくなる→

Administrators用のWindows 2000のネットワーク接続設定を有効にする]の設定画面
クライアント・コンピュータにWindows XP以降が含まれる場合は、このポリシーを有効にする必要がある。

[LAN接続のプロパティへのアクセスを禁止する]の設定画面
このポリシーを有効にすることで、[LAN接続]のプロパティを開けなくすることができる。

 これはWindows XP以降では、既定でAdministratorsに対する特定の機能を禁止する設定がなくなっているためだ。[Administrators用のWindows 2000のネットワーク接続設定を有効にする]のポリシーを有効にすることで、Windows 2000と同様、Administratorsに対する特定の機能が禁止可能となるため、[LAN接続のプロパティへのアクセスを禁止する]のポリシーが反映されることになる。

 このポリシーがクライアント・コンピュータで反映されると(クライアント・コンピュータで再ログオンする必要あり)、Windows 2000では、[ネットワークとダイヤルアップ接続]の[ローカル エリア接続]を右クリックして表示されるポップアップ・メニューから[プロパティ]を選択しても、「接続のプロパティにアクセスするための特権が不足しています。管理者に問い合わせてください」というダイアログ・ボックスが表示される。Windows XP以降では、[ローカル エリア接続]を右クリックして表示されるポップアップ・メニューの[プロパティ]がグレーアウトされて選択できないようになる。これにより、ユーザーはLAN接続の設定が容易に変更できなくなるわけだ。

Windows 2000 SP4での[ローカル エリア接続]のプロパティを開いた際の警告画面
[LAN接続のプロパティへのアクセスを禁止する]のポリシーを反映後、[ローカル エリア接続]を右クリックして表示されるポップアップ・メニューから[プロパティ]を選択しても、「接続のプロパティにアクセスするための特権が不足しています。管理者に問い合わせてください」というダイアログ・ボックスが表示されるようになる。

Windows XP SP2での[ローカル エリア接続]のポップアップ・メニュー
[LAN接続のプロパティへのアクセスを禁止する]のポリシーを反映後、[ローカル エリア接続]を右クリックして表示されるポップアップ・メニューの[プロパティ]がグレーアウトされて選択できないようになる。
グレーアウトされたポップアップ・メニューの[プロパティ]

非Active Directory環境の場合

 グループ・ポリシーが利用できない場合は(Active Directoryを導入していない場合は)、コンピュータごとにローカル・コンピュータ・ポリシーで同様の設定を行うことで、[ローカル エリア接続]のプロパティを開けなくすることができる。ただし、ユーザーに管理者権限を与えている場合は、設定を戻して、再度プロパティが開けるようにできるので注意が必要だ。End of Article

「Windows TIPS」

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH