第1回の「外部記憶装置の利用を制限する」で解説した通り、外部記憶装置に関するグループポリシーは「ユーザーの構成」より、「コンピューターの構成」のほうが豊富だ。そのため、グループポリシーの適用先は、基本的にユーザーではなくコンピュータになる。
ただし、運用・管理の面で「ユーザーの構成」を利用してユーザーにグループポリシーを適用したほうがよい場合もある。
例えばメンテナンス時や、トラブル発生などの緊急時に、システム管理者専用アカウントで一般ユーザーのパソコンにログオンするケースだ。コンピュータ単位でグループポリシーを適用すると、システム管理者用のアカウントも一般ユーザー用のアカウントもまとめて制限されてしまう。そのため、メンテナンス時に必要な操作ができないかもしれない。
こうした状況に対応するためには、まず一般ユーザーとシステム管理者ユーザーでOrganizational Unit(OU)を分けておこう。そして、一般ユーザーOUだけに外部記憶装置を制限するグループポリシーを適用すればよい。
以上のように、OUの設計やグループポリシーを適用する際のポイントは「目的を明確にする」ことだ。目的が明確になれば、使うべきグループポリシーや適用対象も明確になる。
ローカルへの保存を禁じる
続いて、パソコンのローカルドライブ(内蔵ハードディスク)へのアクセス制御方法を見ていこう(第1回「外部記憶装置の利用を制限する」の「今回の目的」の【2】)。
外出先に持ち出して使うノートパソコンのローカルドライブには、漏洩したら問題となるようなデータを保存しないようにすればよい。しかし、社内規則で「重要データはローカルドライブに保存してはいけない」と決めても、なかなか徹底されないのが現実だ。そこで、グループポリシーを使ってローカルドライブへのアクセスそのものを制御しよう。
