△ 図をクリックすると拡大されます
図1●グループ・ポリシーを使えば,[マイコンピュータ]から特定のドライブを非表示に設定できる
Q

Active Directoryのグループ・ポリシーの[指定したドライブを[マイコンピュータ]内で非表示にする]を使用して,Windows 2000/XPクライアントの[マイコンピュータ]からL,M,N,Oの4つのドライブを見えないように設定したいと考えています。しかし選択肢を見ると,すべてのドライブか,「AおよびBドライブ」「A,Bおよび,Cドライブ」のようにあらかじめ用意された項目しか選べません(図1)。L,M,N,Oドライブを非表示にする方法はないでしょうか?

A

グループ・ポリシーの[指定したドライブを[マイコンピュータ]内で非表示にする]で用意されている選択肢には,[AおよびBドライブのみを制限する][すべてのドライブを制限する][Cドライブのみを制限する][Dドライブのみを制限する][A,BおよびCドライブのみを制限する][A,B,CおよびDドライブのみを制限する][ドライブを制限しない]があります。

 これら以外の組み合わせのドライブを非表示にするには,[Default Domain Policy]に対応するSystem.admファイルの一部を編集することで対応できます。以下では,L,M,N,Oドライブを制限する場合を例にその方法を簡単に説明します。

 System.admファイルは,デフォルトのグループ・ポリシーのテンプレートです。これは,ドメイン・コントローラの%SystemRoot%\Sysvol\Sysvol\ドメイン名\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Adm\System.admフォルダに格納されています。


△ 図をクリックすると拡大されます
図2●用意された選択肢以外のドライブを非表示にするための設定

編集作業は2行追加するだけ
 このファイルをテキスト・エディタで開いて一部追加することで,標準で用意される選択肢以外の項目を追加してドライブを非表示にできます。追加するのは「NAME !!LMNO_Only VALUE NUMERIC 30720」と,「LMNO_Only="L,M,N,およびOドライブのみを制限する"」の2つです(図2)。

 ここで重要になるのが,VALUE NUMERICの後の値です。これは,非表示にする特定ドライブのフラグになります。この値の求め方は,図3のようになります。


図3●特定ドライブを非表示にする場合の値の求め方
非表示にしたいドライブのビットを「1」に,それ以外は「0」とする。図3で追加した部分の「VALUE NUMERIC」の後に,2進数を10進数に変換した値を指定する。

 右から左へドライブをA,B,C,…L,M,Nと並べて,非表示にしたいドライブのビットを「1」に,それ以外は「0」にします。これら2進数の値を10進数に変換した結果がフラグになります。例えば,L,M,N,Oのビットをすべて「1」にした2進数を10進数に変換すると「30720」となります。


△ 図をクリックすると拡大されます
図4●選択肢の中に,[L,M,N,およびOドライブのみを制限する]が追加されているのが確認できる

 これら2行をSystem.admファイルに追加した後,再び[Default Domain Policy]をグループ・ポリシー・エディタから,[指定したドライブを[マイコンピュータ]内で非表示にする]を開くと,[L,M,N,およびOドライブのみを制限する]オプションが追加されます(図4)。これを選択すると,実際にドメインにログオンするすべてのコンピュータでこれらのドライブが制限されます。

 なお,特定ドライブの非表示は,Active Directoryのグループ・ポリシーだけでなく,ローカル・グループ・ポリシーでも設定できます。その場合はローカル・マシンの%SystemRoot%\system32\GroupPolicy\Admフォルダのsystem.admファイルを編集します。手順はグループ・ポリシーの場合と同様になります。詳細は,マイクロソフトのサポート技術情報の「Windows 2000/XPのGPOでマイコンピュータ内の指定ドライブを非表示にする」(231289)を参照してください。

瀧澤俊臣