Q

Active Directoryのグループ・ポリシーを利用して,Internet Explorerのプロキシ・サーバーの設定を自動化して各ユーザーの作業を不要にしています。しかし,ユーザーがInternet Explorerの[インターネットオプション]を使って勝手に変更してしまうことが少なくなく,管理者が確認する手間がかかっています。これでは,せっかく統一したプロキシ設定を展開している意味が薄いので,ユーザーに不必要に変更させないようにしたいと思っています。

 その一方,モバイル用のノート・パソコンをネットワークで利用しているユーザーもいます。このようなユーザーからは,外出時にプロバイダと接続する場合にプロキシの設定を手動で変更することが必要といわれてしまいました。何かいい方法はありませんか?

A

Active Directoryのグループ・ポリシーでは,[ユーザーの構成]-[Windows の設定]-[Internet Explorerのメンテナンス]でプロキシ接続やセキュリティなどのInternet Explorerに関する設定項目がインポートできるようになっています。

 しかし,ここで設定した内容はユーザーが最初にログオンした時とグループ・ポリシーの設定内容が変更された時だけに適用される仕様です。そのため,ユーザーが内容を勝手に設定を変更してしまった場合,グループ・ポリシーの設定に自動的には修正されず,手動で直さなければなりません。

 これを防ぐには,必要に応じて2つの方法を使い分けるとよいでしょう。

ユーザーの設定項目自体を無効に


△ 図をクリックすると拡大されます
図3●グループ・ポリシーでInternet Explorerの設定自体を無効にできる
 1つ目は,「プロキシ・サーバー設定画面をグレーアウトさせる」方法です(図3)。これにより,Internet Explorerのプロキシ設定をユーザーが変更できなくなります。

 これはグループ・ポリシーの[ユーザーの構成]-[管理用テンプレート]-[Windowsコンポーネント]-[InternetExplorer]にある[プロキシ設定の変更を許可しない]というポリシーを[有効]にすれば設定できます。このポリシーはユーザー・オブジェクトに適用されますので,ポリシー設定後,次回ログオン時から適用されます。

 グループ・ポリシーでは,プロキシ設定以外の項目についてもInternetExplorerに関するユーザー操作を制限できます。例えば,図3のグループ・ポリシーの画面にある[自動構成の変更を許可しない]というポリシーを[有効]にすれば,プロキシ設定と同じ画面にある[自動構成の設定]がグレーアウトされるようになります。

 また,[ユーザーの構成]-[管理用テンプレート]-[Windowsコンポーネント]-[Internet Explorer]-[インターネットコントロールパネル]に[[接続]ページの使用を許可しない]というポリシーがあります。このポリシーを有効にすればインターネット・オプションの[接続]タブ自体が非表示となります。

ポリシーの内容を常に適用する方法も
 もう1つは,[ユーザーの構成]-[Windowsの設定]-[Internet Explorerのメンテナンス]で設定した内容を,強制的にユーザーに割り当てるという方法です。設定されたポリシーの内容が常にクライアントに再適用されるようにすれば,ユーザーが設定内容を変更したとしても,再ログオンなどポリシーが適用されるタイミングで指定した設定に戻ります。


△ 図をクリックすると拡大されます
図4●USB ストレージを既に接続している環境ではレジストリでドライバ・ファイルを読み込まないように編集する

 グループ・ポリシーには,このためのポリシーが用意されています。[コンピュータの構成]-[管理用テンプレート]-[システム]-[グループポリシー]にある[Internet Explorerのメンテナンスポリシーの処理]を「有効」にします(図4)。併せて[グループポリシーオブジェクトが変更されていなくとも処理する]の項目にもチェックしておきましょう。

 これらのポリシーはコンピュータ・オブジェクトに適用することで有効となります。ユーザー・オブジェクトに適用しても有効にはなりませんので,モバイル・ユーザーにこの設定を適用させたい場合などは,別途OUを作成してモバイル・コンピュータのコンピュータ・オブジェクトをそこに移動した上で新しいグループ・ポリシー・オブジェクトを作成してそのOUにリンクする必要があります。この方法は自動構成の設定に対する強制適用についても同じように使えます。

ログオン・スクリプトでの適用も可能
 なお,これ以外にログオン・スクリプトでレジストリを直接編集するという方法もあります。まず,HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Internet SettingsというキーにあるProxyServerなどの必要な値を,regという拡張子のレジストリ設定ファイルにエクスポートします。このファイルを,ログオン・スクリプト内で「regedit /s」または「reg import」というコマンドを使って各クライアントに直接反映させるというやり方です。後者はWindowsXP以降あるいはリソース・キットをインストールしたWindows 2000で利用できます。

小鮒 通成