Q

Windows XPを利用していますが,エンドユーザーが勝手に自分のPCのコンピュータ名を変更して困っています。Active Directoryに登録しているユーザー・アカウントが,おのおののPCでAdministratorsローカル・グループに所属していることが原因ですが,ローカルPCの管理を各自が行う方針のため,管理者権限を奪うことができません。なんとか,管理者権限を与えたまま,エンドユーザーがコンピュータ名を変更不能にできないでしょうか?

A

管理者であってもコンピュータ名の変更を禁止する設定は用意されていないのですが,グループ・ポリシーを使用すると,コンピュータ名を変更するメニューを隠すことができます。管理者権限があるユーザーは基本的にマシンのあらゆる設定が変更可能です。この設定によってもコンピュータ名の変更を完全には禁止できませんが,メニューがないことでコンピュータ名の変更が禁止されていることがエンドユーザーに理解されるため,一定の効果が見込めます。


△ 図をクリックすると拡大されます
図7●コンピュータ名の変更メニュー
 コンピュータ名の変更メニューはGUIでは,[マイコンピュータ]の[プロパティ]にしかありません(図7)。そこでこの部分を隠すようにします。グループ・ポリシーには[[マイコンピュータ]のコンテキストメニューから[プロパティ]を削除する]という項目があります。これを有効に設定してください。[マイコンピュータ]の[プロパティ]が表示されなくなるため,設定画面を起動できなくなります。また,同じ設定画面を出すコントロール・パネルの[システム]は起動できなくなります。

Active Directoryがなくても設定可能
 グループ・ポリシーは,特定のコンピュータやユーザーについて管理者が設定を強制する機能です。Active Directoryドメインを構築している場合,ドメインやサイトやOU(組織単位)という単位で設定できます。複数のコンピュータやユーザーについて広く設定を強制できます。また,Active Directory環境でない(ワークグループ環境)場合も,同様の制限を各PCのローカル・コンピュータ・ポリシーにより設定可能です。このときは,1台のコンピュータ内で強制される設定になります。

 Active Directoryドメインを構築している場合のグループ・ポリシーとローカル・コンピュータ・ポリシーとでは設定できる項目が違いますが,[マイコンピュータ]の[プロパティ]を隠す設定は両方に共通して存在します。

 ここでは,ローカル・コンピュータ・ポリシーとして設定してみましょう。


△ 図をクリックすると拡大されます
図8●ローカル・コンピュータ・ポリシーを編集する
 ローカル・コンピュータ・ポリシーを編集するツールは,スタート・メニューの[ファイル名を指定して実行]で「gpedit.msc」と入力して[OK]ボタンを押すと起動します。現れた画面にて左側のツリー状のメニューを[ユーザーの構成]-[管理用テンプレート]-[デスクトップ]とたどっていくと[マイコンピュータ]のコンテキストメニューから[プロパティ]を削除する]がありますので,それをダブル・クリックしてください。開いた画面で[有効]を設定すれば完了です(図8)。このポリシーはWindows 2000 Service Pack 3以降で有効になります。

 Windows 2000/XPなどのWindows NT系列のOSではログオンに利用するユーザー・アカウントに権限が与えられており,そのレベルによって可能な操作が変化します。管理者権限は最も自由度が高く,コンピュータ名の変更が可能なのもそのためです。コンピュータ名の変更を完全に禁止するには,ユーザーに管理者権限を与えないようにしてください。具体的には操作を禁止したいコンピュータのアカウント管理ツールを起動するなどでユーザーが所属するグループをAdministratorsではなく,Power UsersやUsersグループに変更します。

 管理者権限がないと動かないアプリケーションがありますので,十分に検証した後に設定することをお薦めします。管理者権限を奪うとほかのPCの管理操作もできなくなりますが,管理操作が必要なときだけ管理者権限のユーザーでログオンするなどの運用を心掛けるようにしてください。

小森 博司