ローカル グループ ポリシー エディターを使用してコンピューターを微調整する方法

この記事では、ローカル グループ ポリシー エディターを使用してコンピューターに変更を加える方法を説明します。

注:グループ ポリシー エディターは、Windows 10 の Pro バージョンでのみ利用できます。Home または Home Premium ユーザーはアクセスできません。

• Windows 10 Home Edition にグループ ポリシー エディター (GPEdit.Msc) をインストールする方法

グループ ポリシーは、企業ネットワークの設定、ユーザーが変更できないようにコンピュータをロックダウンする、未承認のソフトウェアの実行を防ぐなど、さまざまな用途に使用される強力なツールです。

自宅のコンピュータの場合、パスワードの長さを制限したり、承認された実行可能ファイルのみを実行するようにコンピュータをロックしたりするような用途はあまり利用できません。ただし、このツールには、気に入らない Windows 機能の無効化、特定のアプリケーションのブロック、ログアウトまたはログイン時に実行されるスクリプトの作成など、他にも多くの設定を行うことができます。

• 管理者が知っておくべき Windows グループ ポリシーの 8 つの「微調整」
• Windows 8/8.1 でローカル グループ ポリシー エディターを開くための 4 つのヒント
• Windows ですぐに実行する必要がある 10 の重要なグループ ポリシー設定

ローカル グループ ポリシー エディターのインターフェイス

ローカル グループ ポリシー エディターのインターフェイスは、他の管理ツールと似ています。左側のツリービューでは、階層フォルダー構造に従って設定を検索できます。設定のリストと、特定の設定に関する詳細情報を提供するプレビュー ペインがあります。

次の 2 つの最上位ディレクトリに注意する必要があります。

• コンピュータ構成: ログインしているすべてのユーザーのコンピュータ設定が含まれます。
• ユーザー構成: ユーザー アカウントに適用される設定が含まれます。

これらの各フォルダー内には、使用可能な設定を多数提供する他のフォルダーがいくつかあります。

• ソフトウェア設定: ソフトウェア関連の構成が含まれており、Windows クライアントではデフォルトで空白になります。
• Windows 設定:ログイン/ログアウト、起動/シャットダウンのためのセキュリティ設定とスクリプトが含まれています。
• 管理用テンプレート: このフォルダーには、コンピューターまたはユーザー アカウントをすばやく調整するためのレジストリ ベースの構成が含まれています。

セキュリティルールをカスタマイズする

「コマンドプロンプトへのアクセスを禁止する」をダブルクリックすると、次のようなウィンドウが表示されます。実際、管理用テンプレートの設定のほとんどはこのように見えます。

この特定の設定により、ユーザーがコマンド プロンプトにアクセスできないようにすることができます。ダイアログ ボックス内でバッチ ファイルをブロックする設定を構成することもできます。

上記のオプションと同じフォルダーで[指定した Windows アプリケーションのみを実行する]オプションを有効にすると、特定の Windows アプリケーションがシステム上で実行されることを許可できます。

この場合、リストにないアプリケーションを実行すると、次のようなエラー メッセージが表示されます。

ここでのルールを慎重に調整する必要があります。調整しないと、コンピュータが使用できなくなります。

セキュリティのために UAC 設定を調整する

[コンピュータの構成] > [Windows の設定] > [セキュリティの設定] > [ローカル ポリシー] > [セキュリティ オプション]フォルダには、コンピュータ セキュリティに関する一連の興味深い設定があります。

このフォルダーで最初に確認するオプションは、 [ユーザー アカウント制御: 管理者の昇格プロンプトの動作]です。表示されるダイアログ ボックスで、 [セキュリティで保護されたデスクトップで資格情報の入力を求める] を選択すると、管理モードで何かを実行するときは常に、自分または別のユーザーがパスワードを入力する必要があります。

このオプションを使用すると、Windows が Linux または Mac のように動作し、変更を加えるたびにパスワードが必要になります。

その他の便利なオプション:

• ユーザー アカウント制御: 署名および検証された実行可能ファイルのみを昇格する:このオプションにより、デジタル署名されていないアプリケーションが管理者として実行されなくなります。
• 回復コンソール、自動管理ログオンを許可する: 回復コンソールを使用してシステム タスクを実行する必要がある場合は、管理パスワードを入力する必要があります。パスワードを忘れた場合、このオプションを使用すると、パスワードを簡単にリセットできます。ただし、Windows パスワードは簡単に削除できるため、このオプションは実際には安全性が低くなります。

詳細はこちら:パスワードを忘れた場合にコンピュータにログインする方法についての説明

リストにあるポリシーの多くは、実際には Windows のすべてのバージョンに適用されるわけではないことに注意してください。たとえば、 [マイ ドキュメント アイコンの削除]設定は、Windows XP および 2000 でのみ使用できます。[少なくとも Windows XP以降] などの他のポリシーは、すべてのバージョンで機能するわけではありません。

グループ ポリシー エディターには多くの設定があるため、時間をかけて学習してください。ここでの設定のほとんどは、気に入らない Windows 機能を無効にできますが、デフォルトで利用できない機能を提供するものはほとんどありません。

ログイン時、ログアウト時、起動時、シャットダウン時に実行するスクリプトを設定する

コンピュータを起動するたびにログアウト スクリプトとログイン スクリプトが実行されるように設定したい場合は、グループ ポリシー エディタでのみ実行できます。

これは、コンピュータをシャットダウンするたびにシステムをクリーンアップしたり、特定のファイルの簡単なバックアップを実行したりするときに非常に便利です。バッチ ファイルや PowerShell スクリプトも使用できます。注意すべき点は、これらのスクリプトは「静かに」実行する必要があることです。そうしないと、ログアウト プロセスがブロックされてしまいます。

使用できるスクリプトには次の 2 種類があります。

• スタートアップ/シャットダウン スクリプト: これらのスクリプトは、[コンピューターの構成] > [Windows 設定] > [スクリプト]内にあり、ローカル システム アカウントで実行されるため、システム ファイルを操作できますが、ユーザー アカウントとしては実行されません。
• ログオン/ログオフ スクリプト: このスクリプトは[構成] > [Windows 設定] > [スクリプト]にあり、ユーザー アカウントで実行されます。

UAC を完全に無効にしない限り、ログアウト スクリプトとログイン スクリプトでは管理アクセスを必要とするユーティリティを実行できないことに注意してください。

たとえば、[ユーザーの構成] > [Windows 設定] > [スクリプト]に移動し、 [ログオフ]をダブルクリックして、ログアウト スクリプトを作成します。

[ログオフ プロパティ] ウィンドウでは、実行するログオフ スクリプトを追加できます。

さらに、PowerShell スクリプトを構成することもできます。

これらのスクリプトが正しく動作できるように、これらのスクリプトを特定のフォルダーに保存する必要があることに注意してください。

ログアウト スクリプトとログイン スクリプトを以下のディレクトリに配置します。

• C:\Windows\System32\GroupPolicy\User\Scripts\Logoff
• C:\Windows\System32\GroupPolicy\User\Scripts\Logon

そして、起動スクリプトとシャットダウン スクリプトをディレクトリに残しておきます。

• C:\Windows\System32\GroupPolicy\Machine\Scripts\Shutdown
• C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup

ログアウト スクリプトを構成したら、テストできます。

スクリプトでユーザー データの入力が必要な場合、シャットダウンまたはログアウト プロセス中に Windows が 10 分間ハングし、その後スクリプトがオフになって Windows が再起動できることに注意してください。したがって、スクリプトを作成する際にはこの点に留意する必要があります。

ビジネスにおいて、これは最も強力かつ重要なツールの 1 つです。ただし、この記事は、専門知識のないユーザー向けにグループ ポリシーの基本的な使用方法を紹介することだけを目的としているため、詳細については説明しません。