14 管理者が知っておくべき Windows グループ ポリシーの微調整

Windows グループ ポリシーは、 Windows のさまざまな側面を構成するために使用される非常に強力なツールです。 Windows グループ ポリシーのほとんどの調整は、管理者のみが行うことができます。あなたが社内の他の多くのコンピュータの管理者である場合、またはコンピュータ上に他の多くのアカウントがある場合は、Windows グループ ポリシーを利用して、他のユーザーによるコンピュータの使用を制御する必要があります。

注記：

グループ ポリシー エディターは、Windows の Home エディションと Standard エディションでは利用できません。グループ ポリシーを使用するには、Professional または Enterprise エディションを使用する必要があります。

Windows グループ ポリシーで PC を改善する 14 の方法

• Windows グループ ポリシー エディターにアクセスするにはどうすればよいですか?
• グループポリシーでできること
  • 1. アカウントのログインを監視する
  • 2. コントロール パネルへのアクセスをブロックする
  • 3. 他のユーザーがシステムに新しいソフトウェアをインストールできないようにする
  • 4. リムーバブルストレージデバイスへのアクセスを無効にする
  • 5. 特定のアプリケーションの実行を防止する
  • 6. コマンド プロンプトと Windows レジストリ エディターを無効にする
  • 7. マイコンピュータからドライブパーティションを非表示にする
  • 8.スタートメニューとタスクバーを調整する
  • 9. 強制再起動を無効にする
  • 10. ドライバーの自動更新を無効にする
  • 11. バルーンとトースト通知を非表示にする
  • 12.OneDriveを削除する
  • 13. Windows Defenderをオフにする
  • 14. ログイン/起動/シャットダウン時にスクリプトを実行する

Windows グループ ポリシー エディターにアクセスするにはどうすればよいですか?

Windows グループ ポリシー エディターにアクセスする方法は多数ありますが、最も簡単かつ迅速な方法は、[ファイル名を指定して実行]ダイアログ ボックスを使用することです。これは Windows のすべてのバージョンで機能します。

Windows グループ ポリシー エディターにアクセスするには、次の手順に従います。

Windows + Rキーの組み合わせを押してファイル名を指定して実行コマンド ウィンドウを開き、そこに「gpedit.msc���と入力してEnter キーを押してグループ ポリシー エディターを開きます。

注意すべき点は、グループ ポリシーにアクセスする前に、管理者アカウントでログインする必要があることです。標準アカウントでは、グループ ポリシーへのアクセスは許可されません。

グループポリシーでできること

1. アカウントのログインを監視する

グループ ポリシーでは、任意のユーザー アカウントからコンピューター上で成功したログオンと失敗したログオンをすべて「記録」するよう Windows に「強制」できます。この情報を使用して、見知らぬ人が Windows コンピュータに不正にログインしていないかどうかを監視できます。

[グループ ポリシー エディター] ウィンドウで、以下のパスに移動します。

コンピュータの構成 => Windows の設定 => セキュリティ設定 => ローカル ポリシー => 監査ポリシー

次に、 「ログオン イベントの監査」を見つけてダブルクリックします。

このとき、[ログオン イベントの監査のプロパティ] ダイアログ ボックスが画面に表示されます。ここで[成功]と[失敗]をチェックし、 [ OK]をクリックすると、Windows がコンピュータ上で実行されたログインの「記録」を開始します。

これらのログを表示するには、別の便利な Windows ツールであるWindows イベント ビューアにアクセスする必要があります。 Windows イベント ビューアを開くには、まずWindows + Rキーの組み合わせを押して「ファイル名を指定して実行」コマンド ウィンドウを開き、そこに「eventvwr」と入力して Enter キーを押します。

ここでは、 「Windows ログ」セクションを展開し、「セキュリティ」オプションを選択します。中央のフレームには、最近のすべてのイベントが表示されます。タスクは、このリストで成功したログイン イベントと失敗したログイン イベントを見つけることです。

成功したログイン イベントは「イベント ID: 4624」、失敗したログイン イベントは「イベント ID: 4625」になります。イベント ID を検索するだけでログイン情報が見つかり、ログインの正確な日時がわかります。

これらのイベントをダブルクリックすると、ログイン アカウント名の詳細が表示されます。

2. コントロール パネルへのアクセスをブロックする

コントロール パネルは、セキュリティ設定や使用方法の設定を含む Windows 設定の「中心」とみなされます。しかし、それが悪者の手に渡った場合、何が起こるか予測できません。起こり得る悪い状況を防ぐには、コントロール パネルへのアクセスをブロックするのが最善です。

これを行うには、グループ ポリシー エディター ウィンドウで次のキーに移動します。

ユーザー構成 => 管理用テンプレート => コントロール パネル

ここで「コントロールパネルへのアクセスを禁止する」というオプションを見つけてダブルクリックします。

[コントロール パネルへのアクセスを禁止する] ウィンドウで、[有効にする]オプションをクリックしてコントロール パネルへのアクセスをブロックします。これで、[コントロール パネル] オプションが [スタート] メニューから削除され、[ファイル名を指定して実行] コマンド ウィンドウでコントロール パネルを開いた場合でも、誰もコントロール パネルにアクセスできなくなります。

コントロール パネルを開こうとすると、画面にエラー メッセージが表示されます。

3. 他のユーザーがシステムに新しいソフトウェアをインストールできないようにする

ソフトウェアのインストール時にコンピュータを攻撃する厄介なウイルスやマルウェアを「クリーンアップ」するには、長い時間がかかります。したがって、システムの安全性を確保し、他のユーザーが不正にログインしてマルウェアに感染したソフトウェアやプログラムをコンピュータにインストールするのを防ぐために、グループ ポリシーで Windows インストーラを無効にする必要があります。

[グループ ポリシー] ウィンドウで、次のキーに移動します。

コンピュータの構成 => 管理用テンプレート => Windows コンポーネント => Windows インストーラー

ここで「 Windows インストーラーを無効にする」を見つけてダブルクリックします。

[Windows インストーラーを無効にする] ウィンドウで、[有効にする] オプションを選択し、[オプション]セクションのドロップダウン メニューから[常に]を選択します。

今後、他のユーザーはあなたのコンピュータにアプリケーションをダウンロードして保存することはできますが、新しいソフトウェアをあなたのコンピュータにインストールすることはできません。

4. リムーバブルストレージデバイスへのアクセスを無効にする

USB やその他のデバイスなどのポータブル ストレージ デバイスは、データのコピーや保存には非常に便利ですが、ウイルスがコンピュータを攻撃する「経路」の 1 つになる可能性もあります。

ウイルスに感染したストレージ デバイスを誰かが誤って (または意図的に) コンピュータに接続すると、ウイルスがコンピュータ システム全体を攻撃し、コンピュータに重大な問題を引き起こす可能性があります。

他のユーザーがコンピュータ上のリムーバブル ストレージ デバイスに接続できないようにするには、[グループ ポリシー] ウィンドウで次のキーに移動します。

ユーザー構成 => 管理テンプレート => システム > リムーバブル ストレージ アクセス => リムーバブル ディスク: 読み取りアクセスの拒否

ここで「リムーバブル ディスク: 読み取りアクセスの拒否」を見つけてダブルクリックします。

[リムーバブル ディスク: 読み取りアクセスの拒否] ウィンドウで、[有効]をクリックしてオプションを有効にすると、コンピューターは外部ストレージ デバイス (USB ドライブなど) からデータを読み取らなくなります。また、グループ ポリシー ウィンドウには、以下に「リムーバブル ディスク: 書き込みアクセスの拒否」というオプションがあります。誰にも外部ストレージ デバイスにデータを書き込んだくない (貼り付けた)場合は、このオプションを有効にすることができます。

5. 特定のアプリケーションの実行を防止する

さらに、グループ ポリシーを使用すると、ユーザーはアプリケーションのリストを作成して、これらのアプリケーションのアクティビティを防止することもできます。

これを行うには、グループ ポリシー ウィンドウで次のキーに移動します。

ユーザー構成 => 管理用テンプレート => システム => 指定された Windows アプリケーションを実行しない

ここで、「指定された Windows アプリケーションを実行しない」オプションを見つけて開きます。

[指定された Windows アプリケーションを実行しない] ウィンドウで、[有効にする] をクリックしてオプションを有効にし、[表示]をクリックして、ブロックするアプリケーションのリストを作成するプロセスを開始します。

リストを作成するには、アプリケーションをブロックできるように、アプリケーションの実行可能ファイル名に続けて .exe を入力する必要があります ( CCleaner.exe、 CleanMem.exe 、または lol.launcher.exe など)。

アプリケーションの実行可能ファイルの正確な名前を見つける最良の方法は、Windows ファイル エクスプローラーでアプリケーション フォルダーを見つけて、プログラムの実行可能ファイルの正確な名前 (拡張子「.exe」付き) をコピーすることです。

リストに実行可能ファイル名を入力し、「OK」をクリックしてアプリケーションのブロックプロセスを開始します。

さらに、[グループ ポリシー] ウィンドウには、[指定された Windows アプリケーションのみを実行する] オプションもあります。一部の重要なアプリケーションを除くすべての種類のアプリケーションを無効にする場合は、オプションを使用して、ブロックするアプリケーションのリストを作成できます。

6. コマンド プロンプトと Windows レジストリ エディターを無効にする

Windows のコマンド プロンプトを使用すると、コンピュータにコマンドを入力してコマンドを実行し、システムにアクセスできます。ただし、ハッカーはコマンド プロンプト (CMD) コマンドを使用して機密データに違法にアクセスする可能性があります。

コマンド プロンプトと Windows レジストリ エディタはどちらも、Windows コンピュータ上のあらゆるアクティビティ、特に Windows レジストリ エディタを無効にできるツールです。

コンピュータの安全性とセキュリティの問題を確保したい場合は、コマンド プロンプトと Windows レジストリ エディタを無効にする必要があります。

これを行うには、グループ ポリシー ウィンドウで次のパスに移動します。

ユーザー構成 => 管理用テンプレート => システム

ここで、「コマンド プロンプトへのアクセスを防止する」および「レジストリ編集ツールへのアクセスを防止する」というオプションを見つけてダブルクリックします。次に、[コマンド プロンプトへのアクセスを防止する] ウィンドウと [レジストリ編集ツールへのアクセスを防止する] ウィンドウで、[無効にする]をクリックしてこれらのオプションを無効にします。

今後、他のユーザーはコマンド プロンプトとレジストリ エディターにアクセスできなくなります。

7. マイコンピュータからドライブパーティションを非表示にする

コンピュータ上の特定のドライブに機密データが含まれており、他のユーザーがそのデータにアクセスして盗むことを望まない場合は、そのドライブをマイ コンピュータや他のユーザーから非表示にすることができます。他のユーザーはドライブを見つけることができません。

これを行うには、グループ ポリシー ウィンドウで次のパスに移動します。

ユーザーの構成 => 管理用テンプレート => Windows コンポーネント => Windows エクスプローラー => これらの指定されたドライブをマイ コンピューターで非表示にする

ここで、「これらの指定されたドライブをマイ コンピュータに隠す」というオプションを見つけてダブルクリックします。

[マイ コンピュータで指定したドライブを非表示にする] ウィンドウで、[有効にする] をクリックしてオプションを有効にします。

オプションを有効にした後、[オプション]ドロップダウン メニュー から、非表示にするドライブを選択します。最後に[OK]をクリックして、システム上でそのドライブを非表示にします。

8.スタートメニューとタスクバーを調整する

グループ ポリシーを使用すると、希望に応じてスタート メニューとタスク バーに多数の調整を加えることができます。これらの調整は、管理者と通常のユーザーの両方が利用できます。

[スタート] メニューとタスクバーを調整するには、グループ ポリシー エディター ウィンドウで次のパスに移動します。

ユーザー構成 => 管理用テンプレート => スタート メニューとタスクバー

ここでは、すべての調整と説明が表示されます。

微調整は非常に一目瞭然です。さらに、Windows では各調整の詳細な説明も提供します。

[スタート] メニューの電源ボタンの機能の変更、ユーザーがタスクバーにプログラムを固定できないようにする、検索オプションでの検索を制限する、システム トレイ上の通知を非表示にする、アイコンを非表示にするなど、さまざまな操作を実行できます。タスクバーとスタート メニューの設定を変更する、ユーザーが電源オプション (シャットダウン、休止状態など) を使用できないようにする、スタート メニューからファイル名を指定して実行オプションを削除するなどです。

9. 強制再起動を無効にする

一部のオプションを有効にして遅延させることはできますが、保留中の更新がある場合、Windows 10 は最終的にコンピューターを自動的に再起動します。グループ ポリシー項目をアクティブ化すると、制御を取り戻すことができます。

強制再起動を無効にすると、Windows は自分で再起動したときにのみ保留中の更新を適用します。

ここで見つかります:

Computer Configuration > Administrator Templates > Windows Components > Windows Update > No auto-restart with logged on users for scheduled automatic update installations

10. ドライバーの自動更新を無効にする

ドライバーの自動更新を無効にする

Windows 10 では、ユーザーの明示的な許可なしにデバイス ドライバーも更新されることをご存知ですか?多くの場合、これはシステムを可能な限り最新の状態に保つことを目的としているため、非常に役立ちます。

しかし、カスタム ドライバーを実行している場合、または特定のハードウェア コンポーネントの最新ドライバーにシステムのクラッシュを引き起こすバグがある場合はどうなるでしょうか?この場合、ドライバーの自動更新は役立つというよりも有害です。

ドライバーの自動更新を無効にするには、次を有効にします。

Computer Configuration > Administrative Templates > System > Device Installation > Device Installation Restrictions > Prevent installation of devices that match any of these device IDs

アクティベーション後、ドライバーの自動更新を希望しないデバイスにはハードウェア ID を指定する必要があります。これらはデバイス マネージャーから取得できます。これにはいくつかの手順が必要です。

11. バルーンとトースト通知を非表示にする

デスクトップ通知は役に立ちますが、それは何か価値のあるものを提供する場合に限られます。表示される通知のほとんどは読む価値がなく、気が散る場合がほとんどです。

Windows でバルーン通知を無効にするには、この値を有効にします。

User Configuration > Administrative Templates > Start Menu and Taskbar > Turn off all balloon notifications

Windows 8 以降、ほとんどのシステム通知はトースト通知に切り替わりました。したがって、これらも無効にする必要があります。

User Configuration > Administrative Templates > Start Menu and Taskbar > Notifications > Turn off toast notification

これは、気を散らす通知を止める簡単な方法です。

12.OneDriveを削除する

OneDriveは Windows 10 に含まれています。他のアプリケーションと同様にアンインストールできますが、グループ ポリシー エントリを使用して実行を禁止することもできます。

以下を有効にして OneDrive を無効にします。

Computer Configuration > Administrative Templates > Windows Components > OneDrive > Prevent the usage of OneDrive for file storage

これにより、システム上のどこからでも OneDrive にアクセスできなくなります。また、エクスプローラーのサイドバーにある OneDrive ショートカットも削除されます。

13. Windows Defenderをオフにする

Windows Defender は自己管理型であるため、サードパーティのウイルス対策アプリケーションをインストールすると実行が停止します。このツールが何らかの理由で正しく動作しない場合、または完全に無効にしたい場合は、このグループ ポリシー項目を有効にすることができます。

Computer Configuration > Administrative Templates > Windows Components > Windows Defender > Turn off Windows Defender

Windows Defender は簡単に無効にすることができますが、ほとんどの人にとっては十分なセキュリティ ソリューションです。 Windows Defender を削除する場合は、必ず別の信頼できるWindows ウイルス対策プログラムに置き換えてください。

14. ログイン/起動/シャットダウン時にスクリプトを実行する

ログイン/起動/シャットダウン時にスクリプトを実行する

最後のヒントはもう少し高度なので、バッチ ファイルやPowerShellスクリプトの作成に慣れていない限り、おそらくあまり役​​に立ちません。問題がなければ、実際にグループ ポリシーを使用して上記のスクリプトを自動的に実行できます。

起動/シャットダウン スクリプトを設定するには、次の場所にアクセスしてください。

Computer Configuration > Windows Settings > Scripts (Startup/Shutdown)

ログインまたはログアウト スクリプトを設定するには、ここにアクセスしてください。

User Configuration > Windows Settings > Scripts (Logon/Logoff)

これにより、実際のスクリプト ファイルを選択し、それらのスクリプトにパラメータを指定できるため、非常に柔軟になります。各トリガー イベントに複数のスクリプトを割り当てることもできます。

これは、起動時に特定のプログラムを開始することと同じではないことに注意してください。

以下のその他の記事を参照してください。

• Windows 10 コンピューター上の悪意のあるソフトウェア (マルウェア) を完全に削除します

• Windows 10 で仮想タッチパッドをアクティブ化およびカスタマイズする手順

• Windows 10/8/7 で SuperFetch を有効または無効にするにはどうすればよいですか?

幸運を！