Q&A
多分需要無いんじゃないですかね
質問文の通りの要件だったら普通に安く売ってる計算機買って来て渡しますね
お世話になります。
需要のありそうな内容なのでどこかに情報があるはずと、
何時間かググっているのですが見つからず、、、質問させてください。
Windows Server2019を使用しています。
あるユーザーで特定プログラムのみしか実行出来ないようにする方法で迷っています。
ここでいう実行出来ないようにするは、
「グループポリシーによりブロックされています」と表示できればよいのです。
■実行したいファイル
デスクトップに置かれた自作アプリのショートカットのみ
■実行したくないもの
自作アプリ以外のアプリ
エクスプローラやコントロールパネル
スタートメニューも開きたくない(できれば)
など、デスクトップに置かれた自作アプリ以外は何もできないユーザを作成したいです。
■その他
勿論、Adminではすべて実行できることが前提です。
はじめてローカルグループポリシーエディターを触って色々いじってみたのですが、希望している動作に至りません。
よろしければ、アドバイスいただけると助かります。
以上、よろしくお願いいたします。
失礼しました。電卓はあくまで例です。自作アプリのみ実行させたいということです。
訂正しておきます。
詳しくは知らないけどキオスクモードというのがあるらしいですが、コレで対応出来そうですか?
https://4thsight.xyz/8916
WindowsではWindowsサービスのEXEもそうですし、GUIシェルとしてのエクスプローラーも必要なので、通常のデスクトップログオンのアカウントだと単体のEXEだけ動作させるというのは実質不可能だと思います。恐らくやりたいことは業務用端末のように単一のアプリの画面で占有させるようなことだと思いますが、「キオスクモード」で検索してみてください。(Windows Serverでできるかは知りません)
ああ、yoorwmさんのコメントが先でした。失礼しました。
yoorwmさん、ありがとうございます。
dodox86さん、いつもありがとうございます。ご無沙汰しております。
キオスクモード、私もこれだ!と気づいたのですが、Windows serverでは使えなさそうなんですよね。
#アカウント画面に「キオスクモードを設定する」が表示されない。
大変ですが、デスクトップ画面を自力で作ってそのデスクトップ画面上で自作アプリを動かせば同等の機能が実現できるかと思います。スクリーンセーバーはそのように動いています。Windows Serverならではの苦労はやはりあるかも、ですが。
こちらではキオスクモードという名前ではなくて「その他のアカウント->割り当てられたアクセス」というのが出ていますね。試せる環境に無いので有用な情報か分かりませんが
https://www.atmarkit.co.jp/ait/articles/1401/30/news104.html
dodox86さん、
おっしゃるとおりですね。
Windows Serverを初めて使ったのですが、Win10と違うことに戸惑っています。
あと、こちらの説明も悪いですね。実行したくないのではなく、「グループポリシーによりブロックされています」と表示できればよいので、恐らくグループポリシーの設定により実現可能なのではと思っています。
yoorwmさん、はい、「その他のアカウント->割り当てられたアクセス」もないのですよね。
ぐぐってもWindows Server キオスクモードで引っかからないので、なさそうな感じです。
Windows Serverってコンシューマ向けのWin10とかと結構違うんですね。。。びっくりです。
>@sparcさん
なるほど、グループポリシーであればできそうな気がしますね。(私自身はやったことはないのですが)
https://www.atmarkit.co.jp/ait/articles/1506/04/news011.html
dodox86さん、これやってみたんですが、特定アプリの制御だけ。というのは簡単にできるのですが、
特定アプリ以外は設定変更もさせない。というのは思った以上に手間がかかりそうでした。
ファイルだけではなくてデバイス設定とかもエラーにしたいので。
なので、ここを変えれば一発だよ。というのがあるのかな(それがキオスクなのかな)。と思ったのですが、難しそうでです。
ちょっとこの辺、面倒でも改めてチャレンジしてみます。
設定画面になくてもレジストリの設定で、Explorer.exeを別のものに変更するのは可能なはずです。ただしServerでも出来るかどうかは知りません。
otn様
こちらの理解が悪くて申し訳ありませんが、アドバイスいただいた内容が理解できませんでした。
キオスクモードはないと諦めています。
求めているのはホワイトリスト方式で、ポリシーベースの統制はブラックリスト方式ですから、目的に対しては確かに合いませんね。
ファイル/フォルダのアクセス権に「フォルダーのスキャン/ファイルの実行」があります。
これを上手に使うことで、目的を達成できるのではないでしょうか?
アクセス許可の範囲と単位が不明なので、具体的な設計は記載できませんが、グループとアクセス権を上手に使えば実現可能かと思いますよ。
> アドバイスいただいた内容が理解できませんでした。
キオスクモードは、ログインしたときに起動するのをExplorerじゃなくて別のあなたの指定するプログラムに差し替えると言うことです。(少なくともクライアントWindowsOSならキオスクモードという設定画面が出来る前から)それはレジストリ修正で出来ますよ、ということです。
otn様
なるほど、キオスクモードはExplorerを使っていないということですね。てっきりグループポリシーで実現しているのかと思っていました。勉強になりました。ありがとうございました。
シェルが違うのはちょっとハードルが高いので、今回は面倒だけど簡単そうなグループポリシーでどうにかしてみます。ありがとうございました。
Takeda様
アドバイスありがとうございます。確かにACLを組み合わせる必要がありそうです。
というのは、今まで作業していたのですが、グループポリシーを幾ら設定しても所詮、explorerは止めることができません。
explorerを止めることができなければ、ファイル一覧などが見れてしまいます。そこはACLの制御が必要になるかと思います。
ただ、標準ユーザなのでそこまでガードする必要もないかな。というのも感じています。
回答1件
0
自己解決
結論として、Windows ServerでWindows10のキオスクモードのようなものを実行したいというニーズであった。
サーバOSではキオスクモードが用意されていないので、以下で代替とした。
抜けはあると思うが、おおよそ条件通りのものが構築できたと思う。
【満足な点】
・デスクトップで右クリックできない
・スタートメニュー、タスクバーの右クリックできない
・コンパネを開けない
・管理ツール一式を開けない
・ファイル検索が出来ない(エクスプローラの検索機能は除く)
・重要アプリ(cmd、powershellなど)が起動できない
【残念な点】
Windows + X ホットキーをオフにできないため、エクスプローラが実行できてしまう。
【手順】
1. Windows Server2019→2016に変更(2019ではWindowsセキュリティーと検索がスタートメニューから消せなそうだったので諦め)
2. 自作アプリのインストール
3. 非管理者アカウントのスタートメニューに表示されるものを可能な限りコンパネ、エクスプローラから削除
4. 非管理者アカウント用のグループポリシーを作成する
5. 非管理者アカウントのグループポリシーを編集する ※
6. Cortanaを使用できないようにする(https://aprico-media.com/posts/3475 のUninstall_Cortanaを実行)
※グループポリシーで編集する箇所
・ゴミ箱アイコン削除
・コントロールパネルとPC設定へのアクセスを禁止する
・タスクバーのショートカットメニューへのアクセスを削除する
・コマンドプロンプトにアクセスできないようにする
・レジストリ編集ツールへアクセスできないようにする
・ステートメニューからファイル名を指定して実行を削除する
・Windows+Xホットキーをオフにする→設定しても効かない
・ユーザーが作成者モードに入るのを制限する
・タスクマネージャを削除する
・エクスプローラの規定のショートカットメニューを削除する
・ソフトウェアの制限のポリシーで追加規則で以下を設定する
・mmc.exe
・iexplore.exe
・powershell.exe
アドバイスいただいた、hentaimanさん、yoorwmさん、dodox86さん、otnさん、Takedaさん
とりあえずこれでfixとすることにしまいた。ありがとうございました。
投稿2020/08/06 06:58
総合スコア19
あなたの回答
tips
プレビュー
