背景:私は、Windows 7 x64 Enterprise を使用する 10 台のコンピューターからなる小規模なコンピューター ラボを運営しています。ユーザーは制限付きユーザーとして設定されています。追加の制限として、Microsoft 管理コンソールを使用して、管理者以外のユーザー向けにローカル グループ ポリシーを設定しました。
問題:最近、これらの制限の一部が削除されたことがわかりました。MMC と ntuser.pol の設定を確認すると、設定はまだ有効であることがわかりました。ただし、関連するレジストリ設定が ntuser.dat にありませんでした。GPO ではすでにレジストリ編集を無効にしています (ただし、サイレント モードではありません)。
質問:この状況に対処する最善の方法は何でしょうか? レジストリ設定の変更を防止することを検討すべきでしょうか? そもそもこれらのキーがどのように変更されているかを調べるためにレジストリ監査を設定するべきでしょうか? それともあきらめて、レジストリ値が変更された場合にそれを強制する何らかのログオン スクリプトを作成するべきでしょうか? 他に何かアイデアはありますか?
答え1
わかりました。問題は、gpedit で変更を加えたものの、その変更がレジストリに反映されていないということですね。ポリシー エディターで変更を加えた直後に、レジストリに反映されているかどうかを確認しましたか?
レジストリ エントリを監査して、誰が/何が変更しているかを調べることをお勧めします。ご検討のとおり、変更を行っているのは他の何か (システム プロセスなど) である可能性があり、ユーザー グループに制限を設定しても効果はないため、変更を阻止するのがはるかに簡単になります。
設定するにはグループ ポリシー エディター、しかし、私は権限ダイアログダイアログを簡単にする:
