これについて Google で検索しましたが、答えが見つかりませんでした。ドメイン ユーザーに、私が作成してファイルを置くネットワーク共有パスからのみバッチ ファイルを実行する権限を与えたいと思います。GPO でこれを行うことは可能ですか?
答え1
Windows 10には、ユーザーがバッチファイル、実行ファイル、アプリを実行するのを制限する2つの異なる技術があります。まず、古いソフトウェア制限ポリシー第二にアプリロッカー
Windows 10 1803以降ではソフトウェア制限ポリシーが非推奨もはや推奨されていないので、私は Applocker だけを使うことにします。
GPO経由でApplockerポリシーを実装し、スクリプト/exe/アプリ/dllを制限または許可することができます。
新しい GPO を作成する必要があります。そのためには、「コンピューターの構成」>「ポリシー」>「Windows の設定」>「セキュリティの設定」>「アプリケーション制御ポリシー」->「Applocker」に移動する必要があります。
執行
まず、「ルールの適用を構成する」必要があります。そこで、「スクリプト ルール」にチェックマークを付け、「ルールの適用」と「監査のみ」のどちらかを選択できます。
ルールの強制は、コンピューターにルールを順守させるために使用されますが、「監査のみ」は、現在のルールが何かの実行をブロックするか許可するかを示す Windows イベントを生成するだけです。ルールを有効にすると重要なことが損なわれるかどうかが明らかになるまで、「監査のみ」を使用することをお勧めします。
ルール
そこには様々なカテゴリーがあります
- 実行可能なルール
- Windows インストーラーのルール
- スクリプトルール
- パッケージアプリのルール
あなたの場合、スクリプトルールを編集する必要があります。これらのルールは、例えばps1またはbatファイルに適用されます(詳細はこちら)
初めてルールセットを編集する場合、Windowsはルールセットを追加するかどうか尋ねてきます。デフォルトのルール通常、これらのルールは何も壊すことはないはずなので、あまり心配せずに追加できます。
Applockerポリシーはデフォルトでフェールクローズされますつまり、通常のユースケースを処理するためのポリシーが定義されていない場合は、それらはブロックされます。
次に、「スクリプト ルール」を右クリックして「新しいルールの作成...」をクリックすると、新しいルールを作成できます。
ルール作成ダイアログは、多かれ少なかれ説明不要です。必要なのは、指定されたパスからスクリプトを実行できるようにする「パス ルール」です。
\\serverと は\\server.fqdn.com異なるパスであることに注意してください
Applockerを有効にする
Applocker を実行するには、いくつかの条件を満たす必要があります。
- GPO 1.1 経由で管理する場合は、Windows 10 Education または Enterprise が必要です。そうでない場合でも、PowerShell 経由で Applocker を管理できます。
- 「アプリケーションIDサービス」を有効にして自動起動する必要があります