Windows 11で特定のユーザーにローカルグループポリシーを適用する
PC1台を複数のユーザーが共有する場合に、その権限を割り当てて特定のユーザーアカウントまたはグループにのみ、特定の動作が行われるように設定する必要がある場合があります。しかし、複数のユーザーが1台のPCを共有する場合は、下手にPC操作を行うのは難しい環境です。Windows 11で特定のユーザーにローカルグループポリシーを適用する
通常Windows設定アプリでの操作はPC全体に影響を与えたり、詳細な設定ができないのが多くあります。それでその代わりに、コントロールパネルや(ローカル)グループポリシー、レジストリエディタがもっと詳細なPC動作をアシストしてくれます。
グループポリシーエディター(gpedit.msc)は、すべてのコンピューター構成とユーザー構成設定を介して単一のユーザーインターフェイスを提供するMicrosoft管理コンソール(MMC)スナップインです。
これを使ってローカルグループポリシーオブジェクト(LGPO)を管理できます。ローカルグループポリシーエディターは、Windows 10 Pro、Enterprise、およびEducation エディションでのみ使用できます。
このチュートリアルでは、 Windows 11で特定のローカルユーザーにのみグループポリシー設定を適用する、ユーザー個別のローカルグループポリシーMSC(Microsoft Saved Console)を作成する方法を紹介します。ちなみにユーザー固有のローカルグループポリシーを適用するには、管理者としてサインインする必要があります。
▼ まずMicrosoft管理コンソールを開きます。以下のように、キーを押し、ファイル名を指定して実行を開きます。テキストボックスに1mmcと入力し、2ボタンをクリックします。
▼ Microsoft管理コンソールの実行を許可するかについてのユーザーアカウント制御(UAC)プロンプト画面が表示されます。1ボタンをクリックします。
▼ 管理者のみ、または特定のユーザーのみに適用されるローカルグループポリシーを構成するには、まず特定のユーザー専用のコンソールを作成します。1ファイル > 2スナップインの追加と削除をクリック/タップします。
▼ 《スナップインの追加と削除》画面が表示されます。左側のウィンドウで《利用できるスナップイン》の項目から1グループポリシーオブジェクトエディターを選択して中央の2ボタンをクリックします。
▼ 《グループポリシーオブジェクトの選択》のウィザード画面が表示されます。中央にある1ボタンをクリックします。
▼ 《グループポリシーオブジェクトの参照》画面が表示されます。1ユーザータブを選択し、その下にあるユーザーまたはグループから2ポリシーを適用させたいユーザーもしくはグループを選択して3ボタンをクリックします。ここでは標準ユーザーである《25hours》を選択しました。
▼ 《グループポリシーオブジェクトの選択》画面に戻り、上記で選択した1特定のユーザーのグループポリシーが準備出来ました。2ボタンをクリックします。
▼ 《スナップインの追加と削除》画面に戻り、右側の《選択されたスナップイン》に1《ローカルコンピューター¥ユーザーポリシー》という項目が追加されています。2ボタンをクリックします。
▼ これで非管理者に適用されたローカルグループポリシーのコンソールが作成されました。これを保存しておきます。1ファイル > 2名前を付けて保存をクリック/タップします。
▼ ここでは1デスクトップに保存します。2ファイル名を決めたら、3ボタンをクリックします。これで特定のユーザーにのみ適用されるローカルグループポリシーの準備が出来ました。
▼ デスクトップにユーザーの1Microsoft管理コンソールファイル(.msc)が保存されました。必要な時にいつでもこのファイルをダブルクリックして内容を修正することができます。
▼ 上記で保存した時点で、特定ユーザーのローカルグループポリシーオブジェクト(LGPO)は隠しフォルダであるC:\Windows\System32\GroupPolicyUsersに保存されます。
▼ ここからは上記で指定した特定のユーザーにのみローカルグループポリシーを適用してみます。ちなみに、多数のローカルグループポリシーを設定した場合、または設定が重なっ場合、ポリシー適用の優先順位は以下となります。特定のユーザーに適用されたポリシーがもっとも優先されます。
デスクトップに保存しておいたMicrosoft管理コンソールファイル(.msc)をダブルクリックして起動します。
▼ ここでは特定のユーザーにのみリムーバブルディスクのアクセスを制限するポリシー設定を行います。以下のフォルダーまでに展開します。
ユーザーの構成 > 管理テンプレート > システム > リムーバブル記憶域へのアクセス
▼ 右側のウィンドウの詳細項目から、1すべてのリムーバブル記憶域クラス:すべてのアクセスを拒否項目をダブルクリックします。
▼ 1有効を選択し、2またはボタンをクリックするだけで設定完了します。
▼ ここでローカルグループポリシーを閉じたときに表示される、以下のダイヤログボックスにて1ボタンをクリックしても上記の設定は有効になっています。
| Windowsではデフォルトで、PCに接続するUSBやSDカード、外付けハードドライブのようなリムーバブルストレージデバイスへの読み取りおよび書き込みのアクセスが許可されています。反対に、PC上のすべてのリムーバブルストレージドライブへのアクセスを制限することも... Windows 11 リムーバブルストレージデバイスへのアクセスを拒否する - Billionwallet |
特定ユーザーの個別設定を反映させるために、サインアウトではなくPCを再起動します。今度は上記でポリシー設定を適用したユーザーアカウント《25hours》にログインします。
▼ 結果、1リムーバブルデバイスにアクセスすると2アクセスができません、アクセスが拒否されましたと警告メッセージが表示されます。
ここからは上記で設定したユーザー《25hours》のポリシー設定を解除及び削除してみます。手順としては、まず特定のユーザーに適用されたポリシーを解除し元の状態に戻した後に、そのユーザーのMicrosoft管理コンソールファイル(.msc)ファイルとポリシー設定を完全に削除します。
▼ 上記で設定したポリシー設定を解除します。ここではデスクトップに保存したユーザー《25hours》の1Microsoft管理コンソールファイル(.msc)をダブルクリックして起動します。
▼ 1すべてのリムーバブル記憶域クラス:すべてのアクセスを拒否項目をダブルクリックします。
▼ 今度は1未構成を選択し、2またはボタンをクリックします。
ポリシー設定を閉じます。この設定を反映させるためには、単純にサインアウト後サインインだけでは効きません。完全にPCを再起動する必要があります。
▼ 再びユーザーアカウント《25hours》にログインしてみますと、正常に1リムーバブルディスクにアクセスできるのがわかります。
▼ ユーザーアカウント《25hours》のポリシー設定コンソールファイルが不要となった場合は、以下のように1mscファイルをマウス右クリックし、2削除をクリックします。
▼ Microsoft管理コンソールを開きます。以下のように、キーを押し、ファイル名を指定して実行を開きます。テキストボックスに1mmcと入力し、2ボタンをクリックします。
▼ Microsoft管理コンソールの実行を許可するかについてのユーザーアカウント制御(UAC)プロンプト画面が表示されます。1ボタンをクリックします。
▼ 最後に、グループポリシーオブジェクト(LGPO)を削除します。1ファイル > 2スナップインの追加と削除をクリック/タップします。
▼ 《スナップインの追加と削除》画面が表示されます。左側のウィンドウで《利用できるスナップイン》の項目から1グループポリシーオブジェクトエディターをダブルクリックします。
▼ 《グループポリシーオブジェクトの選択》画面が表示されます。中央にある1ボタンをクリックします。
▼ 《グループポリシーオブジェクトの参照》画面が表示されます。現在ポリシー設定がで起用されているユーザーである1《25hours》が、グループポリシーオブジェクトの存在が《はい》となっています。
ユーザーアカウントをマウス右クリックし、2グループポリシーオブジェクトの削除を選択します。3ボタンをクリックします。
▼ これでグループポリシーオブジェクトの存在が1《いいえ》に変わりました。2ボタンをクリックします。
▼ 《グループポリシーオブジェクトの選択》画面に戻り、1ボタンをクリックします。
▼ 《選択されたスナップイン》にて1《ユーザーポリシー》を選択し、2ボタンをクリックします。削除を確認後に、3ボタンをクリックします。
これで特定ユーザーに適用されたローカルグループポリシー設定はすべて解除及び削除されました。