備忘録をかねて、Windows XP の各種制限の設定方法を紹介してみます(復元ポイント関連など一部を除けば、Windws 2000でも使えます)。
後半の「ドライバ関連」は、制限というよりもコンテクストの邪魔モノを排除する方法です。
見てもらえると分かりますが、レジストリキーによる設定がほとんどです。
試してみる場合は、念のため該当キーのバックアップをとってからお願いします。
===============================
HKEY_CURRENT_USER(=各ユーザー毎)
制限事項ピックアップ
スタートメニューの項目を制限する
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWOR値名=[下記参照] 0=消さない 1=消す
|
ドライブアイコンを制限する
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWORD値名= [NoDrives]
n番目のドライブ削除数値=2^(n-1)
n番目と(n+1)番目のドライブ削除数値 = 2^(n-1) + 2^n
|
マイコンピュータの共有ドキュメントを消す
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWORD値名=[NoSharedDocuments] 0=消さない 1=消す
デスクトップの使用を禁止する
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWORD値名=[NoDesktop] 0=禁止しない 1=禁止する
画面のプロパティを制限する
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DWORD値名=[NoDispCPL] 0=禁止しない 1=禁止する
タスクバーを強制固する
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWORD値名=[LockTaskbar] 0=固定しない 1=固定する
タスクバー内のツールバーを削除する
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWORD値名=[NoToolbarsOnTaskbar] 0=削除しない 1=削除する
通知領域のアイコンを消す
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWORD値名=[NoTrayItemsDisplay] 0=消さない 1=消す
タスクバーとスタートメニューのプロパティを使用禁止にする
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWORD値名=[NoSetTaskbar] 0=禁止しない 1=禁止する
光学メディアへの書き込みを禁止する
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWORD値名=[NoCDBurning] 0=禁止しない 1=禁止する
レジストリエディタを使用を禁止する
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DWORD値名=[DisableRegistryTools] 0=禁止しない 1=禁止する
タスクマネージャを使用禁止にする
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DWORD値名=[DisableTaskMgr] 0=禁止しない 1=禁止する
プログラムの追加と削除を禁止する
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall
DWORD値名=[NoAddRemovePrograms] 0=禁止しない 1=禁止する
フォルダオプションの使用を禁止する
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWORD値名=[NoFolderOptions] 0=禁止しない 1=禁止する
コントロールパネルの使用を禁止する
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWORD値名=[NoControlPanel] 0=禁止しない 1=禁止する
特定項目のプロパティを表示しない
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWORD値名=[下記参照] 0=表示する 1=表示しない
|
特定の実行ファイル以外の起動を禁止する
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWORD値名=[RestrictRun] 0=禁止しない 1=禁止する
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
\RestrictRun
文字列値名=[数値] データ=実行ファイル名(パスの記載は不要)
|
Windowsセキュリティの項目を禁止する
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DWORD値=[下記参照] 0=禁止しない 1=禁止する
|
最近使ったファイルの履歴情報を作成しない
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWORD値名=[NoRecentDocsHistory] 0=作成する 1=作成しない
右クリックからの「他のアカウントで実行」を削除
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWORD値名=[HideRunAsVerb] 0=無効 1=有効
ようこそ画面に未読メールの情報を表示させない
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\UnreadMail
DWORD値名=[MessageExpiryDays] 0=表示しない 3=表示する
===============================
HKEY_LOCAL_MACHINE (=全アカウント共通)
制限事項ピックアップ
ログオン情報をキャッシュしない
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
文字列値名=[CachedLogonsCount] 10=デフォルト値 0=キャッシュしない 50=最大
管理共有の解除
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
DWORD値名=[AutoShareWks] 0=管理共有OFF 1=管理共有ON
ようこそ画面に出現させるアカウントのコントロール
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList
DWORD値名=[アカウント名] 1=出現 0=非出現
復元ポイントのコントロール
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
RPGlobalInterval = 作成サイクル
RPLifeInterval = 復元ポイント生き残り時間
バックグラウンドで走るオートデフラグを停止する
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\OptimalLayout
DWORD値名 = [EnableAutoLayout] 1=自動デフラグON 0=自動デフラグOFF
===============================
グループポリシーエディタ
制限事項ピックアップ
マイコンピュータ右クリック管理項目の削除
ユーザー構成 -> 管理テンプレート -> windowsコンポーネント -> エクスプローラー -> 管理項目の非表示
セキュリティタブの削除
ユーザー構成 -> 管理テンプレート -> windowsコンポーネント -> エクスプローラー -> セキュリティタブの削除
ハードウェアタブの削除
ユーザー構成 -> 管理テンプレート -> windowsコンポーネント -> エクスプローラー -> ハードウェアタブの削除
ネットワーク上の近くのコンピュータを表示しない
ユーザー構成 -> 管理テンプレート -> windowsコンポーネント -> エクスプローラー -> 近くのコンピューターを表示しない
ネットワーク上のネットワーク全体を表示しない
ユーザー構成 -> 管理テンプレート -> windowsコンポーネント -> エクスプローラー -> ネットワーク全体を表示しない
最後にログオンしたアカウント名を表示しない
ローカルポリシー -> セキュリティオプション -> 最後のユーザー名を表示しない
共通ダイアログのショートカットバーを非表示にする(「開く」などの左側エリア)
ユーザー構成 -> 管理テンプレート -> Windowsコンポーネント -> エクスプローラ -> 共通オープンファイルダイアログのショートカットバーを非表示にする
別の資格情報を要求しない(新しいデバイスが見つかったときなどに別アカウントの資格を要求しない)
ユーザー構成 -> 管理テンプレート -> Windowsコンポーネント -> エクスプローラ -> 別の視覚情報を要求しない
===============================
その他の設定項目
runas系操作のサービスを完全に停止
services.msc -> Secondry Logon serviceを停止し無効に設定
ヘルプとサポートの完全停止
services.msc -> Help and Support serviceを停止し無効に設定
各アカウントのプロファイルディレクトリを他アカウントからアクセス拒否設定へ
プロファイルディレクトリルートのパーミッションを適切に設定
特定ユーザーのMicrosoftManagementConsolへのアクセス拒否設定
%systemroot%\system32\mmc.exeのパーミッションを適切に設定
ファイアウォール関連
使用環境に合わせて無効化したりサードパーティ製のファイアウォールを使ったりする
===============================
ドライバ関連特殊項目
Intelグラフィックドライバインストール時の右クリックコンテキストメニュー削除
下記レジストリキーを削除
HKEY_CLASSES_ROOT\Directory\Background\shellex\ContextMenuHandlers\igfxcui
(参考)
http://support.intel.co.jp/jp/support/graphics/sb/CS-003927.htm
ATI "Catalyst Control Center"インストール時のエクスプローラメニュー削除
下記レジストリキーを削除
HKEY_CLASSES_ROOT\Directory\Background\shellex\ContextMenuHandlers\ACE
時間がないくせにやりたことが山積みです。