とにかく、GPOを介してHyper-V管理者スナップインへのアクセスを制限しますか?
Windows 10Proクライアントを備えたWindowsServer 2012R2ドメイン。
GPO下で
User Configuration -> Policies -> Administrative Templates -> Windows Components -> Microsoft Management Console -> Restricted/Permitted snap-ins
完璧な場所のように見えますが、そうではありません
とにかく手動で追加できますか?
管理用テンプレートファイル"C:\Windows\PolicyDefinitions\MMCSnapins.admx"を編集して、そのGPOセクションでいずれかの設定を有効にすると、何が変更されるかを確認できます。スナップのIDを使用していることがわかります。 -inおよび値Restrict_Runと値1。
- 「mmcスナップインレジストリの場所」のGoogle
- Regeditを開き、HKEY_LOCAL_MACHINE\Software\Microsoft\MMC\Snapinsに移動します
- Hyper-V管理ツールをインストールし、この場所で新しいスナップインのIDを確認します
- スナップインがすでにインストールされている場合は、キーを参照して、関連するスナップインとそのIDを見つけるだけです。
スナップインのIDがわかったので、GPOで使用する必要があります。これを行う方法はいくつかあります。
以前に使用した管理用テンプレートファイル("C:\Windows\PolicyDefinitions\MMCSnapins.admx")を編集して、Hyper-VスナップインのIDを含む新しいポリシーセクションを追加するか、またはadmxファイルを使用して、それを変更したときにレジストリで変更された内容を確認できます。ポリシー設定をグループ化し、GPプリファレンスを使用して正しい設定を展開します。
代わりに、gpedit.mscを使用して設定の1つを変更し、メモ帳で"C:\Windows\System32\GroupPolicy\User\Registry.pol"を開いて変更内容を確認し、regeditを開いて、スナップインのIDと値を含む新しいキーを追加しました。
それが機能するかどうかをテストした後、GPプリファレンスを使用してエクスポートおよびデプロイできます。
SOFTWARE\Policies\Microsoft\MMC\FX:{922180d7-b74e-45f6-8c74-4b560cc100a5}
"Restrict_Run"=dword:00000001