web-dev-qa-db-ja.com

Windows Home Editionのユーザーに対して、(グループポリシーではなく)レジストリを介して「デバイスのインストール制限」を制御する方法はありますか?

特定のハードウェアID(以下を参照)のデバイスインストールを防止するためにグループポリシーの制限がありますが、グループポリシーはWindows Pro/Ultimateエディションでのみ使用でき、Windows Homeでは使用できません。私はサードパーティのソリューション(ここにあるものなど)を介してWindows Homeにグループポリシーを追加することを検討しましたが、これは完全な最新バージョンのグループポリシーではなく、「デバイスのインストール制限」のオプションがありません。 。また、クライアントのマシンにサードパーティのグループポリシーソリューションを導入することにも少し抵抗があります。

グループポリシーの場所:(コンピューターの構成->管理用テンプレート->システム->デバイスのインストール->デバイスのインストールの制限->これらのデバイスIDのいずれかに一致するデバイスのインストールを禁止)

レジストリを介して同じ機能を実現することを検討したところ、グループポリシーを介してこれを制御するために使用されるレジストリキーの少なくとも一部を見つけたようですが、手動で編集すると、正しく機能しません。この一部は、「グループポリシーオブジェクト」の下のレジストリに作成されたGUIDに関係している可能性があります(以下の図を参照)。レジストリを介してグループポリシーオブジェクトを作成し、永続化することに慣れている人はいますか?

            Registry Location shown below: HKCU -> Software -> Microsoft -> Windows -> CurrentVersion -> Group Policy Objects

標準の「グループポリシーデバイスのインストール制限」の影響を受けるキーは次のとおりです。

デバイスのインストール制限:HKCU->ソフトウェア-> Microsoft-> Windows-> CurrentVersion->グループポリシーオブジェクト-> GUID(これがどのように生成されるか不明))->ソフトウェア->ポリシー-> Microsoft -> Windows-> DeviceInstall->制限事項-> DenyDeviceIDs

[Example](https://drive.google.com/open?id=0B1e6MVnnsu5gdTZlaGR2amdyM0VaUXRtNTZrc1AxdmtxNENV)

[〜#〜]編集[〜#〜]

以下でポイントしたregキーは、実際にこのグループポリシーオブジェクトのセットを制御します。大きな助け、ありがとう!

興味深いことに、2つの同一のSurface Pro 4タブレットで適切なレジストリキーを構成すると、公式のグループポリシーUI(gpedit)を使用して以前に「デバイスインストール制限」を構成した1台のマシンで「デバイスインストール制限」を制御できます。レジストリから参照したこれらのキーを設定して再起動(またはコマンドプロンプトからgpupdate.exe/forceを実行)すると、特定のデバイスが有効または無効になります。

グループポリシーUI(gpedit)でグループポリシーを設定したことがない別のSurface Pro 4で同じキーのセットを構成すると、再起動またはgpupdate.exe/forceを実行した後でも、このタブレットにはregの変更がライブで反映されません。他の何かがこれを制御しているように思われますか?どちらもWindows Proなので、適切なグループポリシーコンポーネントはすべてこのマシンに存在する必要があります。

ここに何かアイデアはありますか?ここで何かを制御する可能性のある別のレジストリ設定があるようです?

5
Dirk

私の知る限り、Group Policy Objectsブランチは、アクティブなGPOのキャッシュにすぎません。 Windowsは実際にこのレジストリの場所でコンピュータポリシー設定を確認します。

HKLM\SOFTWARE\Policies

これらのデバイスID設定のいずれかに一致するデバイスのインストールを防止するために、グループポリシーは次のキーを使用します。

HKLM\Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions

ポリシーが有効な場合、DenyDeviceIDs DWORDは1に設定されます。 DenyDeviceIDsRetroactive DWORDはに対応しますすでにインストールされている一致するデバイスにも適用されますチェックボックス:1はチェック済み、0はインストールされていません。

制限されたエントリは、Restrictionsという名前のDenyDeviceIDsのサブキーに保持されます。そのキーの1つの値は1つの制限です。各値の名前は、データと同じである必要があります。

ヒント:この情報は、自分のオープンソースアプリケーション Policy Plus のElement Inspectorツールを使用して見つけました。

変更を有効にするには、再起動する必要があります。

すべてのレジストリ設定を正確に設定しても、Homeエディションがそれらを尊重しない可能性があることに注意してください。ほとんどのグループポリシー設定はすべてのエディションで問題なく機能しますが、機能しないものもあります。それらを使用するコンポーネントがホームにない場合があります。これらの設定が機能しない場合は、Proにアップグレードする必要があります。

6
Ben N