外部利用のWindowsモバイルPCへのグループポリシー設定(ワークグループ編)

お仕事系 お役立ち

またまた、ややこしい運用と設定をしなければぁーー。

どうしてこうも面倒なルールばかり。。。

ま、これもお仕事なので。。。しょうがないでかぁ。

で、

今回以下の条件でのPCを運用できないか?の相談がった。

営業部全員に持出用PCを貸与して業務効率を図る。

背景:これまで、デモ用のPcを3台あり、それを予約性でみんな使っていた。

   かなり頻繁に使われるので、上記条件にて個人に1台貸与してしまう。

尚、前提(というかルール)ですが、

  • Pcは原則ローカルにデータを保存してはならない。
  • 全てリモートデスクトップで業務を行う。
  • 出張、デモ用PCとしての利用でメインではない。

いろいろとルールがあって面倒です。

さらに環境に問題があり、営業部は訳あって、他社で勤務していることから、通常そのPCを管理することはできない。社内のドメインを利用することもできないということになります。そうです、ワークグループで。。。

以下の方法で運用

  1. 日常は管理者権限以外でのユーザーを利用
    部門長に管理者ユーザを連絡しいざというときの対応
  2. ある程度のポリシーは全台に登録
    アカウント、セキュリティポリシー
  3. グローバルで管理できるアンチウィルスソフト
    外部インターフェースの接続の制御
  4. リモート消去ツール(一応念のため)

まず、PC

ちなみに、PcはSimカードを直接指せるタイプを購入しました。数は限られていましたが、やっぱりデモが主体となると、HDMIVGA端子が直接指せること。これまで、Suface3を使ってましたが、パーツを持ち歩くのも面倒だし、抜き差しが結局故障になるので。で、以下2メーカ。VAIOか、Panasonic。迷いましたねこれは。結局VAIO13インチタイプとなりました。もちろん現場の意見も聞いての話。結局は画面サイズでいした。重要はほぼ1KG。リモートデスクトップ主体なので、少し大きいほうがいいと。途中まで、Panaでもと思ったのですが、画面がワイドじゃないんですよね。それで、Romとかもいらないのですが、Panaは本体が装着できる仕様なので、軽いけど、分厚いんですよね。

ポリシー適用

問題は、ポリシー設定。。えー、ワークグループだし、全部手入力。。いやいや。

以下はマスターつくり、その設定をコピーもしくはインポートします。

  • ポリシー2つ。
    調べたら、グループポリシーのセキュリティ設定(ローカル)といわゆる管理者テンプレート群のポリシーって別なんだってことを知りました。
    マスターのPCを作って、USBに落とし、他のPCで設定していきます。
  • セキュリティの設定
    セキュリティの設定(アカウント関連が多い)が終わったら、管理者権限で以下のコマンドでエクスポート
    secedit /export /areas SECURITYPOLICY /cfg (ファイル名)
    以下のコマンドでインポート、適用となります
    secedit /configure /db secedit.sdb /areas SECURITYPOLICY /cfg (ファイル名)
  • 管理者テンプレートの設定
    マスターPCの処理が終わったら、
    C:\Windows\System32\GroupPolicy
    以下のファイルをコピーします。尚、新しいPCには何も保存されていないはずです。

グローバルで管理できるアンチウィルスソフト

会社で利用中もウィルスソフトがグローバルで管理(ポリシーとか定義とか)されているのであれば、それを使えばいいかと。いろいろとありますからね。USBとかSDカードの利用制御はこれにやってもらいましょう。一時的にも解除できるので。

 リモート消去ツール

高いのかなーと調べたら、、、意外にそうでもないし、なんかいろいろと機能がありますね。それでもいろいろと製品ありますが、今回選定したのは、以下。

www.onebe.co.jpTrustDeleteというソフトです。念のため、評価版を借りて実験も。以外に長い期間使わせて頂けました。VAIOには、ディスクを消去できる限定機能もありました。ちなみに、以下のようなことができます。。

  • リモートロック
  • リモート消去(フォルダ指定とかデスクトップとか、Vaioはディスク全部)
  • 不可視機能
    通信(認証ができないと)が途絶えると、デストップ等の保存データが消える。
  • 時限爆弾
    通信(認証ができないと)が途絶えると、データ削除(こわ)
  • 位置情報確認

テストのときですが、間違って、リモート証拠(ディスクワイプ)したら、本当にそうなり、、びっくりしました。インストールし直しで復旧しましたが、焦りました。
よくできてるなーと思ったのは不可視機能。飛行機とか通信できなくなる場合には、ローカル上でパスワードを入力することで、昨日をオフにすることが可能。
もし、盗難・紛失の可能性がある場合には、不可視機能とリモートロックで最強ですよね。もちろん、時限爆弾仕掛けるのもいいのですが、ちょっと、これは運用上怖い。

もし、何かあった場合でも営業部として利用するならば、営業部用のグループとアカウントを発行できるので、アクションを移譲できます。結構良いと思いました。

価格は。。。カタログ上1年で6000円、複数年もあるし。それほど高くはないかと。

おまけ

複数台設定するとき、windowsのタイルやアプリ(不要なアプリいらない)は以下のように。

  • タイル
    マスターPCでタイルを構成したら、
    C:\Users\ユーザ\AppData\Local\Microsoft\Windows\Shell\LayoutModification.xml
    を、
    C:\Users\Default\AppData\Local\Microsoft\Windows\Shell
    へコピー。
    次の初めて作成されるプロファイルから統一となります。
  • ストアアプリ
    以前の記事

    の、3.Windowsストアアプリ削除 が基本ですが、実行がタスクで動かないので、ローカルのスタートアップに登録することにしました。

おまけ2

おまけというか、SIMですが、どこのビジネスSimがいいかなぁと。個人だと安いのに、ビジネスだと高い。。。なんで?思っていましたが、、げ、ここ安いかも。
特にデータのみなら、本当に安いかも。。。グループシェア、管理あるし、翌月繰り越し。。。

nifmo.nifty.comここにしようかな。