外部利用のWindowsモバイルPCへのグループポリシー設定(ワークグループ編)
またまた、ややこしい運用と設定をしなければぁーー。
どうしてこうも面倒なルールばかり。。。
ま、これもお仕事なので。。。しょうがないでかぁ。
で、
今回以下の条件でのPCを運用できないか?の相談がった。
営業部全員に持出用PCを貸与して業務効率を図る。
背景:これまで、デモ用のPcを3台あり、それを予約性でみんな使っていた。
かなり頻繁に使われるので、上記条件にて個人に1台貸与してしまう。
尚、前提(というかルール)ですが、
- Pcは原則ローカルにデータを保存してはならない。
- 全てリモートデスクトップで業務を行う。
- 出張、デモ用PCとしての利用でメインではない。
いろいろとルールがあって面倒です。
さらに環境に問題があり、営業部は訳あって、他社で勤務していることから、通常そのPCを管理することはできない。社内のドメインを利用することもできないということになります。そうです、ワークグループで。。。
以下の方法で運用
- 日常は管理者権限以外でのユーザーを利用
部門長に管理者ユーザを連絡しいざというときの対応 - ある程度のポリシーは全台に登録
アカウント、セキュリティポリシー - グローバルで管理できるアンチウィルスソフト
外部インターフェースの接続の制御 - リモート消去ツール(一応念のため)
まず、PC
ちなみに、PcはSimカードを直接指せるタイプを購入しました。数は限られていましたが、やっぱりデモが主体となると、HDMIかVGA端子が直接指せること。これまで、Suface3を使ってましたが、パーツを持ち歩くのも面倒だし、抜き差しが結局故障になるので。で、以下2メーカ。VAIOか、Panasonic。迷いましたねこれは。結局VAIO13インチタイプとなりました。もちろん現場の意見も聞いての話。結局は画面サイズでいした。重要はほぼ1KG。リモートデスクトップ主体なので、少し大きいほうがいいと。途中まで、Panaでもと思ったのですが、画面がワイドじゃないんですよね。それで、Romとかもいらないのですが、Panaは本体が装着できる仕様なので、軽いけど、分厚いんですよね。
ポリシー適用
問題は、ポリシー設定。。えー、ワークグループだし、全部手入力。。いやいや。
以下はマスターつくり、その設定をコピーもしくはインポートします。
- ポリシー2つ。
調べたら、グループポリシーのセキュリティ設定(ローカル)といわゆる管理者テンプレート群のポリシーって別なんだってことを知りました。
マスターのPCを作って、USBに落とし、他のPCで設定していきます。 - セキュリティの設定
セキュリティの設定(アカウント関連が多い)が終わったら、管理者権限で以下のコマンドでエクスポート
secedit /export /areas SECURITYPOLICY /cfg (ファイル名)
以下のコマンドでインポート、適用となります
secedit /configure /db secedit.sdb /areas SECURITYPOLICY /cfg (ファイル名) - 管理者テンプレートの設定
マスターPCの処理が終わったら、
C:\Windows\System32\GroupPolicy
以下のファイルをコピーします。尚、新しいPCには何も保存されていないはずです。
グローバルで管理できるアンチウィルスソフト
会社で利用中もウィルスソフトがグローバルで管理(ポリシーとか定義とか)されているのであれば、それを使えばいいかと。いろいろとありますからね。USBとかSDカードの利用制御はこれにやってもらいましょう。一時的にも解除できるので。
リモート消去ツール
高いのかなーと調べたら、、、意外にそうでもないし、なんかいろいろと機能がありますね。それでもいろいろと製品ありますが、今回選定したのは、以下。
www.onebe.co.jpTrustDeleteというソフトです。念のため、評価版を借りて実験も。以外に長い期間使わせて頂けました。VAIOには、ディスクを消去できる限定機能もありました。ちなみに、以下のようなことができます。。
- リモートロック
- リモート消去(フォルダ指定とかデスクトップとか、Vaioはディスク全部)
- 不可視機能
通信(認証ができないと)が途絶えると、デストップ等の保存データが消える。 - 時限爆弾
通信(認証ができないと)が途絶えると、データ削除(こわ) - 位置情報確認
テストのときですが、間違って、リモート証拠(ディスクワイプ)したら、本当にそうなり、、びっくりしました。インストールし直しで復旧しましたが、焦りました。
よくできてるなーと思ったのは不可視機能。飛行機とか通信できなくなる場合には、ローカル上でパスワードを入力することで、昨日をオフにすることが可能。
もし、盗難・紛失の可能性がある場合には、不可視機能とリモートロックで最強ですよね。もちろん、時限爆弾仕掛けるのもいいのですが、ちょっと、これは運用上怖い。
もし、何かあった場合でも営業部として利用するならば、営業部用のグループとアカウントを発行できるので、アクションを移譲できます。結構良いと思いました。
価格は。。。カタログ上1年で6000円、複数年もあるし。それほど高くはないかと。
おまけ
複数台設定するとき、windowsのタイルやアプリ(不要なアプリいらない)は以下のように。
- タイル
マスターPCでタイルを構成したら、
C:\Users\ユーザ\AppData\Local\Microsoft\Windows\Shell\LayoutModification.xml
を、
C:\Users\Default\AppData\Local\Microsoft\Windows\Shell
へコピー。
次の初めて作成されるプロファイルから統一となります。 - ストアアプリ
以前の記事
の、3.Windowsストアアプリ削除 が基本ですが、実行がタスクで動かないので、ローカルのスタートアップに登録することにしました。
おまけ2
おまけというか、SIMですが、どこのビジネスSimがいいかなぁと。個人だと安いのに、ビジネスだと高い。。。なんで?思っていましたが、、げ、ここ安いかも。
特にデータのみなら、本当に安いかも。。。グループシェア、管理あるし、翌月繰り越し。。。
nifmo.nifty.comここにしようかな。