Hebikuzure's Tech Memo

2009年7月23日

グループ ポリシーによるコンテンツ アドバイザーの設定が期待通りに反映されない

Filed under: Internet Explorer — hebikuzure @ 1:43 PM

Internet Explorer のコンテンツ アドバイザーの機能は、コンピュータ単位で設定される。そもそもコンテンツ アドバイザーの機能は管理者ユーザー (例えば親) が、他のユーザー (例えば子供) の閲覧できるサイトを制限するといった目的で搭載されている機能なので、ユーザー単位ではなくコンピュータ単位での設定となるのは理にかなっている。コンテンツ アドバイザーの設定が保持されるレジストリ キーは以下となる。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

コンテンツ アドバイザーの設定は個別にユーザー インターフェイスで設定するのが一般的だが、以下のグループ ポリシーで構成する事もできる。

- グループ ポリシー オブジェクト
    - ユーザーの構成
        - Windows の設定
            - Internet Explorer のメンテナンス
                - セキュリティ
                    - セキュリティ ゾーンおよびコンテンツの既定 

このポリシーは [ユーザーの構成] に含まれているが、上記のようにコンテンツ アドバイザーの設定はコンピュータ単位なので、他のユーザーの構成の項目と異なり、期待通りに適用されない場合がある。

まずポリシーの対象となるユーザーがログオンするコンピュータへの管理者権限が無く HKEY_LOCAL_MACHINE に書き込みできない場合、ポリシーの設定は無視され既にそのコンピュータで構成されている設定がそのまま使われる。

次に摘要されるポリシーの設定 (OU) が異なる複数の管理者権限を持つユーザーが同じコンピュータにログオンする場合もポリシーの設定どおりにならない場合がある。例えば OU (A) に属するユーザーと OU (B) に属するユーザーが同じコンピュータにログオンする場合、次のような動作となる。

  1. 一つ目の OU (A) のユーザーでログオン
    → 初回のログオンなのでポリシー (A) によりコンテンツ アドバイザーの設定が適用される
  2. 二つ目の OU (B) のユーザーでログオン
    → 初回のログオンなので別のポリシー (B) よりコンテンツ アドバイザーの設定が適用される
  3. 一つ目の OU (A) のユーザーでログオン
    → 2 回目のログオンで GPO が更新されていないため、ポリシーの再適用は行われない。コンテンツ アドバイザーはポリシー (B) の設定のままになる。

つまり最後にポリシーの適用が行われた管理者ユーザーに対する設定が、同じコンピュータにログオンする他のすべてのユーザーで利用される動作となる。

管理者ユーザーに対してポリシーでのコンテンツ アドバイザーの設定が常に反映されるようにするには、ユーザーのログオンごとにポリシーを更新するようグループ ポリシーを構成する。

- グループ ポリシー オブジェクト
    - コンピュータの構成
        - 管理用テンプレート
            - システム
                - グループ ポリシー
                    - Internet Explorer のメンテナンス ポリシーの処理 

この項目を

[有効] – [グループ ポリシー オブジェクトが変更されていなくても処理する]

に設定する。ただしこのポリシーが適用されるすべてのユーザーのログオンごとにポリシー摘要の処理が行われるので、ドメイン コントローラーやネットワークへの負荷が増加する点には注意が必要だ。

ちょっと別のところでコメントを付けたので、こちらでも詳しく書いておく。

コメントする »

まだコメントはありません。

RSS feed for comments on this post. TrackBack URI

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

WordPress.com Blog.

%d人のブロガーが「いいね」をつけました。