【Management】Devcon.exe でコマンドラインからデバイスを無効化

Posted over 5 years ago

by

junichia

1 Comment

あぁ、昔こんなコマンド使ってたなぁ..という方、けっこういらっしゃると思います。一部のバッチファイルマニアには有名なコマンドですね。

Windows7 Beta でも動くのかなぁ…とおもって確認したらちゃんと動作したので、せっかくなのでご紹介しておきます。

その名も Devcon.exe です。以下からダウンロードできます。自己解凍形式になっているので、どこかに解凍してからお使いください。64ビット版と32ビット版が格納されています。

デバイスマネージャとして機能する DevCon コマンドラインユーティリティ
http://support.microsoft.com/kb/311272/ja

さて、このコマンド、はたして何に使うコマンドなのか…

例えば、スタートアップスクリプト等を使用して、コマンドラインからデバイスを無効にもしくは有効にしたい場合ってありますよね。もしくは、ドライバーをインストールした後で、再起動するのではなくてハードウェアの再スキャンすることでデバイスを認識させたりとか。

私は以前に、ノートパソコンに標準実装されている「無線LANカード」を強制的に無効化するのに使ったり、USBカードリーダーの再認識を強制的に行わせるために使ったりしていました。

通常は以下のように「デバイスの管理」画面で[ハードウェア変更のスキャン]を行ったり、デバイスの有効/無効を切り替えます。

Devcon.exe を使用すると、これをコマンドライン上から行えます。

例えば、ノートパソコンによく実装されている Bluetoothデバイスを使わせたくないとしましょう。

事前に、以下のコマンドを使用して、無効化したい Bluetooth デバイスのハードウェアIDを取得します。そのためには、「デバイスの管理」を使用して、無効化したいデバイスのプロパティを開きます。

[詳細]タブを開いて、プロパティから[ハードウェアID] を参照してください。

上の画面では「USB\VID_044E&PID_3017&REV_0218」と「USB\VID_044E&PID_3017」という2つのハードウェアIDが存在していることがわかります。

基本的に「文字列が長いほうのID」を使用すれば良いのですが、念のためにコマンドプロンプトから以下のコマンドを入力して、マッチするデバイスが1つであることを確認してください。

以下のように disable パラメタを使用するとデバイスは無効化できます。

ちなみに、Windows Server 2008 がドメインコントローラであり、かつWindows 2003/XP/Vista/2008 がクライアントの場合には、「グループポリシー基本設定」に用意されている「デバイス」で行うことができるので、Devconは必要ありません。

【Management】グループポリシー基本設定の「適用できなくなった場合はこの項目を削除する」って？

Posted over 5 years ago

by

junichia

2 Comments

GWのときこそメンテ時ですね！ということで、私も原稿が終わらなかったりとかいろいろで出社しています。

業務連絡
＞O編集長さま
すみません、いま少しお待ちを…

さて、グループポリシー基本設定（Group Policy Preferences）の各設定項目の中に「共通」オプションというものが用意されています。

この中に「適用できなくなった場合はこの項目を削除する」という設定があるのですが、これ、意味わかります？

正直、ちょっとわかりづらいですよね。ヘルプを読んでもいまいち…うーん…といったかんじです。

そこで、グループポリシー基本設定の中の「ローカルユーザー」を例にして解説してみます。

「ローカルユーザー」ポリシーは、ポリシーが適用されたときに、ユーザーを作成、変更、削除するためのものです。このポリシーによって、従来スタートアップスクリプトで行ってきたローカルユーザーの作成やパスワード変更等の設定を、ポリシーで一括管理できるようになります。

グループポリシー基本設定の特徴は、ログオンスクリプトやスタートアップスクリプト同様、本番環境に直接書き込んでしまうことです。（これを「タトゥー」と呼ぶことがあります。Windows NT 4.0 の頃のシステムポリシーも同様だったですね。）

そのため、例えば上記のようなユーザーを作成した場合には、削除用のポリシーを作成するか手動で削除しない限り、ユーザーはローカルコンピューターに残り続けます。

通常はそれでも問題ないと思いますし、必要であれば「アカウントを無効」にでもしておけばよいと思いますが、それだと不都合な場合もあります。

例えば、

クライアントがシステム部門に所属しているときだけ処理したい

といった場合。

グループポリシー基本設定は「タトゥー」ですから、クライアントがシステム部門OUからはずれても、一度作られたユーザーは削除されません。そこで使用するのが、「適用できなくなった場合はこの項目を削除する」です。

これをチェックしておけば、クライアントが、ポリシーがリンクされているOUから移動した場合、言い換えれば「ポリシーのスコープ外となった場合」に、自動的にユーザーを削除してくれます。

この「削除してくれる」処理ですが、正確に書くと「置換処理の際に再作成しない」という処理になります。

「適用できなくなった場合にはこの項目を削除する」が選択されると、操作モードが強制的に「置換」となり、これ以外を選択することができません。置換処理とは、「現在のオブジェクトを削除して、同じものを再作成する」という処理ですが、「同じものを再作成する」部分を実施しないことで事実上の削除を実現する、という処理になります。

さて、スコープ外という状況は、OUを移動したときばかりではありません。

上の画面ショットをごらんいただきたいのですが、グループポリシー基本設定の「共通」タブには、「項目レベルでターゲットを設定する」という設定項目が用意されています。

これもちょいとわかりずらいのですが、要は「ポリシー適用先のフィルター」です。このフィルターから外れた状態も「スコープ外」と判断されます。

このフィルターが実に多彩でして。以下をご覧ください。

コンピュータ名やIPアドレスだけでなく、特定のレジストリ値や、時間帯によってもフィルターをかけられるんですね！ログオンスクリプトでこれらを実現するために試行錯誤してきたエンジニアの方々には、垂涎ものの機能です。

「9時から17時までの間に起動された場合にはユーザーを作成し、それ以外の時間帯なら作らずに削除する」なんてことが可能です。

グループポリシー基本設定はとてもよい機能です。ログオンスクリプト代わりに是非ともお使いください。

【Management】「グループポリシー基本設定」でのパスワードを設定する場合の注意

Posted over 5 years ago

by

junichia

1 Comment

少し前になるのですが、本社のグループポリシーチームのBLOGに以下の投稿がありました。

Passwords in Group Policy Preferences (updated)
http://blogs.technet.com/grouppolicy/archive/2009/04/22/passwords-in-group-policy-preferences-updated.aspx

グループポリシーの基本設定ってご存知ですよね。Windows Server 2008 から実装されたもので、スタートアップスクリプトやログオンスクリプトの複雑化を解消することができるポリシー設定です。

このBLOGを要約すると、以下のようなことを言っています。

グループポリシーの基本設定では、その設定項目の中でパスワードを入力する必要があるものがあり、そこで設定したパスワードはポリシーの実体であるXMLファイルに、読み取れない形式で保存されている。
ただしグループポリシーの性格上、その保存先はSYSVOLであり、全ての認証済みユーザーが読み取り可能となっている。ぶっちゃけて言ってしまえば not secured なので、パスワードを設定する場合にはよく考慮してみて欲しい。特に administrator アカウントの影響は大きすぎるので、できれば専用のアカウントを作成して使用することをお勧めする。

うーん、なんとも喉の奥から搾り出したような書き方ですが、ひとまず現状の仕様はそうなっているので気をつけてくださいということなのです。

では、実際にどうなっているのか見てみます。

以下は、グループポリシー基本設定に用意されているドライブマップの設定画面です。

ご覧いただけるとおり、マップに使用するユーザーIDとパスワードを設定することができます。