Active Directory HDDへの書き込み禁止

Active Directoryを使用して、クライアントのHDDへの書き込み禁止を行うことを検討中です。
・対象は、ドライブ（C、Dなど）、フォルダ、ファイル単位でしょうか。
・そうだとすると、以下のように、ブラックリスト方式・ホワイトリスト方式を組み合わせて制限可能でしょうか。
例）
Cドライブは原則書き込み禁止。ただし、「マイドキュメント」と「デスクトップ」と「Outlookのデータが保存されるフォルダ」は書き込み可（ホワイトリスト方式）。
Dドライブは原則書き込み可。ただし、その配下の「フォルダA」は書き込み禁止。ただし、「フォルダA」の配下に「フォルダB」と「フォルダC」があり、「フォルダB」は書き込み可（ブラックリスト方式とホワイトリスト方式の組み合わせ）。

よろしくお願い致します。

No.1 回答者： Toshi0230 回答日時： 2007/09/11 01:25

やったことないんで実施する際はきちんとテストしてからやってほしいんですが、「セキュリティテンプレート」を作成して、それをグループポリシーに取り込むことができたはず。

設定するときは、同じユーザに許可と拒否が設定されている場合、拒否のほうが優先されるのでホワイトリスト方式で実行するときは気を付けて。

ググったらtechnet周りを中心にいっぱい出てきたんでいろいろ調べてみてください。
http://www.google.co.jp/search?q=%E3%82%B0%E3%83 …

あと、少し前の書籍ですが「強いWindowsの基本」（伊原秀明著）がこの手の作業には参考になると思います。
# 読んだだけで実践してないんだよねぇ＜自分（ダメじゃん）

この回答への補足

回答ありがとうございます。その「セキュリティテンプレート」を作成すると、私が実現させたいことが可能になるのでしょうか。

Cドライブは原則書き込み禁止。ただし、「マイドキュメント」と「デスクトップ」と「Outlookのデータが保存されるフォルダ」は書き込み可（ホワイトリスト方式）。
Dドライブは原則書き込み可。ただし、その配下の「フォルダA」は書き込み禁止。ただし、「フォルダA」の配下に「フォルダB」と「フォルダC」があり、「フォルダB」は書き込み可（ブラックリスト方式とホワイトリスト方式の組み合わせ）。

可能になるのであれば、その記述がなされているURLをご紹介ください。よろしくお願い致します。

補足日時：2007/09/11 12:25