クライアントPCのインストール制限について

何時も拝見させて頂き、お世話になっております。
現在会社で難問を抱えており、ご教授願いたく宜しくお願い致します。

会社で今Ｐマークを取得しようと規程を作ったり、色々しているのですが、
そこで問題に上がった事です。

現在会社のパソコンは任意で好き勝手出来ます。
例）・昼休みにyoutubeを見る
　　・昼休み、終業後にハンゲームなどのゲームなどが自由に出来る
　　・どんなサイト、どこのサイトでも自由に見れる
　　・勝手にこっちが使いやすいと、会社で至急した時に入っているOutlookExpressを使わず
　　　サンダーバード（メールソフト）をインストールし、使用する
　　・IEではなく、firefoxなど自分の使いやすいブラウザを使用する
　　・好きなスクリーンセーバーをDLし、インストールし使用する
　　・チャット（メッセンジャー）をインストールし使用する
　　などなど

流石にこのままでは管理監視面でダメだしを受けてしまいます。
そこで、今、どう監視管理するかを検討し、任意で好き勝手にインストール出来ないようにしようと
考えております。

真っ先に浮かんだのが、「administrator権限」を外す事です。
現状、全てのユーザーにはadministrator権限を付しており、その為、好きにされ放題にされる為、
それを外してはどうかと実践してみた所、インストールは出来なくなったのですが、問題が2つ

1つ目は、WindowsUpdateなどのセキュリティー上必要なDL、インストールが毎回IDとパスを聞かれるようになり
IDとパス（administrator権限の）を教えていない為、毎回システム担当者に連絡がくる

2つ目は、トラブル時ですが、うちの会社は支店が大小合わせ、約40拠点程あります。
近ければいいのですが、片道1時間半といった拠点もあります。
その遠い拠点でトラブルが発生した際は、VPNを組んでいる為、大抵は「リモートデスクトップ」で遠隔操作で
トラブル解決をほぼしております。
そのリモートデスクトップが出来なくなったのです。やろうとすると管理者権限がない？とかなんとか
メッセージが出て繋がらないのです。

という2点より、administrator権限を外すと、何かと不便になります。
そこで皆さまのお力をお貸しいただきたいのですが、上記の2つの問題（Updateとリモート）が
障害なくでき、なお且つ、フリーソフトなどのソフトウェアやアプリを一切インストールできないように
する方法はありますでしょうか？

無料、有料問わず、何かしらの方法がありましたら、教えて下さい。
宜しくお願い致します。

尚、パソコンのOSは、XPと７の２種類があります。
タイプも、デスクトップ型、ノート型が複数の、合計１５０台程あります。
パソコンのメーカーもlenovo、toshiba、DELLなど数種類あります。
ほぼ全てのパソコンがインターネットVPNで繋がっております。

No.3 ベストアンサー 回答者： maesen 回答日時： 2012/07/10 10:42

＞1つ目は、WindowsUpdateなどのセキュリティー上必要なDL、インストールが毎回IDとパスを聞かれるようになりIDとパス（administrator権限の）を教えていない為、毎回システム担当者に連絡がくる

Active Directoryを導入しているようですので、グループポリシーでWindows Updateを自動インストールを強制する設定にするのはどうでしょうか？
出来ればWSUSを導入したいところですが、WSUSを導入しなくても強制する設定にすることは可能だと思います。
非管理者には更新の通知をしない（デフォルト）ようにすればしらないうちにインストールされて再起動メッセージだけ出るようにできるのではないかと思います。

Windows Updateで配信されないようなサードパーティアプリケーションの場合はちょっと難しいかな。

＞そのリモートデスクトップが出来なくなったのです。やろうとすると管理者権限がない？

これは管理者権限のあるユーザーでログオンしてもこのメッセージになるということでしょうか？
リモートデスクトップはそのローカルPCのadministratorsグループに所属している（管理者権限）か、Remote Desktop Usersグループに所属している必要があります。
リモートログオンに使用しているユーザーはこの条件を満たしていますでしょうか？

一般的には管理者のみしかしらない管理者権限のユーザーを予め全PCに作成しておいてリモート管理にはこのユーザーを使用するようにすると思います。
このようになっていなければ、ちょっと強引ですが管理用のDomain Admins権限のユーザーを作成してこのユーザーを使用するというてもあります。
（ADではDomain Adminsは全クライアントのローカルAdministrators権限が付与されますので）

＞上記の2つの問題（Updateとリモート）が障害なくでき、なお且つ、フリーソフトなどのソフトウェアやアプリを一切インストールできないようにする方法はありますでしょうか？

これと、例に書いてあるようなことを制限することの全てを満たすのはなかなか難しいですね。特に無料では。

グループポリシーで制限出来ること、
管理者権限を付与しないことで制限出来ること、
別のソフトや機材でなければ制限が難しいこと、
これらが混ざっているように思います。

システム的に制御しなければならないことと、運用や教育や罰則などで対応するものなどを少し整理する必要があるかもしれません。

＞無料、有料問わず、何かしらの方法がありましたら、教えて下さい。

有料でよければ、このようなことが可能なソフトはいっぱいあると思います。
（ソフトの組合せになるかもしれませんが）

この回答へのお礼

ご回答ありがとうございます。

グループポリシーは初めて知りました。
【Administrator権限】を外したユーザーIDを通常使用し、そこにグループポリシーで
WindowsUpdateを自動で…というのが出来ないか調べて見たいと思います。

リモートに関しては、起動する為のユーザーID（Active Directoryで作成したID）は、
全てAdministrator権限で各クライアントPCに作った為、リモートは可能でしたが、
質問に書いたインストール防止の為に、このAdministrator権限をUser権限に変更した事で
リモートが不可になった訳です。

最終的な目標は2つ
(1)ダウンロードとインストールの禁止措置
(2)(1)の状態でも、リモートデスクトップ、セキュリティ関連のダウンロードとインストールは可能な事
　（セキュリティ関連＝WindowsUpdate、JAVA、AcrobatReader、adobeFlashPlayerの更新です）

の2つです。
どんなサイトでも見れるという制限は、別の方法を考える（プロキシ導入など）とし、既に入っている
ソフトウェア、アプリはアンインストールすればいいだけですので、
まずは上記の2つをしたいと考えております。

無料が理想と言えば理想ですが、流石にここまで無料という訳にもいかないと思いますので
有料（市販ソフトの使用など）になるのは仕方ないと諦めています。
もう少し有料ソフトを探してみます。

ありがとうございました。

お礼日時：2012/07/10 13:26

No.2 回答者： korokokokoro 回答日時： 2012/07/09 19:41

まずはWindows Serverを入れてActive Directoryの導入してのユーザ(PC)の管理からですかね。

この回答へのお礼

インターネットVPNを各事業所にしいております。
本社には管理する為のサーバーが全部で6台あり、OSは異なりますが、
WindowsServer2008や、2002などがあります。

ActiveDirectoryも既に使用しております。
主に、各クライアントPCの起動時のIDやパスワードの管理
ファイルサーバー内の各フォルダに対する権限等を、ActiveDirectoryにて
行っております。

この管理内で、制限は掛けれるのでしょうか？

お礼日時：2012/07/10 09:28

No.1 回答者： yana1945 回答日時： 2012/07/09 16:54

グループで約１７万台のＰＣ／ＷＳを利用する企業に在籍しました。

子会社設置国数は３０か国以上で、
マルチ言語（１８言語）、マルチＯＳバージョンで管理する必要が
有りました。

事業所毎に、ＰＣ管理者（ＩＴ部門の支援を受けて、各種作業を実施）を
置くのか、全く置かないかで、お知らせするする内容が異なります。

１）ツールとしては、実現する方法が有ります。
２）外部のサービス会社がリモートで支援して、アップデート等を
遠隔地から実施する方法が有ります。

このＱ＆Ａで、特定の企業名、製品名を何処まで出していいか判りませんが、
ツールは有ります。

この回答へのお礼

ご回答ありがとうございます。

PC管理者は事業所毎には配置する予定はありません。
本社のシステム担当者（3名）にて、基本的に管理していく方針です。

1）の噂は聞いた事があるのですが、調べても良く分からず
2）外部のサービスは、質問通りPマークが理由の為、極力外部業者は使用したくないです。
　　※現在外部業者は未使用の為、Pマークの外部業者関係の規定がかなり手抜きなのです。

続けて、回答を待ちたいと思います。

お礼日時：2012/07/10 09:24