Win2008R2のグループポリシーについて

グループポリシーにて、リモートアクセスユーザーに対するスタートメニューの制御をしたいと思っています。

スタートメニューの使用を抑制したいと思い、グループポリシーの設定で何とか下記の項目意外を
非表示にするところまではできました。
色々調べて試しているのですが、どうしても下記の項目を非表示にする事ができません。
ポリシーのどこをいじればできるのか？又はポリシーではできないのか？などを教えて下さい。
※極論は、［スタート］メニュー内には、ログオフボタンだけにしたい（全く無しでもＯＫ）と思っています。

［ユーザーアカウント］（スタートメニュー上は、アカウントアイコンで押下するとエクスプローラが表示される）
［スタート］－［管理ツール］－＊ ←管理ツール以下を消したい
［Windows セキュリティ］
［ログオフ］－［切断］ ←ログオフ（シャットダウン）ボタンのプルダウンを消したい
［ログオフ］－［ロック］ ←ログオフ（シャットダウン）ボタンのプルダウンを消したい
［プログラムとファイルの検索］ボックス

環境は、Windows Server 2008 R2 です。

よろしくお願いします。

No.3 ベストアンサー 回答者： e3tatsu 回答日時： 2011/09/02 23:39

質問の意図が正しく理解できていなかったようで失礼しました．

スタートメニューそのものを消す方法はわかりませんが，
グループポリシーの以下のツリーにある項目で表示の制御が可能かと思われます．
ご確認ください．

[ユーザの構成>ポリシー>管理用テンプレート>タスクバーとスタートメニュー]
[ユーザの構成>基本設定>コントロールパネルの設定>スタートメニュー]

この回答への補足

回答ありがとうございます。

> [ユーザの構成>ポリシー>管理用テンプレート>タスクバーとスタートメニュー]
> [ユーザの構成>基本設定>コントロールパネルの設定>スタートメニュー]

について、やってみましたがやはり[管理ツール]等を消す事ができない状況です。。。

補足日時：2011/09/05 11:00

この回答へのお礼

その後、あれこれやってみたところ

> [ユーザの構成>基本設定>コントロールパネルの設定>スタートメニュー]

で、Ｖｉｓｔａ以降で追加を行ってみたら消えました！
どうやら明示的に追加しないとダメだった様です。

ありがとうございました。

お礼日時：2011/09/05 11:31

No.2 回答者： e3tatsu 回答日時： 2011/09/01 00:08

No.1で回答した者です．

>>ビルトインUsersグループにのみ所属させれば
>のところが、理解できていなくて申し訳ないのですが、どういう事なのかもう少し教えていただけないでしょうか？
Usersグループに"のみ"という表現は不適切でした．
正確にはRemote Desktop Usersグループにも所属していなければそもそもリモート接続ができませんでした．
失礼しました．

参考URLを参照してみてください．
Windowsでは通常は"既定のローカルグループ"に対して(シャットダウン等の)権限が与えられており，そのグループのメンバとしてユーザ(やグループ)が登録されることで間接的に各ユーザへ権限を与えています．

リモートアクセスユーザはドメインユーザということですので"ドメイン名\Domain Users"グループのメンバであるはずです．
さらに"ドメイン名\Domain Users"はビルトインローカルグループ"リモートPC名\Users"のメンバとなっているはずです．
前者はドメイン上にユーザアカウントを作成する時に，後者は(リモート接続先)PCをドメインに参加させる時に自動的にグループにメンバとして登録されます．
一般ドメインユーザのアカウントがシャットダウン権限の付与されたグループに自動的に登録されることはないので，意図的に手動でリモート接続先PCの管理者がリモートアクセスユーザのアカウントをAdministratorsグループに加えるか，ドメイン管理者がリモートアクセスユーザのアカウントをDomain Adminsグループに加えたりでもしない限り，一般ドメインユーザがリモートでPCをシャットダウンすることはそもそも(権限がないために)できないはずです．

質問者様に確認したいのですが，今回の質問はたとえ管理者(Administrators)であってもリモートからはシャットダウンできないようにしたい，という話なのでしょうか？
であればこの回答は無視してください．

参考URL：http://technet.microsoft.com/ja-jp/library/cc771 …

この回答への補足

回答ありがとう御座います。

> 　：
> 前略
> 　：
>質問者様に確認したいのですが，今回の質問はたとえ管理者(Administrators)であっても
>リモートからはシャットダウンできないようにしたい，という話なのでしょうか？
>であればこの回答は無視してください

おっしゃっている事は概ね理解できました（つもりかもしれませんが）。
ただ、申し訳ありません、私の質問も悪かったかもしれませんが
そもそもシャットダウンは抑制できております。

再度質問を短的に言いますと、
　・リモートで入ってきたユーザーには、ログイン時に実行されるＡＰＬまたは
　　デスクトップ上のアイコンだけの使用を許可したい。
つまり、
　・スタートメニューの一切合切を使用不可にしたい（ログアウトだけを有効にしたい）。
　　→スタートメニュー全体が消せる？なら、デスクトップにログアウトコマンド
　　　を置いても良い）。
というのが要件です。
最初の質問では、ポリシーで抑制できなかった（仕方が分からないだけ？）の項目に
ついて、列挙させていただきました。

ヒントもしくは代替案などご教授いただけたら幸いです。
よろしくお願いします。

補足日時：2011/09/02 14:57

No.1 回答者： e3tatsu 回答日時： 2011/08/30 12:59

リモートアクセスユーザがローカルおよびドメインのどのグループに所属しているのでしょうか？

リモートアクセスユーザをビルトインUsersグループにのみ所属させれば，シャットダウンと再起動の操作はブロックできます．

また，グループポリシーでスタートメニューの表示だけを制御する方式では
コマンドプロンプトからshutdownコマンドを実行されてしまったらおしまいではないでしょうか．

この回答への補足

リモートアクセスするユーザーは、ドメインユーザーです。

>ビルトインUsersグループにのみ所属させれば
のところが、理解できていなくて申し訳ないのですが、どういう事なのかもう少し教えていただけないでしょうか？


>また，グループポリシーでスタートメニューの表示だけを制御する方式では
>コマンドプロンプトからshutdownコマンドを実行されてしまったらおしまいではないでしょうか．
というご指摘の点については、もちろん認識済みで、コマンドプロンプトなど、利用者がOSに対する指示ができない様に抑制（ブロック）しています。

補足日時：2011/08/30 14:48