典型的な中小企業の経営者であれば、デスクトップやノートパソコンの各システムを簡単に自動で導入できる集中型のプロビジョニングシステムを導入していないでしょう。ITリソースを管理する専任の従業員はおろか、ましてや部署全体さえいないかもしれません。また、集中型の認証サーバーを使用する代わりに、各ユーザーに独自のローカルログイン情報を提供している場合も少なくありません。つまり、従業員は自分のローカルコンピュータ王国への鍵を握っているのです。つまり、従業員は自分のマシン上でほぼあらゆる操作を実行できるということです。新しいアプリケーションのインストール、不要なアプリケーションのインストール、設定の変更、さらには意図せずレジストリを破損させたり、マルウェアをダウンロードしたりすることさえあります。
従業員に新しいツールを試したり、仕事中に音楽を聴いたり、休憩時間にソーシャルメディアサイトにアクセスしたりする自由を与えることは、彼らの士気を高め、生産性を向上させるでしょう。しかし、その柔軟性は、コンピューターを壊したり、不要なアプリで動作を制限したり、あるいはもっとひどいことになってしまったりすれば、たちまち大きな問題に発展する可能性があります。
では、従業員の満足度を維持しながら、会社の資産の管理を維持するにはどうすればよいでしょうか?
決断
一つの戦略は、従業員のコンピュータに対する管理権限を一切与えないことです。このような制限を設ければ、誰も何もインストールできないため、バグのあるアプリやマルウェアにコンピュータが乗っ取られるリスクを軽減できます。ただし、欠点は、管理者または指定の担当者がすべてのインストール作業を行わなければならないことです。これは時間のかかる作業であり、特に新しいアプリケーションを全従業員(たとえ従業員が少数であっても)に導入する場合はなおさらです。さらに、定期的なセキュリティパッチ、バグ修正、ドライバの更新、アップグレードも検討する必要があります。さらに、プリンターやスキャナーなどの新しい周辺機器のドライバやソフトウェアもインストールする必要があることを忘れてはなりません。
管理者アクセスの許可
すべてを自分で管理するのではなく、提供したコンピューターに対する完全な制御を失うことなく、従業員に管理者権限を付与するためのいくつかの手順を実行できます。
全員のコンピュータを自由に使えるようにする前に、各従業員が共通で使用できるソフトウェア環境のベースラインを確立しましょう。従業員が新しいアプリケーションでコンピュータを拡張することを許可する一方で、ベースラインのプログラム(特にウイルス対策ツールやマルウェア対策ツール、セキュアなWebブラウザ、オフィススイート(Googleドキュメントなどのクラウドアプリを使用している場合を除く)、そして中小企業の運営に必要な独自ソフトウェア)をアンインストールまたは無効化することは禁止するポリシーを設定しましょう。
次に、DriveImage XML(個人利用は無料、商用ライセンスは5ユーザーで100ドル)などのアプリケーションを使用して、導入する各クラスのコンピュータのシステムドライブを複製します。目標は、標準的な管理用マシンから特定機能のデスクトップ(例えばビデオ編集ワークステーション)まで、オフィス内の各タイプのデスクトップシステムのイメージを作成することです。災害が発生した場合や、従業員がコンピュータを使用不能にした場合でも、元の構成に迅速に復元できます。
従業員が通常の業務に支障をきたす可能性を最小限に抑えるため、従業員が遵守すべきポリシーと手順を確立する必要があります。まず、すべての従業員が管理者アカウントに加えてWindowsユーザーアカウントを作成し、管理者資格情報を必要とする機能を実行する場合を除き、常にそのユーザーアカウントでサインインすることを義務付けるポリシーを確立します。このポリシーは、不正なアプリケーションがオペレーティングシステムへの特権アクセスを取得するのを防ぐのに役立ちます。また、すべての従業員に対し、業務関連のファイルを共有ネットワークドライブ(サーバーまたはNASボックス上)に保存し、個人用のファイルは個人用クラウドストレージ(Dropbox、SkyDriveなど)に保存するよう指示する必要があります。個人データは、必須のスケジュールバックアップには含まれないことを従業員に伝えてください。
グループポリシーエディターの威力
ローカル管理者権限は一見無敵に思えますが、Windowsオペレーティングシステムを細かく制御する方法があります。その秘訣は、Windows 7のグループポリシーエディターを使うことです。ユーザーの管理者権限でログオンし、Windowsの検索ボックス(スタートメニュー内にあります)に「gpedit.msc」と入力してEnterキーを押します。ここから、コントロールパネルを含む重要なWindows要素へのアクセスを完全に無効にしたり、従業員に変更を許可するコンポーネントを選択したりできます。例えば、スクリーンセーバーの切り替えは許可するが、プリンターの変更やプログラムのアンインストールは許可しないといった設定が可能です。
グループポリシーエディターの威力を軽視しないでください。従業員にシステムを自由に操作させるのに少しでも抵抗があるなら、この便利なWindows機能は、システムをスムーズに稼働させるために必要な制御を提供します。グループポリシーエディターの「ユーザー構成」メニューにある「管理用テンプレート」フォルダには、参照して編集する価値のある設定がすべて揃っています。
Windowsマシンにインストールされている特定のプログラムへのアクセスをブロックすることもできます。グループポリシーエディターを開き、「ユーザーの構成」設定の「管理用テンプレート」の「システム」フォルダに移動します。「指定されたWindowsアプリケーションを実行しない」オプションをダブルクリックしてポリシーを有効にし、「表示」ボタン(「許可されていないアプリケーションの一覧」の横にあります)をクリックして、実行可能アプリケーションファイル( uTorrent.exeなど)の名前を値として入力します。
この方法では、勤勉な従業員がお気に入りのピアツーピアプログラムを「hatemyboss.exe」などに変更して実行するのを防ぐことはできません。そのため、グループポリシーの編集とネットワークハードウェアレベルでの追加変更を組み合わせることをお勧めします。例えば、プライマリルーターの構成パネルにアクセスし、ファイアウォール設定を変更して、コンピューターが実際に動作するために必要なポート(ポート110、53、25、80など)を除き、従業員のシステムへのすべてのポートへのアクセスをブロックすることができます。これは、従業員が中小企業の環境をダウンロードの中心地と化すのを防ぐための強力な手段ですが、職場でピアツーピアの不正行為が問題になっている場合は検討する価値があります。
より細かな行政管理
Windows 7 UltimateまたはWindows 7 Enterpriseをお使いの場合は、オペレーティングシステムに組み込まれているAppLocker機能を利用できます。グループポリシーエディターからアクセスできるAppLockerは、システムユーザーがマシン上で実行できる項目をより細かく制御できます。例えば、実行可能ファイル名だけでなく、発行元、ファイルパス、ファイルハッシュでアプリをブロックできます。ファイルパスオプションは、ダウンロードしたすべてのプログラムを特定のディレクトリに保存するSteamなどのデジタルダウンロードサービスへのアクセスをすべてブロックしたい場合に特に便利です。
ユーザーのシステム上でのアクティビティを制御するためにサードパーティ製アプリケーションが必要ですか?必ずしも必要ではありません。しかし、管理者権限を持つ従業員がWindowsベースのアクセス制御を回避していることがわかった場合は、より強力なソリューションを検討する必要があるかもしれません。例えば、従業員のマシンにFaronicsのDeep Freeze(年間35.50ドル)をインストールすると、PCを再起動するたびに各システムを同一のスナップショットに復元できます。あるいは、従業員に仮想デスクトップを提供し、サンドボックス環境に個人用プログラムを自由にインストールできるようにすることもできます。
適切な設定に少し時間をかける覚悟さえあれば、従業員に中小企業向けPCの管理者権限を与えても、必ずしも混乱を招くことはありません。従業員が9時から5時までペアレンタルコントロールの下で働いていると感じさせることなく、管理者権限を管理することも可能です。
