minto.tech スマホ(Android/iPhone)・PC(Mac/Windows)の便利情報をお届け! 月間アクセス160万PV!スマートフォン、タブレット、パソコン、地デジに関する素朴な疑問や、困ったこと、ノウハウ、コツなどが満載のお助け記事サイトはこちら!
※本ページにはプロモーション(広告)が含まれています
Windowsのパソコンで、子どもが特定のアプリを使いすぎていたり、社員が業務に関係ないソフトを起動してしまうと困ることがありますよね。そんなときに役立つのがグループポリシーという機能です。
グループポリシーを使えば、特定のアプリの実行を禁止したり、コントロールパネルや設定アプリへのアクセスを制限したり、コマンドプロンプトを無効化したりと、パソコンの使い方を細かくコントロールできます。
この記事では、Windows 10/11 Pro版のグループポリシーエディターの使い方を初心者にもわかりやすく解説します。Home版をお使いの方向けに、レジストリを使った代替手順もご紹介します。
- グループポリシーエディター(gpedit.msc)の開き方
- 特定アプリの実行を禁止する手順
- コントロールパネル・設定アプリへのアクセス制限方法
- コマンドプロンプトを無効化する設定
- Home版ユーザー向けのレジストリ代替手順
- 企業・家庭での活用事例
グループポリシーとは?
グループポリシーは、Windowsに搭載されている管理機能で、コンピューターの動作やユーザーの操作を細かく制御できる仕組みです。企業のIT管理者が社内のパソコンを一括管理するために使われることが多いですが、個人のパソコンでも利用できます。
グループポリシーでできることの代表例を以下にまとめました。
| 機能カテゴリ | 具体的な制限内容 | 主な用途 |
|---|---|---|
| アプリ制限 | 特定のexeファイルの実行禁止 | ゲーム・SNSアプリの禁止 |
| 設定アクセス制限 | コントロールパネルの非表示 | 設定変更の防止 |
| コマンド制限 | コマンドプロンプトの無効化 | 不正操作の防止 |
| ネットワーク制限 | Wi-Fi設定の変更禁止 | 社内ネットワーク保護 |
| USB制限 | 外部ストレージの接続禁止 | 情報漏えい防止 |
グループポリシーが使えるWindowsエディション
グループポリシーエディター(gpedit.msc)が標準で使えるのは、以下のエディションのみです。
- Windows 10/11 Pro
- Windows 10/11 Enterprise
- Windows 10/11 Education
Windows 10/11 Homeでは使えません。Homeをお使いの方は、この記事の後半で紹介するレジストリを使った代替方法をご参照ください。
自分のWindowsエディションの確認方法
- キーボードの Windows キー + I を押して「設定」を開く
- 「システム」→「バージョン情報」をクリック
- 「Windowsの仕様」欄の「エディション」を確認する
グループポリシーエディターの開き方
グループポリシーエディターは「gpedit.msc」というコマンドで起動します。
方法1:ファイル名を指定して実行から開く(最も簡単)
- キーボードの Windows キー + R を同時に押す
- 「ファイル名を指定して実行」ダイアログが開く
- テキストボックスに
gpedit.mscと入力する - 「OK」ボタンをクリック、またはEnterキーを押す
- 「ローカルグループポリシーエディター」が起動する
方法2:検索バーから開く
- タスクバーの検索アイコンをクリック
- 「グループポリシー」と入力する
- 「グループポリシーの編集」をクリックする
方法3:コマンドプロンプトから開く
- スタートメニューを右クリック
- 「コマンドプロンプト(管理者)」をクリック
gpedit.mscと入力してEnterキーを押す
グループポリシーエディターの画面構成
エディターを開くと、左側にツリー構造でポリシーの項目が表示されます。
| フォルダ名 | 内容 |
|---|---|
| コンピューターの構成 | すべてのユーザーに適用されるPC全体の設定 |
| ユーザーの構成 | ログインしたユーザーに適用される設定 |
| 管理用テンプレート | Windowsの各機能の細かい設定 |
特定アプリの実行を禁止する手順
特定のアプリ(例:Teamsやゲームのexeファイル)の実行を禁止するには、「ソフトウェアの制限ポリシー」または「AppLocker」を使います。ここでは、一般的な「ソフトウェアの制限ポリシー」を使った方法を解説します。
ソフトウェアの制限ポリシーの設定手順
- グループポリシーエディターを開く(前述の方法で起動)
- 左ペインで以下の順にクリックして展開する:
「コンピューターの構成」→「Windowsの設定」→「セキュリティの設定」→「ソフトウェアの制限のポリシー」 - 「ソフトウェアの制限のポリシー」を右クリックし、「新しいソフトウェアの制限のポリシー」を選択する
- 右ペインに「追加の規則」が表示される
- 「追加の規則」を右クリックし、「新しいパスの規則」を選択する
- 「パス」欄に禁止したいアプリのexeファイルのパスを入力する(例:
C:\Users\ユーザー名\AppData\Local\Discord\app-X.X.X\Discord.exe) - 「セキュリティレベル」を「許可しない」に設定する
- 「OK」をクリックして保存する
- コマンドプロンプトで
gpupdate /forceを実行してポリシーを即時適用する
アプリのexeファイルのパスを確認する方法
- タスクバーの検索欄に禁止したいアプリ名を入力する
- 検索結果のアプリを右クリックする
- 「ファイルの場所を開く」を選択する
- 開いたフォルダ内のexeファイルを右クリック→「プロパティ」を開く
- 「全般」タブの「場所」欄でフォルダパスを確認し、ファイル名を合わせてフルパスをメモする
ワイルドカードを使った設定
アプリのバージョンアップごとにパスが変わる場合は、ワイルドカード(*)を使うと便利です。
| 設定例 | 効果 |
|---|---|
C:\Games\* |
Gamesフォルダ内の全ファイルを禁止 |
*.bat |
全バッチファイルの実行を禁止 |
C:\Users\*\AppData\Local\Discord\* |
Discordのすべてのバージョンを禁止 |
ユーザーごとにアプリを制限する(特定ユーザーのみ)
「コンピューターの構成」ではなく「ユーザーの構成」配下に設定すると、特定のユーザーアカウントにのみ制限を適用できます。家庭では「子ども用アカウント」にだけ制限をかけたい場合に便利です。
コントロールパネル・設定アプリへのアクセスを制限する
設定を勝手に変えられたくないときは、コントロールパネルや設定アプリへのアクセスを制限できます。
コントロールパネルを非表示にする手順
- グループポリシーエディターを開く
- 「ユーザーの構成」→「管理用テンプレート」→「コントロールパネル」を展開する
- 右ペインの「コントロールパネルとPC設定へのアクセス禁止」をダブルクリックする
- 「有効」を選択する
- 「OK」をクリックして保存する
この設定を有効にすると、スタートメニューからコントロールパネルが消え、直接アクセスしようとしてもブロックされます。
特定のコントロールパネル項目のみ表示・非表示にする
コントロールパネル全体を非表示にするのではなく、特定の項目だけを制限することもできます。
- 「ユーザーの構成」→「管理用テンプレート」→「コントロールパネル」を展開する
- 「コントロールパネルの特定の項目のみ表示する」または「コントロールパネルの特定の項目を非表示にする」をダブルクリックする
- 「有効」を選択する
- 「表示」ボタンをクリックして、非表示にしたい項目名を入力する(例:
Microsoft.WindowsUpdate) - 「OK」→「OK」の順にクリックして保存する
Windowsの「設定」アプリを無効化する
- 「ユーザーの構成」→「管理用テンプレート」→「コントロールパネル」を展開する
- 「コントロールパネルとPC設定へのアクセス禁止」をダブルクリックする
- 「有効」を選択して「OK」をクリックする
コマンドプロンプトを無効化する
コマンドプロンプトは、知識があれば制限を回避するために使われることがあります。コマンドプロンプトを無効化することで、不正操作のリスクを減らせます。
コマンドプロンプトの無効化手順
- グループポリシーエディターを開く
- 「ユーザーの構成」→「管理用テンプレート」→「システム」を展開する
- 「コマンドプロンプトへのアクセスを禁止する」をダブルクリックする
- 「有効」を選択する
- 「バッチファイルのスクリプトも無効にする」オプションも「はい」に設定する(推奨)
- 「OK」をクリックして保存する
設定後、コマンドプロンプトを起動しようとすると「システム管理者によってコマンドプロンプトへのアクセスが無効にされています」というメッセージが表示され、使用できなくなります。
PowerShellも無効化したい場合
コマンドプロンプトを無効化しても、PowerShellを使った操作は可能です。PowerShellも制限するには、ソフトウェアの制限ポリシーでpowershell.exeのパスを禁止するか、AppLockerで制御します。
その他の便利なグループポリシー設定
USBメモリの使用を禁止する
- 「コンピューターの構成」→「管理用テンプレート」→「システム」→「リムーバブルストレージへのアクセス」を展開する
- 「リムーバブルディスク:読み取りアクセスの拒否」と「リムーバブルディスク:書き込みアクセスの拒否」をそれぞれ「有効」に設定する
タスクマネージャーを無効化する
- 「ユーザーの構成」→「管理用テンプレート」→「システム」→「Ctrl+Alt+Deleteのオプション」を展開する
- 「タスクマネージャーの削除」を「有効」に設定する
レジストリエディターを無効化する
- 「ユーザーの構成」→「管理用テンプレート」→「システム」を展開する
- 「レジストリ編集ツールへのアクセスを禁止する」を「有効」に設定する
ポリシーを即時適用する方法
グループポリシーの変更は、通常PCの再起動後に適用されます。すぐに反映させたい場合は以下の方法を使います。
- キーボードで Windows キー + R を押す
cmdと入力してEnterキーを押す- コマンドプロンプトで以下を入力してEnterキーを押す:
gpupdate /force - 「コンピューターポリシーの更新が正常に完了しました」と表示されれば完了
設定を元に戻す(無効化する)方法
グループポリシーで設定した制限を解除するには、同じ手順で該当のポリシーを開き、「未構成」または「無効」を選択して「OK」をクリックします。その後、gpupdate /force を実行すれば元の状態に戻ります。
【Home版向け】レジストリを使った代替手順
Windows HomeはグループポリシーエディターがありませんがWindowsレジストリを直接編集することで同等の制限をかけることができます。ただし、レジストリの誤操作はWindowsの動作に深刻な影響を与える可能性があります。必ずバックアップを取ってから作業してください。
レジストリエディターのバックアップ方法
- キーボードの Windows キー + R を押す
regeditと入力してEnterキーを押す(管理者権限が必要)- メニューの「ファイル」→「エクスポート」をクリックする
- 「エクスポート範囲」で「すべて」を選択する
- 保存場所とファイル名を指定して「保存」をクリックする
コントロールパネルをレジストリで無効化する
- レジストリエディターを開く(regeditを実行)
- 以下のパスに移動する:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer - 右ペインで右クリック→「新規」→「DWORD(32ビット)値」を選択する
- 値の名前を
NoControlPanelと入力してEnterキーを押す - 作成した値をダブルクリックして、「値のデータ」を
1に設定する - 「OK」をクリックしてPCを再起動する
コマンドプロンプトをレジストリで無効化する
- レジストリエディターを開く
- 以下のパスに移動する:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
(Systemキーがない場合は右クリックで新規作成する) - 右ペインで右クリック→「新規」→「DWORD(32ビット)値」を選択する
- 値の名前を
DisableCMDと入力する - 値のデータを
1(バッチファイルも禁止)または2(コマンドプロンプトのみ禁止)に設定する - 「OK」をクリックしてPCを再起動する
特定アプリを禁止するレジストリ設定
- レジストリエディターを開く
- 以下のパスに移動する:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer - 右ペインで右クリック→「新規」→「複数行文字列値」を選択する
- 値の名前を
DisallowRunと入力する - 以下のパスにキーを作成して禁止アプリを追加する:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun - 右ペインで右クリック→「新規」→「文字列値」を選択する
- 値の名前を
1、値のデータを禁止したいexe名(例:discord.exe)に設定する - 複数禁止する場合は同様に
2、3…と追加していく - まず Explorerキーの
DisallowRun値のデータを1に設定して機能を有効化する
企業・家庭での活用事例
企業での活用事例
| 業種 | 制限内容 | 目的 |
|---|---|---|
| 金融・医療 | USBメモリ禁止、個人メールアクセス禁止 | 情報漏えい防止 |
| 小売・飲食 | POSレジ以外のアプリ禁止 | 業務専用端末化 |
| 教育機関 | ゲームインストール禁止、SNS制限 | 学習環境の確保 |
| 一般企業 | 設定変更禁止、コマンド禁止 | システム安定性の維持 |
家庭での活用事例
- 子どものパソコン管理:ゲームアプリや動画サービスの実行を制限し、学習に集中できる環境を作る
- 高齢者向け設定保護:誤操作でシステム設定が変わらないようにコントロールパネルを非表示にする
- 家族共有PCの管理:各ユーザーアカウントに適切な制限をかけ、設定を保護する
よくある質問(FAQ)
Q1. グループポリシーの設定は再起動しないと反映されませんか?
A. 多くの設定は再起動後に反映されますが、gpupdate /force コマンドを実行することで即時反映できます。ただし、一部の設定(ログオンスクリプトなど)は再起動が必要な場合があります。
Q2. 管理者アカウントにもグループポリシーの制限は適用されますか?
A. 「ユーザーの構成」配下の設定は管理者アカウントにも適用されます。管理者を制限から除外したい場合は、「コンピューターの構成」配下に設定するか、別の管理者専用アカウントを使って設定を行う必要があります。
Q3. グループポリシーを設定したら元に戻せなくなりました。どうすればいいですか?
A. セーフモードで起動すれば、グループポリシーが適用されない状態でWindowsを起動できます。セーフモードでグループポリシーエディターを開いて設定を元に戻してください。
Q4. Home版でもグループポリシーを使いたい場合は?
A. Windows 10/11 HomeをProにアップグレードすることで使えるようになります。Microsoft Storeからアップグレード版を購入できます。また、この記事で紹介したレジストリを使った方法でも一部の制限を実現できます。
Q5. 子どもがグループポリシーの制限を解除することはできますか?
A. 管理者パスワードを知らない限り、グループポリシーの設定を変更することはできません。子ども用のアカウントを「標準ユーザー」として作成し、管理者アカウントのパスワードを子どもに教えないようにしましょう。
Q6. ドメインに参加している場合、ローカルのグループポリシーは機能しますか?
A. ドメインに参加している場合、ドメインのグループポリシー(GPMC)がローカルのグループポリシーより優先されます。ドメイン管理者の設定によって、一部のローカルポリシーが上書きされることがあります。
Q7. グループポリシーの設定内容を一覧で確認する方法はありますか?
A. コマンドプロンプトで gpresult /h report.html を実行すると、現在適用されているグループポリシーの設定が report.html というファイルにまとめられます。ブラウザで開いて確認できます。
まとめ
グループポリシーは、Windowsのアプリ制限や設定変更の防止に非常に便利な機能です。
- 起動方法:Windows+R →
gpedit.msc(Pro版のみ) - アプリ禁止:ソフトウェアの制限ポリシーでexeファイルのパスを指定
- 設定制限:コントロールパネルへのアクセス禁止ポリシーを有効化
- コマンド禁止:「コマンドプロンプトへのアクセスを禁止する」を有効化
- Home版:レジストリエディターで代替設定が可能(要注意)
- 即時適用:
gpupdate /forceコマンドで再起動不要で反映
企業でも家庭でも、用途に合わせてグループポリシーを活用してみてください。設定を誤った場合も、「未構成」に戻すだけで元の状態に復元できるので安心して試してみましょう。
