nucleusのブログ

アクセスカウンタ

zoom RSS 移動プロファイルの設定

<<   作成日時 : 2015/08/21 17:44   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

利用シナリオによっては便利なんだろうけども、トラブルが容易に予見できるため、敬遠しがちな移動プロファイル
いまさらながらちゃんと設定方法を確認してみた。おおよそこの方法がベストプラクティスかと。


サーバ側の設定

Profile格納用共有ディレクトリを作成
\\server01\profile$

隠し共有にしておくのが無難でしょう。

さらにアクセス権。
結論から言うと、Profileディレクトリのアクセス権は「users:R」、「Creator owner:F」の権限があれば大丈夫

最終的に、「SYSTEM:F」、「使用ユーザ:F」のアクセス権に書き換えられる。

Users:Rでもなぜかアクセス権を変更できる。最終的にSYSTEMアカウントが残るわけだからSYSTEMアカウントを
削除してみたけども、プロファイルは作成される。「users:R」、「Creator owner:F」を削除してしまうとプロファイルは作成できない。

グループポリシーの準備

プロファイルが作成されると自動的にアクセス権が変更され、Administratorですらアクセス不能となる。
これを避けるためにGP変更

グループポリシーオブジェクトエディタで「コンピュータの構成」−「管理用テンプレート」−「システム」−「ユーザープロファイル」

「Administratorsセキュリティグループを移動ユーザープロファイルに追加する」=「有効」
「移動プロファイルフォルダのユーザー所有権を確認しない」=「有効」

 ※このGPの設定、既存プロファイルがある場合、新規のプロファイルにしか適用されない。既存プロファイルは無視
   なので最初に設定しておくのが無難


ADユーザオブジェクト設定

ユーザオブジェクト選択⇒プロパティ⇒プロファイルタブ
プロファイルパスに「\\server01\profile$\%username%」

ユーザ名は変数にしてあるけど、一度プロファイルウィンドウを閉じて、次にオブジェクトのプロパティをみるとユーザ名に変換されている・・・

クライアント設定
基本的には設定はないけど、メールとか「Local Settings」「AppData」内のデータを移動対象フォルダにする場合には,レジストリを変更する。

「HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ExcludeProfileDirs」のレジストリ値の内容を変更
XPのOutlookExpressなら「Local Settings」の文字列を削除
Livemailなら「AppData\Local」 の文字列を削除

番外編
ちょっと気になってたのは今までローカルプロファイルを使っていて、ある日移動プロファイルにする設定を施した場合どうなるのか。
まぁローカルプロファイルの時のファイルがなくなっちゃうってことはないだろうとは思っているけど、試してみた。
ログオン時にはサーバに移動プロファイルはつくられず、ログオフ時に生成され、ちゃんとローカルプロファイルの時のファイルも保持してくれました。

テーマ

注目テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
移動プロファイルの設定 nucleusのブログ/BIGLOBEウェブリブログ
文字サイズ:       閉じる