2013年11月28日木曜日

WindowsServer2012 移動ユーザープロファイルを設定する(手順模索編)

せっかくなので、移動ユーザープロファイルやフォルダーリダイレクトについても勉強してみる。
まずは移動ユーザープロファイルから。
ちょっと悩んでしまった。

1. まずはユーザープロファイル用のOUとオブジェクトを用意し、ユーザーはわかりやすく同OU内のセキュリティグループに所属させる

2. 共有フォルダーにするためのフォルダーを作成する(ここでは「Share」フォルダー)

3. 共有フォルダーのアクセス権を設定する(ここでは1で作ったセキュリティグループに対して変更と読み取りを設定)

4. 一応Administratorsにもフルコントロールを与える

5. ユーザーオブジェクトのプロパティから以下のようにユーザーのプロファイルの場所を指定する
    「\\共有サーバー\共有フォルダー\%username%」

6. グループポリシーを新たに作成し、「Adminisrtators セキュリティグループに移動ユーザプロファイルを追加する」を有効にする

7. この操作を行ったグループポリシーを、該当するユーザーのいるOUにリンクさせる

----------------------------------------------------------------------------------
これでは失敗だった。結局移動ユーザープロファイルそのものには成功したが、作られたフォルダーにAdministratorsの権限がなかった。

8. グループポリシーで「移動プロファイルフォルダのユーザー所有権を確認しない」を有効にする

9. グループポリシーで「一時記憶された移動プロファイルのコピーを削除する」を有効にする

10. クライアントPC格納用OUを作成しそれにグループポリシーをリンクしてみる

----------------------------------------------------------------------------------
これもまた失敗だった。結局移動ユーザープロファイルそのものには成功したが、作られたフォルダーにAdministratorsの権限がなかった。

11. Default Domain Policyと同じ場所にリンクさせる

----------------------------------------------------------------------------------
移動ユーザープロファイルはもちろん、プロファイルフォルダーへのアクセスもうまくできた。権限がついている状態。

12. ユーザーOUとクライアントPC格納用OUのどちらにもリンクさせる

----------------------------------------------------------------------------------
移動ユーザープロファイルはもちろん、プロファイルフォルダーへのアクセスもうまくできた。権限がついている状態。


ということでいろいろやったが、まとめると以下のような感じ。

○移動ユーザープロファイルの設定自体は、ユーザーオブジェクトのプロパティから設定する

○Administratorsグループのユーザーがプロファイルフォルダーにアクセスするため以下のグループポリシーを有効にする
    「Adminisrtators セキュリティグループに移動ユーザプロファイルを追加する」

○事前にプロファイルフォルダーをAdministratorsグループのユーザーなどが作成することも考慮し以下のグループポリシーを有効にする
    「移動プロファイルフォルダのユーザー所有権を確認しない」

○クライアントPCのローカルにゴミを残したくない場合は以下のグループポリシーを有効にする
    「一時記憶された移動プロファイルのコピーを削除する」

○新規で上記のように作ったポリシーを有効にするためには、Default Domain Policyと同じ場所に作成したグループポリシーをリンクさせるか、ユーザーOUとクライアントPC格納用OUのどちらにもリンクさせる(それじゃかっこ悪いから、その2つのOUを1つにまとめるか、その上に1つOUを作った方がいいかな)

だいたいこんな理解でいいはず。

0 件のコメント:

コメントを投稿