まずは移動ユーザープロファイルから。
ちょっと悩んでしまった。
1. まずはユーザープロファイル用のOUとオブジェクトを用意し、ユーザーはわかりやすく同OU内のセキュリティグループに所属させる
2. 共有フォルダーにするためのフォルダーを作成する(ここでは「Share」フォルダー)
3. 共有フォルダーのアクセス権を設定する(ここでは1で作ったセキュリティグループに対して変更と読み取りを設定)
4. 一応Administratorsにもフルコントロールを与える
5. ユーザーオブジェクトのプロパティから以下のようにユーザーのプロファイルの場所を指定する
「\\共有サーバー\共有フォルダー\%username%」
6. グループポリシーを新たに作成し、「Adminisrtators セキュリティグループに移動ユーザプロファイルを追加する」を有効にする
7. この操作を行ったグループポリシーを、該当するユーザーのいるOUにリンクさせる
----------------------------------------------------------------------------------
これでは失敗だった。結局移動ユーザープロファイルそのものには成功したが、作られたフォルダーにAdministratorsの権限がなかった。
8. グループポリシーで「移動プロファイルフォルダのユーザー所有権を確認しない」を有効にする
9. グループポリシーで「一時記憶された移動プロファイルのコピーを削除する」を有効にする
10. クライアントPC格納用OUを作成しそれにグループポリシーをリンクしてみる
----------------------------------------------------------------------------------
これもまた失敗だった。結局移動ユーザープロファイルそのものには成功したが、作られたフォルダーにAdministratorsの権限がなかった。
11. Default Domain Policyと同じ場所にリンクさせる
----------------------------------------------------------------------------------
移動ユーザープロファイルはもちろん、プロファイルフォルダーへのアクセスもうまくできた。権限がついている状態。
12. ユーザーOUとクライアントPC格納用OUのどちらにもリンクさせる
----------------------------------------------------------------------------------
移動ユーザープロファイルはもちろん、プロファイルフォルダーへのアクセスもうまくできた。権限がついている状態。
ということでいろいろやったが、まとめると以下のような感じ。
○移動ユーザープロファイルの設定自体は、ユーザーオブジェクトのプロパティから設定する
○Administratorsグループのユーザーがプロファイルフォルダーにアクセスするため以下のグループポリシーを有効にする
「Adminisrtators セキュリティグループに移動ユーザプロファイルを追加する」
○事前にプロファイルフォルダーをAdministratorsグループのユーザーなどが作成することも考慮し以下のグループポリシーを有効にする
「移動プロファイルフォルダのユーザー所有権を確認しない」
○クライアントPCのローカルにゴミを残したくない場合は以下のグループポリシーを有効にする
「一時記憶された移動プロファイルのコピーを削除する」
○新規で上記のように作ったポリシーを有効にするためには、Default Domain Policyと同じ場所に作成したグループポリシーをリンクさせるか、ユーザーOUとクライアントPC格納用OUのどちらにもリンクさせる(それじゃかっこ悪いから、その2つのOUを1つにまとめるか、その上に1つOUを作った方がいいかな)
だいたいこんな理解でいいはず。
2. 共有フォルダーにするためのフォルダーを作成する(ここでは「Share」フォルダー)
3. 共有フォルダーのアクセス権を設定する(ここでは1で作ったセキュリティグループに対して変更と読み取りを設定)
4. 一応Administratorsにもフルコントロールを与える
5. ユーザーオブジェクトのプロパティから以下のようにユーザーのプロファイルの場所を指定する
「\\共有サーバー\共有フォルダー\%username%」
6. グループポリシーを新たに作成し、「Adminisrtators セキュリティグループに移動ユーザプロファイルを追加する」を有効にする
----------------------------------------------------------------------------------
これでは失敗だった。結局移動ユーザープロファイルそのものには成功したが、作られたフォルダーにAdministratorsの権限がなかった。
8. グループポリシーで「移動プロファイルフォルダのユーザー所有権を確認しない」を有効にする
9. グループポリシーで「一時記憶された移動プロファイルのコピーを削除する」を有効にする
10. クライアントPC格納用OUを作成しそれにグループポリシーをリンクしてみる
----------------------------------------------------------------------------------
これもまた失敗だった。結局移動ユーザープロファイルそのものには成功したが、作られたフォルダーにAdministratorsの権限がなかった。
11. Default Domain Policyと同じ場所にリンクさせる
----------------------------------------------------------------------------------
移動ユーザープロファイルはもちろん、プロファイルフォルダーへのアクセスもうまくできた。権限がついている状態。
12. ユーザーOUとクライアントPC格納用OUのどちらにもリンクさせる
移動ユーザープロファイルはもちろん、プロファイルフォルダーへのアクセスもうまくできた。権限がついている状態。
ということでいろいろやったが、まとめると以下のような感じ。
○移動ユーザープロファイルの設定自体は、ユーザーオブジェクトのプロパティから設定する
○Administratorsグループのユーザーがプロファイルフォルダーにアクセスするため以下のグループポリシーを有効にする
「Adminisrtators セキュリティグループに移動ユーザプロファイルを追加する」
○事前にプロファイルフォルダーをAdministratorsグループのユーザーなどが作成することも考慮し以下のグループポリシーを有効にする
「移動プロファイルフォルダのユーザー所有権を確認しない」
○クライアントPCのローカルにゴミを残したくない場合は以下のグループポリシーを有効にする
「一時記憶された移動プロファイルのコピーを削除する」
○新規で上記のように作ったポリシーを有効にするためには、Default Domain Policyと同じ場所に作成したグループポリシーをリンクさせるか、ユーザーOUとクライアントPC格納用OUのどちらにもリンクさせる(それじゃかっこ悪いから、その2つのOUを1つにまとめるか、その上に1つOUを作った方がいいかな)
だいたいこんな理解でいいはず。
0 件のコメント:
コメントを投稿