MENU
  1. ホーム
  2. Active Directory
  3. 【保存版】GPOによる移動ユーザープロファイルの設定方法を徹底解説

【保存版】GPOによる移動ユーザープロファイルの設定方法を徹底解説

Active Directory Windows Server

本記事では、移動プロファイルをGPOで設定する方法を丁寧に解説します。移動プロファイルを有効にすることで「データの一元管理」「端末に依存しない環境」が可能になります。ただ、設定方法を正確に理解しておかないとトラブル発生時にヤバイコトになります。

目次

グループポリシー(GPO)の作成と適用手順

「グループポリシーて何?」という方は「グループポリシーの作成と適用手順」Active Directoryをフル活用して端末を完全制御しちゃおう!!で細かい説明をしていますのでご参照ください。実例を用いて説明をしていますので、全くの初心者でもグルーポプリシーが自由に扱えるようになります。

フォルダーリダイレクトの併用

手順としては、環境や使い方にもよりますが、「フォルダーリダイレクト」の設定をした後に「移動プロファイル」の設定をすることが推奨されています。

移動プロファイルの構成をすると、デスクトップやマイドキュメントのデータが全てサーバー上に保存されます。サインインする度にクライアントにサーバーから全てのデータを引っ張ってくるのでサインインの速度が遅くなります。(サインアウト時もサーバーでデータを保存しにいくので遅くなります。)そこで、フォルダーリダイレクトを利用してデータ容量の多いデスクトップやマイドキュメントをサーバー上に保持して、そのリンクだけをクライアントに表示させるようにし、サインイン、サインアウトの速度低下を防ぎます。フォルダーリダイレクトの設定については下記の記事をご参照ください。

『フォルダーリダイレクトの設定』をグループポリシー(GPO)で行う方法|初心者でも簡単

移動プロファイル用の共有フォルダの作成

移動プロファイルはローカルのパソコンではなく、指定したサーバー上のディレクトリに作成されます。まずは、移動プロファイルが保存される共有フォルダを作成しましょう。

ファイルサーバー上に「profileData」という共有フォルダを作成しました。ユーザーのプロファイルデータが「profileData」の中に作られていくことになります。

大事なポイントは、ユーザーが「profileData」の中にファイルを作成するので、セキュリティ権限に「Domain Users」を含める必要があります。(変更までの権限を付与)

ちなみに、権限を付与しない状態でサインインをすると、「アカウントにサインインできません」といったエラーがでます。

サインアウトせずに、「閉じる」を押すと一応利用できますが一時プロファイルでの利用になるので、プロファイルの情報は一切保存されません。要するにファイルを作成してもサインアウトするとデータが全て消えます。

ポリシーの設定

共有フォルダの作成ができたら、GPOの設定を行います。3つのポリシーの設定を行います。

このコンピューターにログオンしているすべてユーザーの移動プロファイル パスを設定する

以下のポリシーの設定を行います。

ポリシー:このコンピューターにログオンしているすべてユーザーの移動プロファイル パスを設定する
パス:コンピューターの構成 ⇒ 管理用テンプレート ⇒ システム ⇒ ユーザープロファイル


「未構成」を「有効」にしプロファイルが保存されるパスを指定します。下記の図の例では、先ほど作成した共有フォルダ「profileData」のパスを指定しています。⇒ \\sv1\profileData\%USERNAME%

%USERNAME%にはサインインしたユーザー名が自動的に入ります。

Administrators セキュリティ グループを移動ユーザー プロファイルに追加する

以下のポリシーの設定を行います。

ポリシー:Administrators セキュリティ グループを移動ユーザー プロファイルに追加する
パス:コンピューターの構成 ⇒ 管理用テンプレート ⇒ システム ⇒ ユーザープロファイル

「未構成」を「有効」にします。有効にすることで、作成されるユーザープロファイルにAdministratorsグループ権限が付与されるので、管理者が全てのユーザープロファイルにアクセス可能となります。ユーザーのみアクセス可能では何かと不便なのでこのポリシーは有効にしておきましょう。

以下は作成されたユーザープロファイルですが、プロパティを見るとAdministratorsが含まれています。

移動プロファイル フォルダーのユーザー所有権を確認しない

3つ目ですが、「移動プロファイル フォルダーのユーザー所有権を確認しない」の設定です。結論としては、ユーザープロファイルを自分で作成する場合は、有効にする必要があり、そうでない場合は不要です。少し煩雑なので、以下の記事をご参照ください。

GPO『移動プロファイル フォルダーのユーザー所有権を確認しない』を深堀してみた

確認してみる

さて設定ができたら、確認をしてみましょう。

user10というユーザーでサインインをした例です。「profileData」に「user10.v6」といユーザープロファイルが作成されていれば成功です。

または、クライアントから確認する場合はWindowsで「移動ユーザープロファイル」か「ローカルユーザープロファイル」かを確認する方法をご参照ください。

GPOを利用しないで移動プロファイル設定をする方法

実はGPOを利用しないで移動プロファイルの設定をする方法があります。特定の人だけを移動プロファイルにしたい場合等に活用できる方法です。以下の記事をご参照ください。

GPOを利用しない移動ユーザープロファイルの設定方法を徹底解説

Active Directory Windows Server

コメント

コメントする

目次