移動プロファイルをGPOで構成する場合、「移動プロファイル フォルダーのユーザー所有権を確認しない」を有効にしなさい、といった解説記事が多々あります。ただ、何故有効にする必要があるのか、疑問だったので掘り下げて確認してみました。
グループポリシー(GPO)の作成と適用手順
「グループポリシーて何?」という方は「グループポリシーの作成と適用手順」Active Directoryをフル活用して端末を完全制御しちゃおう!!で細かい説明をしていますのでご参照ください。実例を用いて説明をしていますので、全くの初心者でもグルーポプリシーが自由に扱えるようになります。
ポリシーの場所
まずは、該当のポリシーの場所ですが、下記に示す通りです。
ポリシー:移動プロファイル フォルダーのユーザー所有権を確認しない
パス:コンピューターの構成 ⇒ 管理用テンプレート ⇒ システム ⇒ ユーザープロファイル
ポリシーを未構成にした場合
「移動プロファイル フォルダーのユーザー所有権を確認しない」が未構成の状態だとどのような不都合があるのか検証してみます。以下の2パターンで事象が異なります。
移動プロファイルを自動作成させるパターン
移動プロファイルは指定したディレクトリに自動で作成されます。例えば、user1で新規でサインインをした場合に、指定したディレクトリにuser1というフォルダ名でuser1のプロファイルが作成されます。
このパターンの場合だと、「移動プロファイル フォルダーのユーザー所有権を確認しない」を有効にしなくても問題が生じませんでした。(未構成のままでOK)
移動プロファイルを自分で作成するパターン
2つ目のパターンは、事前に移動プロファイルを作成するパターンです。user1でサインインする前に指定のディレクトリにuser1というフォルダを作っておきます。
このパターンの場合は下記の通りエラーとなりました。
右下に「移動プロファイルに問題がありました。以前に保存されたローカルプロファイルでサインインしています。イベントログで詳細を確認するか、管理者に問い合わせてください。」とエラーがでます。
イベントログのエラーです。
移動プロファイルを読み込めなかったため、ローカル プロファイルでログオンしようとしています。プロファイルへの変更は、ログオフするときにサーバーにコピーされません。正しいセキュリティが設定されていないプロファイル フォルダーのサーバー コピーが既にあるため、プロファイルを読み込めませんでした。現在のユーザーまたは Administrators グループがフォルダーの所有者でなければなりません。
エラーの内容は、プロファイルの所有権が「サインインをしたユーザー」または「Administratorsグループ」でないからダメということです。
ちなみに所有権は、セキュリティの詳細設定で確認できます。下記の例では、user6.V6のセキュリティの詳細設定確認画面です。
ポリシーを有効にした場合
移動プロファイルを自分で作成する場合エラーとなったので、移動プロファイルを自分で作成するパターンで「移動プロファイル フォルダーのユーザー所有権を確認しない」を有効にしてみたいと思います。
結果、エラーとならずに、自分で作成した移動プロファイルにアクセスが可能となりました。(当然ですが、移動プロファイルにアクセスするユーザーのセキュリティ権限は付与する必要があります。所有権とセキュリティ権限は別物)
参考までに以下は、ポリシーの詳細説明の引用です。
このポリシー設定によって、ユーザーの移動ユーザー プロファイル フォルダーに対する、より高度なセキュリティの既定設定が無効になります。
管理者がユーザーの移動プロファイルを構成すると、ユーザーが次にログインするときにプロファイルが作成されます。プロファイルは管理者が指定した場所に作成されます。
Windows 2000 Professional SP4 より前、または Windows XP SP1 より前のオペレーティング システムでは、新しく生成されたプロファイルの既定のファイル アクセス許可は、ユーザーにはフル コントロールが許可され、administrators グループにはファイル アクセスは許可されません。プロファイル フォルダーが既に存在する場合、正しいアクセス許可に対しては確認が行われません。Windows Server 2003 ファミリ、Windows 2000 Professional SP4 および Windows XP SP1 では、既定ではプロファイル フォルダーが既に存在する場合は正しいアクセス許可に対してはフォルダーを確認し、アクセス許可が正しくない場合は移動フォルダーにファイルをコピーしたり、移動フォルダーからファイルをコピーしたりしません。
このポリシー設定を構成することで、この処理を変更できます。
このポリシー設定を有効にした場合、フォルダーが存在するときにはフォルダーのアクセス許可は確認されなくなります。
このポリシー設定を無効にするか、または構成しない場合で、さらに移動プロファイル フォルダーが存在してユーザーまたは administrators グループがフォルダーの所有者ではない場合は、移動フォルダーにファイルをコピーしたり移動フォルダーからファイルをコピーしたりしません。エラー メッセージが表示され、エントリがイベント ログに書き込まれます。キャッシュされたプロファイルがない場合は、キャッシュされたユーザー プロファイルが使用されるか、一時プロファイルが発行されます。
注: 移動プロファイルの作成時にファイルの共有アクセス許可を設定するのはクライアント コンピューターであるため、ポリシー設定はサーバーではなくクライアント コンピューターで構成される必要があります。
注: このポリシー設定が有効になっているときの動作は、Windows 2000 Professional SP4 より前のバージョン、および Windows XP Professional のときの動作と同じです。
まとめ
移動プロファイルの仕様が「サインインユーザーまたは administrators グループがフォルダーの所有者ではない場合利用できない」となっています。難しいところが、所有権がadministrators グループに所属するユーザーでもダメだという点です。したがって、移動プロファイルを自分で作成する場合は、必ず「移動プロファイル フォルダーのユーザー所有権を確認しない」を有効にしてください、移動プロファイルが自動生成される構成の場合は、未構成でも問題ありません。ただ、前述した移動プロファイルの仕様は頭に入れておくべきです。
コメント