フォルダーリダイレクトでユーザープロファイルを管理する：基礎から分かるグループポリシー再入門（12）（2/2 ページ）

[新井慎太朗，株式会社ソフィアネットワーク]

フォルダーリダイレクトを設定する

　それでは、フォルダーリダイレクトの具体的な設定方法を説明しよう。なお、設定画面はユーザープロファイルのデータ全種類で共通となる。フォルダーリダイレクトを設定するには、まず「グループポリシーの管理」管理ツールの左ペインで、任意のデータの種類を右クリックして「プロパティ」を開く（画面1）。

画面1　「グループポリシーの管理」管理ツールの「フォルダーリダイレクト」から「デスクトップ」のプロパティを開いた画面

　「プロパティ」を開くと表示される「ターゲット」タブの「設定」欄で、「基本−全員のフォルダーを同じ場所にリダイレクトする」「詳細設定−ユーザーグループ別に場所を指定する」「構成されていません」のいずれかを選択する。

　「構成されていません」は通常のグループポリシー設定の「未構成」と同じであるため、ここでは「基本」か「詳細設定」のどちらかを選択する。共有フォルダーの配下に全員のプロファイルをまとめて保存したい場合には「基本」、ユーザーが所属するグループに基づいて共有フォルダーの場所を変えたい場合には「詳細設定」を選択すればよい。

　今回は「基本」を選択して説明を進める。「基本」を選択した場合は、次に「対象フォルダーの場所」と「ルートパス」を指定する。筆者がオススメする「対象フォルダーの場所」は、「ルートパスの下に各ユーザーのフォルダーを作成する」設定だ。これを選択した場合は、「ルートパス」で共有フォルダーのパスを指定しておけば、その配下にユーザー名と項目名のフォルダーが自動的に作成されるようになる。設定時には、どのようなパスに変更されるかが画面上に表示されるので、パスに誤りがないことも併せて確認しよう。

　フォルダーリダイレクトで注意してほしいのが「アクセス設定」だ。筆者のオススメ設定では、ユーザー名のフォルダーが自動的に作成され、そのユーザーだけがアクセスできるようにアクセス許可も構成されるので、ユーザー名のフォルダーとその配下については問題ない。

　注意しなければならないのは「ルートの共有フォルダー」に対するアクセス設定になる。ルートの共有フォルダーは自動的に作成されないため、サーバー管理者が用意する必要がある。また、ルートの共有フォルダーには「NTFSアクセス許可」に加え、「共有アクセス許可」の設定も必要になる。フォルダーリダイレクトではユーザープロファイルのパスを変更するため、クライアントからのネットワークアクセスが行われるからだ。対象ユーザーに対して追加する2種類のアクセス設定は、以下の表1のようになる。

アクセス許可の種類	追加が必要なアクセス許可
NTFSアクセス許可	フォルダーの一覧／データの読み取り、フォルダーの作成／データの追加 − このフォルダーのみ
共有アクセス許可	フルコントロール
表1　ルートの共有フォルダーに既定の設定から追加が必要なアクセス許可

フォルダーリダイレクトの構成を確認する

　フォルダーリダイレクトの設定が完了したら、グループポリシーが適用されるユーザーアカウントを使ってクライアントコンピューターにログオンする。そして、「エクスプローラー」の左ペインで「デスクトップ」を右クリックして「プロパティ」を開き、「リンク先」を確認してみよう（画面2）。フォルダーリダイレクトのポリシーで指定したパスに変更されているはずだ。

画面2　エクスプローラーで「デスクトップ」の「プロパティ」を確認すると、「リンク先」がポリシーで指定したパスに変更されている

　さらに、ユーザープロファイルが既定で保存される場所である「C:￥Users￥＜ユーザー名＞」フォルダーの配下を見てみると、ここには「デスクトップ」がなくなっていることが分かる（画面3）。

画面3　エクスプローラーで「C:￥Users￥＜ユーザー名＞」フォルダーを開くと、「デスクトップ」がなくなっている

　ここで、プロファイルを格納したファイルサーバーと通信できない場合にはどうなるのか疑問に思うだろう。例えば、使用するコンピューターがノートPCの場合、外出時に持ち出すこともある。その場合、リダイレクトされたパスにはネットワークを通じてアクセスすることができない。しかし、安心していただきたい。外出時でも特に意識することなく、リダイレクトされたプロファイルはそのまま利用できるのだ。

　その理由は、フォルダーリダイレクトではプロファイルのパスを変更しているだけでなく、「オフラインファイル」の構成も同時に行っているからである。オフラインファイルは共有フォルダーに保存された内容をローカルにキャッシュとして保持することで、ネットワークに接続されていなくても、あたかも接続されているかのように利用できる機能である。

　そのため、プロファイルデータはローカルコンピューター内にも存在しており、ネットワーク接続できない（オフライン）の場合にはこのキャッシュが利用される。もちろん、キャッシュに対して変更を加えることも可能で、変更された内容は次回ネットワーク接続時にサーバーにアップロードされて整合性が保たれるようになっている。「コントロールパネル」の「同期センター」を開くと、オフラインファイルとして構成されていることを確認できる（画面4）。

画面4　「同期センター」でデータの同期状況や結果を確認できる

　今回は、クライアントコンピューターに存在するデータの一例として、ユーザープロファイルの管理に役立つポリシーを紹介した。クライアントコンピューター上のデータを完全にゼロにするのは難しいと思うし、逆に全てのデータを管理者が管理するのも難しいだろう。今回はユーザープロファイルの管理を紹介したが、クライアントコンピューター上にはこの他にもさまざまなデータが存在する。管理者がどこまで面倒を見るか、ということも検討しながら活用してほしい。

「基礎から分かるグループポリシー再入門」バックナンバー

• 「アカウントポリシー」でユーザーのパスワード設定を定義する
• 「管理用テンプレート」を拡張してアプリケーションの設定をカスタマイズする
• 「ポリシー」と「基本設定」の違いを理解する
• グループポリシーで「ストアアプリ」をインストールする
• コントロールパネルの設定項目をカスタマイズする
• Windows 10でグループポリシー設定を利用するには
• グループポリシーでファイルやフォルダー、レジストリを操作する
• ログオンスクリプトをグループポリシーに置き換えるには？
• フォルダーリダイレクトでユーザープロファイルを管理する
• グループポリシーで利用させる／利用させない「サービス」を柔軟に制御する
• これだけはやっておきたい！ 基本的なサーバー管理に役立つグループポリシー設定
• イベントビューアーでセキュリティ監査を行うためのグループポリシー設定
• “必要ないもの／使わないもの”は無効化し、クライアントのセキュリティを向上させる
• クライアントのセキュリティを強化するグループポリシー設定
• グループポリシーでアプリケーションの実行を制御する
• セキュリティの強化に役立つグループポリシー設定
• まだあるぞ！ グループポリシーの“鉄板”設定パート2
• すぐに使えるグループポリシーの“鉄板”設定
• グループポリシーを確実に運用するには
• グループポリシーの仕組み、理解できていますか？

筆者紹介

新井 慎太朗（あらい しんたろう）

株式会社ソフィアネットワークに所属。2009年よりマイクロソフト認定トレーナーとして、Windowsを中心としたサーバーおよびクライアント管理、仮想化技術に関するトレーニングを提供している。無類の猫好き。共同執筆者である国井家で飼われている猫に夢中。