フォルダーリダイレクトでユーザープロファイルを管理する:基礎から分かるグループポリシー再入門(12)(2/2 ページ)
「グループポリシー」には、サーバー管理やセキュリティ対策だけでなく、クライアント管理に活用できるものも多く存在する。今回は、クライアント管理に役立つポリシーの一つ「フォルダーリダイレクト」を紹介する。
フォルダーリダイレクトを設定する
それでは、フォルダーリダイレクトの具体的な設定方法を説明しよう。なお、設定画面はユーザープロファイルのデータ全種類で共通となる。フォルダーリダイレクトを設定するには、まず「グループポリシーの管理」管理ツールの左ペインで、任意のデータの種類を右クリックして「プロパティ」を開く(画面1)。
「プロパティ」を開くと表示される「ターゲット」タブの「設定」欄で、「基本−全員のフォルダーを同じ場所にリダイレクトする」「詳細設定−ユーザーグループ別に場所を指定する」「構成されていません」のいずれかを選択する。
「構成されていません」は通常のグループポリシー設定の「未構成」と同じであるため、ここでは「基本」か「詳細設定」のどちらかを選択する。共有フォルダーの配下に全員のプロファイルをまとめて保存したい場合には「基本」、ユーザーが所属するグループに基づいて共有フォルダーの場所を変えたい場合には「詳細設定」を選択すればよい。
今回は「基本」を選択して説明を進める。「基本」を選択した場合は、次に「対象フォルダーの場所」と「ルートパス」を指定する。筆者がオススメする「対象フォルダーの場所」は、「ルートパスの下に各ユーザーのフォルダーを作成する」設定だ。これを選択した場合は、「ルートパス」で共有フォルダーのパスを指定しておけば、その配下にユーザー名と項目名のフォルダーが自動的に作成されるようになる。設定時には、どのようなパスに変更されるかが画面上に表示されるので、パスに誤りがないことも併せて確認しよう。
フォルダーリダイレクトで注意してほしいのが「アクセス設定」だ。筆者のオススメ設定では、ユーザー名のフォルダーが自動的に作成され、そのユーザーだけがアクセスできるようにアクセス許可も構成されるので、ユーザー名のフォルダーとその配下については問題ない。
注意しなければならないのは「ルートの共有フォルダー」に対するアクセス設定になる。ルートの共有フォルダーは自動的に作成されないため、サーバー管理者が用意する必要がある。また、ルートの共有フォルダーには「NTFSアクセス許可」に加え、「共有アクセス許可」の設定も必要になる。フォルダーリダイレクトではユーザープロファイルのパスを変更するため、クライアントからのネットワークアクセスが行われるからだ。対象ユーザーに対して追加する2種類のアクセス設定は、以下の表1のようになる。
アクセス許可の種類 | 追加が必要なアクセス許可 |
---|---|
NTFSアクセス許可 | フォルダーの一覧/データの読み取り、フォルダーの作成/データの追加 − このフォルダーのみ |
共有アクセス許可 | フルコントロール |
表1 ルートの共有フォルダーに既定の設定から追加が必要なアクセス許可 |
フォルダーリダイレクトの構成を確認する
フォルダーリダイレクトの設定が完了したら、グループポリシーが適用されるユーザーアカウントを使ってクライアントコンピューターにログオンする。そして、「エクスプローラー」の左ペインで「デスクトップ」を右クリックして「プロパティ」を開き、「リンク先」を確認してみよう(画面2)。フォルダーリダイレクトのポリシーで指定したパスに変更されているはずだ。
さらに、ユーザープロファイルが既定で保存される場所である「C:¥Users¥<ユーザー名>」フォルダーの配下を見てみると、ここには「デスクトップ」がなくなっていることが分かる(画面3)。
ここで、プロファイルを格納したファイルサーバーと通信できない場合にはどうなるのか疑問に思うだろう。例えば、使用するコンピューターがノートPCの場合、外出時に持ち出すこともある。その場合、リダイレクトされたパスにはネットワークを通じてアクセスすることができない。しかし、安心していただきたい。外出時でも特に意識することなく、リダイレクトされたプロファイルはそのまま利用できるのだ。
その理由は、フォルダーリダイレクトではプロファイルのパスを変更しているだけでなく、「オフラインファイル」の構成も同時に行っているからである。オフラインファイルは共有フォルダーに保存された内容をローカルにキャッシュとして保持することで、ネットワークに接続されていなくても、あたかも接続されているかのように利用できる機能である。
そのため、プロファイルデータはローカルコンピューター内にも存在しており、ネットワーク接続できない(オフライン)の場合にはこのキャッシュが利用される。もちろん、キャッシュに対して変更を加えることも可能で、変更された内容は次回ネットワーク接続時にサーバーにアップロードされて整合性が保たれるようになっている。「コントロールパネル」の「同期センター」を開くと、オフラインファイルとして構成されていることを確認できる(画面4)。
今回は、クライアントコンピューターに存在するデータの一例として、ユーザープロファイルの管理に役立つポリシーを紹介した。クライアントコンピューター上のデータを完全にゼロにするのは難しいと思うし、逆に全てのデータを管理者が管理するのも難しいだろう。今回はユーザープロファイルの管理を紹介したが、クライアントコンピューター上にはこの他にもさまざまなデータが存在する。管理者がどこまで面倒を見るか、ということも検討しながら活用してほしい。
- 「アカウントポリシー」でユーザーのパスワード設定を定義する
- 「管理用テンプレート」を拡張してアプリケーションの設定をカスタマイズする
- 「ポリシー」と「基本設定」の違いを理解する
- グループポリシーで「ストアアプリ」をインストールする
- コントロールパネルの設定項目をカスタマイズする
- Windows 10でグループポリシー設定を利用するには
- グループポリシーでファイルやフォルダー、レジストリを操作する
- ログオンスクリプトをグループポリシーに置き換えるには?
- フォルダーリダイレクトでユーザープロファイルを管理する
- グループポリシーで利用させる/利用させない「サービス」を柔軟に制御する
- これだけはやっておきたい! 基本的なサーバー管理に役立つグループポリシー設定
- イベントビューアーでセキュリティ監査を行うためのグループポリシー設定
- “必要ないもの/使わないもの”は無効化し、クライアントのセキュリティを向上させる
- クライアントのセキュリティを強化するグループポリシー設定
- グループポリシーでアプリケーションの実行を制御する
- セキュリティの強化に役立つグループポリシー設定
- まだあるぞ! グループポリシーの“鉄板”設定パート2
- すぐに使えるグループポリシーの“鉄板”設定
- グループポリシーを確実に運用するには
- グループポリシーの仕組み、理解できていますか?
筆者紹介
新井 慎太朗(あらい しんたろう)
株式会社ソフィアネットワークに所属。2009年よりマイクロソフト認定トレーナーとして、Windowsを中心としたサーバーおよびクライアント管理、仮想化技術に関するトレーニングを提供している。無類の猫好き。共同執筆者である国井家で飼われている猫に夢中。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- Active Directoryのアカウントロック解除/パスワードリセットをセルフサービス化、ゾーホージャパン
ドメインユーザー自身で、Active Directoryのアカウントロック解除パスワードリセットを行える環境を整え、情報システム部門やITヘルプデスクの対応工数を大幅に削減する。 - ゾーホー、「ManageEngine ADManager Plus」を提供開始
人事異動や組織改編などがあるたびに求められるActive Directory管理作業。機能が限定された支援ツールが多い中、複数の支援機能を搭載した低価格なActive Directory管理ツールが登場した。 - Active Directoryドメインをアップグレードする
Active Directoryドメインの移行には、「ドメインをアップグレードする」と「ドメインを再編して、オブジェクトを移行する」の2パターンがある。今回は「ドメインをアップグレードする」場合の手順を解説する。 - Windows Server 2012 R2で行こう!
本稿では、Windows Server 2003から最新のWindows Server 2012 R2へ移行する理由やメリットについて取り上げる。 - 改訂 管理者のためのActive Directory入門(Windows Server 2003対応改訂版)
Active Directory基礎連載を、Windows Server 2003対応に改訂。今回は、ディレクトリサービスの基礎を概説。