どうもミツシマです。


今回はWindowsの移動ユーザープロファイルについて確認の為検証してみました。


検証環境は以下の通り
仮想環境:Virtual Box 5.2.22
DC:Windows Server2012R2
PC:Windows7 32bit


とりあえず通常通りに設定してみる
DCにログインし、管理ツールから「ActiveDirectoryユーザーとコンピューター」を開く。
ユーザーのプロパティより「プロファイル」ー「ユーザープロファイル」ー「プロファイルパス」にて以下の設定実施
パス:¥¥ad-sv¥share¥profile¥%USERNAME%
※環境変数の%USERNAME%を使用することで自動で変換してくれます
スクリーンショット 2019-03-13 21.40.54


移動ユーザープロファイルのデータを置く共有フォルダのアクセス権は以下の通りに設定済み
共有アクセス権: everyoneフルコントロール
NTFSアクセス権: SYSTEMフルコントロール
Administraotorsフルコントロール
Domain Users書き込み権限まで

設定完了したら、実際にPCでログインを実施。
以下のフォルダが作成され、無事移動ユーザープロファイルの設定は出来た!!
スクリーンショット 2019-03-13 21.43.58


が、、、これだと「SYSTEM」と該当のユーザー(ここだとuser11)にしかアクセス権がなく、管理者がフォルダの中身を除く事が出来ない!!
スクリーンショット 2019-03-13 21.45.49

ちなみに所有権も該当ユーザー・・・・
スクリーンショット 2019-03-13 21.46.01



調べてみるとこんな時のためにグループポリシーがあるようなので、早速設定。
設定するグループポリシーは以下の通り

[コンピューターの構成]-[ポリシー]-[管理用テンプレート]-[システム]-[ユーザープロファイル]-[Administratorsセキュリティグループを移動ユーザープロファイルに追加する]を「有効」に設定
※色々調べてみると[移動プロファイルフォルダーのユーザー所有者を確認しない]も有効化した方がいいような情報が出ているが、検証の為ひとまずこちらは未構成のままに。


グループポリシーを作成、PCが所属しているOUにリンク後、PCにてgpupdateを実施し再起動!
もう一度新規ユーザーでログインを試してみると今度はAdministratorsもフルコントロール権限が付与されていてしっかりとフォルダの中身も確認出来る!!
スクリーンショット 2019-03-13 22.42.02

※所有権は該当ユーザー(ここだとuser12)でした。


ひとまずは正常に設定は出来たので、ここから更なる検証へ。
新規ログイン時に既にフォルダがあった場合にはどんな動きをするのか?検証

先に以下の通りにフォルダを作成した後、ログインしてみると・・・・
スクリーンショット 2019-03-13 22.08.15
スクリーンショット 2019-03-13 22.10.07


一時プロファイルにならずに一応プロファイルが読み込めているように見えるが、フォルダプロパティを確認してみるとおかしいことに気付く、、、
スクリーンショット 2019-03-13 22.11.12
左が共有フォルダ上にあるプロファイル内のアクセス権で、右がローカルデスクトップのアクセス権

比較してわかる通り、共有フォルダ上のプロファイル内のアクセス権は上位のフォルダ(ここだと事前に手動作成した「user14.V2」フォルダ)から継承してきている模様
見ての通り書き込み権限までしかない為、ログオフ時にちらっと移動プロファイルの同期エラーのようなメッセージが表示された。
再度、ログインしてデスクトップを比較してみると

スクリーンショット 2019-03-13 22.11.45

書き込み権限しかないため、tmpファイルがそのまま残ってしまっている!!


というわけで事前にフォルダ作成していると移動プロファイルは上手く動作するが、その後の動作はアクセス権次第ということかな〜〜と思われる。(アクセス権自体も上位フォルダから継承されてくる模様)


最後にコマンドでユーザー作成時に移動ユーザープロファイルを設定する場合はこんな感じかな〜と
===
dsadd user "cn=user 15,ou=LOCAL,dc=local,dc=mitsushima,dc=work" -samid "user15" -upn "user15@local.mitsushima.work" -ln "user" -fn "15" -display "user 15" -pwd "<パスワード>" -pwdneverexpires yes -canchpwd no -profile "¥¥ad-sv¥share¥profile¥user15"
===


以上で今回の検証は終了!


検証結果
1.移動ユーザープロファイルデータを置く共有フォルダのアクセス権は、該当ユーザーの書き込み権限以上が必要
2.運用面を考慮して、グループポリシー[Administratorsセキュリティグループを移動ユーザープロファイルに追加する]は有効にした方がいい ※ポリシーがコンピューターの構成のため、PCが所属するOUに紐付ける
3.事前にフォルダを作成した場合で、そのフォルダの所有者がAdministratorsであり、かつ、[移動プロファイルフォルダーのユーザー所有者を確認しない]が「未構成」でも移動プロファイル自体は動作する。所有者よりもアクセス権の方が動作には大事な模様
※もしかしたら、上記ポリシーは古いWindowsOSの時には重要だったのかも。。。( ̄∇ ̄)


上記より、本番環境では[Administratorsセキュリティグループを移動ユーザープロファイルに追加する]を有効にして、フォルダは自動生成されるように運用した方がいいと感じました!!
スポンサードリンク