こんにちは、Windowsインフラエンジニア ばにゃです。
本記事では、Windows OS 環境で 移動ユーザープロファイル / フォルダリダイレクト を行う際に必要となる、GPO設定(グループポリシー設定)について解説します。
ただ単に設定を行うだけであれば、今の世の中インターネット上にいくらでも情報は転がっていますが、実際の運用環境ではあまり適切ではない情報も非常に多いように思います。そのため本記事では、実際に私がさまざまな運用環境で行った設定を例にして解説します。
- 移動ユーザープロファイルのグループポリシー設定
- フォルダリダイレクトのグループポリシー設定
- フォルダリダイレクトの「排他的な権限を与える」設定
- ユーザープロパティのプロファイル設定
移動ユーザープロファイル/フォルダリダイレクトは、格納先フォルダに対してのアクセス権設定も非常に重要です。アクセス権設定については以下の記事を参考にしてください。
前提となる環境
本記事では、以下のような環境を例として記載します。この環境で私自身が実機動作確認済みの手順となります。
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
- Windows 10
- Windows 8.1
※Windows OS 全般
はじめに
構成
本記事では具体的には以下のような構成を用いて解説します。
ここで登場するコンピューターを以下に示します。
- ドメインコントローラー
- 移動ユーザープロファイル/フォルダリダイレクト適用先コンピューター
- プロファイル格納先ファイルサーバー
また本構成のドメインコーラーで設定するOU/オブジェクト構成は以下の通りです。
- コンピュータオブジェクトを格納するためのOUを用意
- 上記OUに対して移動ユーザープロファイル/フォルダリダイレクトのグループポリシー設定を適用
目標とする動作
上述した構成において、以下のような動作となることを目標に設定を行います。
- 特定のOUに格納されているコンピューターにサインインする場合のみ、移動ユーザープロファイル/フォルダリダイレクトが適用される
特定の端末にサインインする場合のみ移動ユーザープロファイルを適用したいが、それ以外の端末にサインインする場合はローカルプロファイルを使用させたい、という要件を想定しています。
事前準備
OUの作成
Active Directory ユーザーとコンピューターを起動しOUを作成します。ここでは例として「Test」というOUを作成します。
コンピューターオブジェクトの格納
作成したOU配下にコンピュータオブジェクトを格納します。ここでは例として「Client01」「Server01」というコンピューターオブジェクトを格納します。
このOUに格納したコンピューターに対して移動ユーザープロファイル/フォルダリダイレクトを適用することになります。
グループポリシーの作成と適用
グループポリシーを作成しOUに対して適用します。ここでは例として「Test Policy」というグループポリシーを作成し「Test」OUに適用します。
移動ユーザープロファイル GPO設定
事前準備で作成した「Test Policy」を編集し、移動ユーザープロファイル用の設定を行います。
コンピューターの構成
コンピューターの構成配下で「ユーザープロファイル」のポリシー設定を行います。ここでは例としてプロファイル格納先フォルダを「\\filerserver\profile」としています。
| 項目 | 内容 |
|---|---|
| パス | コンピューターの構成 > 管理用テンプレート > システム > ユーザープロファイル |
| ポリシー | このコンピューターにログオンしているすべてのユーザーの移動プロファイルパスを設定する |
| 設定 | ○ 未構成 ◉ 有効 ○ 無効 |
| オプション | プロファイルパス:\\fileserver\profile\%userprofile% |
参考までに、実際の設定画面を以下に記載します。
プロファイルパスの最後に環境変数 %username% を付けることにより「\\filerserver\profile」配下に各ユーザー名のフォルダが作成され、その配下にプロファイルが作成される動作となります。
ユーザーの構成
ユーザーの構成配下のポリシーは設定不要です。
フォルダリダイレクト GPO設定
事前準備で作成した「Test Policy」を編集し、フォルダリダイレクト用の設定を行います。
コンピューターの構成
コンピューターの構成配下で「ユーザーグループポリシーループバックの処理モードを構成する」のポリシー設定を行います。
| 項目 | 内容 |
|---|---|
| パス | コンピューターの構成 > 管理用テンプレート > システム > グループポリシー |
| ポリシー | ユーザーグループポリシーループバックの処理モードを構成する |
| 設定 | ○ 未構成 ◉ 有効 ○ 無効 |
| オプション | モード:統合 |
ループバック設定について
本記事で解説する構成では、グループポリシー適用先OUに格納されているオブジェクトがコンピューターオブジェクトとなります。この場合「ユーザーの構成」配下の設定がコンピューターオブジェクトに対して適用されません。コンピューターオブジェクトに対して「ユーザーの構成」配下のポリシーを適用させる場合「ユーザーグループポリシーループバックの処理モードを構成する」の設定が必要となります。
参考までに、実際の設定画面を以下に記載します。
ユーザーの構成
ユーザーの構成配下で「フォルダーリダイレクト」のポリシー設定を行います。
フォルダーリダイレクトの対象として設定できるフォルダは複数ありますが、ここでは「AppData(Roaming)」を設定する場合を例として解説します。他のフォルダに対して設定する場合は「AppData(Roaming)」部分を読み替えてください。
| 項目 | 内容 |
|---|---|
| パス | ユーザーの構成 > Windowsの設定 > フォルダーリダイレクト > AppData(Roaming) |
| [ターゲット]タブ | 設定:基本 - 全員のフォルダーを同じ場所にリダイレクトする 対象のフォルダーの場所:ルートパスの下に各ユーザーのフォルダーを作成する ルートパス:\\fileserver\profile |
| [設定]タブ | ◻ ユーザーに AppData(Roaming) に対して排他的な権限を与える ◼ AppData(Roaming) の内容を新しい場所に移動する ◻ Windows 2000、Windows 2000 Server、Windows XP、および Windows Server 2003 の各オペレーティングシステムに対してもリダイレクトポリシーを適用する ポリシーの削除 ◉ ポリシーが削除されたとき、フォルダーを新しい場所に残す ○ ポリシーが削除されたとき、フォルダーをローカルのユーザープロファイルにリダイレクトする |
参考までに、実際の設定画面を以下に記載します。
移動ユーザープロファイルとは異なり、パスの設定に %userprofile% は不要です。
排他的な権限ついて
「ユーザーに~に対して排他的な権限を与える」を有効にしている場合、管理者も対象フォルダにアクセスできなくなってしまうため、運用面を考慮してこの設定は無効にします(チェックを外す)。ただし、このままでは管理者以外の一般ユーザーでもアクセスできてしまうため、以下の記事を参考に適切なアクセス権設定を行ってください。
参考情報
Microsoft ドキュメント
Microsoft のサイト「移動ユーザー プロファイルの展開」の「手順 4:オプションで移動ユーザー プロファイルの GPO を作成する」も参考にしてください。
- 移動ユーザー プロファイルの展開
https://docs.microsoft.com/ja-jp/windows-server/storage/folder-redirection/deploy-roaming-user-profiles
ユーザーオブジェクトの設定
移動ユーザープロファイルの設定はユーザーオブジェクトのプロパティからも設定可能ですが、グループポリシーによる設定と比較すると、運用面での管理が非常に煩雑になってしまうため、こちらで設定することはおすすめしません。
この設定では、どのような環境にサインインした場合でも移動ユーザープロファイル設定が適用されてしまい、サインイン先の環境に応じて動作を変更することができません。
- 「プロファイル」タブ設定
- 「リモートデスクトップサービスのプロファイル」タブ設定
参考書籍
本記事で解説した移動ユーザープロファイル/フォルダリダイレクト設定は、VDIやリモートデスクトップ環境で非常によく使用される方式です。VDIやリモートデスクトップの概念、構築手順について詳しい情報が必要な場合におすすめの書籍です。
コメント