技術情報

【GPO設定】移動ユーザープロファイル/フォルダリダイレクト (グループポリシー)

こんにちは、Windowsインフラエンジニア ばにゃです。

移動ユーザープロファイル フォルダリダイレクト GPO設定 環境

本記事では、Windows OS 環境で 移動ユーザープロファイル / フォルダリダイレクト を行う際に必要となる、GPO設定グループポリシー設定)について解説します。

ただ単に設定を行うだけであれば、今の世の中インターネット上にいくらでも情報は転がっていますが、実際の運用環境ではあまり適切ではない情報も非常に多い ように思います。そのため本記事では、実際に私がさまざまな運用環境で行った設定を例にして解説します。

この記事でわかること
  • 移動ユーザープロファイルのグループポリシー設定
  • フォルダリダイレクトのグループポリシー設定
  • フォルダリダイレクトの「排他的な権限を与える」設定
  • ユーザープロパティのプロファイル設定

移動ユーザープロファイル/フォルダリダイレクトは、格納先フォルダに対してのアクセス権設定も非常に重要です。アクセス権設定については以下の記事にまとめていますので、こちらの記事も参考にしてください。

スポンサーリンク

前提となる環境

本記事では、以下のような環境を例として記載します。
この環境で私自身が実機動作確認済みの手順となります。

環境
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows 10
  • Windows 8.1
    ※Windows OS 全般

はじめに

構成

本記事では具体的には以下のような構成を用いて解説します。

移動ユーザープロファイル フォルダリダイレクト GPO設定 環境

ここで登場するコンピューターを以下に示します。

  • ドメインコントローラー
  • 移動ユーザープロファイル/フォルダリダイレクト適用先コンピューター
  • プロファイル格納先ファイルサーバー

また本構成のドメインコーラーで設定するOU/オブジェクト構成は以下の通りです。

  • コンピュータオブジェクトを格納するためのOUを用意
  • 上記OUに対して移動ユーザープロファイル/フォルダリダイレクトのグループポリシー設定を適用

目標とする動作

上述した構成において、以下のような動作となることを目標に設定を行います。

目標とする動作
  • 特定のOUに格納されているコンピューターにサインインする場合のみ、移動ユーザープロファイル/フォルダリダイレクトが適用される

特定の端末にサインインする場合のみ移動ユーザープロファイルを適用したいが、それ以外の端末にサインインする場合はローカルプロファイルを使用させたい、という要件を想定しています。

事前準備

OUの作成

Active Directory ユーザーとコンピューターを起動しOUを作成します。ここでは例として「Test」というOUを作成します。

移動ユーザープロファイル フォルダリダイレクト GPO設定 OU作成

コンピューターオブジェクトの格納

作成したOU配下にコンピュータオブジェクトを格納します。ここでは例として「Client01」「Server01」というコンピューターオブジェクトを格納します。

  • これらのコンピューターに対して移動ユーザープロファイル/フォルダリダイレクトを適用することになります。
移動ユーザープロファイル フォルダリダイレクト GPO設定 コンピューターオブジェクト格納

グループポリシーの作成と適用

グループポリシーを作成しOUに対して適用します。ここでは例として「Test Policy」というグループポリシーを作成し「Test」OUに適用します。

移動ユーザープロファイル フォルダリダイレクト GPO設定 グループポリシー適用

移動ユーザープロファイル GPO設定

事前準備で作成した「Test Policy」を編集し、移動ユーザープロファイル用の設定を行います。

コンピューターの構成

コンピューターの構成配下で「ユーザープロファイル」のポリシー設定を行います。ここでは例としてプロファイル格納先フォルダを「\\filerserver\profile」としています。

項目内容
パスコンピューターの構成 > 管理用テンプレート > システム > ユーザープロファイル
ポリシーこのコンピューターにログオンしているすべてのユーザーの移動プロファイルパスを設定する
設定○ 未構成
◉ 有効
○ 無効
オプションプロファイルパス:\\fileserver\profile\%userprofile%

参考までに、実際の設定画面を以下に記載します。

移動ユーザープロファイル フォルダリダイレクト GPO設定 ユーザープロファイル設定1
移動ユーザープロファイル フォルダリダイレクト GPO設定 ユーザープロファイル設定2

プロファイルパスの最後に環境変数 %username% を付けることにより「\\filerserver\profile」配下に各ユーザー名のフォルダが作成され、その配下にプロファイルが作成される動作となります。

ユーザーの構成

設定不要です。



フォルダリダイレクト GPO設定

事前準備で作成した「Test Policy」を編集し、フォルダリダイレクト用の設定を行います。

コンピューターの構成

コンピューターの構成配下で「ユーザーグループポリシーループバックの処理モードを構成する」のポリシー設定を行います。

項目内容
パスコンピューターの構成 > 管理用テンプレート > システム > グループポリシー
ポリシーユーザーグループポリシーループバックの処理モードを構成する
設定○ 未構成
◉ 有効
○ 無効
オプションモード:統合

参考までに、実際の設定画面を以下に記載します。

移動ユーザープロファイル フォルダリダイレクト GPO設定 フォルダリダイレクト設定1
移動ユーザープロファイル フォルダリダイレクト GPO設定 フォルダリダイレクト設定2
ループバック設定について

本記事で解説する構成は、グループポリシー適用先OUに格納されているオブジェクトがコンピューターオブジェクトのため、このままでは「ユーザーの構成」配下の設定が適用されません。

「ユーザーの構成」配下のグループポリシー設定をコンピューターにも適用させるために、「ユーザーグループポリシーループバックの処理モードを構成する」の設定が必要となります。

ユーザーの構成

ユーザーの構成配下で「フォルダーリダイレクト」のポリシー設定を行います。

フォルダーリダイレクトの対象として設定できるフォルダは複数ありますが、ここでは「AppData(Roaming)」を設定する場合を例として解説します。他のフォルダに対して設定する場合は「AppData(Roaming)」部分を読み替えてください。

項目内容
パスユーザーの構成 > Windowsの設定 > フォルダーリダイレクト > AppData(Roaming)
[ターゲット]タブ設定:基本 - 全員のフォルダーを同じ場所にリダイレクトする
対象のフォルダーの場所:ルートパスの下に各ユーザーのフォルダーを作成する
ルートパス:\\fileserver\profile
[設定]タブ◻ ユーザーに AppData(Roaming) に対して排他的な権限を与える
◼ AppData(Roaming) の内容を新しい場所に移動する
◻ Windows 2000、Windows 2000 Server、Windows XP、および Windows Server 2003 の各オペレーティングシステムに対してもリダイレクトポリシーを適用する

ポリシーの削除
◉ ポリシーが削除されたとき、フォルダーを新しい場所に残す
○ ポリシーが削除されたとき、フォルダーをローカルのユーザープロファイルにリダイレクトする

参考までに、実際の設定画面を以下に記載します。

移動ユーザープロファイル フォルダリダイレクト GPO設定 フォルダリダイレクト設定3
移動ユーザープロファイル フォルダリダイレクト GPO設定 フォルダリダイレクト設定4

移動ユーザープロファイルとは異なり、パスの設定に %userprofile% は不要です。

排他的な権限ついて

ユーザーに~に対して排他的な権限を与える」を有効にしている場合、管理者も対象フォルダにアクセスできなくなってしまうため、運用面を考慮してこの設定は無効にします(チェックを外す)。

ただし、このままでは管理者以外の一般ユーザーでもアクセスできてしまうため、こちらの記事を参考に適切なアクセス権設定を行ってください。

参考情報

Microsoft ドキュメント

Microsoft のサイト「移動ユーザー プロファイルの展開」の「手順 4:オプションで移動ユーザー プロファイルの GPO を作成する」も参考にしてください。

ユーザーオブジェクトの設定

移動ユーザープロファイルの設定はユーザーオブジェクトのプロパティからも設定可能ですが、グループポリシーによる設定と比較すると、運用面での管理が非常に煩雑になってしまうため、こちらでは設定することは少ないかと思います。

ユーザーオブジェクトの設定
  • 「プロファイル」タブ設定
  • 「リモートデスクトップサービスのプロファイル」タブ設定
移動ユーザープロファイル フォルダリダイレクト GPO設定 ユーザーオブジェクトの設定1
移動ユーザープロファイル フォルダリダイレクト GPO設定 ユーザーオブジェクトの設定2

また上記設定では、どのような環境にサインインした場合でも移動ユーザープロファイル設定が適用されてしまい、サインイン先の環境に応じて動作を変更することができないため注意が必要です。

参考書籍

本記事で解説した移動ユーザープロファイル/フォルダリダイレクト設定は、VDIやリモートデスクトップ環境で非常によく使用される方式です。VDIやリモートデスクトップの概念、構築手順について詳しい情報が必要な場合におすすめの書籍です。

created by Rinker
¥3,520 (2021/06/15 13:48:31時点 Amazon調べ-詳細)

にほんブログ村 IT技術ブログへ
にほんブログ村


コメント