移動ユーザー・プロファイルの使用を検討する
拠点が分かれる場合,例えば東京本社と大阪支社間のいずれの場所でも業務を遂行する必要があるユーザーも存在するだろう。どちらから使用した場合も同様のプロファイルが使用できるよう,移動ユーザー・プロファイルを採用するのもよいだろう。
Windowsユーザーはデフォルトでは,PC内にローカルに保持されたプロファイルに基づいて毎回同じ設定のデスクトップ画面へログオンできる。これをローカル・プロファイルと呼ぶ。しかし,別のクライアントへログオンした際には,新しいプロファイルが作成され,新しい環境が作成されてしまう。また,クライアント端末のディスクやOSが壊れた際には,今まで使用してきた環境が使えなくなってしまう。
一方,移動ユーザー・プロファイルでは,ローカルに保存していたプロファイルの情報を,ユーザーがログオフするとともにサーバー上の共有フォルダに保存する。ユーザーがログオンした際は,プロファイルをダウンロードするような仕組みになっている。これを使えば,どのクライアントから接続しても,同じアカウント情報でログオンする限り同一のプロファイルを利用できる。
移動ユーザー・プロファイルを使用すると,どのクライアントからログオンした場合も,同様の環境を利用できる上,クライアント環境が破損した場合も,サーバーにデータや環境設定があるため,損害を抑えられる。欠点としては,マイドキュメントを含めたすべての情報がプロファイルとしてサーバー上に保存されるため,トラフィックやディスク容量などといった面でサーバーやネットワークに負荷がかかることが挙げられる。特に,会社の始業時間に社員が一斉にログオンするような状況では,特にネットワーク負荷が高くなり,ログオンできなくなることもあるので注意したい。
 △ 図をクリックすると拡大されます |
| 図6●移動ユーザー・プロファイルに必要な設定 |
この際に重要なのは,プロファイル・パスおよびホーム・フォルダの設定だろう。プロファイル・パスには先ほど作成した共有フォルダに「自分のユーザー名」を追加し,「\\<サーバー名>\profile\<ユーザー名>」のように指定するとよい。ホーム・フォルダは先ほどの欠点を補うためマイドキュメントをリダイレクトさせるような用途に使用する。このフォルダ名の指定も同様に「\\<サーバー名>\homefolder\<ユーザー名>」のように行う。<ユーザー名>のところには%username%という変数を入れておけば,自動的にそのユーザーの名前が入力される。共有フォルダには適切なアクセス権限を割り当てる。共有アクセス権は,Authenticated Usersにフル・コントロール,NTFSアクセス権にはAdministratorsおよびSystemにフル・コントロールの権限を与えるとよい。これで,プロファイルの作成時に自動的に各ユーザー用にアクセス権が割り当てられる。なお,管理者にも権限が与えられないため,必要に応じて設定を変更する必要があるかもしれない。
マイドキュメントなど各種フォルダのリダイレクトはグループ・ポリシーにて行う。リダイレクトが必要なユーザーのOUにGPO(グループ・ポリシー・オブジェクト)を定義し,「ユーザーの構成\Windowsの設定\フォルダリダイレクト」の画面から設定する(図6-2)
パスワード・ポリシーは特別なので注意
ユーザーの増加やセキュリティ要件の変化などの影響により,パスワード・ポリシーの設計も重要になってくる。Windows Server 2003によるパスワード・ポリシーは,デフォルトである程度の制限がかけられているが,Windows NT 4.0やWindows 2000からのアップデートの場合は改めて設定する必要がある。
パスワード・ポリシーはグループ・ポリシーで定義する。しかし,一般的なグループ・ポリシーのように継承させるという概念は無く,ドメインに対して1つのポリシーしか設定できない。つまり,アカウントによってポリシーを変化させることはできない。これは,ドメインというセキュリティ境界内に複数のパスワード・ポリシーを共有させると,より弱いパスワード・ポリシーを持ったアカウントがぜい弱になってしまうためである。
具体的に定義する場所は,ドメインのルートになる。すなわち「Default Domain Policy」が定義されている場所だ。それ以外の場所で定義したパスワード・ポリシーはそのオブジェクトに所属するコンピュータのローカル・アカウントに適用されてしまうので,注意してほしい。
グループ・ポリシー設定にはGPMCを使う
グループ・ポリシーは元々Windows NT 4.0に実装されていたシステム・ポリシーと呼ばれる機能を強化したものとして,Windows 2000に導入された。前身であるシステム・ポリシーも,レジストリやプロファイルの設定などを簡単に管理するための機能として実装され,現在でもWindows 9x系やWindows NT 4.0などのレガシーOS向けに機能は残されている。
グループ・ポリシーはWindows 2000以降のクライアントで使用でき,これによりレジストリ,セキュリティ設定,ソフトウエアのインストール,スクリプトの実行——などをより効率的に実行できる。新しいマイクロソフト管理コンソール(MMC)スナップインなどの提供により,管理機能も充実したものとなっている。
グループ・ポリシーの設定には,グループ・ポリシー管理コンソール(GPMC)というツールを利用するとよい。GPMCでは,クライアントへのポリシーの適用結果の確認やポリシー一覧の表示など,グラフィカルな管理機能が提供される。グループ・ポリシーのバックアップ,復元,インポート,エクスポートなども行える。なお,GPMCはマイクロソフトのWebサイトからダウンロード可能だ。
グループ・ポリシーには,(1)ローカル,(2)サイト,(3)ドメイン,(4)OU——という4つの適用ポイントがある。特別な設定が無い限り,列挙した順に定義されたグループ・ポリシーが上書きで適用されていく。ポリシーが適用されるタイミングはコンピュータの起動直後および定期的なポーリング間隔による。デフォルトではドメイン・コントローラの場合は5分,メンバー・コンピュータの場合は90~120分となる。これは「コンピュータの構成\管理用テンプレート\システム」にある[コンピュータのグループポリシーの更新間隔]または[ドメインコントローラのグループ・ポリシーの更新間隔]にて設定変更が可能だ。
起動時のコンピュータ・ポリシー適用は,ログオン・ダイアログ表示前に終了する。しかし,Windows XPにおいては高速ログオン機能が有効になっているため,コンピュータ・ポリシーの適用を待たずにログオン・ダイアログが表示されてしまうことがある。この状態では適用されないグループ・ポリシーが発生することがあるため注意が必要だ。
この設定を回避するためには,「コンピュータの構成\管理用テンプレート\システム\ログオン」にある[コンピュータの起動およびログオンで常にネットワークを待つ]ポリシーを設定するとよいだろう。
