Windows Q&Aの目次はこちら
Q

Active Directoryを利用していますが,各クライアントを新規に利用するユーザーのデスクトップ環境を,管理者が推奨した内容に統一したいと考えています。どのような方法があるでしょうか?

A


△ 図をクリックすると拡大されます
図3●Windowsは決められた手順でログオン時にユーザー・プロファイルを探す
 Windowsのドメイン環境では,ユーザー・プロファイルを図3の順で探し,必要に応じてローカルにコピーします(参照サイト)。

 新規ユーザーがログオンした場合のユーザー・プロファイルを管理者が設定したい場合,(1)ローカルにある既定のデフォルト・プロファイルを変更する,(2)ドメイン・コントローラ(DC)上のデフォルト・プロファイルを設定する,(3)移動プロファイルや固定プロファイルでユーザーごとにデフォルト・プロファイルを設定する――の3種類が考えられます。

ローカルやサーバーの既定値を変更
 対象となるマシンの台数が少なかったり,イメージのコピーで大量展開したりする場合は(1)の方法が簡単です。

 サーバーやローカルに既存のプロファイルが存在しない場合,新規にログオンしたユーザーのプロファイルはローカルにあるデフォルト・プロファイル・フォルダ(通常はC:\Documents and Settings\Default User)をコピーして作成されます。このデフォルト・プロファイルの内容を変更するという方法です。


△ 図をクリックすると拡大されます
図4●ひな形となるユーザーのプロファイルをデフォルトのユーザー・プロファイル・フォルダにコピーすれば,そのマシンの新規ユーザーの初期操作環境を変更できる
 まず,プロファイルのひな形としたいユーザー・アカウント(制限ユーザーなどでもよい)でログオンし必要な設定をした後,いったんログオフします。それから管理者権限を持つアカウントで再ログオンし,システムのプロパティにある[ユーザープロファイル]からコピーします(図4)。ひな形として作成したプロファイル名を選択し,[プロファイルのコピー先]としてデフォルト・プロファイル・フォルダを,[利用するユーザー/グループ]にEveryoneグループを選択します。なお,C:\Documents and Settings\DefaultUserのフォルダは隠しフォルダのため,事前にフォルダ・オプションで表示させる設定にしておきましょう。詳細はマイクロソフトのサポート技術情報を参照してください(319974305709,)。

 (2)は,ドメイン全体で使う既定のデフォルト・プロファイル・フォルダを設定する方法です。Windowsのドメイン環境でDC上のNETLOGON共有フォルダ内に"Default User"フォルダを作成すると,ローカルより優先してデフォルト・プロファイルとして利用されます。

 実際の作業は,途中まで(1)と同様の手順で,プロファイルのコピー先フォルダ名を指定する際に「\\\NETLOGON\Default User」とします。事前に\\\NETLOGONフォルダに手動でDefault Userフォルダを作成しておくことが必要です。NETLOGON共有はすべてのDCに複製同期されます。このため,複数のDCが存在する環境でも1つのDC上のNETLOGON共有に設定すれば,他のDCに自動的に反映されます。

 この(2)の方法ではドメインに所属する全クライアントに同一のデフォルト・プロファイルが適用されます。そのため,異なるOSのプロファイルを設定した場合は,意図しない設定が反映される場合がある点に注意してください。

ユーザー別は移動プロファイルを利用
 最後の(3)は,ネットワーク上の共有フォルダに管理者が設定したプロファイルを保存して,新規ログオン時にそのプロファイルをコピーさせる方法です。(2)と違いユーザーごとに個別のプロファイルを用意して設定内容を変えられます。

 この方式には,移動プロファイルと固定プロファイルがあります。移動プロファイルはユーザーが変更した内容をログオフ時に共有フォルダに反映しますが,固定プロファイルはユーザーが設定を変更しても保存されずログオン時の設定は固定されます。このため,初めてログオンするときの設定のみを統一し,変更を許可する場合は移動プロファイルを,常に同じ環境で使わせたい場合は固定プロファイルを利用します。

 移動プロファイルでは,ユーザーのプロパティ画面にある[プロファイル]タブで[プロファイルパス]に共有フォルダのUNCパスを設定します。それから該当する共有フォルダに対して(1)と同じ方法で,対象とするユーザー・アカウントを指定しながらひな形のプロファイルをコピーします。

 固定プロファイルは,移動プロファイルと同様に作業し,共有フォルダにコピーされたファイルのうちNTUser.datというファイルをNTUser.manと拡張子を変更するだけで利用可能です。

スクリプトと併用しグループ別も可能
 (3)の方法を応用すれば,特定のグループ別にデフォルト・プロファイルを設定こともできます。移動プロファイルとスクリプトを組み合わせて,グループごとに利用する移動プロファイルを設定し,最初のログオン時に各クライアント側で読み込んだ後はローカル・プロファイルとして保存するように設定を変更するスクリプトを実行します。

 まずグループごとに利用可能な移動プロファイルを作成するため,ネットワーク上の共有フォルダにプロファイルをコピーします。その際,プロファイルを利用するユーザー/グループには対象のセキュリティ・グループを指定します。


△ 図をクリックすると拡大されます
図5●移動プロファイルとログオン・スクリプトを併用すればグループ別に初期プロファイルを切り替えられる
 次に指定したセキュリティ・グループのメンバーとなっている各ユーザー・アカウントにある[プロファイルパス]を,通常の移動プロファイルと同様に共有フォルダのUNCパスを設定します。次いで,ログオン・スクリプトを[プロファイルパス]の下にある[ログオンスクリプト]か,GPOを利用して設定します(図5)。

 このスクリプトでは,クライアント側で設定されるユーザー・プロファイルの種類をローカル・プロファイルに変更しています。これにより,クライアント側でログオフ時に共有フォルダにプロファイルを書き戻さなくなります。

 念のために,各ユーザーが移動プロファイルを再度変更する危険性をなくしたい場合は,システムのプロパティ画面自体を非表示させるグループ・ポリシーと併用するとよいでしょう。既にログオン済みでプロファイルがローカルにあるユーザーに関しては,[プロファイルパス]を空欄にして移動プロファイル設定を解除すれば,通常のユーザーとして運用できます。

 なお,クライアントがWindows XPの場合は,GPOにある[コンピュータの構成]-[管理用テンプレート]-[システム]-[ユーザープロファイル]にある[移動プロファイルへの変更をサーバーに伝達しない]も使えます。

 この項目を有効に設定すれば,ログオン時にロードした移動プロファイルをログオフ時に統合して書き戻さず,次回ログオン時に以前の移動プロファイルをそのまま再ロード可能です。

小鮒 通成