オラクる。

oracle専門ブログにしてみようかな~っと

2014年07月

GPOを利用することで、次のタイミングでスクリプトを実行することが出来ます。

・スタートアップ時
・ログオン時
・ログオフ時
・シャットダウン時

 2_000028

ログオン、ログオフ時のスクリプト実行設定は、「ユーザーの構成」→「ポリシー」→「Windowsの設定」→「スクリプト(ログイン/ログオフ)で行ないます。

2_000029

スタートアップ/シャットダウン時のスクリプト実行設定は、「コンピューターの構成」→「ポリシー」→「Windowsの設定」→「スクリプト」(スタートアップ/シャットダウン)で行ないます。

2_000030

例えば、こちらはログオンスクリプトの実行設定画面です。
追加ボタンをクリックして、実行するスクリプトを追加します。

2_000032

参照をクリックして、スクリプトの実行パスを指定します。

2_000033

スクリプトを選択して「開く」ボタンをクリックします。

2_000034

OKボタンをクリックします。

2_000035

スクリプトが追加されました。 

ドメインユーザーに移動プロファイルを設定して、そのユーザーでログインすると新しいフォルダが移動プロファイルの格納先と指定したネットワーク共有に作成されます。
しかし、そのフォルダは該当のドメインユーザーしかアクセスできません。
たとえ、ドメイン管理者であろうと移動プロファイルのフォルダにアクセスしようとすると・・・
 
2_000015

上記のようなアクセス許可が無いことを示すメッセージが表示されます。

2_000014

ただし、ドメイン管理者が同名のフォルダを前もって作成しておけば、移動プロファイルのフォルダにアクセスすることが出来ます。
しかし、この場合、ドメイン管理者だけでなく全てのドメインユーザーが移動プロファイルのフォルダにアクセス出来てしまうようです。
自分のデスクトップが他人に見られてしまう。
あんまり気分の良くないことです。

2_000026

GPOでその問題を解消する手段もあります。
まずは「コンピューターの構成」→「管理用テンプレート」→「システム」→「ユーザープロファイル」を開きます。
そこで表示されるポリシーの中で以下を有効にします。

・Administrators セキュリティグループを移動ユーザープロファイルに追加する
・移動プロファイルフォルダーのユーザー所有権を確認しない 
 
そうすることで、前もって移動プロファイル用のフォルダを作成しなくても、ドメイン管理者でもアクセス出来るフォルダが作成されます。

2_000028

前もってフォルダを作成した場合のアクセス許可です。
Everyoneにフルコントロールが付いているので危険です。

2_000027

GPOで制御した場合のアクセス許可設定です。
移動プロファイル利用ユーザーとドメイン管理者のみにフルコントロールのアクセス許可が与えられています。 

このページのトップヘ