オラクる。

oracle専門ブログにしてみようかな~っと

カテゴリ: Active Directory

ドメインユーザーに移動プロファイルを設定して、そのユーザーでログインすると新しいフォルダが移動プロファイルの格納先と指定したネットワーク共有に作成されます。
しかし、そのフォルダは該当のドメインユーザーしかアクセスできません。
たとえ、ドメイン管理者であろうと移動プロファイルのフォルダにアクセスしようとすると・・・
 
2_000015

上記のようなアクセス許可が無いことを示すメッセージが表示されます。

2_000014

ただし、ドメイン管理者が同名のフォルダを前もって作成しておけば、移動プロファイルのフォルダにアクセスすることが出来ます。
しかし、この場合、ドメイン管理者だけでなく全てのドメインユーザーが移動プロファイルのフォルダにアクセス出来てしまうようです。
自分のデスクトップが他人に見られてしまう。
あんまり気分の良くないことです。

2_000026

GPOでその問題を解消する手段もあります。
まずは「コンピューターの構成」→「管理用テンプレート」→「システム」→「ユーザープロファイル」を開きます。
そこで表示されるポリシーの中で以下を有効にします。

・Administrators セキュリティグループを移動ユーザープロファイルに追加する
・移動プロファイルフォルダーのユーザー所有権を確認しない 
 
そうすることで、前もって移動プロファイル用のフォルダを作成しなくても、ドメイン管理者でもアクセス出来るフォルダが作成されます。

2_000028

前もってフォルダを作成した場合のアクセス許可です。
Everyoneにフルコントロールが付いているので危険です。

2_000027

GPOで制御した場合のアクセス許可設定です。
移動プロファイル利用ユーザーとドメイン管理者のみにフルコントロールのアクセス許可が与えられています。 

Active Directoryの移動プロファイル機能を利用すると、ADユーザーのデスクトップやドキュメントにあるファイルをローカルディスク上ではなく、ネットワーク共有上に格納することが出来ます。
そのため、同じユーザーが他のコンピューターにログインしても同じファイルを参照することが出来ます。

2_000012

ADユーザーとコンピューターを開きます。
移動プロファイルを利用したいユーザーやグループで右クリックして、プロパティを選択します。

2_000017
 
プロファイルタブのプロファイルパスにユーザーデータを格納したいネットワーク共有を指定します。
%username%を付与することで、ユーザー名のフォルダが作成されます。

2_000014
 
設定したユーザーがログインすると、ネットワーク共有配下に「ユーザー名.v2」のフォルダが作成されました。
ここにユーザーデータが格納されます。

2_000015

ちなみに管理者が、そのフォルダにアクセスしようとするとアクセス拒否のメッセージが出てしまいます。
これを解消する手段もあります。 

フォルダーリダイレクト機能を利用するとユーザーのドキュメントやお気に入りをローカルディスクではなく、共有フォルダに配置することが出来ます。
そうすることによって、あるユーザーが違うコンピュータにサインインしても同じドキュメントやお気に入りを見ることが出来ます。
利用する仮想マシンが変わるかもしれない仮想デスクトップ環境では有用な機能です。

2_000008

フォルダーリダイレクト機能はGPOで制御します。
フォルダーリダイレクト機能を利用したいOUに設定されているGPOを編集します。

2_000009

GPOの編集画面から「ユーザーの構成」→「ポリシー」→「Windowsの設定」→「フォルダーリダイレクト」を開きます。
フォルダーリダイレクトの設定が可能なフォルダ名の一覧が表示されています。

2_000010

フォルダーリダイレクトを行ないたいフォルダを右クリックして、プロパティを選択します。

2_000011

 プロパティが開くので、「対象のフォルダーの場所」で「ルートパスの下に各ユーザーのフォルダを作成する」を選択します。
ルートパスとして共有フォルダをUNCパスで作成します。

このように設定することによって、設定した共有フォルダに各ユーザーのフォルダが作成され、 そこにフォルダーリダイレクトされたデーターが配置されます。

前回紹介したADMX、ADMLファイルはPolicyDefinitionsフォルダにコピーしても、他のドメインコントローラには複製されません。
1つのドメインにドメインコントローラが複数ある場合は、 PolicyDefinitionsフォルダを他のドメインコントローラに手動でコピーする必要があります。
また、何か修正を行った場合は、再度フォルダの内容をコピーする必要があります。

ADMX、ADMLファイルを他のドメインコントローラに自動で複製させたい場合は、ADMX、ADMLファイルをセントラルストアと呼ばれる場所に格納します。
また、GPOはセントラルストアに格納されているADMX、ADMLを優先的に参照するので、修正内容は自動的に他のドメインコントローラにも反映されるようになります。
セントラルストアの配置場所は%systemroot%\SYSVOL\sysvol\(ドメイン名)\Policiesになります。

2_000005

前回ADMX/ADMLを配置したc:\windows\PolicyDefinitionsの内容をコピーして・・・

2_000006
 
c:\Windows\SYSVOL\sysvom\(ドメイン名)\Policiesにコピーします。

2_000007

ここでコピーした内容は他のドメインコントローラにも自動的に反映されます。 

サービスを起動するためのアカウント「管理されたサービスアカウント」を作成してみます。
「管理されたサービスアカウント」はパスワードが自動的に更新されるので、パスワード管理の煩雑さから開放されると同時に、セキュリティを高めることが出来ます。
操作はPowerShellから行ないます。

flex_001231
 
まずはルートキーを作成します。
Add-KdsRootKeyでルートキーを作成し、Get-KdsRootKeyで確認しています。
また、ルートキーは既定では10時間後に有効になるので、 -EffectiveTime ((get-date).addhours(-10))を付与して、すぐにキーが有効になるようにしています。

flex_001238

New-ADServiceAccountでサービスアカウントを作成します。

flex_001239

 Get-ADServiceAccountで作成したサービスアカウントを確認できます。
実際、サービスアカウントとして利用するアカウント名はSamAccountNameに記載されています。

flex_001240
 
また、Managed Service Accontsコンテナーにも作成したサービスアカウントが表示されています。

flex_001241
 
Set-ADServiceAccountでサービスアカウントを利用するホスト名を指定します。
-PrincipalsAllowedRetrieveManagedPasswordパラメータで指定しています。

flex_001242
 
さて、サービスアカウントを利用するホストにログインし、Install-ADServiceAccountでサービスアカウントを利用可能にします。
なお、 Install-ADServiceAccountを利用するには、Windows PowerShell の Active Directory モジュールをインストールしておく必要があります。

flex_001243

実際にIISのアプリケーションプールのアカウントとして指定します。
アプリケーションプールを右クリックして、詳細設定を選択します。

flex_001244

プロセスモデルのIDの右にある「...」をクリックします。

flex_001245

カスタムアカウントを選択して、設定ボタンをクリックします。
ユーザ名にサービスアカウント名を指定します。
(ドメイン名)\サービスアカウント名+「$」
で指定しています。

flex_001246

指定されたことを確認してOKボタンをクリックします。

flex_001247
 
アプリケーションプールのアカウントにサービスアカウントが指定されました。
 

このページのトップヘ