ドメインユーザーに移動プロファイルを設定して、そのユーザーでログインすると新しいフォルダが移動プロファイルの格納先と指定したネットワーク共有に作成されます。
しかし、そのフォルダは該当のドメインユーザーしかアクセスできません。
たとえ、ドメイン管理者であろうと移動プロファイルのフォルダにアクセスしようとすると・・・
上記のようなアクセス許可が無いことを示すメッセージが表示されます。
ただし、ドメイン管理者が同名のフォルダを前もって作成しておけば、移動プロファイルのフォルダにアクセスすることが出来ます。
しかし、この場合、ドメイン管理者だけでなく全てのドメインユーザーが移動プロファイルのフォルダにアクセス出来てしまうようです。
自分のデスクトップが他人に見られてしまう。
あんまり気分の良くないことです。
GPOでその問題を解消する手段もあります。
まずは「コンピューターの構成」→「管理用テンプレート」→「システム」→「ユーザープロファイル」を開きます。
そこで表示されるポリシーの中で以下を有効にします。
・Administrators セキュリティグループを移動ユーザープロファイルに追加する
・移動プロファイルフォルダーのユーザー所有権を確認しない
そうすることで、前もって移動プロファイル用のフォルダを作成しなくても、ドメイン管理者でもアクセス出来るフォルダが作成されます。
前もってフォルダを作成した場合のアクセス許可です。
Everyoneにフルコントロールが付いているので危険です。
GPOで制御した場合のアクセス許可設定です。
移動プロファイル利用ユーザーとドメイン管理者のみにフルコントロールのアクセス許可が与えられています。
しかし、そのフォルダは該当のドメインユーザーしかアクセスできません。
たとえ、ドメイン管理者であろうと移動プロファイルのフォルダにアクセスしようとすると・・・
上記のようなアクセス許可が無いことを示すメッセージが表示されます。
ただし、ドメイン管理者が同名のフォルダを前もって作成しておけば、移動プロファイルのフォルダにアクセスすることが出来ます。
しかし、この場合、ドメイン管理者だけでなく全てのドメインユーザーが移動プロファイルのフォルダにアクセス出来てしまうようです。
自分のデスクトップが他人に見られてしまう。
あんまり気分の良くないことです。
GPOでその問題を解消する手段もあります。
まずは「コンピューターの構成」→「管理用テンプレート」→「システム」→「ユーザープロファイル」を開きます。
そこで表示されるポリシーの中で以下を有効にします。
・Administrators セキュリティグループを移動ユーザープロファイルに追加する
・移動プロファイルフォルダーのユーザー所有権を確認しない
そうすることで、前もって移動プロファイル用のフォルダを作成しなくても、ドメイン管理者でもアクセス出来るフォルダが作成されます。
前もってフォルダを作成した場合のアクセス許可です。
Everyoneにフルコントロールが付いているので危険です。
GPOで制御した場合のアクセス許可設定です。
移動プロファイル利用ユーザーとドメイン管理者のみにフルコントロールのアクセス許可が与えられています。
コメント