ねこまるの AD フリーク

【Windows】固定ユーザー プロファイルとは?一般的な機能と設定手順について

Windows

Windows OS では、1 台の PC を複数のユーザーが利用できるように構成されています。
ユーザーごとに設定情報や所有するファイルなどを管理しています。
このユーザーごとに管理されたデータを、ユーザー プロファイルと呼びます。

ユーザー プロファイルの概要については、以下の記事で紹介しております。

関連記事
【Windows】ユーザー プロファイルとは?基本的な構成と仕組みについて

Windows OS では、1 台の PC を複数のユーザーが利用できるように構成されています。 複数のユーザーが同じ端末を利用する際に、ユーザーが利用するファイルやアプリケーションの設定をユーザーごとに分けて管理すると便利です。 Wi[…]

ユーザー プロファイルの種類の中に「固定ユーザー プロファイル」があります。
今回は、固定ユーザー プロファイルの特徴や設定手順について紹介します。

 

目次

固定ユーザー プロファイルとは?

固定ユーザー プロファイルとは、複数のユーザーで共通で利用する固定のプロファイルを利用する構成のことです。

ユーザーはログオンする際に、ファイル共有から固定プロファイルをロードして、ローカルに展開します。
Windows OS でユーザー プロファイルは、%SystemDrive%\Users\<ユーザー名> に展開されます。

ローカルに展開したプロファイルを、読み込んでログオン処理が完了し、デスクトップ画面が表示されます。ユーザーがログオン中に、ファイルを新規に作成したり、個人設定を変更したとしても、ユーザー プロファイル内の変更はログオフ時に保存されません。常に固定ユーザー プロファイルで設定した状態のプロファイルがログオン時にロードされます。

常に同じユーザー環境でコンピューターを利用させたい場合などに便利な設定となります。
コール センターなど日雇い労働者が働く、人員流動が多い環境で利用されていたりします。

 

 

プロファイルのファイル共有

固定ユーザー プロファイルでは、固定プロファイルはファイル共有上に公開されています。
そのため、固定ユーザー プロファイルを構成する場合、公開先となるファイル共有を準備します。

固定ユーザー プロファイルでは、プロファイルの変更は保存されないため、ファイル共有上に公開されている固有プロファイルに変更が加えられることはありません。そのため、固定プロファイルの格納先のファイル共有は、 DFS やクラスターで構成されたサーバー上で展開しても問題ないです。この点に関して、移動ユーザープロファイルのような制約はありません。

ユーザー プロファイルの格納先となるファイル共有には、共有アクセス許可の設定にて everyone に対して “フルコントロール” を与えて公開します。誰でも参照できるファイル共有上に、ユーザー プロファイルを保存する形となりますが、固定プロファイルの内容が誰かに変更されてしまうと問題です。

そのため、固定プロファイルのセキュリティ設定については、NTFS アクセス権において制御しています。

ユーザー名

アクセス権

適用対象

SYSTEM

フルコントロール

このフォルダ、サブフォルダ、ファイル

Administrators

フルコントロール

このフォルダ、サブフォルダ、ファイル

利用ユーザー

フルコントロール

このフォルダ、サブフォルダ、ファイル

上記の通りに NTFS アクセス権が割り当てられているので、悪意のある第三者にユーザー プロファイルを参照されたり、内容を編集されたりすることはありません。

 

固定ユーザー プロファイルの設定

固定ユーザー プロファイルの設定にあたり、まずは「固定プロファイル」を用意する必要があります。
複数のユーザーで共有で利用する固定プロファイルには、ユーザーに依存する情報が含まれていることは望ましくありません。
そのため、固定プロファイルは、既定プロファイル」をコピーして作成します
固定プロファイルを作成した後に、各ユーザーのユーザー プロファイルの設定を行います。

固定プロファイルの格納先となるファイル共有を準備したら、以下の手順で設定を行います。

  1. 固定ユーザー プロファイルの作成
  2. ユーザー プロファイルの設定

各設定の詳細手順は以下の通りです。

① 固定ユーザー プロファイルの作成

固定プロファイルは、「既定プロファイル」をコピーして作成します。
固定プロファイルのマスターデータとする「既定プロファイル」をもつ端末上でコピーの作業を行います。

1) 管理者権限で固定プロファイルのマスター データとする「既定プロファイル」がある端末に管理者権限をもつユーザーでログオンします。

2) [ファイル名を指定して実行] を開き、sysdm.cpl と入力して [OK] をクリックします。

3) [詳細設定] にて [ユーザー プロファイル] の項目にて [設定] をクリックします。

4) [ユーザー プロファイル] の項目にて、[既定のプロファイル] を選択して [コピー先] をクリックします。

 

5) [コピー先] にて、[プロファイルのコピー先] に固定プロファイルの保存先の UNC パスを指定します。
    また、[コピー先] にて、[使用を許可するユーザー/グループ] を指定します。
    ここには固定ユーザー プロファイルを指定するユーザー/グループを指定してます。

\\<ファイルサーバー>\<ファイル共有>\mandatory.V6

上記のパスの設定の場合、mandatory.V6 というフォルダがファイル共有先にコピーされます。
mandatory.V6 のフォルダが「固定プロファイル」となります。
.V6」の部分には固定プロファイルを使用するクライアント OS のプロファイルのバージョン番号を指定します。
また、[使用を許可するユーザー/グループ] に指定したアカウントに対して、NTFS アクセス権にてフルコントロールの許可を与えられます。

 

6) [コピー先] にて、[OK] をクリックします。

7) 固定プロファイルを保存したファイル共有があるサーバーに管理者権限をもつユーザーでログオンします。

8) エクスプローラーを開き、「固定プロファイル」のフォルダを開きます。

9) プロファイル内の “ntuser.dat” を “ntuser.man” にリネームします。

 

 

② ユーザー プロファイルの設定変更

ユーザー プロファイルの設定にて、固定プロファイルのパスを指定します。
ユーザー プロファイルの指定方法としては、(1)ユーザーのプロパティ画面(2)グループ ポリシーの設定の 2 通りがあります。いずれかの方法で、ユーザー プロファイルのパスに「固定プロファイル」の UNC パスを指定します。

(1) ユーザーのプロパティ画面

対象のユーザーのプロパティにて、ユーザー プロファイルの UNC パスを「固定プロファイル」に変更します。

1) 任意のドメイン コントローラーに管理者権限をもつユーザーでログオンします。
2) [Windows 管理ツール] より [Active Directory ユーザーとコンピューター] を開きます。
3) [Active Directory ユーザーとコンピューター] より、設定対象となるユーザー アカウントをダブルクリックしてプロパティ画面を開きます。
4) [プロファイル] タブを選択し、[プロファイル パス] に 移動ユーザー プロファイルの UNC パスを指定します。

\\<ファイルサーバー>\<ファイル共有>\mandatory

 

5) [適用]、[OK] をクリックします。

 

(2) グループ ポリシーの設定

グループ ポリシーにて、ユーザー プロファイルの UNC パスを「固定プロファイル」に変更します。
ポリシーはコンピューターに対して適用し、当該コンピューターにログオンした全てのユーザーに対して、固定ユーザープロファイルを利用される動作になります。

パス:[コンピューターの構成] – [管理用テンプレート] – [システム] – [ユーザー プロファイル]
ポリシー:[このコンピュータにログオンしているすべてのユーザーの移動プロファイル パスを設定する]
設定:有効
 

オプションにある [このコンピューターにログオンしているユーザーは、この移動プロファイル パスを使用] にファイル共有のパスを指定します。

\\<ファイルサーバー>\<ファイル共有>\mandatory

 

 

固定ユーザー プロファイルの利用状況の確認

固定ユーザー プロファイルは、ログオン時にファイル共有から「固定プロファイル」をロードしてローカル上に展開して利用します。ログオン中に変更された内容は、ログオフ時にファイル共有上に保存されません。再びログオンした時に、再度、ファイル共有から「固定プロファイル」をロードしてローカル上に展開して利用します。

ユーザーが正しく固定プロファイルを利用しているかどうかは、[ユーザー プロファイル] の管理画面を表示します。

※ 上記の画面で、プロファイルの [種類] と [状態] が “固定” となっていることを確認します。

 

固定プロファイルを利用している場合も、ユーザーがログオフ後にプロファイルのキャッシュは残ります。このローカルに残っているプロファイルのキャッシュは、ユーザーがログオン中に変更した内容も残っています。
しかしながら、次回のログオン時に、またファイル共有から「固定プロファイル」をロードするため、端末のローカルに残るキャッシュは不要なデータと捉えることができます。

以下のポリシーを設定すると、ユーザーのプロファイルのキャッシュが残らないように構成することができます。固定プロファイルを構成しており、端末に多数のユーザーがログオンする環境の場合、不要なプロファイルのキャッシュが残ってしまって、ディスクを逼迫する恐れもありますので、以下のポリシーにてキャッシュが残さない構成にすることをおすすめします。

パス:[コンピューターの構成] – [管理用テンプレート] – [システム] – [ユーザー プロファイル]
ポリシー:[一時記憶された移動プロファイルのコピーを削除する]
設定:有効

 

 

デフォルト プロファイルのカスタマイズ

固定プロファイルを設定する際には、「既定プロファイル」のデータをコピーします。
そのため、固定プロファイルの内容をカスタマイズしたい場合は、まず「既定プロファイル」をカスタマイズする必要があります。

Default フォルダの内容を直接変更するのは、サポートされた方法ではありません。
既定プロファイルをカスタマイズするには、CopyProfile を有効にして Sysprep を利用して行います。

CopyProfile で既定プロファイルをカスタマイズする手順は以下の通りです。

  1. 応答ファイルの準備
  2. 既定プロファイルのカスタマイズ

詳細な手順を紹介します。

① 応答ファイルの準備

まずは Sysprep の応答ファイルを作成します。
応答ファイルの作成の作業は、Default プロファイルをカスタマイズする(Sysprep をする)端末以外で行ってください。

1) Windows ADK をインストールします。
以下のマイクロソフトの公開情報より、Windows ADK のインストーラー(adksetup.exe)をダウンロードします。

Windows ADK のダウンロードとインストール
https://docs.microsoft.com/ja-jp/windows-hardware/get-started/adk-install

2) adksetup.exeを実行し、インストールを開始します。

3) 場所の指定画面が表示されます。[次へ] ボタンをクリックします。

 

4) Windowsキットプライバシー画面が表示されます。匿名の使用状況データの送信に同意するか選択し、[次へ]をクリックします。

5) 使用許諾契約画面が表示されます。内容に同意する場合は、[同意する]をクリックします。

6) 下記のような画面が表示されます。[Deployment Tools] のみチェックを入れて、[インストール] をクリックします。

 

7) インストール完了後、[閉じる]をクリックします。

8) Windows 10 x64 のインストール メディア (.iso ファイル) を指して、ISO ファイル内の source フォルダは以下の install.wim ファイルを任意のフォルダに保存します。

 

9) スタートメニューより、[Windows Kits] – [Windows システム イメージマネージャー] を開きます。

10) メニューの [ファイル] – [Windows イメージの選択] をクリックします。

 

11) ローカルに保存した install.wim を選択して、[開く] をクリックします。

 

12) [イメージの選択] にて、対象のエディションを選択して [OK] をクリックします。

 

13) “Windows イメージ Windows 10 Enterprise のカタログ ファイルは次の理由のため開けませんでした” と表示されたら [はい] をクリックします。

 

14) カタログ ファイルが作成されるまで待機します。

 

15) カタログ ファイルが作成されたことを確認します。

 

16) [応答ファイル] の項目にて、右クリックして [新しい応答ファイル] をクリックします。

17) [Windows イメージ] の項目にて、[Windows 10 <エディション>] – [Components] の下の Microsoft-Windows-Shell-Setup を右クリックして [パス 4 specialize に設定を追加] をクリックします。

 

18) プロパティの編集画面にて、CopyProfile の項目にて “True” を選択します。

 

19) メニューにて、[ファイル] – [応答ファイルを保存] をクリックします。

20) [名前を付けて保存] にて、ファイル名(拡張子 xml) と保存先のフォルダを指定して [保存] をクリックします。

21) 作成した応答ファイルを利用して、既定プロファイルを編集します。

 

 

② 既定プロファイルのカスタマイズ

1) ボリューム ライセンスのインストール メディアを使用して、Window 10 x64 のクリーン インストールを行います。

2) OS インストール完了直後、タスク スケジューラを起動し、[Microsoft] – [Windows] – [AppxDeploymentClient] – [Pre-staged app cleanup] タスクを無効化にします。

3) BitLocker が自動的に開始される場合がございますので、コントロール パネルの [BitLocker ドライブ暗号化] から、暗号化を解除します。

4) 管理者権限にてコマンドをプロンプトを開きます。

5) 以下のコマンドを実行して、カスタマイズを行うモードである「監査モード」起動します。

C:\Windows\System32\Sysprep\sysprep.exe /generalize /reboot /audit /unattend:<応答ファイル>

※<応答ファイル>は、フルパスを指定してください。

6) OS が起動したら、既定プロファイルに反映したい設定変更を行います。
「監査モード」にて起動した状態で、ショートカットの設定やインターネットのお気に入りの設定、ソフトウェアのインストールなどは sysprep 実行後に初期化されることなく、設定変更が反映された状態で利用できます。

7) 設定変更が完了したら、管理者権限にてコマンドをプロンプトを開き、以下のコマンドを実行して、OOBE モードで sysprep を実行します。

C:\Windows\System32\Sysprep\sysprep.exe /generalize /shutdown /OOBE /unattend:<応答ファイル>

※<応答ファイル> には、作成した応答ファイルのフルパスを入れます。

 

これらの一覧の手順により、デフォルト ユーザー プロファイルの設定に手順 4 にて行った設定変更が反映されます。