Windows OS では、1 台の PC を複数のユーザーが利用できるように構成されています。
ユーザーごとに設定情報や所有するファイルなどを管理しています。
このユーザーごとに管理されたデータを、ユーザー プロファイルと呼びます。
ユーザー プロファイルの概要については、以下の記事で紹介しております。
Windows OS では、1 台の PC を複数のユーザーが利用できるように構成されています。 複数のユーザーが同じ端末を利用する際に、ユーザーが利用するファイルやアプリケーションの設定をユーザーごとに分けて管理すると便利です。 Wi[…]
ユーザー プロファイルの種類の中に “移動ユーザー プロファイル” があります。
今回は、移動ユーザー プロファイルの特徴や設定手順について紹介します。
移動ユーザー プロファイルとは
移動ユーザー プロファイルとは、ユーザー プロファイルをファイル共有上に保存する構成のことです。
ユーザーがログオンする際に、ファイル共有からプロファイルにロードして、ローカルに展開します。
Windows OS でユーザー プロファイルは、%SystemDrive%\Users\<ユーザー名> に展開されます。
ローカルに展開したプロファイルを、読み込んでログオン処理が完了し、デスクトップ画面が表示されます。
また、ログオフの際に、ローカルの展開されたプロファイルをアンロードして、ファイル共有に保存します。
PC にログオン中に変更された内容はファイル共有に保存されるので、別の PC にログオンしても同じ環境(PC 設定、アプリケーション設定、デスクトップ背景など)を利用することができます。
学校に配置されているコンピューター ルームなど、ユーザーが複数の端末を使用するような環境で利用されます。移動ユーザー プロファイルを利用することで、どの端末にログオンしても、自分自身のデータや設定が適用されます。
プロファイルのファイル共有
移動ユーザー プロファイルでは、ユーザー プロファイルをファイル共有上に保存されます。
そのため、移動ユーザー プロファイルを構成する場合、格納先となるファイル共有を準備します。
プロファイルの格納先となるファイル共有では、Windows 端末がいつアクセスしてもデータが一意である必要があります。
つまり、DFS やクラスターで構成されたファイル共有を保存先とするのは推奨される構成ではありません。
ユーザー プロファイルの格納先となるファイル共有には、共有アクセス許可の設定にて、everyone に対して “フルコントロール“ を与えて公開します。誰でも参照できるファイル共有上に、ユーザー プロファイルを保存する形となりますが、ユーザー プロファイルの内容が誰でも参照できてしまうと問題です。
ユーザー プロファイルのセキュリティ設定については、NTFS アクセス権において制御しています。
ユーザー プロファイルに割り当てられる NTFS のアクセス権の設定は以下の通りです。
|
ユーザー名 |
アクセス権 |
適用対象 |
|
SYSTEM |
フルコントロール |
このフォルダ、サブフォルダ、ファイル |
|
Administrators |
フルコントロール |
このフォルダのみ |
|
作成者/所有者 |
フルコントロール |
サブフォルダ、ファイルのみ |
|
利用ユーザー |
フォルダーの一覧表示/データの読み取り |
このフォルダのみ |
上記の通りに NTFS アクセス権が割り当てられているので、第三者にユーザー プロファイルを参照されたり、内容を編集されたりすることはありません。
移動ユーザー プロファイルの設定
移動ユーザー プロファイルの設定は、以下の 2 通りの設定方法があります。
- ユーザー アカウントのプロパティ画面
- グループ ポリシー
事前準備として、ファイル共有を用意したら、以下のいずれかの方法で移動ユーザープロファイルを設定します。
ユーザーのプロパティ画面での設定
移動ユーザー プロファイルを設定するユーザー アカウントのプロパティ画面より設定が行えます。
1) 任意のドメイン コントローラーに管理者権限をもつユーザーでログオンします。
2) [Windows 管理ツール] より [Active Directory ユーザーとコンピューター] を開きます。
3) [Active Directory ユーザーとコンピューター] より、設定対象となるユーザー アカウントをダブルクリックしてプロパティ画面を開きます。
4) [プロファイル] タブを選択し、[プロファイル パス] に 移動ユーザー プロファイルの UNC パスを指定します。
\\<ファイルサーバー>\<ファイル共有>\%username%
5) [適用]、[OK] をクリックします。
プロパティ画面にて [適用] をクリックすると、%username% はユーザーの sAMAccountName に変換されます。この設定をすると、[プロファイル パス] の設定値はユーザー アカウントの profilepath 属性にセットされます。
※ ADSI エディターでの編集
[Active Directory ユーザーとコンピューター] ではなく、ADSI エディターでも編集できます。
ADSI エディターで編集する場合は、profilepath 属性にファイル共有のパスを指定します。
\\ファイルサーバー\ファイル共有\%username%
ADSI の編集画面にて %username% を指定すると、sAMAccountName に変換せずにそのまま設定されます。
profilepath 属性に %username% が設定されている場合、Windows OS は自動的に sAMAccountName に変換してファイル共有にアクセスします。そのため、通常であれば、%username% の文字列のままでも、sAMAccountName に変換しても動作に違いはありません。
ただし、注意が必要なのは、ユーザーの sAMAccountName が変更されてしまった場合です。
sAMAccountName が変更されると、%username% は新しい sAMAccountName に自動変換されるため、これまでと異なるファイル共有のパスに対して移動ユーザー プロファイルをロード、アンロードするようになります。そのため、sAMAccountName が変更後に、これまで使用していたプロファイルが引き継がれず、新規にプロファイルが作成されてしまいます。
グループ ポリシーでの設定
移動ユーザー プロファイルの設定をグループ ポリシーで設定し、ドメイン端末に展開できます。
ポリシーはコンピューターに対して適用し、当該コンピューターにログオンした全てのユーザーに対して、移動ユーザープロファイルを利用される動作になります。
パス:[コンピューターの構成] – [管理用テンプレート] – [システム] – [ユーザー プロファイル]
ポリシー:[このコンピュータにログオンしているすべてのユーザーの移動プロファイル パスを設定する]
設定:有効
オプションにある [このコンピューターにログオンしているユーザーは、この移動プロファイル パスを使用] にファイル共有のパスを指定
\\<ファイルサーバー>\<ファイル共有>\%username%
上記のポリシーで移動ユーザー プロファイルの設定を行う場合、必ず %username% で指定してください。
%username% はユーザーの sAMAccountName を示す環境変数となります。
ファイル共有のパスにユーザーごとに変化する環境変数を含めないと、全てのユーザーが同一のパスにユーザー プロファイルを格納しようとする動作となり、本来の目的に沿わない動作になってしまします。
ユーザー プロファイルの除外フォルダ
既定でプロファイル内の一部のフォルダは、移動ユーザー プロファイルの除外対象となっています。
既定で除外されているフォルダの一覧は以下の通りです。
- AppData\Local
- AppData\LocalLow
- AppData\Local\Microsoft\Windows\History
- AppData\Local\Temp
- $Recycle.Bin
- OneDrive
- Work Folders
これらのフォルダには、肥大しがちな IME の辞書データ、Web のキャッシュ データなどが含まれています。
また、端末固有のデータで、移動ユーザープロファイルに含めるべきではないデータも含まれています。
移動プロファイルの除外対象のフォルダは、以下のレジストリにて設定できます。
このレジストリを編集することにより、除外対象のフォルダの設定を変更することが可能です。
値 : ExcludeProfileDirs
既定値:AppData\Local;AppData\LocalLow;$Recycle.Bin;OneDrive;Work Folders
ポリシー:[特定のディレクトリを移動プロファイルから除外する]
設定:有効
オプションにある [移動プロファイルから除外するディレクトリ] に、除外するフォルダを設定します。
除外するフォルダの設定値の表記形式は、以下の通り、フォルダ名をセミコロンで区切ります。
<フォルダ 1>;<フォルダ 2>;<フォルダ 3>;…
このポリシーの設定値が、未構成もしくは無効の場合は、既定の除外フォルダーのみが除外されます。
おまけ:フォルダー リダイレクトとの併用
ユーザー プロファイルには、ドキュメントやビデオ、ミュージックなど、データサイズが大きくなりがちなフォルダが含まれています。移動ユーザー プロファイルを利用する場合、ログオン時にファイル共有からユーザー プロファイルのデータをロードするため、プロファイルに含まれるデータサイズが大きくなると時間がかかり、ログオン遅延につながってしまいます。
そのため、移動ユーザー プロファイルを構成する時は、フォルダー リダイレクトの機能と併用する構成にするとよいです。
フォルダー リダイレクトは、デスクトップやドキュメントなどをファイル共有上に展開する機能です。
フォルダー リダイレクトの特徴は、対象のフォルダをローカルにロードせず、常に SMB プロトコルでデスクトップやドキュメントなどのフォルダにアクセスしている状態となることです。そのため、データ量が大きくなりがちなフォルダを “フォルダ リダイレクト” で構成することで、移動ユーザー プロファイルを利用している環境でもプロファイルのロードに時間がかかる問題が軽減されます。
- AppData(Roaming)
- デスクトップ
- スタート メニュー
- ドキュメント
- ピクチャ
- ミュージック
- ビデオ
- お気に入り
- 連絡先
- ダウンロード
- リンク
- 検索
- 保存されたゲーム
フォルダのバージョン
ユーザー プロファイルに含まれる情報やフォルダーの構成は、OS のバージョンごとに異なります。
同じユーザーのプロファイルを OS が異なる端末で共有すると、互換性がないために問題が発生してしまいます。
そのため、移動ユーザー プロファイルでは、自動的にユーザーがログオンした端末の OS のバージョンを管理しています。
ユーザー プロファイルのフォルダのサフィックスに、OS バージョンを示す番号を割り当てています。
OS のバージョンごとのユーザー プロファイルのフォルダ名の規則は以下の通りです。
|
OS バージョン |
移動ユーザー プロファイルのパス |
|
Windows XP / 2003 |
\\<サーバー名>\<フォルダ共有>\<ユーザー名> |
|
Windows Vista / 2008 |
\\<サーバー名>\<フォルダ共有>\<ユーザー名>.V2 |
|
Windows 7 / 2008 R2 |
\\<サーバー名>\<フォルダ共有>\<ユーザー名>.V2 |
|
Windows 8 /2012 |
\\<サーバー名>\<フォルダ共有>\<ユーザー名>.V3 |
|
Windows 8.1 / 2012 R2 |
\\<サーバー名>\<フォルダ共有>\<ユーザー名>.V4 |
|
Windows 10 RTM |
\\<サーバー名>\<フォルダ共有>\<ユーザー名>.V5 |
|
Windows 10 1607 以降 |
\\<サーバー名>\<フォルダ共有>\<ユーザー名>.V6 |
Windows 8 / Windows Server 2012 R2 においては、当初フォルダのサフィックスは V2 でした。
しかしながら、フォルダの互換性の問題が発見されたため、修正プログラムがリリースされました。
KB2887239(Windows 8、2012) と KB2887595(Windows 8.1/2012 R2) です。
上表の V3 と V4 は、各 KB を適用した後に割り当てられるサフィックスとなります。
しかしながら、これらの OS は互換性がありません。
そのため、Windows Vista で使っていたプロファイルがある状態で Windows 7 の端末を利用すると問題が発生する可能性があり、サポートされない構成となります。
上記の通り、OS のバージョンごとにユーザー プロファイルが管理されています。
もし、同じユーザーが Windows 8.1 の端末にログオンして、ユーザー プロファイルがファイル共有上に管理されている状態であったとしても、Windows 10 の端末にログオンしたら別のユーザー プロファイルが作成されます。