特定のコンピューターにログオンした時のみ、移動プロファイルとフォルダーリダイレクトを適用させたい場合に便利なのが、GPOの「ループバック処理」です。
この設定は、ドメイン環境でのみ利用可能です。ワークグループでは使えません。
そして、この設定を有効にすると、対象のコンピュータに適用されるGPOにあるユーザーの構成設定が、そのコンピュータにログオンするすべてのユーザーに適用されます。
【設定場所】
[コンピューターの構成]-[ポリシー]-[管理用テンプレート]-[システム]-[グループポリシー]-[ユーザーグループポリシー ループバック処理モードを構成する]
この設定をする事で、移動ユーザープロファイル、フォルダーリダイレクトが適用されるコンピューターを限定できるのですが、このままだと、このコンピューターにログインするすべてのユーザーに適用されてしまいます。
例えば、ドメインのAdministratorには適用させたくないとかある場合、ここからさらにフィルターをかけられないか、調査しているのですが、その中で、一つ勉強になった事があります。
最初、セキュリティーフィルターで、特定のコンピューターのみに適用すれば問題ないかと考え、”Authenticated Users”を削除し、コンピューターが所属するグループを追加したところ、フォルダーリダイレクトは適用されませんでした。
動作が気になって調査をしていると、マイクロソフトのサイトに以下の文言を発見。
”Authenticated Users グループには、ユーザーとコンピュータの両方が含まれます。”
GPMC を使用してセキュリティ フィルタ処理を行う(マイクロソフト)
名称からピンときませんでしたが、”Authenticated Users”にはコンピューターアカウントも含まれているんですね。
確かに、GPOの編集する際に、「セキュリティーフィルター処理」で設定されているグループは、デフォルトで”Authenticated Users”のみでした。
こういった所は、細かく検証していないと気づかないので、意外な盲点でした。
検証は、派生的に色んな事象にぶつかるので、色々と勉強になりますね~。ループバック処理を有効にした上で、ユーザーをフィルターする方法は、別途、調査後にアップします。
 |
