VDIなどの環境を利用している場合は、移動ユーザープロファイルを利用しているケースが多いと思います。移動ユーザープロファイルの便利なところは、ネットワークのトラフィックは発生しますが、どの端末に入っても同じ環境で操作、業務ができることです。
VDIやSBCなどの仮想デスクトップ環境を利用している場合は、移動ユーザープロファイルを利用していることと思います。
そして、移動ユーザープロファイル環境ではユーザー証明書はプロファイルに格納されるため、固定プロファイルと異なり、ログイン端末が変わっても証明書は複数払い出されることはありません。
ただ、このプロファイル毎というのがネックで、Windowsのバージョンが変わると問題が発生することがあるようです。
情報元はこちら
移動ユーザープロファイルを使ったクライアント証明書
以下は質問内容の抜粋です。
現在検証中なのですが、会社の一部のPC(20台程度)でクライアント証明書を使って、
外部のサイトとIEでやりとりしています。デスクトップ、ダウンロード、マイドキュメント等はフォルダリダイレクトさせ、ほぼAppDataのみを移動ユーザープロファイルで共有サーバーに保存しています。このやり方でもWindows7同士やWindowsXP同士では問題無く目的のサイトを閲覧可能なのですが、プロファイルのフォルダ構成がXPと7で互換性が無い事で、7で証明書を入れた場合XPでは閲覧出来ません。
XPで証明書をインストールし、共有サーバーにリモート接続し以下のようにシンボリックリンクを作成しました。
mklink /d で
作成先:¥¥サーバーのIPアドレス¥7用ユーザープロファイルフォルダ¥App¥Microsoft
ソース:¥¥サーバーのIPアドレス¥XP用ユーザープロファイルフォルダ¥Application Data¥Microsoft
シンボリックリンク自体はうまく作れてるようなのですが、7にログオンするとApp¥Microsoftが新たに作成
されているようで、サーバー上に作成したシンボリックリンクを取得出来ていません。
サーバー上に作成せずに、ローカル上でシンボリックリンクを作成してみましたが、IEからツール・インターネットオプション・コンテンツ・証明書で確認すると空になっています。7とXPの混在環境で証明書を使用する事は出来ないでしょうか?
1人のユーザーに対してXPと7で両方証明書を入れてしまうか、XPと7でユーザーを分けて運用すれば問題解決な気もしますが、他に良い案はないでしょうか?
なるほどという内容ですね。
続いて、回答内の抜粋です。
ユーザー証明書ストアにある証明書をどのクライアントでも使いたい、という場合ですが、移動プロファイルやフォルダリダイレクトとは無関係に、「資格情報の移動」ポリシーをユーザに適用することで可能です。
「資格情報の移動」とは、ユーザ証明書ストアの証明書自体をActive Directory側に自動的に追加(移動)することで、どのコンピュータでのログオン時でも、ローカル証明書ストアの証明書がアップデートされます。細かい点については、したの資料を参考にしていただくといいでしょう。Server 2008以降で設定する場合は簡単ですが、いくつか注意点がありますので、資料をよく読んでみてください。
http://technet.microsoft.com/ja-jp/library/cc771348.aspx
こちらで検証した結果ですが、ドメインコントローラがWindows Server 2012ではありますが、同じユーザでログオンしたXP/7lクライアントで、別々にインポートした証明書([個人]ストア)が、相手側クライアントログオン時に、きちんと反映されていました。ドメインコントローラ側に移動されていない、と思われる場合は、[Default Domain Policy]で設定しているかどうかの確認と、(最初に)インポートしたクライアント上で「画面のロック」をしてAD DSに証明書を移動させる動作を行ってみてください。
この機能を使用することで、移動プロファイルやフォルダリダイレクトとは無関係に、「資格情報の移動」ポリシーをユーザに適用することで可能とあります。この資格情報の移動には注意点があるとのことなので、別途、機能については調べてみたいと思います。
 |
