ActiveDirectory

投稿日時: 投稿者:

Vista Home PremiumをUltimateに置き変えたらhpのMediaSmartが動かんくなった。
まあつかわないだろうからいいけどもw

沙耶です。


さてさて、ドメインログオンにすべぇ、ってドメインに切り替えたんだがXPの移動ユーザープロファイルのデスクトップを引っ張ってこない。

…ナニコレふざけてるの?

というわけで調べてみる。

「Vistaではユーザーのプロファイル構造が全然変わったのでXP/2000との互換性はない」

なめてんのかオイ。そりゃ企業も導入しねぇっつー話だわwwwww
そのくらいクライアント側でうまく補正しろよと。環境変数を読み変えるだけだろうが。
仕方ないのでドキュメント読みあさる。

結論:移動ユーザープロファイルにフォルダリダイレクト組み合わせろ

うーんwwwww
ネットワーク上のユーザー領域、はきちんと別にフォルダ切って個別にアクセス権払いだしてて、ネットワークドライブにアサインさせてるからなぁ。
移動ユーザープロファイルのオフライン時でも使えます、は割と嫌いじゃないんだけど、フォルダリダイレクトだとネットワーク消えてるときはデスクトップでねぇんじゃない? まだ試してないからわからないけど。

まあ仕方無いか。ほかに手もないし、XPにするのもかったるい。どーせWindows7も構造一緒だし、そのうち2008とWindows7中心で組み立て直さないとだめか。
まあユーザーフォルダの概念が出来上がった分だけマシだとおもっておくしかねぇかなぁ。

さて、ついでに調べてたらNTドメインを自宅で、みたいなスレ発見。結構やってる人もいるのかな。って読んだらActiveDirectoryはデカすぎるとか言われた。まあでかいけどさ。
子供とかにPC使わせるならアカウント制御とユーザー制御としての能力は高いと思うんだけどな。

ドメインだとかサイトだとかフォレストだのとかマイクロソフト的用語が氾濫するため、沙耶はナチュラルに混乱はするのですが。

というわけで簡単に説明。移動ユーザープロファイルの適用とVista混在環境まで。

ドメイン、はその組織全体を現すActiveDirectoryの最上位のユニット。これはWindowsNetoworkによる制御であるNTドメインの際のNTドメインに相当するが、ActiveDirectoryがIPベースの制御になったこと、DNSなどと結合したことでWINSをかなぐり捨てたため、インターネットアドレスとの相互運用性をもったもの。つまり、FQDNにおけるドメイン名とそれほど大きな違いはない。
つまり、home.localなんかのActiveDirectoryドメインはDNSでいうところのローカル向けのローカルドメインってことだ。実際そのようにDNSも自動構成される。

んで、サイト、はこのドメインの中にある分割単位だ。IPベースで考えるなら、サブドメインに対して権限移譲する、と考えておけばよい。実態はそうじゃないけど。DCで制御されてるドメイン空間の論理分割だった気がする。

フォレスト、は異なる複数のドメインを結合させるものだけど、これはでかすぎる話だな。
基本はドメインとサイトだと思っておけば間違いない。

たとえば、ActiveDirectoryのインストールを起動して、[home.local]なんて名前のドメインの作成をしたとする。
こいつには[server]って名前がついてたとすると、server.home.localってFQDNがサーバに与えられる。
ただ、サーバ名はNetBIOS名とおもいっくそブッキングするため、NetBIOS名と同じ名前を与えることができない、だったような気がする。

この際フォレストのことは忘れる。グローバルカタログのことも忘れる。どうせホームネットワークだし。何処の世界に自宅にバックアップドメインコントローラーまで置いたり複数サイトを運用して遠隔地VPNしたりするというんだ。
というわけで、別にこの程度ならメディアセンターやホームサーバにつけてくれてもいいのになぁ。NTドメインでも十分機能するんだし。

つわけでActiveDirectoryのインスコはある程度ドメインの名前さえ決まっていればウィザードがほとんど全部やってくれる。
多少質問はあるが、ほとんどがデフォルトでいいようなものだ。一応環境に合わせる部分はあるにしても。
DNSも自動で構成。

はいはい、そしたらアカウントを作りましょう。ActiveDirectoryユーザーとこんぴーたーを開いて、適当にユーザーを作る。
ここでもやっぱり論理構造ツリーが存在する。

OUとかグループとかだね。家庭内でOU使う理由があるのかと思わないでもないが。
OUってのはOrganizational Unit、組織単位のこと。営業部、とか管理部、とか総務部、っていうOUを作って、ユーザーをそのOUに所属させる。
そして、オブジェクトポリシーをOUに対して作れば、営業部にはこういうデフォルト環境を、とか管理部にはこういう権限を、とかやれるわけだけどとても計画の策定がめんどくっせぇので却下。

そもそもOU使うのはユーザーが多くてユーザー単位での管理がキツいときの話だしー。
家庭内ならユーザー単位で制御してもそれほどの手間はない。ユーザー作る。所属グループからUsersを切ってDomain Usersに。どーせDomain UsersがUsers権限も持ってるしね。

ユーザープロパティ開いてプロファイルの設定。てけとーなプロファイルディレクトリでも切ってやる。
移動ユーザープロファイルをするために、クライアントからプロファイルを持ってくるので適当にディレクトリを切って共有化。
クライアント側から移したいプロファイルをまいこんぴーたーのプロパティ->プロファイルから取り出して、共有空間へ移動。ここまでクライアントのプロファイルのエクスポートで作業。
ntuser.datをntuser.manに書き変えたら固定プロファイルにできる。簡易ネカフェ状態。つかアレはbootpあたりを使ってる気がするがw 固定プロファイルのみの運用なんてあるんだろーか。行かないから知らないけれど。

必要ならログオンスクリプトを書いておく。MS-DOSを思い出す。
ログオンスクリプトはadminの権限で動くので、User権限で制御許可の出ていないハードウェア管理なんかの制御もここに書いておける。
電源管理の許可を出したんだけど、なんかクライアント側で制御できないのでがっつりここに書いたwwww

これでクライアント側でのドメインログオンを試す。ワークグループからドメインに変更して、ログイン、Document and Settingsに既存のアカウントとは別のアカウントフォルダができていればおk。初回は移動プロファイルのおかげで時間かかるかもしれない。
移動プロファイルに必要なデータが全部乗ってるのを確認したらクライアントのローカルアカウントはさようならする。Administratorもなくても構わない。

一部動かないデータ何かもあるので、まあその辺は適当に置き場所考えるなりネットワーク上のフォルダをうまく使うなりすればいい。

終わったら今度はVistaへの対応。フォルダリダイレクトを作る。
まずフォルダリダイレクト用のフォルダを作る。everyoneフルコントロールの共有フォルダを作成。
親からオブジェクトポリシーの継承を拒否って、特殊なアクセス制御を設定。
SYSTEM/Domain Admins/CREATOR OWNERにこのフォルダ以下に対するフルコントロール。
everyoneにこのフォルダのみ、でフォルダのスキャン、ファイル実行、フォルダの一覧、データ読み取り、属性の読み取り、フォルダ作成とデータ追加を許可。

Vistaクライアント起動。ドメインへadministratorでログイン。gpmc.mscを起動して、ユーザー設定のフォルダリダイレクトを開く。
各リダイレクトの項目をUNCでセットしていく。

対象はユーザーグループごとに設定でDomain Users、セットするのはリダイレクトフォルダのUNCのルート、「ルートパスの下に各ユーザーのフォルダを作成する」の定番パターン。どうせ家庭内だけなので、いちいちQuotaも切らない。めんどくさいから。

Vistaからは項目が多いが。
なお、Vistaから変更したこのグループポリシーは2000/XPからの変更は許可されなくなる。つまり2003Serverからも変更不可。変更する際はVistaからの変更しか許可されない。

うっぜぇえええええええ。

あとはVistaでドメインへログオンして、ログオフ。XP側とフォルダリダイレクトがきちんと働いているか確認する。

さて、ドメインログオンにしたことでユーザー側クライアントはいろいろ制限を受けるが、大きいのはウィルススキャナかな。
Sudoさん的な何かとCronさん的な何かとコマンドラインオプションがそろってればなんとでもなりそうな気はするのだけどw
これはアップデートにAdministrator権限を要求される。この辺がめんどくさい、人はいわゆるコーポレートエディション系を購入するといい。

サーバからアップデートをプッシュで配布してくれる。
もっとも、ドメインログオンでユーザーにUsers権限しか渡していなければ、権限昇格系のセキュリティホールかトロイによるadministratorパスの奪取などでなければWindowsを汚染するタイプのウィルスは侵入できない。だからってウィルススキャナが要りませんって話にはならないけどw

とりあえず台数と相談だろうね。台数多いなら家庭内でもプッシュ型でのコーポレートエディションはありだと思うけども、少ないなら手動でいいと思うw
AVGとかなら5ライセンスで3万/年くらいだし、2003 Serverとかでも動くのでServer側防御も考えるとね。

Avastは高いな。AVGが異常に安い気がするが、ほんとに合ってんだろうかこの価格表wwwww。
Anti-Virusだけだとはいえ…。
しっかし、どっかフリーでServer用とNetoworkClientを家庭向けで少数ライセンスフリーで出しませんかねwwww
出さないよね、ドル箱だしwwwwww
MacAfeeはSaaSなのか。結構高いな。企業向けとしては安いんだけどねw

実際やってたのはフォルダリダイレクトの設定だけなんだけどね。
デモンズソウルプレイの合間にやってたから時間かかるったらwwwwwwwwwwwwwwwwwwwwww

これでとりあえずおうちの中ならどこでもログインOK。デスクトップもそのまま移動します。
レジストリを使わないツールソフト類はデスクトップにでもフォルダ切って突っ込んでおけばどこでも使えるわけですね。

…聞こえは地味だしなんか便利なの、それ? 家で? みたいな空気が蔓延してきた気配ですが、意外と便利よ、移動ユーザープロファイルって。
OSの再インストールとか、その辺もドメインログオンに変更するだけで環境再生するしね。
PCの乗り換えやOSのデュアルブート、そういったのもぜーんぶOSインスコだけで終わる、ってのは趣味:OS再インストールの人にとってはとても重要事項なのです。

VMwareでディスク共有するのもありだけど、Playerや重さ考えるとね、便利。Hyper-Vで次は遊んでみようかと。TeminalからWindowだけ持ってくるとかのX的なんも試してみたいしね!w

ネックはServerOSがたけぇ。お勧めはOSプリインストールの糞バカ安いサーバ買ってくることですねwwwwww
5CALもありゃ足りるだろ、一般家庭ならw Terminal LicenceもRemoteDesktop用に二本付いてくるし。
Windows Server 2008 Foundationが出てきてるから実は結構安く導入できたりはするのだけれど。
DellのT100で54,800-、T105は49,800-だけどWindows Home ServerなんでActiveDirectoryの機能はない。
2008ServerへのXPのドメインログオンがどうなるかはしらんwwwww うちは2003じゃw

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です