|
|
|
|
コメント(10)
WS2003+Citrix Presentation Server 4.5の環境なら作成しています。
自分のところは
1.管理用ソフトのショートカットをAdministratorのスタートメニューへ移動
(C:\Documents and Settings\Administrator\スタート メニュー)
2.ALL Users、Default Userのスタートメニューを整備
(C:\Documents and Settings\All Users\スタート メニュー)
(C:\Documents and Settings\Default User\スタート メニュー)
3.ADのセキュリティポリシーでサーバ側のドライブを非表示に
4.サーバ側のドライブの変わりにNASの共有フォルダをログインスクリプトにてマウント
5.ADのセキュリティポリシーのターミナルサービスのプロパティで移動ユーザプロファイルの設定
ざっくりこんな感じです。ユーザに使わせるのはデスクトップ、マイドキュメント、ネットワークドライブ、限られたソフトって感じにしています。
参考になればと・・・・
自分のところは
1.管理用ソフトのショートカットをAdministratorのスタートメニューへ移動
(C:\Documents and Settings\Administrator\スタート メニュー)
2.ALL Users、Default Userのスタートメニューを整備
(C:\Documents and Settings\All Users\スタート メニュー)
(C:\Documents and Settings\Default User\スタート メニュー)
3.ADのセキュリティポリシーでサーバ側のドライブを非表示に
4.サーバ側のドライブの変わりにNASの共有フォルダをログインスクリプトにてマウント
5.ADのセキュリティポリシーのターミナルサービスのプロパティで移動ユーザプロファイルの設定
ざっくりこんな感じです。ユーザに使わせるのはデスクトップ、マイドキュメント、ネットワークドライブ、限られたソフトって感じにしています。
参考になればと・・・・
2008は、2003からユーザープロファイルについて結構変更されたようです。
ネットで検索して出てくる情報はまだまだ2003中心で、
2008のものは少ないので難儀しました。
まず、「Documents and Settings」がありません。
Cドライブの真下に「Users」があり、そこにAdministrator以下、
各ユーザーのプロファイルがあります。
Defaultは隠しフォルダになっていて、「ツール」から「フォルダオプション」で
表示させることができました。
全員のクイック起動メニューの中に「サーバーマネージャ」があるので困っていましたが、
「InternetExplorer」のフォルダの中にあったのを削除しました。
どうして、クイック起動がIEの中なんだろう・・・?
さて、各標準ユーザープロファイルの中の「スタートメニュー」を見てみましたが、
標準ユーザーに見せたくない、Administrator向けの「管理ツール」群が見当たりません。
実際には全員に表示されてるんですが・・・
「管理ツール」というフォルダは存在するんですが、
その中にあるはずの(実際のデスクトップ上では表示されている)管理ツール群は無く、
空っぽになっています。
全員に表示される、ということは、もしかして「All Users」の方に格納されているのかな?
と思いましたが、Usersフォルダの中には「All Users」が見当たりません。
なんでだと?と思いながらとりあえず「C:\Users\All users」とアドレスを打ち込むと、
それまで見えてなかった「All Users」というショートカットのフォルダが開きました。
このショートカットは、実際には「C:\Program Data」というフォルダの方へリンクされています。
この中に、「全員に見えてしまっているAdministrator用管理ツール軍」のアイコンがありました。
これを、Administratorのプロファイルの方へカット&ペーストして、一安心です。
ネットで検索して出てくる情報はまだまだ2003中心で、
2008のものは少ないので難儀しました。
まず、「Documents and Settings」がありません。
Cドライブの真下に「Users」があり、そこにAdministrator以下、
各ユーザーのプロファイルがあります。
Defaultは隠しフォルダになっていて、「ツール」から「フォルダオプション」で
表示させることができました。
全員のクイック起動メニューの中に「サーバーマネージャ」があるので困っていましたが、
「InternetExplorer」のフォルダの中にあったのを削除しました。
どうして、クイック起動がIEの中なんだろう・・・?
さて、各標準ユーザープロファイルの中の「スタートメニュー」を見てみましたが、
標準ユーザーに見せたくない、Administrator向けの「管理ツール」群が見当たりません。
実際には全員に表示されてるんですが・・・
「管理ツール」というフォルダは存在するんですが、
その中にあるはずの(実際のデスクトップ上では表示されている)管理ツール群は無く、
空っぽになっています。
全員に表示される、ということは、もしかして「All Users」の方に格納されているのかな?
と思いましたが、Usersフォルダの中には「All Users」が見当たりません。
なんでだと?と思いながらとりあえず「C:\Users\All users」とアドレスを打ち込むと、
それまで見えてなかった「All Users」というショートカットのフォルダが開きました。
このショートカットは、実際には「C:\Program Data」というフォルダの方へリンクされています。
この中に、「全員に見えてしまっているAdministrator用管理ツール軍」のアイコンがありました。
これを、Administratorのプロファイルの方へカット&ペーストして、一安心です。
さて、まだ問題は残っています。
標準ユーザーからでも、「ファイル名を指定して実行」 に 「tsadmin.msc」 と入力すると、
ターミナルサーバマネージャが見えてしまうのです。
サーバーマネージャの中の1メニューだと思っていましたが、
こういう入り方も出来るんですね。
これでは、サーバーマネージャを隠した意味が無い・・・
どうやら、tsadminはsystem32の中にある模様。
では、sytem32のフォルダ自体にアクセス制限をかけて
標準ユーザーが手を出せないようにしてしまおうか!?
とも考えましたが、はたしてそれをやっちゃっていいものか・・・
妙なところに害が出たら困るので、うかつに手を出せずにいます。
system32って、いったい何を集めたフォルダなんでしょう??
標準ユーザーからでも、「ファイル名を指定して実行」 に 「tsadmin.msc」 と入力すると、
ターミナルサーバマネージャが見えてしまうのです。
サーバーマネージャの中の1メニューだと思っていましたが、
こういう入り方も出来るんですね。
これでは、サーバーマネージャを隠した意味が無い・・・
どうやら、tsadminはsystem32の中にある模様。
では、sytem32のフォルダ自体にアクセス制限をかけて
標準ユーザーが手を出せないようにしてしまおうか!?
とも考えましたが、はたしてそれをやっちゃっていいものか・・・
妙なところに害が出たら困るので、うかつに手を出せずにいます。
system32って、いったい何を集めたフォルダなんでしょう??
Windows OSが提供するドライバとか、APIのDLLを集めたフォルダ→system32
もちろんそこを一部ユーザーにアクセス不可にするとOS上の様々なプログラムに影響が出る事は間違いないですし、勉強には良いかもしれませんけど、OS標準で配置されているフォルダやファイルを標準の場所から消したり、移動したりするのはその時点で会社で使うサーバ上ではあまりお勧め出来ない操作です。設定手順書をいちいち全部に残さなきゃいけないのも面倒ですし。
そこが諦められないんだったら、まじでVDIとか使って仮想PCでシンクライアント展開するか、そもそもシンクライアント展開しない方がお勧めですよ。
もちろんそこを一部ユーザーにアクセス不可にするとOS上の様々なプログラムに影響が出る事は間違いないですし、勉強には良いかもしれませんけど、OS標準で配置されているフォルダやファイルを標準の場所から消したり、移動したりするのはその時点で会社で使うサーバ上ではあまりお勧め出来ない操作です。設定手順書をいちいち全部に残さなきゃいけないのも面倒ですし。
そこが諦められないんだったら、まじでVDIとか使って仮想PCでシンクライアント展開するか、そもそもシンクライアント展開しない方がお勧めですよ。
>>6
VDI・・・ 将来的には本格的なシンクライアントになるのかも。
今やっていることも、実は半分は実験的な意味合いが強い取り組みなんですね。
だから、完璧には出来なくともまあいいんです。
どこまで出来るかを確かめている段階でもあるので。
すぐに有償サービスに手を出すことは無いでしょうけど、
将来的には完成度の高いシンクライアントシステムに移行してゆくことでしょう。
そのころにはWindowsServerの標準機能で
そういうことができるようになっているといいな〜 2012年ぐらいには・・・
>>7
グループポリシーで制限できるんですか!
これは良いことを聞きました。ありがとうございます。
他にもいろんなスナップインに制限をかける必要がありそうですね・・・
調べてみます。
実は、まだ弊社はAD環境ではないんです。
でもそろそろ移行した方がいいかな〜という意見が上層部にあり、
そっちの調査もしなくちゃいけないんですよ。
(全然出来てない・・・ アワワ)
VDI・・・ 将来的には本格的なシンクライアントになるのかも。
今やっていることも、実は半分は実験的な意味合いが強い取り組みなんですね。
だから、完璧には出来なくともまあいいんです。
どこまで出来るかを確かめている段階でもあるので。
すぐに有償サービスに手を出すことは無いでしょうけど、
将来的には完成度の高いシンクライアントシステムに移行してゆくことでしょう。
そのころにはWindowsServerの標準機能で
そういうことができるようになっているといいな〜 2012年ぐらいには・・・
>>7
グループポリシーで制限できるんですか!
これは良いことを聞きました。ありがとうございます。
他にもいろんなスナップインに制限をかける必要がありそうですね・・・
調べてみます。
実は、まだ弊社はAD環境ではないんです。
でもそろそろ移行した方がいいかな〜という意見が上層部にあり、
そっちの調査もしなくちゃいけないんですよ。
(全然出来てない・・・ アワワ)
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
Windows Serverを管理する人 更新情報
-
最新のアンケート
-
まだ何もありません
-
Windows Serverを管理する人のメンバーはこんなコミュニティにも参加しています
人気コミュニティランキング
- 1位
- カラオケ「町田オフ」
- 1080人
- 2位
- 暮らしを楽しむ
- 77527人
- 3位
- mixi バスケ部
- 38463人