Profile Management 2103

Password ManagerおよびSingle Sign-OnでのWindowsプロファイルの使用

ここでは、Profile Management特有の情報については説明していません。ここでは、ローカルプロファイルや、移動プロファイル、固定プロファイル、ハイブリッドプロファイルを使用して、Citrix Single Sign-Onの動作が最適になるようにするための、いくつかのWindowsオプションの構成方法を説明します。このトピックは、Citrix Single Sign-On 4.8または5.0を対象としています。

ローカルプロファイル

ローカルプロファイルは、ユーザーがログオンしているローカルサーバー上に保存されます。Password Managerとシングルサインオンは、レジストリ情報を、次の場所にあるユーザーレジストリのHKEY_CURRENT_USER\SOFTWARE\Citrix\MetaFrame Password Managerレジストリハイブに保存します:

%SystemDrive%\Documents and Settings\%username%\NTUSER.DAT

ファイルは次の場所にも保存されます:

%SystemDrive%\Documents and Settings\%username%\Application Data\Citrix\MetaFrame Password Manager

Windows 7の場合、シングルサインオンは次の場所を使用します:

%APPDATA%\Roaming\Citrix\MetaFrame Password Manager

重要: シングルサインオンには、次のファイルに対するフルコントロールのアクセス許可が不可欠です:

ファイル名 説明
%username%.mmf aelist.iniへのポインターがあるユーザーのアカウント情報ファイル。
entlist.ini 同期ポイントまたはActive Directoryのエンタープライズレベルで作成されるアプリケーション定義ファイル。
aelist.ini ユーザーのローカルアプリケーション定義ファイル(applist.ini)およびエンタープライズアプリケーション定義(entlist.ini)を結合することで作成されるアプリケーション定義ファイル。

移動プロファイル

移動プロファイルはネットワーク共有上に保存され、ユーザーがログオンするたびにローカルサーバーコピーと同期します。移動プロファイル展開に成功した際の特性として、SAN(System Area Network)またはNAS(Network Area Storage)などの高速ネットワーク接続性があります。そのほかの一般的な展開には、プロファイルが高可用性サーバー上に保存されるクラスタリング解決策があります。

移動プロファイル展開と固定プロファイル展開には、留意すべき2つの問題があります:

  • 単一の移動プロファイルは、1ファイルの同期ポイントとのみ使用できます。複数同期ポイントが使用されている場合、メモリマップファイル(MMF)内のデータが破損することがあります。
  • 複数の同時接続セッションで移動プロファイルが使用される場合、バックエンドMMFを共有します。再試行ロックカウンター、最終使用データカウンター、およびイベントログエントリなど、いくつかの一般的なセッションデータをすべてのアクティブなセッションが共有します。

固定プロファイルまたはハイブリッドプロファイル

固定プロファイルは、定義によるユーザー読み取り専用プロファイルです。シングルサインオンには、Application Dataの下のプロファイルフォルダーへの書き込み権限が必要です。固定プロファイルでは、ユーザーは変更を作成できますが、ログオフ時にこの変更はプロファイルには保存されません。シングルサインオンが固定プロファイルで正常に動作するには、Application Dataフォルダーをリダイレクトする必要があります。

ユーザーがログオンするたびに、レジストリの変更が書き込まれます。アカウント情報は同期ポイントで同期されますが、変更はプロファイル内に保存されません。

Windows 2000以降、Microsoft社から、Application Dataフォルダーのリダイレクトを実行するためのメカニズムが提供されています。ただし、Windows NT4ドメインを使用するには、Application Dataフォルダーの場所を変更することができるログオンスクリプトが必要となります。KixまたはVBScriptなどのツールを使い、Application Dataフォルダーに対する書き込み可能な場所を定義することで、これを実行できます。

次の例では、ユーザーのログオン時にKixを使ってApplication Dataフォルダーをリダイレクトします:

重要: このサンプルスクリプトは、情報提供のみを目的としています。テストせずにご使用の環境で使用しないでください。

``` pre codeblock

$LogonServer = “%LOGONSERVER%” $HKCU = “HKEY_CURRENT_USER” $ShellFolders_Key = “$HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders” $UserShellFolders_Key = “$HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders” $UserProfFolder = “$LogonServer\profiles@userID” $UserAppData = “$LogonServer\profiles@userID\Application Data” $UserDesktop = “$LogonServer\profiles@userID\Desktop” $UserFavorites = “$LogonServer\profiles@userID\Favorites” $UserPersonal = “X:\My Documents” $UserRecent = “$LogonServer\profiles@userID\Recent” if (exist(“$UserAppData”) = 0) shell ‘%ComSpec% /c md “$UserAppData”’ endif if (exist(“$UserDesktop”) = 0) shell ‘%ComSpec% /c md “$UserDesktop”’ endif if (exist(“$UserRecent”) = 0) shell ‘%ComSpec% /c md “$UserRecent”’ endif if (exist(“$UserFavorites”) = 0) shell ‘%ComSpec% /c md “$UserFavorites”’ endif ```

ハイブリッドプロファイルは、固定プロファイル問題に対するもう1つの解決策です。ユーザーがログオンする際、固定プロファイルはユーザーが使用できるアプリケーションに基づくユーザーレジストリハイブをロードし、カスタムアプリケーションはロードおよびアンロードします。固定プロファイルとして、ユーザーはセッション中にレジストリの該当する部分を変更できます。固定プロファイルとの違いは、ユーザーのログオフ時に変更が保存され、再度ログオンするときにこれがリロードされることです。

ハイブリッドプロファイルが使用される場合、ログオンおよびログオフ処理の一部としてHKEY_CURRENT_USER\SOFTWARE\Citrix\MetaFrame Passwordレジストリキーがインポートおよびエクスポートされる必要があります。

フォルダーのリダイレクト

フォルダーリダイレクトはグループポリシーオブジェクトおよびActive Directoryを使って実行されます。ユーザープロファイルの一部であるフォルダーの場所を定義するには、グループポリシーを使用します。

次の4つのフォルダーにリダイレクトできます:

  • マイドキュメント
  • アプリケーションデータ
  • デスクトップ
  • スタートメニュー

リダイレクトの2つのモードである基本リダイレクトと詳細リダイレクトは、グループポリシーを使って構成できます。どちらもシングルサインオンでサポートされています。Windows 2000では、%username%変数を使ってアプリケーションデータを保存する共有を参照する必要があります(\\servername\sharename\%username%など)。

フォルダーリダイレクトにはユーザーによる制限はなく、すべてのアプリケーションに対して適用されます。Application Dataフォルダーを使用するすべてのアプリケーションでサポートする必要があります。

フォルダーリダイレクトについて詳しくは、次のMicrosoftの記事を参照してください:

「How to dynamically create security-enhanced redirected folders or home folders」

「Folder Redirection Feature in Windows」

「Enabling the administrator to have access to redirected folders」

ベストプラクティス

  • 実行できる場所にApplication Dataフォルダーをリダイレクトします。これにより、ユーザーがログオンするたびにフォルダー内のデータをコピーする必要がなくなり、ネットワークパフォーマンスが向上します。
  • Password Manager Agentのトラブルシューティングを実行する場合は、ログオンユーザーにApplication Dataフォルダーのフルコントロール権限があるか必ず確認します。
Password ManagerおよびSingle Sign-OnでのWindowsプロファイルの使用