ユーザーストアへの資格情報ベースのアクセスを有効にする
デフォルトでは、Citrix Profile Managementは現在のユーザーを偽装してユーザーストアにアクセスします。したがって、現在のユーザーは、ユーザーストアに直接アクセスする権限を持っている必要があります。対照的に、[ユーザーストアへの資格情報ベースのアクセスを有効にする] ポリシーでは、Profile Managementはストア独自の資格情報を使用してユーザーストアにアクセスできます。
このポリシーにより、ユーザーストアの展開とアクセスがより柔軟になります。たとえば、このポリシーを使用すると、現在のユーザーがアクセスする権限を持っていないファイル共有(Azure Filesなど)にユーザーストアを展開できます。また、ユーザーストアにアクセスするときにProfile Managementに現在のユーザーを偽装させたくない場合は、このポリシーを有効にできます。
注:
Profile Managementは2種類のプロファイルソリューションを提供し、ユーザーストアは両方のストレージ場所として機能します:
- ファイルベースのソリューション。ユーザープロファイルは、ログオン時にリモートユーザーストアからローカルコンピューターに取得され、ログオフ時には書き戻しされます。
- コンテナベースのソリューション。ユーザープロファイルは、VHDXファイル(通称プロファイルコンテナ)に保存されます。VHDXファイルはログオン時に接続され、ログオフ時に接続解除されます。
このポリシーは、ファイルベースのソリューションとコンテナベースのソリューションの両方で利用できます。2212より前のバージョンのProfile Managementでは、このポリシーはコンテナベースのソリューションでのみ使用できます。
Profile Managementがストア独自の資格情報を使用してユーザーストアにアクセスできるようにするには、次の両方の操作を実行する必要があります:
- Profile Managementが実行されている各マシンで、[ユーザーストアへの資格情報ベースのアクセスを有効にする] ポリシーを有効にします。
- ストアの資格情報をそれらのマシンに追加します。
この目的を達成するには、Workspace Environment Management(WEM)サービスとGPOのいずれかの方法を使用できます。
注:
コンテナベースのソリューションを有効にすると、ユーザー ストアに対するNTFS権限が保持されます。
WEMサービスを使用して資格情報ベースのアクセスを有効にする
WEMを使用すると、Profile Managementを実行するマシンごとに同じ資格情報を入力する必要がなくなります。ポリシーを有効にして、WEMサービスコンソールでユーザーストアの資格情報を1回だけ入力します。次に、WEMサービスがこれらの設定を各マシンに適用します。
詳細な手順は次のとおりです:
-
管理コンソールで [Policies and Profiles]>[Citrix Profile Management Settings]>[User Store Credentials] に移動します。
-
[User Store Credentials] タブで [Enable credential-based access to user store] チェックボックスを選択します。
-
[追加] をクリックします。[New Credential] ダイアログボックスが表示されます。
-
プロファイルストレージサーバーのFQDNまたはIPアドレスとその資格情報を入力します。
-
[OK] をクリックします。
GPOを使用して資格情報ベースのアクセスを有効にする
GPOを使用してポリシーを有効にすることを選択した場合、Profile Managementが実行される各マシンに資格情報を手動で追加する必要があります。
ポリシーを有効にする
詳細な手順は次のとおりです:
- グループポリシー管理エディターを開きます。
- [ポリシー]>[管理用テンプレート:ポリシー定義(ADMXファイル)]>[Citrixコンポーネント]>[Profile Management]>[詳細設定] に移動して、[ユーザーストアへの資格情報ベースのアクセスを有効にする] をダブルクリックします。
- [有効] をクリックします。
- [OK] をクリックします。
資格情報をWindows資格情報マネージャーに追加する
Profile Managementは、マシンに保存された資格情報を使用してユーザーストアにアクセスします。Profile Managementが実行されている各マシンで、ユーザーストアの資格情報をWindows資格情報マネージャー に追加します。詳細な手順は次のとおりです:
-
Sysinternals WebサイトからPsExecをダウンロードし、ファイルを
C:\PSTools
に解凍します。 -
[スタート] メニューからコマンドプロンプトを右クリックし、[管理者として実行] を選択します。コマンドシェルが起動します。
-
C:\PSTools\PsExec -s -i cmd
コマンドを実行します。別のコマンドシェルが起動します。注:
-s
パラメーターは、ローカルシステムアカウントを使用してツールを実行していることを示します。その結果、資格情報を安全に保存できます。 -
新しいコマンドシェルで、
rundll32.exe keymgr.dll, KRShowKeyMgr
コマンドを実行します。[Stored User Names and Passwords] ダイアログボックスが開きます。 -
[Stored User Names and Passwords] ダイアログボックスで [Add] をクリックします。
-
プロファイルストレージサーバーのFQDNまたはIPアドレスとその資格情報を入力し、デフォルトの資格情報の種類をそのままにして、[OK] をクリックします。