Product Documentation

Password ManagerおよびSingle Sign-OnでのWindowsプロファイルの使用

Feb 26, 2018

このトピックでは、Profile Management特有の情報については説明していません。ここでは、ローカルプロファイルや、移動プロファイル、固定プロファイル、ハイブリッドプロファイルを使用して、Citrix Single Sign-Onの動作が最適になるようにするための、いくつかのWindowsオプションの構成方法を説明します。このトピックは、Citrix Single Sign-On 4.8または5.0を対象としています。

ローカルプロファイル

ローカルプロファイルは、ユーザーがログオンしているローカルサーバー上に保存されます。Password ManagerとSingle Sign-Onは、レジストリ情報を、次の場所にあるユーザーレジストリのHKEY_CURRENT_USER\Software\Citrix\MetaFrame Password Managerレジストリハイブに保存します。これは

%SystemDrive%\Documents and Settings\%username%\NTUSER.DAT.

ファイルは次の場所にも保存されます。

C:\Documents and Settings\All Users\Application Data\Citrix\MetaFrame Password Manager

Windows 7の場合、Single Sign-Onは次の場所を使用します。

%APPDATA%\Roaming\Citrix\MetaFrame Password Manager

重要:Single Sign-Onには、次のファイルに対するフルコントロールのアクセス許可が不可欠です。

ファイル名

説明

%username%.mmf

aelist.iniへのポインターがあるユーザーのアカウント情報ファイル。

entlist.ini

同期ポイントまたはActive Directoryのエンタープライズレベルで作成されるアプリケーション定義ファイル。

aelist.ini

ユーザーのローカルアプリケーション定義ファイル(applist.ini)およびエンタープライズアプリケーション定義(entlist.ini)を結合することで作成されるアプリケーション定義ファイル。

移動プロファイル

移動プロファイルはネットワーク共有上に保存され、ユーザーがログオンするたびにローカルサーバーコピーと同期します。 移動プロファイル展開に成功した際の特性として、SAN(System Area Network)またはNAS(Network Area Storage)などの高速ネットワーク接続性があります。 そのほかの一般的な展開には、プロファイルが高可用性サーバー上に保存されるクラスタリング解決策があります。

移動プロファイル展開と固定プロファイル展開には、留意すべき2つの問題があります:
  • 単一の移動プロファイルは、1ファイルの同期ポイントとのみ使用できます。 複数同期ポイントが使用されている場合、メモリマップファイル(MMF)内のデータが破損することがあります。
  • 複数の同時接続セッションで移動プロファイルが使用される場合、同じバックエンドMMFを共有します。 このため、再試行ロックカウンター、最終使用データカウンター、およびイベントログエントリなど、いくつかの一般的なセッションデータをすべてのアクティブなセッションが共有します。

固定プロファイルまたはハイブリッドプロファイル

固定プロファイルは、定義によるユーザー読み取り専用プロファイルです。Single Sign-Onは、Application Dataの下のプロファイルフォルダーへの書き込み権限が必要です。固定プロファイルでは、ユーザーは変更を作成できますが、ログオフ時にこの変更はプロファイルには保存されません。Single Sign-Onが固定プロファイルで正常に動作するには、Application Dataフォルダーをリダイレクトする必要があります。

ユーザーがログオンするたびに、レジストリの変更が書き込まれます。アカウント情報は同期ポイントで同期されますが、変更はプロファイル内に保存されません。

Windows 2000以降、MicrosoftによりApplication Dataフォルダーのリダイレクトを実行するためのメカニズムが提供されています。ただし、Windows NT4ドメインを使用するには、Application Dataフォルダーの場所を変更することができるログオンスクリプトが必要となります。KixまたはVBScriptなどのツールを使い、Application Dataフォルダーに対する書き込み可能な場所を定義することで、これを実行できます。

次の例では、ユーザーのログオン時にKixを使ってApplication Dataフォルダーをリダイレクトします:

重要:このサンプルスクリプトは情報提供の目的のみのものであり、初回テスト時を除いて環境内で使用するべきではありません。
 
$LogonServer = "%LOGONSERVER%" 
$HKCU = "HKEY_CURRENT_USER" 
$ShellFolders_Key = 
"$HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell 
Folders" 
$UserShellFolders_Key = 
"$HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User 
Shell Folders" 
$UserProfFolder = 
"$LogonServer\profiles\@userID" 
$UserAppData = 
"$LogonServer\profiles\@userID\Application Data" 
$UserDesktop = 
"$LogonServer\profiles\@userID\Desktop" 
$UserFavorites = 
"$LogonServer\profiles\@userID\Favorites" 
$UserPersonal = "X:\My Documents" 
$UserRecent = 
"$LogonServer\profiles\@userID\Recent" 
if (exist("$UserAppData") = 0) 
shell '%ComSpec% /c md "$UserAppData"' 
endif 
if (exist("$UserDesktop") = 0) 
shell '%ComSpec% /c md "$UserDesktop"' 
endif 
if (exist("$UserRecent") = 0) 
shell '%ComSpec% /c md "$UserRecent"' 
endif 
if (exist("$UserFavorites") = 0) 
shell '%ComSpec% /c md "$UserFavorites"' 
endif 

ハイブリッドプロファイルは、固定プロファイル問題に対するもう1つの解決策です。ユーザーがログオンする際、固定プロファイルはユーザーが使用できるアプリケーションに基づくユーザーレジストリハイブをロードし、カスタムアプリケーションはロードおよびアンロードします。固定プロファイルとして、ユーザーはセッション中にレジストリの該当する部分を変更できます。固定プロファイルとの違いは、ユーザーのログオフ時に変更が保存され、再度ログオンするときにこれがリロードされることです。

ハイブリッドプロファイルが使用される場合、ログオンおよびログオフ処理の一部としてHKEY_CURRENT_USER\Software\Citrix\MetaFrame Passwordレジストリキーがインポートおよびエクスポートされる必要があります。

フォルダーのリダイレクト

フォルダーリダイレクトはグループポリシーオブジェクトおよびActive Directoryを使って実行されます。ユーザープロファイルの一部であるフォルダーの場所を定義するには、グループポリシーを使用します。

次の4つのフォルダーにリダイレクトできます:
  • マイ ドキュメント
  • アプリケーション データ
  • デスクトップ
  • [スタート]メニュー

リダイレクトの2つのモードである基本リダイレクトと詳細リダイレクトは、グループポリシーを使って構成できます。どちらのモードもSingle Sign-Onでサポートされています。Windows 2000では、ユーザー名変数を使ってアプリケーションデータを保存する共有を参照する必要があります(\\servername\sharename\%username%など)。

フォルダーリダイレクトにはユーザーによる制限はなく、すべてのアプリケーションに対して適用されます。このため、Application Dataフォルダーを使用するすべてのアプリケーションでサポートする必要があります。

フォルダーリダイレクトについて詳しくは、次のMicrosoft技術文書を参照してください。

「フォルダリダイレクトを使用して、セキュリティが強化されたリダイレクトフォルダを動的に作成する方法」

「Windowsのフォルダのリダイレクト機能」

「フォルダーをリダイレクトする、管理者にアクセスを有効にします。」

ベストプラクティス

  • 実行できる場所にApplication Dataフォルダーをリダイレクトします。 これにより、ユーザーがログオンするたびにフォルダー内のデータをコピーする必要がなくなり、ネットワークパフォーマンスが向上します。
  • Password Manager Agentのトラブルシューティングを実行する場合は、ログオンユーザーにApplication Dataフォルダーのフルコントロール権限があるか必ず確認します。