実は移動プロファイルの前に認証についても述べなければならない。本来ログオン時の認証と移動プロファイルは別のものである。しかし、そもそも9X系のWindowsでは個別の設定を保存するようにしてもあらかじめ登録していないユーザーを排除するようになっていない。パスワードは入れさせるのですでに登録してあるユーザーにはなれないが、新規のユーザーにならいくらでもなれる。
NT系のWindowsやUNIX系のOSでは多数ある生徒用のコンピュータにユーザーを登録せずにサーバーで認証することが第1の課題になるが、9X系ではとりあえずどれでも使えるので移動プロファイルが第1の問題になってしまったわけである。
移動プロファイルがうまくいってから、これが問題となった。正しいユーザー名でなくてもログインできてしまう。もちろんサーバーは使用できないのだが、ユーザー名を間違えただけで新しいユーザーが登録されてしまう。これは9Xならではの問題だが、レジストリの設定で制限できる。
Windows 9X ではC:\windows\profilesのフォルダーにユーザー名と同じ名前のフォルダーが作られここにプロファイルデータが置かれる。Sambaサーバー側では場所を指定できるがユーザーホームディレクトリのなかの .profiles ディレクトリとしている。
ログオン、ログアウトのたびに更新のあったファイルだけコピーされる。同一ユーザーが別のコンピュータから同時にログオンできるが、後にログオフした方の設定が有効になる。従ってコンピュータの時刻はサーバーと同期させて置く必要がある。
9Xではファイルの所有者の概念がない。他人のプロファイルデータにもアクセスすることができるが、マイドキュメントのデータをこの中に含めなければそう問題ではない。削除されてもログオン時にサーバーからコピーするだけのことである。
ではユーザープロファイルの実体はというと、右図のようになっている。USER.DATというファイルはレジストリファイルでレジストリエディタではHKEY_CURRENT_USERの部分に相当する。ログオンすることでこれがローカルコンピュータにコピーされて使用されるのでレジストリに格納された設定は移動されるということである。
その他の部分はフォルダで、各アプリケーションが様々な様式で設定をファイルとして格納している部分である。
マイドキュメントを移動プロファイルに含めるとここにマイドキュメントのフォルダが並ぶ。これは含めるべきでない。スタートメニューも含めるとこれも並ぶが、これは入れるべきか迷うところ。現在は入れていない。
Windowsの設定で生徒が変更できないように制限したいものがある。Windows95のリソースキットにシステムポリシーエディタなるものがある。これはWindows98SEにインストールして使える。Meでは試していない。これで作成した CONFIG.POL というファイルは、ログオン時にレジストリにマージされレジストリによって制限される。システムポリシーエディタで作ったファイルはMeまで共通に使用することができている。
たとえば、次のような制限をする。
Windows2000やXpではシステムポリシーは無いが、そもそもアクセスできるファイルや実行できる設定変更にユーザーごとに制限をかけられるのでほぼ必要ないと思われる。
ログオン時に logon.bat というバッチファイルが実行される。時刻の同期とホームディレクトリをネットワークドライブとして接続するのはこれを使用してできる。
9Xのバッチファイルはユーザー名が使えない。そこで WSH を使ったスクリプトを実行するようにシステムポリシーで指定してある。これによりログオン時にユーザー個別のデスクトップにショートカットをコピーしたり、レジストリを書き換えたりできる。簡単なものなら実習用コンピュータのメンテナンスをログオン時に自動的に行うことができるのでとても重宝する。WSHはセキュリティホールになることもあるとされているが、なるほどうなずける。
聖愛高等学校