オフラインドメイン参加後のユーザプロファイル作成方法

2015/09/28 18:32

このQ&Aのポイント

オフラインドメイン参加後のユーザプロファイル作成方法を教えてください。
全国津々浦々に配布済みのタブレットPCにドメイン参加が必要です。オフラインドメイン参加の流れを教えてください。
タブレットPCのドメイン参加後にユーザプロファイルが作成できません。正しい方法やコマンドがあれば教えてください。

オフラインドメイン参加後のユーザプロファイル作成

初めて投稿します。文書が稚拙で申し訳ありませんが、何卒、知恵をお貸しください。全国津々浦々に配布済み200台のタブレットPCについて、ドメイン参加が急きょ必要となりました。この端末は、社内ネットワークに接続されず、Wifiモバイルルータを用いてインターネット接続をおこない、必要に応じてVPNを用いて社内ネットワークに接続されます。この度、オフラインドメイン参加コマンドを用いてドメイン参加はできましたが、初めてドメインに参加したPCに対して、ドメインユーザプロファイルの作成ができずに困っています。（PCにログオンする際は、常にローカルユーザでログオンしており、ログオン時はWifiルータに接続されず、VPNにも接続していません。つまり、ドメイン参加後にユーザプロファイルが作成できません）以下にオフラインドメイン参加の流れを記載しますので、今後、どのタイミングで、どのようにユーザプロファイルを作成すればよいかご教示願いますでしょうか。【環境】　ActiveDirectory　⇒　Windows Server 2008 R2 　クライアントPC　⇒　Windows8.1 Pro 　※ADに対して、コンピュータオブジェクトおよび、ユーザアカウントは作成済み【オフラインドメイン参加の流れ】１．ADにて「djoin /Provision　」コマンドを実施し、ドメイン参加対象PCのオブジェクト　　およびオフラインテキストを作成２．クライアントPCにローカルユーザでログオン（Administarator権限）３．クライアントPCにて「djoin」コマンドを実施し、オフラインドメイン参加をおこない　　再起動　　　※djoinコマンドが記載されたバッチファイルおよび、上記１で作成したオフライン　　　　テキストをパッケージ化したEXEをメールで配布４．クライアントPCにローカルユーザでログオン（Administarator権限）５．VPNを用いて社内に接続　　（ADと通信が確立して、ドメイン参加が完了となる。※ここで初めて社内と接続）６．以下のコマンドを実施　　net localgroup "administrators" "Domain Users" /add 　　※１台のタブレットPCを複数名で利用するため、全ドメインユーザがクライアントPCに　　　対して管理者権限を付与する方が管理が楽だと考えました感覚的には、上記５以降にDOSコマンドを用いてドメインユーザプロファイルを作成できれば OKかな？と考えていますが、そのコマンドが分かりません。お手数ですが、上記の考え方で正しいのか否か、DOSコマンドが存在するのか、存在するのであればどのようなDOSコマンドなのか教えて頂けますか。

ko33maki33
お礼率25% (1/4)

Windows系OS
回答数4
ありがとう数2

みんなの回答 （4）
専門家の回答

質問者が選んだベストアンサー

ベストアンサー

maesen
ベストアンサー率81% (646/790)

2015/10/01 19:01 回答No.3

No.1です。 VPNクライアントを起動しないとVPNに接続できないということですね。納得です。気が付かず申し訳ありませんでした。＞ドメイン参加していないタブレットPCから新システムにアクセスすると、＞認証画面が表示されてしまい、ユーザに都度入力させるのは負担になって＞しまうことから、タブレットPCもドメインに参加する必要があると考え＞ていますこの内容を見る限り、シームレスに新システムを使用ためには、PCをドメインに参加し且つドメインユーザーでログオンして必要があると思われます。＞タブレットPCにログオンする際は、VPN未接続でオフライン状態のため、＞ドメインコントローラと通信できず、ドメイン参加直後のタブレットPCで＞は、初回ログオン時にドメインユーザでログオンすることができませんところでVPNクライアントは何を使用していますでしょうか？ Windows標準のものを使用しているのであれば、ログオン前にVPNに接続することは可能です。以下のURLを参考にして見て下さい。 Windows7(参考) http://blog.goo.ne.jp/vpn-ne/e/e8e4cbc6eaaa762dc6790ef7d5aae83f Windows8.1 https://social.technet.microsoft.com/Forums/ja-JP/443418b3-c94f-49e7-a67e-7ebe5f11eb04/windows81vpn?forum=w8itpro Windows8.1（英語） http://blog.lan-tech.ca/2013/03/02/windows-8-connect-to-vpn-before-logon/ VPNクライアントがサードパーティ製のものを使用している場合はちょっと厳しいですね。ローカルユーザーでログオンしている状態で、VPNクライアントを起動して、ログオフするのではなくユーザーの切り替えを使用してドメインユーザーでログオンしたらどうでしょうか。 VPNクライアントの実装に影響するかもしれませんが、これならVPN接続は切れないように思うのでドメインユーザーでもログオン出来そうなきがしますが、試したことは無く思いつきで申し訳ないです。単純に認証だけの問題ならば、資格情報マネージャーで新システムのサーバのアクセスに対してドメインユーザーとパスワードを登録すれば良いだけかもしれません。これは新システム側の実装によることになります。

質問者

お礼 2015/10/02 18:49

maesen 様以下の頂いた方法で解決することができました。本当にありがとうございます。＞ローカルユーザーでログオンしている状態で、VPNクライアントを起動し＞て、ログオフするのではなくユーザーの切り替えを使用してドメインユー＞ザーでログオンしたらどうでしょうか。ここまでに至る内容を記載致します。当社で利用しているVPNはFortigateClientツールです。ユーザのITリテラシーの問題（手に職を持つ方なので、ちょっと低いです）から、Webコンソールからのログオンしか提供しておらず、クライアントツールは利用させていません。（インストールもおこなっていません）調査を進めると、FortigateClientでは、Windowsログオン対前にVPN接続をおこなう設定がありましたが、上記内容から、ユーザにして「Clientツールのインストール作業＋Windowsログオン前にVPN接続する設定」を強いることになるので、敷居が高く採用できませんでした。さらに、Windowsログオン時にVPNのユーザID、パスワードの入力も行う画面に変更されていたので、ユーザとしては「いつもと違う画面だ・・・」と言った混乱も発生すると考えました。また、Windows資格情報の登録については、DefaultDomainポリシーの設定で、90日毎にWindowsログオンパスワードの強制変更が起動するので、資格情報も90日毎に変更させるのは厳しいと考え、採用できませんでした。そこで、回答頂いたユーザの切り替えをテストしたところ、VPN接続が維持されており、ドメインユーザでのログオン＋初回のユーザプロファイルの自動作成がおこなわれました。「ユーザの切り替え」と言う方法が自分には浮かばず、大変勉強になりました。ベストアンサーにさせて頂き、本件Closeさせて頂きます。他に回答頂いた方も、自分の稚拙な文書、分かり難い表現などお付き合い頂きありがとうございました。

その他の回答 (3)

m-take0220
ベストアンサー率60% (477/782)

2015/10/02 09:35 回答No.4

＞こちらは、ローカルユーザでログオンしてVPN接続した後（ドメイン＞コントローラと通信ができる状態）に、ドメインユーザを指定して＞プログラムを起動する・・・ようなイメージでしょうか？そうですね。ただ、補足の内容からすると、ユーザープロファイルが必要というより、ログオン情報のキャッシュを作成して、ドメインコントローラーと通信できない状態でもログオンできるようにしたいのではないかと思うのですが。そうであれば、runasコマンドで使用したユーザー名・パスワードがキャッシュされるかどうかは確認していないので、大丈夫か確認してみてください。

m-take0220
ベストアンサー率60% (477/782)

2015/10/01 16:14 回答No.2

ドメインユーザープロファイルがなぜ必要なのかの説明があれば、別の方法があるかもしれないですが。 (まれに、プロファイルのあるユーザーのレジストリにのみ設定を記録するインストーラーとかあるので、そういったものの対処であれば仕方ないです。) runasコマンドでユーザーを指定してプログラムを起動すると、レジストリ等が必要になるので、Windowsはプロファイルを読み込もうとし、なければ作成します。これを利用すればいいのではないでしょうか。ただし、パスワードをコマンドプロンプト上で入力しないといけませんし、起動したプログラムを終了する必要があるので、バッチで自動的にとかは難しいかもしれません。プログラムは、勝手に終了するものを使用する方法もありますが、パスワードをバッチに記述するのはさすがにまずいでしょうし。

質問者

補足 2015/10/01 17:15

m-take0220 様ご連絡ありがとうございます。＞runasコマンドでユーザーを指定してプログラムを起動すると、レジストリ等が必要になるので、Windowsはプロファイルを読み込もうとし、なければ作成します。こちらは、ローカルユーザでログオンしてVPN接続した後（ドメインコントローラと通信ができる状態）に、ドメインユーザを指定してプログラムを起動する・・・ようなイメージでしょうか？ runasxコマンドを実行するVBSを作成し、念のためVBSファイルを暗号化した上で、EXE化するなどでパスワードを隠すことができると考えています。（Win8.1でrunasxが動くか否かの検証が必要ですが・・・）

maesen
ベストアンサー率81% (646/790)

2015/10/01 12:45 回答No.1

＞（PCにログオンする際は、常にローカルユーザでログオンしており、ログオン時はWifiルータ＞に接続されず、VPNにも接続していません。つまり、ドメイン参加後にユーザプロファイルが＞作成できません）なぜドメインユーザーのユーザープロファイルが必要なのかわからないので的を射た回答かわかりません。上記を読む限りではドメインに参加する必要がなぜあるのかという疑問もあります。ユーザープロファイルは初回ログオン時に作成されるため、そのPCでドメインユーザーにてログオンする必要があるはずです。また、ドメインユーザーでログオンするのでドメインコントローラ（以下、DC）と通信が出来る状態である必要があります。別ユーザーにてプロファイルのみ作成する方法というのは聞いたことがありません。＞※１台のタブレットPCを複数名で利用するため、全ドメインユーザがクライアントPCにキッティングの段階でドメインユーザープロファイルが作成されていなければならないのであれば、5以降にてそのPCを使用する可能性のある全てのドメインユーザーで一度ログオンする必要があると思われますが。＞この端末は、社内ネットワークに接続されず、Wifiモバイルルータを用いてインターネット＞接続をおこない、必要に応じてVPNを用いて社内ネットワークに接続されます。必要に応じてVPNを用いて社内ネットワークに接続したときに、ドメインユーザーでログオンしてもらえば良いだけのように感じますが、そんな単純な話ではないのでしょうかね。

質問者

補足 2015/10/01 17:10

maesen 様ご連絡ありがとうございます。ドメイン参加の理由として、現在、新システムを構築中で、タブレット PCを配布（ドメイン未参加状態）した後になって、新システムのサーバがドメイン参加する必要があることが分かったためです。ドメイン参加していないタブレットPCから新システムにアクセスすると、認証画面が表示されてしまい、ユーザに都度入力させるのは負担になってしまうことから、タブレットPCもドメインに参加する必要があると考えています。タブレットPCにログオンする際は、VPN未接続でオフライン状態のため、ドメインコントローラと通信できず、ドメイン参加直後のタブレットPCでは、初回ログオン時にドメインユーザでログオンすることができません（ローカルユーザでログオンするしかない）＞必要に応じてVPNを用いて社内ネットワークに接続したときに、ドメイン＞ユーザーでログオンしてもらえば良いだけのように感じますが、こちらはどのような方法がありますでしょうか？現在の環境として、VPNを用いて社内ネットワークに接続するには、一度、ローカルユーザでPCにログオンしてから、VPNクライアントを立ち上げる必要があります。