2016/11/24

一時利用PCでの環境に最適 Windows10共有PCモード

Windows10 Anniversary機能のひとつとして、共有PCモードというのが追加されました。
これは、学校のPC教室など 特定の個人所有パソコンとしての利用ではなく、
複数人が一時的にPC利用することを想定したモードとなります。


ログインユーザーに対し ゲストアカウント権限しか与えなかったり、
サインアウト後プロファイルを自動削除したり、ローカルドライブに保存させないよう制限したりと
そのPCに対して、ユーザー情報を残さないような設定ができることが特徴のようです。

詳しくは、以下の記事を参考にするとよいかと思います。

■ITPro 第15回 パートやアルバイトのIDをどうするかはこれで解決―共有PC構成―
http://itpro.nikkeibp.co.jp/atclact/active/15/022500181/110100016/?ST=suc-infra&P=1
■WindowsITCenter  Windows 10 での共有またはゲスト PC の設定
https://technet.microsoft.com/ja-jp/itpro/windows/manage/set-up-shared-or-guest-pc

そんなわけで、さっそく試してみました。



■導入準備

WindowsADKをダウンロードし、インストールします。

WindowsADK

image

機能選択で構成デザイナーにチェックします。
image

インストールが完了したら構成デザイナーを起動します。
image

プロビジョニングの詳細設定を選択します。
image

プロジェクト名を入力します。

image

完了をクリックします。
image

SharedPC配下のパラメータを変更します。
image


共有PCに関するパラメータは、下記参照


https://technet.microsoft.com/ja-jp/itpro/windows/manage/set-up-shared-or-guest-pc?f=255&MSPPError=-2147217396#カスタマイズ

今回は以下のように設定しました。

EnableSharedPCMode - Trueにすることで、共有PCモードがオンになります。
AccountManagement
  EnableAccountManager - Trueにすることで、アカウントの自動管理が有効化されます。
  AccountModel – サインインの方法を制御できます。今回は、ドメイン参加アカウントのみ利用させたいため、 Domain-joined only としました。
  DeletionPolicy - サインアウト時にアカウントが削除されます。今回はサインアウト後すぐに削除させたい為、Delete immediatelyとしました。
Customization
  SetEduPolicies - 教育機関向けのポリシーです。ローカルへの保存や背景の制限ができます。今回はTrueとしました。
  SetPowerPolicies - 電源設定やスリープに移行できないようにします。今回はTrueとしました。


image


エクスポートープロビジョニングパッケージを実行します。
image


所有者をIT管理者にして、次へ をクリック。
(バージョンをあげることで、以前適用した値から更新できるようになります)
image


パッケージの暗号化を求められますが、今回は特に不要なのでそのまま次へ。
image


保存先を選択。今回は、SharePcPack.ppkg として名前を付けました。
image


最後にビルドを押すと、パッケージが作成されます。
image


■対象PCへの適用

適用先はWindows10 Anniversary Updateであること。
Pro、Pro Education、Education、Enterpriseのいずれかである必要があります。
image


パッケージ適用前に、プロファイル削除をするアカウントの除外設定をします。
除外するアカウントのSIDを把握する必要があります。
除外したいアカウントでログインし、whoami /user コマンドでSIDを確認しておきます。
image

以下のレジストリに除外したいSIDキーを追加します。
HKEY_LOCAL_MACHINE\SOFTARE\Microsoft\Windows\CurrentVersion\SharedPC\Exemptions\
image
準備が整えば、先ほど作成したppkgを実行します。


実行すると以下の画面が出るので、「はい、追加する」をクリックします。
image


実行したことで、ローカルグループポリシーなどが更新されたことが確認できます。
image

再起動し、挙動を確認します。


■挙動確認

ログイン画面
image
前回ログインしたユーザー情報はなく、画像アイコンも汎用的なものとなっています。

image
ログインすると、ログインアニメーションはなくログインされます。

image
ローカルに書き込み権限がなく、Cドライブも見ることはできません。


image
コントロールパネルを開こうとすると、ブロックされます。

image
サインアウト後プロファイルを確認すると、
ローカルプロファイルも削除されていることを確認できました。

◆雑感

プロビジョニングパッケージも結構簡単に作成することができました。
おそらくグループポリシーのカスタマイズでも同じことができると思いますが、
ローカルプロファイルに対してもサインアウト後、プロファイル削除されたり
かなり手軽に制限を有効化できるのは大きなメリットだと思います。

プロビジョニングパッケージをグループポリシーで展開できると便利ですが、どうなんでしょうね?
(Windows10リリース直後は、グループポリシーを使ってppkg展開も可能になる、という話は出ていたけれど。。)

スポンサーリンク

スポンサーリンク