Remove From My Forums

ADMTのプロファイル移行にてoutlookでのpop3認証passが消える等の件

質問
0

サインインして投票

マーリンです。
初心者です。

フォレスト間でのADのリソースの移行においてADMTを使ったプロファイルの移行についてお尋ねします。

＜環境＞
移行元　Win2003DC　×　2
移行先　Win2008DC　×　2(構築)

クライアント　Windwos XP
メーラー　outlook若しくはoutlook express

メールサーバーはLINUXでqmailを使用しています。

http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=33084&forum=6

に掲載してあるのですが、
ADMTにて移行できないものとしてMSから正式に返答があったとあります。

▽ADMTにて移行できないもの
・Outlook/OutlookExpressのPOP3認証パスワード
・別ワークグループ内のファイルサーバへのアクセスID/パスワード
・IEの認証サイトによるユーザIDとパスワード

今回はADMT3.1を使用するのですが、
上記問題は解決されているのでしょうか？
とくに「Outlook/OutlookExpressのPOP3認証パスワード」が気になります。

検証して確かめれば良いのでしょうが、メールまで構築する検証環境が無く困っております。

宜しくお願い致します。

2009年12月5日 7:08

返信

|

引用

回答

0

サインインして投票
こんにちは、北川です。

正式な回答はサポートにお問い合わせいただいたほうが良いかと思います。
逆に、プロファイルの移行において基本的な考え方として、パスワードや証明書が簡単に移行できてしまうようなものはセキュリティ的に脆弱だと考えています。

パスワードや証明書は、これは各ユーザーが管理し、証明書などはエクスポートしておくべきことです。
（どこかのスレッドであったかと思いますが、部長さんのパスワードを新人さんの PC にコピーして使えてしまっては困りますよね。）

ADMT に限ったことでなく、プロファイルのコピーや USMT などのツールを用いてもこの問題は解決できません。
これはそれぞれの利用者の方が管理すべきことであるためです。
（ADMT が必要なシナリオでは難しいかと思いますが、移動ユーザープロファイルでデータを移行するなど、様々な方法を実施されている方も見えるかと思いますので、投稿を待ってみても良いかもしれません。環境によっては moveuser を試してみるのも良いかもしれません。）

以下は　USMT に関するドキュメントですが、移行できないパスワードなどに関する情報が記載されていますので、ご紹介いたします。

ファイルと設定の移行チームガイド
http://technet.microsoft.com/ja-jp/library/cc824812.aspx

---------------------------------------------

USMT は、ワークステーション上に格納されている、Microsoft Outlook Express、Internet Explorer などのアプリケーションのパスワードや、割り当てられたネットワークドライブのパスワードを移行しません。

---------------------------------------------

Outlook Express のアカウント情報はエクスポートできるので、事前に利用者の方にエクスポートいただき、新しいプロファイルでインポートしていただくような運用をご検討いただければと思います。

ただ、移行においては検証環境を準備して、しっかり検証されることをお勧めいたします。
どうしても環境によって、予期しないことはおきるため、事前に準備をしておくに越したことは無いためです。

こちらの情報が参考になれば幸いです。

--------------------------------------------------
タグ乱れを直していただきまして、ありがとうございました。
また、お手数をおかけしました。
--------------------------------------------------
- 編集済み菊地俊介 2009年12月8日 5:53 タグ乱れ
- 回答としてマークマーリン 2009年12月9日 11:50
2009年12月8日 5:12

返信

|

引用
0

サインインして投票
チャブーンです。

この件ですが、MSFT 北川さんもコメントされていますが、ご指定されたパスワード情報については、Windows Server 2008 であっても移行しない、という話しが MS の資料にありますね。

SID の履歴を使用したアカウントの移行

----

ユーザーアカウントを移行するとき、すべてのユーザープロパティを移行できるわけではありません。たとえば、Windows NT 4.0 ワークステーションの保護された記憶域 (Pstore) のコンテンツ (暗号化ファイルシステム (EFS) の秘密キーなど) は、ユーザーアカウントを移行するときに Active Directory 移行ツール (ADMT) によって移行されません。Pstore のコンテンツを移行するには、移行プロセス中にキーのエクスポートとインポートを行う必要があります。

Windows 2000 Server 以降を実行しているクライアントでは、データ保護 API (DPAPI) によって保護されているデータも移行されません。DPAPI によって保護されるアイテムは次のとおりです。

Web ページの資格情報 (パスワードなど)

ファイル共有の資格情報

EFS、Secure/Multipurpose Internet Mail Extensions (S/MIME)、およびその他の資格情報に関連付けられている秘密キー

CryptProtectData() 関数を使用して保護されているプログラムデータ

----

うえの DPAPI というのは、ユーザープロファイルに個別に結びついた、暗号化による保護が必要なデータに対応する API のことです。DPAPI の細かい話しは、DPAPI (データ保護 API) のトラブルシューティングをみてもらうといいでしょう。

で、ADMT として、DPAPI で保護されたデータは (おそらくセキュリティ上の理由により) 「移行しません」ということを宣言している情報、と個人的には理解しています。「不具合」による問題ではない、という認識をもっていただいた方が、いいと思います。

うえの資料では (はっきり書いてないので) 「本当にそうかどうかわからない！」ということであれば、MS の有償サポートにきちんと聞いていただく以外、確かな方法はありません。外部の人間では「どういう意図でこういう実装になっているのか」は、決してわかりませんので。

すぐにお答えしなかったことで MSFT さんに迷惑をかけたようです。すみません…
- 回答としてマークマーリン 2009年12月9日 11:49
2009年12月9日 3:50

返信

|

引用

モデレータ

すべての返信

0

サインインして投票
こんにちは、北川です。

正式な回答はサポートにお問い合わせいただいたほうが良いかと思います。
逆に、プロファイルの移行において基本的な考え方として、パスワードや証明書が簡単に移行できてしまうようなものはセキュリティ的に脆弱だと考えています。

パスワードや証明書は、これは各ユーザーが管理し、証明書などはエクスポートしておくべきことです。
（どこかのスレッドであったかと思いますが、部長さんのパスワードを新人さんの PC にコピーして使えてしまっては困りますよね。）

ADMT に限ったことでなく、プロファイルのコピーや USMT などのツールを用いてもこの問題は解決できません。
これはそれぞれの利用者の方が管理すべきことであるためです。
（ADMT が必要なシナリオでは難しいかと思いますが、移動ユーザープロファイルでデータを移行するなど、様々な方法を実施されている方も見えるかと思いますので、投稿を待ってみても良いかもしれません。環境によっては moveuser を試してみるのも良いかもしれません。）

以下は　USMT に関するドキュメントですが、移行できないパスワードなどに関する情報が記載されていますので、ご紹介いたします。

ファイルと設定の移行チームガイド
http://technet.microsoft.com/ja-jp/library/cc824812.aspx

---------------------------------------------

USMT は、ワークステーション上に格納されている、Microsoft Outlook Express、Internet Explorer などのアプリケーションのパスワードや、割り当てられたネットワークドライブのパスワードを移行しません。

---------------------------------------------

Outlook Express のアカウント情報はエクスポートできるので、事前に利用者の方にエクスポートいただき、新しいプロファイルでインポートしていただくような運用をご検討いただければと思います。

ただ、移行においては検証環境を準備して、しっかり検証されることをお勧めいたします。
どうしても環境によって、予期しないことはおきるため、事前に準備をしておくに越したことは無いためです。

こちらの情報が参考になれば幸いです。

--------------------------------------------------
タグ乱れを直していただきまして、ありがとうございました。
また、お手数をおかけしました。
--------------------------------------------------
- 編集済み菊地俊介 2009年12月8日 5:53 タグ乱れ
- 回答としてマークマーリン 2009年12月9日 11:50
2009年12月8日 5:12

返信

|

引用
0

サインインして投票
チャブーンです。

この件ですが、MSFT 北川さんもコメントされていますが、ご指定されたパスワード情報については、Windows Server 2008 であっても移行しない、という話しが MS の資料にありますね。

SID の履歴を使用したアカウントの移行

----

ユーザーアカウントを移行するとき、すべてのユーザープロパティを移行できるわけではありません。たとえば、Windows NT 4.0 ワークステーションの保護された記憶域 (Pstore) のコンテンツ (暗号化ファイルシステム (EFS) の秘密キーなど) は、ユーザーアカウントを移行するときに Active Directory 移行ツール (ADMT) によって移行されません。Pstore のコンテンツを移行するには、移行プロセス中にキーのエクスポートとインポートを行う必要があります。

Windows 2000 Server 以降を実行しているクライアントでは、データ保護 API (DPAPI) によって保護されているデータも移行されません。DPAPI によって保護されるアイテムは次のとおりです。

Web ページの資格情報 (パスワードなど)

ファイル共有の資格情報

EFS、Secure/Multipurpose Internet Mail Extensions (S/MIME)、およびその他の資格情報に関連付けられている秘密キー

CryptProtectData() 関数を使用して保護されているプログラムデータ

----

うえの DPAPI というのは、ユーザープロファイルに個別に結びついた、暗号化による保護が必要なデータに対応する API のことです。DPAPI の細かい話しは、DPAPI (データ保護 API) のトラブルシューティングをみてもらうといいでしょう。

で、ADMT として、DPAPI で保護されたデータは (おそらくセキュリティ上の理由により) 「移行しません」ということを宣言している情報、と個人的には理解しています。「不具合」による問題ではない、という認識をもっていただいた方が、いいと思います。

うえの資料では (はっきり書いてないので) 「本当にそうかどうかわからない！」ということであれば、MS の有償サポートにきちんと聞いていただく以外、確かな方法はありません。外部の人間では「どういう意図でこういう実装になっているのか」は、決してわかりませんので。

すぐにお答えしなかったことで MSFT さんに迷惑をかけたようです。すみません…
- 回答としてマークマーリン 2009年12月9日 11:49
2009年12月9日 3:50

返信

|

引用

モデレータ
0

サインインして投票

北川様

丁寧なご回答、ありがとうございました。

セキュリティ上の理由ということで納得しました。

検証にて代替案を探します。

2009年12月9日 11:44

返信

|

引用
0

サインインして投票

チャブーン様

丁寧なご回答、ありがとうございます。

また細かいところまで、ありがとうございます。

仕様というか設計思想のようなところの問題なんですね。

有償サポート検討してみます。

ありがとうございました。

2009年12月9日 11:49

返信

|

引用

製品

Resources

Solutions

更新プログラム

評価版

関連サイト

トレーニング

認定資格

その他のリソース

製品別サポート

その他のサポート

IT 担当者以外の方へ

トップ回答者

ADMTのプロファイル移行にてoutlookでのpop3認証passが消える等の件

質問

回答

すべての返信