Windows Server 2012 R2で移動プロファイル、フォルダーリダイレクトを構成する際に、意外と難しいのがアクセス権限の設定です。
グループポリシーでの設定だけでも、関連するポリシーがいくつかあるので、きちんと整理しておく必要があります。
その中で、今回は、フォルダーリダイレクトのNTFSのアクセス権限について説明します。
まず、フォルダーリダイレクトを設定するにあたり、フォルダーを共有化します。
【フォルダーリダイレクトのアクセス権の設定】
①フォルダーリダイレクト用のフォルダを作成
※下記例では、名前が「Redirect$」のフォルダー。「$」で隠しフォルダーにしています。
②作成したフォルダーを右クリックし、「共有」タブ→「詳細な共有」をクリック。
③「このフォルダーを共有する」にチェックを入れ、「アクセス許可」をクリックします。
④「Everyone」のアクセス許可を「フルコントロール」にチェックを入れます。
※デフォルトは「読み取り」のみ。
【共有アクセス許可】
Everyone
フルコントロール:許可
変更:許可
読み取り:許可
つづいて、NTFSのアクセス権の設定です。
⑤「セキュリティ」タブをクリックし、「詳細設定」をクリックします。
⑥「継承の無効化」をクリックします。
⑦「継承されたアクセス許可をこのオブジェクトの明示的なアクセス許可に変換します。」をクリックします。
⑧Usersの一方を削除し、残ったUsersを編集します。
⑨適用先に「このフォルダーのみ」を選択し、「高度なアクセス許可を表示する」をクリックします。
⑩高度なアクセス許可を以下のように設定します。
以下の項目にチェックを入れます。
【NTSFアクセス許可】
■フォルダーのスキャン/ファイルの実行
■フォルダーの一覧/データの読み取り
■属性の読み取り
■フォルダーの作成/データの追加
⑪「OK」をクリックします。
以上で、アクセス許可の設定は完了です。
また、フォルダーリダイレクトのフォルダーのアクセス権の設定では「CREATOR OWNER」の存在が重要になります。
「CREATOR OWNER」は、ファイルやフォルダーを作成したユーザーだけに、編集や削除を行わせたい場合に、「CREATOR OWNER」グループに対してアクセス許可を付与します。
これにより、「CREATOR OWNER」グループに設定したアクセス権限が、フォルダーを作成したユーザーに付与される事になります。
つまり、フォルダーリダイレクトで使用する共有フォルダーには、最低限必要な権限をDomain Usersに付与し、各ユーザーが作成するフォルダーの中に含まれるサブフォルダー、およびファイルに「CREATOR OWNER」の権限をそのまま付与できます。
今回の構成の場合、[Redirect$]以下に作成されるフォルダー、ファイルに、「CREATOR OWNER」グループのアクセス権限が、フォルダーを作成した各ユーザーに付与されるようになります。
[Redirect$]
∟[ユーザー名]
∟AppData
∟デスクトップ
∟スタート メニュー
・
・
また、これにより、ユーザー同士では、お互いのユーザーフォルダへのアクセス権限はないので、セキュリティレベルも向上します。
別で記載しますが、フォルダーリダイレクトのグループポリシーの設定もアクセス権限に絡んできます。
移動ユーザープロファイルと、フォルダーリダイレクトは意外と奥が深いので、しっかりと動作確認しておいたほうがいいですね~。