こんにちは、アクセス権 ばにゃです。
本記事では、Windows OS 環境での 移動ユーザープロファイル/フォルダリダイレクトの格納先フォルダに対するアクセス権設定について解説します。
移動ユーザープロファイル/フォルダリダイレクトのGPO設定については以下を参考にしてください。
前提となる環境
本記事では、以下のような環境を例として記載します。この環境で私自身が実機動作確認済みの手順となります。
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
- Windows 10
- Windows 8.1
※Windows OS 全般
以下のような構成を例として解説します。
また以下の前提で、以降のアクセス権設定を解説します。
- Domain Users グループに所属するユーザーに対して、移動ユーザープロファイル/フォルダリダイレクトが設定されている。
- 移動ユーザープロファイル/フォルダリダイレクトの格納先パスは、ファイルサーバー上の C:\profile とする。
管理者および利用者のアクセス権の状態
管理者(Domain Admins)および利用者(Domain Users)のアクセス権が、以下のような状態となるように設定を行います。
- Domain Admins に所属するユーザーは、全てのユーザーの移動ユーザープロファイル/フォルダリダイレクトのフォルダの読み取り/書き込みが可能。
- Domain Users に所属ユーザーは、自分自身の移動ユーザープロファイル/フォルダリダイレクトのフォルダのみ読み取り/書き込みが可能。
共有アクセス権
アクセス権設定
C:\profile フォルダに設定する共有アクセス権、および共有名は以下となります。
| 共有名 | グループ名またはユーザー名 | アクセス許可 |
|---|---|---|
| profile$ | Domain Admins | フルコントロール |
| Domain Users | フルコントロール |
隠し共有設定 $
共有名は隠し共有フォルダ設定(最後に $ を付けている)を行っていますが、この設定でセキュリティが担保できるわけではありません。エクスプローラーのネットワーク一覧から見えなくなるだけです。
実際の細かいアクセス権は、NTFSアクセス権で解説します。
NTFSアクセス権
アクセス権設定
C:\profile フォルダに設定するNTFSアクセス権は以下の通りです。以下に記載しているアクセス権以外は削除して構いません。
| 種類 | プリンシパル | アクセス | 継承元 | 適用先 |
|---|---|---|---|---|
| 許可 | SYSTEM | フルコントロール | なし | このフォルダー サブフォルダーおよびファイル |
| 許可 | CREATOR OWNER | フルコントロール | なし | サブフォルダーとファイルのみ |
| 許可 | Domain Admins | フルコントロール | なし | このフォルダー サブフォルダーおよびファイル |
| 許可 | Domain Users | フォルダーの作成/データの追加 フォルダーの一覧/データの読み取り | なし | このフォルダーのみ |
実際に設定した画面は以下のようになります。
Domain Users のアクセス「特殊」の設定画面は以下のようになります。
参考情報
Microsoft ドキュメント
Microsoft のサイト「移動ユーザー プロファイルの展開」の「手順 3:移動ユーザー プロファイルのファイル共有を作成する」も参考にしてください。
- 移動ユーザー プロファイルの展開
https://docs.microsoft.com/ja-jp/windows-server/storage/folder-redirection/deploy-roaming-user-profiles
参考書籍
本記事で解説した移動ユーザープロファイル/フォルダリダイレクト設定は、VDIやリモートデスクトップ環境で非常によく使用される方式です。VDIやリモートデスクトップの概念、構築手順について詳しい情報が必要な場合におすすめの書籍です。
コメント