【アクセス権設定】移動ユーザープロファイル/フォルダリダイレクト

こんにちは、アクセス権 ばにゃです。

本記事では、Windows OS 環境での 移動ユーザープロファイル/フォルダリダイレクトの格納先フォルダに対するアクセス権設定について解説します。

移動ユーザープロファイル/フォルダリダイレクトのGPO設定については以下を参考にしてください。

目次

前提となる環境

本記事では、以下のような環境を例として記載します。この環境で私自身が実機動作確認済みの手順となります。

キャプション
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows 10
  • Windows 8.1

※Windows OS 全般

以下のような構成を例として解説します。

profile-access_001

また以下の前提で、以降のアクセス権設定を解説します。

  • Domain Users グループに所属するユーザーに対して、移動ユーザープロファイル/フォルダリダイレクトが設定されている。
  • 移動ユーザープロファイル/フォルダリダイレクトの格納先パスは、ファイルサーバー上の C:\profile とする。

管理者および利用者のアクセス権の状態

管理者(Domain Admins)および利用者(Domain Users)のアクセス権が、以下のような状態となるように設定を行います。

目標とする動作
  • Domain Admins に所属するユーザーは、全てのユーザーの移動ユーザープロファイル/フォルダリダイレクトのフォルダの読み取り/書き込みが可能。
  • Domain Users に所属ユーザーは、自分自身の移動ユーザープロファイル/フォルダリダイレクトのフォルダのみ読み取り/書き込みが可能。

共有アクセス権

アクセス権設定

C:\profile フォルダに設定する共有アクセス権、および共有名は以下となります。

共有名グループ名またはユーザー名アクセス許可
profile$Domain Adminsフルコントロール
Domain Usersフルコントロール

隠し共有設定 $

共有名は隠し共有フォルダ設定(最後に $ を付けている)を行っていますが、この設定でセキュリティが担保できるわけではありません。エクスプローラーのネットワーク一覧から見えなくなるだけです。

実際の細かいアクセス権は、NTFSアクセス権で解説します。

NTFSアクセス権

アクセス権設定

C:\profile フォルダに設定するNTFSアクセス権は以下の通りです。以下に記載しているアクセス権以外は削除して構いません。

種類プリンシパルアクセス継承元適用先
許可SYSTEMフルコントロールなしこのフォルダー
サブフォルダーおよびファイル
許可CREATOR OWNERフルコントロールなしサブフォルダーとファイルのみ
許可Domain Adminsフルコントロールなしこのフォルダー
サブフォルダーおよびファイル
許可Domain Usersフォルダーの作成/データの追加
フォルダーの一覧/データの読み取り
なしこのフォルダーのみ

実際に設定した画面は以下のようになります。

profile-access_002

Domain Users のアクセス「特殊」の設定画面は以下のようになります。

profile-access_003

参考情報

Microsoft ドキュメント

Microsoft のサイト「移動ユーザー プロファイルの展開」の「手順 3:移動ユーザー プロファイルのファイル共有を作成する」も参考にしてください。

参考書籍

本記事で解説した移動ユーザープロファイル/フォルダリダイレクト設定は、VDIやリモートデスクトップ環境で非常によく使用される方式です。VDIやリモートデスクトップの概念、構築手順について詳しい情報が必要な場合におすすめの書籍です。

にほんブログ村 IT技術ブログへ
にほんブログ村

よかったらシェアしてね!

この記事を書いた人

ばにゃ ばにゃ システムエンジニア

国内大手SIer勤務、SE10年以上やっています。これまでの経験を元にIT技術情報やIT資格試験、たまに投資/資産形成やSE界隈の話について記事にしていきます。

コメント

コメントする

CAPTCHA


目次
目次
閉じる