技術情報

【アクセス権設定】移動ユーザープロファイル/フォルダリダイレクト

こんにちは、アクセス権 ばにゃです。

本記事では、Windows OS 環境で移動ユーザープロファイル/フォルダリダイレクト設定を行う際に必要となる、格納先フォルダに対するアクセス権設定について解説します。

移動ユーザープロファイル/フォルダリダイレクトのGPO設定については以下を参考にしてください。

スポンサーリンク

前提となる環境

本記事では、以下のような環境を例として記載します。
この環境で私自身が実機動作確認済みの手順となります。

環境
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows 10
  • Windows 8.1
    ※Windows OS 全般

以下のような構成を例として解説します。

profile-access_001

また以下の前提で、以降のアクセス権設定を解説します。

前提
  • Domain Users に所属するユーザーに対して、移動ユーザープロファイル/フォルダリダイレクトが設定されている
  • 移動ユーザープロファイル/フォルダリダイレクトの格納先フォルダは、ファイルサーバー上の C:\profile とする

管理者および利用者のアクセス権の状態

管理者(Domain Admins)および利用者(Domain Users)のアクセス権が、以下のような状態となるように設定を行います。

目標とする動作
  • Domain Admins に所属するユーザーは、全てのユーザーの移動ユーザープロファイル/フォルダリダイレクトのフォルダの読み取り/書き込みが可能
  • Domain Users に所属ユーザーは、自分自身の移動ユーザープロファイル/フォルダリダイレクトのフォルダのみ読み取り/書き込みが可能

共有アクセス権

アクセス権設定

C:\profile フォルダに設定する共有アクセス権、および共有名は以下となります。

共有名グループ名またはユーザー名アクセス許可
profile$Domain Adminsフルコントロール
Domain Usersフルコントロール

隠し共有設定 $

共有名は隠し共有フォルダ設定(最後に $ を付けている)を行っていますが、この設定でセキュリティが担保できるわけではありません。
※エクスプローラのネットワーク一覧から見えなくなるだけ

実際の細かいアクセス権は、NTFSアクセス権で解説します。

NTFSアクセス権

アクセス権設定

C:\profile フォルダに設定するNTFSアクセス権は以下の通りです。
※以下に記載するアクセス権以外は削除する

種類プリンシパルアクセス継承元適用先
許可SYSTEMフルコントロールなしこのフォルダー
サブフォルダーおよびファイル
許可CREATOR OWNERフルコントロールなしサブフォルダーとファイルのみ
許可Domain Adminsフルコントロールなしこのフォルダー
サブフォルダーおよびファイル
許可Domain Usersフォルダーの作成/データの追加
フォルダーの一覧/データの読み取り
なしこのフォルダーのみ

実際に設定した画面は以下のようになります。

profile-access_002

Domain Users のアクセス「特殊」の設定画面は以下のようになります。

profile-access_003

補足事項

Microsoft のサイト「移動ユーザー プロファイルの展開」の「手順 3:移動ユーザー プロファイルのファイル共有を作成する」も参考にしてください。

にほんブログ村 IT技術ブログへ
にほんブログ村


コメント