フォルダー リダイレクトとオフライン ファイルを展開する
適用対象: Windows 11、Windows 10、Windows Server 2022、Windows Server 2019、Windows Server 2016
この記事では、リダイレクトされたファイルへのアクセス権を制御するために従う必要のある手順など、フォルダー リダイレクトとオフライン ファイルを一緒にデプロイするための要件について説明します。
前提条件
開始する前に、環境が次の要件を満たしていることを確認します。
管理の要件
- フォルダー リダイレクトを管理するには、Domain Administrators セキュリティ グループ、Enterprise Administrators セキュリティ グループ、または Group Policy Creator Owners セキュリティ グループのメンバーとしてサインインする必要があります。
- グループ ポリシー管理および Active Directory 管理センターがインストールされたコンピューターを使用できる必要があります。
ファイル サーバーの要件
ファイル サーバーは、リダイレクトされたフォルダーをホストするコンピューターです。 ファイル サーバーが次の要件を満たしていることを確認します。
リモート デスクトップ サービスとの相互運用性
リモート アクセスの構成は、ファイル サーバー、ファイル共有、ポリシーを構成する方法に影響を与えます。 ファイル サーバーがリモート デスクトップ サービスもホストする場合は、いくつかのデプロイ手順が次のように異なります。
- フォルダー リダイレクト ユーザー用のセキュリティ グループを作成する必要がありません。
- リダイレクトされたフォルダーをホストするファイル共有に対して、異なるアクセス許可を構成する必要があります。
- 新しいユーザー用のフォルダーを事前に作成し、それらのフォルダーに対して特定のアクセス許可を設定する必要があります。
重要
このセクションの残りの部分に記載されているほとんどの手順は、両方のリモート アクセス構成にあてはまります。 片方の構成に固有の手順には、それを示すラベルが付いています。
アクセスの制限
構成に応じて、次の変更をファイル サーバーに適用します。
- すべての構成: 必要な IT 管理者のみがファイル サーバーに対する管理アクセス権を持つようにしてください。 次の手順では、個々のファイル共有に対するアクセス権を構成します。
- リモート デスクトップ サービスもホストするのではないサーバー: リモート デスクトップ サービスもホストするのではない場合は、ファイル サーバーでリモート デスクトップ サービス サービス (
termserv) を無効にします。
他のストレージ機能との相互運用性
フォルダー リダイレクトとオフライン ファイルが他のストレージ機能と正しく通信できるようにするために、次の構成を確認してください。
- ファイル共有で DFS 名前空間を使用している場合、ユーザーのさまざまなサーバーへの編集の競合を防ぐため、DFS フォルダー (リンク) のターゲットは 1 つである必要があります。
- ファイル共有で DFS レプリケーションを使用して、コンテンツを別のサーバーにレプリケートする場合、ユーザーのさまざまなサーバーへの編集の競合を防ぐため、ユーザーはソース サーバーにのみアクセスできる必要があります。
- クラスター化されたファイル共有を使用する場合は、フォルダー リダイレクトとオフライン ファイルのパフォーマンスの問題を回避するために、ファイル共有の継続的可用性を無効にします。 継続的可用性が有効になっているとき、ユーザーがファイル共有にアクセスできなくなった後 3 から 6 分間、オフライン ファイルがオフライン モードに移行しない場合があります。 この遅延により、オフライン ファイルの常時オフライン モードをまだ使用していないユーザーが不満を感じる可能性があります。
クライアントの要件
- クライアント コンピューターは、Windows 11、Windows 10、Windows Server 2022、Windows Server 2019、または Windows Server 2016 を実行する必要があります。
- クライアント コンピューターは、管理している Active Directory Domain Services (AD DS) ドメインに参加する必要があります。
- クライアント コンピューターは、x64 ベースまたは x86 ベースのプロセッサで実行する必要があります。 ARM プロセッサを利用する PC では、フォルダー リダイレクトはサポートされません。
重要
フォルダー リダイレクトの一部の新機能には、クライアント コンピューターと Active Directory スキーマの追加の要件があります。 詳細については、「フォルダー リダイレクトと移動ユーザー プロファイル用のプライマリ コンピューターを展開する」、「リダイレクトされた個々のフォルダーのオフライン ファイルを無効にする」、「常時オフライン モードを有効にしてファイルへのアクセス時間を短縮する」、「リダイレクトされたフォルダーの最適化された移動を有効にする」を参照してください。
手順 1:フォルダー リダイレクトのセキュリティ グループを作成する
ファイル サーバーでリモート デスクトップ サービスを実行している場合は、この手順をスキップします。 代わりに、新しいユーザーのフォルダーを事前に作成するときに、ユーザーにアクセス許可を割り当てます。
この手順では、フォルダー リダイレクト ポリシー設定を適用するすべてのユーザーを含むセキュリティ グループを作成します。
Active Directory 管理センターがインストールされたコンピューターでサーバー マネージャーを開きます。
[ツール]>[Active Directory 管理センター] を選択します。 Active Directory 管理センターが表示されます。
適切なドメインまたは OU を右クリックし、 [新規作成]>[グループ] を選択します。
[グループの作成] ウィンドウの [グループ] で、次の設定を指定します。
- [グループ名] に、セキュリティ グループの名前を入力します。たとえば、Folder Redirection Users などです。
- [グループのスコープ] で、 [セキュリティ]>[グローバル] を選択します。
[メンバー] セクションの [追加] を選択します。 [ユーザー、連絡先、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスが表示されます。
フォルダー リダイレクトのデプロイ先となるユーザーまたはグループの名前を入力して [OK] を選択し、もう一度 [OK] を選択します。
手順 2:リダイレクトされたフォルダーのファイル共有を作成する
リダイレクトされたフォルダーのファイル共有がまだない場合は、次の手順を使用して、Windows Server 2016 以降のバージョンを実行しているサーバー上にファイル共有を作成します。
注意
別のバージョンの Windows Server を実行しているサーバーにファイル共有を作成した場合は、一部の機能が異なっていたり、使用できなかったりすることがあります。
サーバー マネージャーのナビゲーション ペインで [ファイル サービスと記憶域サービス]>[共有] を選択して [共有] ページを表示します。
[共有] ページで、 [タスク]>[新しい共有] を選択します。 新しい共有ウィザードが表示されます。
[プロファイルの選択] ページで、ファイル サーバー リソース マネージャー構成に対応するオプションを選択します。
- ファイル サーバー リソース マネージャーがインストールされており、フォルダー管理プロパティを使用している場合は、 [SMB 共有 - 高度] を選択します。
- ファイル サーバー リソース マネージャーがインストールされていないか、フォルダー管理プロパティを使用していない場合は、[SMB 共有 - 簡易] を選択します。
[共有の場所] ページで、共有を作成するサーバーとボリュームを選択します。
[共有名] ページで、[共有名] ボックスに共有の名前 (例:
Users$) を入力します。ヒント
共有を作成するとき、共有名の後ろに
$(ドル記号) を付けて共有を非表示にしてください。 この変更により、共有が通常のブラウザーからは非表示になります。[その他の設定] ページで、 [継続的可用性有効] チェック ボックスをオフにします (存在する場合)。 必要に応じて、 [アクセス許可設定に基づいた列挙を有効にする] および [データ アクセスの暗号化] チェック ボックスをオンにします。
[アクセス許可] ページで、 [アクセス許可のカスタマイズ] を選択して [セキュリティの詳細設定] ダイアログ ボックスを開きます。
[継承の無効化] を選択し、 [継承されたアクセス許可をこのオブジェクトの明示的なアクセス許可に変換します] を選択します。
この後の表と図に示すように、アクセス許可を設定します。
重要
使用するアクセス許可は、リモート アクセスの構成によって異なるため、正しい表を使用するようにしてください。
リモート デスクトップ サービスがないファイル サーバーのアクセス許可
ユーザー アカウント 権限 適用対象 System フル コントロール このフォルダー、サブフォルダーおよびファイル 管理者 フル コントロール このフォルダーのみ 作成者/所有者 フル コントロール サブフォルダーとファイルのみ 共有にデータを置く必要があるユーザーのセキュリティ グループ (Folder Redirection Users) フォルダーの一覧/データの読み取り1
フォルダーの作成/データの追加 1
属性の読み取り1
拡張属性の読み取り1
読み取りアクセス許可1
フォルダーのスキャン/ファイルの実行1このフォルダーのみ その他のグループおよびアカウント なし (この表に記載されていないアカウントは削除してください) 1 高度なアクセス許可
リモート デスクトップ サービスのあるファイル サーバーのアクセス許可
ユーザー アカウントまたはロール 権限 適用対象 System フル コントロール このフォルダー、サブフォルダーおよびファイル 管理者 フル コントロール このフォルダー、サブフォルダーおよびファイル 作成者/所有者 フル コントロール サブフォルダーとファイルのみ その他のグループおよびアカウント なし (他のすべてのアカウントはアクセス制御リストから削除してください) 
この手順の前半で [SMB 共有 - 高度] プロファイルを選択した場合は、次の追加の手順に従います。
- [管理プロパティ] ページで、 [フォルダーの使用法] として [ユーザー ファイル] 値を選択します。
- 必要に応じて、共有のユーザーに適用するクォータを選択します。
[確認] ページで、 [作成] を選択します。
手順 3: リモート デスクトップ サービスもホストするサーバーに新しいユーザーのフォルダーを事前作成する
ファイル サーバーがリモート デスクトップ サービスもホストする場合は、次の手順を使用して、新しいユーザーのフォルダーを事前に作成し、フォルダーに適切なアクセス許可を割り当てます。
前の手順で作成したファイル共有で、ファイル共有のルート フォルダーに移動します。
次のいずれかの方法を使用して、新しいフォルダーを作成します。
ルート フォルダーを右クリックし、 [新規作成]>[フォルダー] を選択します。 フォルダーの名前として、新しいユーザーのユーザー名を入力します。
または、Windows PowerShell を使用して新しいフォルダーを作成するために、PowerShell コマンド プロンプト ウィンドウを開き、次のコマンドレットを実行します。
New-Item -Path 'c:\shares\frdeploy\<newuser>' -ItemType Directoryこのコマンドの場合、<newuser> は、新しいユーザーのユーザー名を表します。
新しいフォルダーを右クリックし、 [プロパティ]>[セキュリティ]>[詳細設定]>[所有者] の順に選択します。 フォルダーの所有者が Administrators グループであることを確認します。
次の表と図に示すように、アクセス許可を設定します。 ここに記載されていないグループとアカウントについては、すべてアクセス許可を削除します。
ユーザー アカウント 権限 適用対象 System フル コントロール このフォルダー、サブフォルダーおよびファイル 管理者 フル コントロール このフォルダー、サブフォルダーおよびファイル 作成者/所有者 フル コントロール サブフォルダーとファイルのみ newuser1 フル コントロール このフォルダー、サブフォルダーおよびファイル その他のグループおよびアカウント なし (他のすべてのアカウントはアクセス制御リストから削除してください) 1 "newuser" は、新しいユーザーのアカウントのユーザー名を表します。
手順 4: フォルダー リダイレクトの GPO を作成する
フォルダー リダイレクトとオフライン ファイルの機能を管理するグループ ポリシー オブジェクト (GPO) がまだない場合は、次の手順を使用して作成します。
グループ ポリシー管理がインストールされたコンピューターで、サーバー マネージャーを開きます。
[ツール]>[グループ ポリシーの管理] を選択します。
[グループ ポリシーの管理] で、フォルダー リダイレクトを設定するドメインまたは OU を右クリックし、 [このドメインに GPO を作成し、このコンテナーにリンクする] を選択します。
[新しい GPO] ダイアログ ボックスで、GPO の名前 (例: Folder Redirection Settings) を入力し、 [OK] を選択します。
新しく作成した GPO を右クリックし、 [リンクの有効化] チェック ボックスをオフにします。 この変更により、GPO の構成が完了するまで、それが適用されるのを防ぎます。
GPO を選択します。 [スコープ]>[セキュリティ フィルター処理]>[認証されたユーザー] を選択し、 [削除] を選択して、GPO がすべてのユーザーに適用されないようにします。
[セキュリティ フィルター処理] セクションで [追加] を選択します。
[ユーザー、コンピュータ または グループ の選択] ダイアログ ボックスで、構成に対応するオプションを構成します。
- リモート デスクトップ サービスがないファイル サーバー: 「手順 1: フォルダー リダイレクトのセキュリティ グループを作成する」で作成したセキュリティ グループの名前 (たとえば、Folder Redirection Users) を入力し、[OK] を選択します。
- リモート デスクトップ サービスがあるファイル サーバー: 「手順 3: リモート デスクトップ サービスもホストするサーバーに新しいユーザーのフォルダーを事前作成する」でユーザー フォルダーに使用したユーザー名を入力し、[OK] を選択します。
[委任]>[追加] の順に選択し、「Authenticated Users」と入力します。 [OK] を選択し、もう一度 [OK] を選択して、既定の読み取りアクセス許可を受け入れます。
重要
MS16-072 で行われたセキュリティ変更のためにこの手順が必要です。 認証されたユーザー グループに、フォルダー リダイレクト GPO に対する読み取りアクセス許可を委任する必要があります。 しない場合、GPO がユーザーに適用されないか、既に適用されている場合は GPO が削除され、フォルダーがローカル PC にリダイレクトされます。 詳細については、「Deploying Group Policy Security Update MS16-072」を参照してください。
手順 5: フォルダー リダイレクトおよびオフライン ファイルのグループ ポリシー設定を構成する
フォルダー リダイレクト設定の GPO を作成したら、次の手順に従って、フォルダー リダイレクトを有効にして構成するグループ ポリシー設定を編集します。
注意
既定では、オフライン ファイル機能は Windows クライアント コンピューター上のリダイレクトされたフォルダーに対しては有効になり、Windows Server コンピューターでは無効になります。 ユーザーはこの機能を有効にすることも、グループ ポリシーを使用して制御することもできます。 ポリシーは、オフライン ファイルの機能の使用を許可または禁止するです。
その他のオフライン ファイル グループ ポリシー設定の詳細については、「オフライン ファイルの高度な機能を有効にする」および「オフライン ファイルのグループ ポリシーの構成」を参照してください。
グループ ポリシーの管理で、作成した GPO (例: Folder Redirection Settings) を右クリックし、 [編集] を選択します。
[グループ ポリシー管理エディター] ウィンドウで、 [ユーザーの構成]>[ポリシー]>[Windows の設定]>[フォルダー リダイレクト] に移動します。
リダイレクトするフォルダー (例: ドキュメント) を右クリックし、 [プロパティ] を選択します。
[プロパティ] ダイアログ ボックスの [設定] ボックスで、[基本 - 全員のフォルダーを同じ場所にリダイレクトする] を選択します。
(省略可能) [ポリシーの削除] セクションで、[ポリシーが削除されたとき、フォルダーをローカルのユーザー プロファイルにリダイレクトする] を選びます。 この設定は、管理者とユーザーにとってフォルダー リダイレクトの動作が予測しやすいものになるようにします。
[ターゲット フォルダーの場所] セクションで、[ルート パスの下に各ユーザーのフォルダーを作成する] を選択します。
[ルート パス] ボックスに、リダイレクトされたフォルダーを格納するファイル共有へのパスを入力します (例:
\\fs1.corp.contoso.com\users$)。[OK] を選択し、 [警告] ダイアログ ボックスで [はい] を選択します。
手順 6: フォルダー リダイレクトの GPO を有効にする
フォルダー リダイレクトのグループ ポリシー設定の構成が終わったら、次のステップとして GPO を有効にします。 この変更により、影響を受けるユーザーに GPO を適用できます。
ヒント
プライマリ コンピューターのサポートまたはその他のポリシー設定を実装する予定がある場合は、GPO を有効にする前に、ここでそれらを実行してください。 この設定を実装して、プライマリ コンピューターのサポートが有効になる前に、ユーザー データが非プライマリ コンピューターにコピーされることを防ぎます。
- グループ ポリシーの管理を開きます。
- 作成した GPO を右クリックし、 [リンクの有効化] を選択します。 メニュー項目の横にチェックボックスが表示されます。
手順 7: フォルダー リダイレクトをテストする
フォルダー リダイレクトをテストするには、リダイレクトされたフォルダーを使用するように構成されているユーザー アカウントを使用してコンピューターにサインインします。 次に、フォルダーとプロファイルがリダイレクトされることを確認します。
フォルダー リダイレクトを有効にしてあるユーザー アカウントを使用してプライマリ コンピューターにサインインします (プライマリ コンピューターのサポートを有効にしている場合)。
ユーザーが以前にコンピューターにサインインしている場合、管理者特権でコマンド プロンプトを開き、次のコマンドを入力して、クライアント コンピューターに最新のグループ ポリシー設定が適用されるようにします。
gpupdate /forceエクスプローラーを開きます。
リダイレクトされたフォルダー (ドキュメント ライブラリの [マイ ドキュメント] フォルダーなど) を右クリックし、 [プロパティ] を選択します。
[場所] タブを選択し、パスにローカル パスではなく、自分が指定したファイル共有が表示されていることを確認します。
付録 A:フォルダー リダイレクトを展開するためのチェックリスト
| 完了 | 作業/項目 |
|---|---|
| ドメインとその他の前提条件を準備する | |
| - コンピューターをドメインに参加させる | |
| - ユーザー アカウントを作成する | |
| - ファイル サーバーの前提条件と他のサービスとの互換性を確認する | |
| - ファイル サーバーはリモート デスクトップ サービスもホストしているか? | |
| - ファイル サーバーへのアクセスを制限する | |
| 手順 1:フォルダー リダイレクトのセキュリティ グループを作成する | |
| - グループ名: | |
| - メンバー: | |
| 手順 2:リダイレクトされたフォルダーのファイル共有を作成する | |
| - ファイル共有名: | |
| 手順 3: リモート デスクトップ サービスもホストするサーバーに新しいユーザーのフォルダーを事前作成する | |
| 手順 4: フォルダー リダイレクトの GPO を作成する | |
| - GPO 名: | |
| 手順 5: フォルダー リダイレクトおよびオフライン ファイルのグループ ポリシー設定を構成する | |
| - リダイレクトされたフォルダー: | |
| - Windows 2000、Windows XP、および Windows Server 2003 のサポートは有効になっていますか? | |
| - オフライン ファイルは有効になっていますか? (Windows クライアント コンピューターでは既定で有効になっています) | |
| - 常時オフライン モードは有効になっていますか? | |
| - バックグラウンドのファイル同期は有効になっていますか? | |
| - リダイレクトされたフォルダーの移動の最適化は有効になっていますか? | |
| (省略可能) プライマリ コンピューターのサポートを有効にする: | |
| - コンピューター ベースかユーザー ベースか | |
| - ユーザーのプライマリ コンピューターを指定する | |
| - ユーザーとプライマリ コンピューターの場所のマッピング: | |
| - (オプション) フォルダー リダイレクトに対してプライマリ コンピューターのサポートを有効にする | |
| - (オプション) 移動ユーザー プロファイルに対してプライマリ コンピューターのサポートを有効にする | |
| 手順 6: フォルダー リダイレクトの GPO を有効にする | |
| 手順 7: フォルダー リダイレクトをテストする |