セキュリティ強化されたリダイレクト されたフォルダーまたはホーム フォルダーを動的に作成する方法

  • [アーティクル]

この記事では、セキュリティ強化されたリダイレクト されたフォルダーまたはホーム フォルダーを動的に作成する方法について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 274443

概要

Microsoft Windows Server Active Directoryでは、管理者として、フォルダー リダイレクトを使用してデスクトップをカスタマイズしたり、サーバー ベースのホーム フォルダーを割り当てたりできます。 さらに、Active Directory と グループ ポリシーを使用して、次のフォルダーをリダイレクトできます。

  • アプリケーション データ
  • Desktop
  • マイ ドキュメント
  • マイ ドキュメント/マイ ピクチャ
  • スタート メニュー

フォルダー リダイレクトの詳細については、Windows ヘルプのフォルダー リダイレクトに関するページを参照してください。

ネットワーク上の共有場所にフォルダーをリダイレクトする場合は、これらのフォルダーの内容を読み取ることができるように、この場所への読み取りアクセスと書き込みアクセスの両方が必要です。 ただし、一部のシナリオでは、他のユーザーに読み取りアクセス権を付与したくない場合があります。

セキュリティが強化されたリダイレクトされたフォルダーを作成する

特定のリダイレクトされたフォルダーを開くためのアクセス許可をユーザーとドメイン管理者のみが持っていることを確認するには、次の手順を実行します。

  1. フォルダー リダイレクトを格納する環境内の中央の場所を選択し、このフォルダーを共有します。 この例では、FLDREDIR と HOMEDIR が使用されます。

  2. [すべての ユーザー] グループの [共有のアクセス許可][フル コントロール] に設定します。

  3. NTFS アクセス許可には、次の設定を使用します。

    • CREATOR OWNER - フル コントロール (適用先: サブフォルダーとファイルのみ)
    • システム - フル コントロール (適用先: このフォルダー、サブフォルダー、およびファイル)
    • Domain Admins - フル コントロール (適用先: このフォルダー、サブフォルダー、ファイル)
    • Everyone - フォルダーの作成/データの追加 (適用先: このフォルダーのみ)
    • Everyone - フォルダーの一覧表示/データの読み取り (適用先: このフォルダーのみ)
    • Everyone - 属性の読み取り (適用先: このフォルダーのみ)
    • Everyone - フォルダーの走査/ファイルの実行 (適用先: このフォルダーのみ)

  4. Windows ヘルプで説明されているように、フォルダー リダイレクト ポリシーを構成します。 と同様のパスを \\server\FLDREDIR\%username% 使用して、共有フォルダー FLDREDIR の下にフォルダーを作成します。

    ホーム フォルダー "HOMEDIR" を同様の方法で構成するには、 などの \\server\HOMEDIR\%username%ホーム フォルダーを持つテンプレート ユーザーをコピーするか、その名前のユーザーとフォルダーを作成します。

    注:

    ホーム フォルダーの場合、シナリオは一般的ではありません。ユーザーのホーム フォルダーを追加すると、フォルダー Active Directory ユーザーとコンピューター作成されるためです。 ただし、カスタム プロビジョニングを使用する場合、Active Directory ユーザーとコンピューターはフォルダーを作成しません。 そのため、自分で行う必要があります。

これらのアクセス許可が共有フォルダーのセキュリティを向上させる理由

Everyone グループにはフォルダーの作成/追加データ権限があるため、グループ メンバーにはフォルダーを作成するための適切なアクセス許可があります。ただし、メンバーは後でデータを読み取ることができません。 [ユーザー名] グループは、フォルダーの作成時にログオンしたユーザーの名前です。 フォルダーは親フォルダーの子であるため、FLDREDIR に割り当てたアクセス許可を継承します。 また、ユーザーがフォルダーを作成しているため、[ 作成者所有者のアクセス許可 ] 設定により、ユーザーはフォルダーを完全に制御できます。

詳細

この記事は最初に Windows Server 2003 用に記述され、CreatorOwner のアクセス制御エントリ (ACE) は次のように変換された可能性があります。
<Folder-User> - フル コントロール (適用先: このフォルダー、サブフォルダー、およびファイル)

しかし、これが起こったという証拠はありません。 以前のバージョンの記事では、アクセス制御リスト (ACL) の結果がメンションされず、この記事で記述されたオペレーティング システムのバージョンはサポートされなくなりました。

2017 年 5 月末までに、サポートされているすべてのオペレーティング システムが ACE を次のように変換しました。
<Folder-User> - フル コントロール (適用先: このオブジェクトのみ)

ただし、これはユーザーのフォルダーの毎日の操作には影響しません。 管理者がホーム フォルダーまたはリダイレクトされたフォルダーの内容を処理する必要がある場合は、違いが生じます。

ユーザーがすべての子オブジェクトに対して継承可能なフル コントロールを確実に取得する場合は、次の操作を行う必要があります。

  1. ユーザーの samaccountname に一致するフォルダーを自分で作成します。

  2. フォルダーに必要なアクセス許可を設定し、上記の Everyone ACE を省略し、ACE があることを確認します。

    <Folder-User> - フル コントロール (適用先: このフォルダー、サブフォルダー、およびファイル)

関連情報

詳細については、「 フォルダー リダイレクトの概要」を参照してください。