どうもミツシマです。


今回はADユーザーにて設定出来るホームフォルダについて検証してみたいと思います。

検証環境は以下の通り
仮想環境:Virtual Box 5.2.22
DC:Windows Server2012R2
PC:Windows7 32bit


1.通常通りまずは設定してみる

DCにログインし、管理ツールから「ActiveDirectoryユーザーとコンピューター」を開く。
ユーザーのプロパティより「プロファイル」ー「ホームフォルダー」ー「接続ドライブ」にて以下の設定実施
接続ドライブ:H
パス:¥¥ad-sv¥share¥home¥%USERNAME%
※環境変数の%USERNAME%を使用することで自動で変換してくれます
スクリーンショット 2019-02-26 22.03.36



すると自動でフォルダが作成され、作成したユーザーでフルコントロール権限が付与されるようです。
スクリーンショット 2019-02-26 22.04.14



ちなみに所有権はさすがに設定したユーザーではなく、上から継承している管理者でした。
スクリーンショット 2019-02-26 22.04.47
ですが、PCにログインしホームフォルダに何かファイルを作成すると所有権はユーザー固有になりました。(フルコントロール権限があるので当たり前ですが・・・^^;)


複数のユーザーで一括でホームフォルダを設定したい場合は、該当ユーザーを複数選択した状態でプロパティを開けば設定可能
スクリーンショット 2019-02-26 22.29.21


(注)ただし、既にホームフォルダが存在すると下記エラーが表示されるよう
スクリーンショット 2019-02-26 22.29.35
だけど設定自体はすべて反映され、かつ、エラーとなったユーザー以外はちゃんとホームフォルダが自動作成されていました。




2.先にホームフォルダを作成した状態でホームフォルダを設定してみる


事前にホームフォルダ自体を作成した状態で、設定しようとすると設定時に以下のメッセージが表示される
スクリーンショット 2019-02-26 22.20.08
※ちなみに上記メッセージは対象ユーザーでフルコントロール権限が付与されていても必ず出るようです。


当たり前ですが、「はい」を選ぶとフルコントロール権限が付与され、「いいえ」を選ぶとフルコントロール権限が付与されませんでした。


ちょっと気になったので、対象ユーザーの権限でホームフォルダーのマウントする動きに変化があるのか更に検証。結果は以下の通りとなった。

・ユーザーにアクセス権限なし
 ⇒ ホームフォルダ自体マウントされない(表示されない)
・ユーザーに「読み取りと実行」権限のみ付与
 ⇒ ホームフォルダ自体はマウントされたが、当然新規ファイルは作成出来ない
・ユーザーに「変更」権限まで付与
 ⇒ ホームフォルダ自体はマウントされ、新規ファイルも作成出来る
  その際、フルコントロール権限がないため、所有権は上位フォルダを継承したまま(管理者)

以上の結果になったので、管理者でホームフォルダの中身を把握したい場合には事前にフォルダを作成し、ユーザーには変更権限までを付与した状態にすればいいみたい!!
※所有権をユーザー固有に与えちゃうと特定のファイルやフォルダのアクセス権を変更されて、管理者じゃ見えなくなる恐れもあるので(^^)


う〜ん、GUIだと一々ユーザーにフルコントロール権限を付与させようとするのでコマンドで設定するとどうか更に検証。
結果コマンドだと当たり前ですが、警告画面は出ませんでした。
ですが、ユーザー作成時にたとえホームフォルダの設定をしても自動で該当のパスにフォルダは作成されませんでした。
※フォルダの自動作成はGUIのみの機能みたいですね!!!

・ユーザー作成時にホームフォルダを作成するコマンド
===
dsadd user "cn=user 01,ou=LOCAL,dc=local,dc=mitsushima,dc=work" -samid "user01" -upn "user01@local.mitsushima.work" -ln "user" -fn "01" -display "user 01" -pwd "<パスワード>" -pwdneverexpires yes -canchpwd no -hmdir "¥¥ad-sv¥share¥home¥user01" -hmdrv H: 
===

実際にホームフォルダに関連する部分は「-hmdir "¥¥ad-sv¥share¥home¥user01" -hmdrv H:」
一括登録するときに環境変数が使用出来ると便利なので、コマンド内で環境変数を使用しようとするも上手く行きませんでした。。。。orz
※コマンドヘルプ見ると「$username$」というのが使用出来て、samid名で変換してくれるようなのだが、、、、色々試してもダメだったので断念!!


気を取り直して、一括登録のためにフォルダ作成とアクセス権付与のコマンドも試す

・フォルダ作成コマンド
===
mkdir d:¥share¥home¥user01
===
※今までのホームフォルダはサーバ上のDドライブにあるため上記コマンド例となります。

・アクセス権付与コマンド
===
icacls d:¥share¥home¥user01 /T /grant user01:(OI)(CI)M
===
※上記コマンド例では「変更」権限のみ付与する(該当フォルダとサブフォルダおよびファイル)

(OI)(CI)をつけないと実際アクセス権を追加しても継承されないようなので注意!!



以上で今回の検証は終了!


検証結果
1.ユーザーにフルコントロール権限を付与しても良ければGUI設定がいい
2.ユーザーにフルコントロール権限を付与したくなければ、コマンド設定がおすすめかな


スポンサードリンク