どうもミツシマです。
今回はWindowsのフォルダーリダイレクト機能について確認の為検証してみました。
検証環境は以下の通り
仮想環境:Virtual Box 5.2.22
DC:Windows Server2012R2
PC:Windows7 32bit
まずはフォルダーリダイレクト先の共有フォルダを以下の通りに作成。
フォルダー共有: ¥¥ad-sv¥FolderData$
共有アクセス権: everyoneフルコントロール
NTFSアクセス権: SYSTEMフルコントロール
Administraotorsフルコントロール
Domain Users書き込み権限まで


そして、DCにログインし管理ツールから「グループポリシーの管理」を開く。
今回はデスクトップのみをとりあえずリダイレクトするように設定するので、以下の通りに設定
「ユーザーの構成」ー「ポリシー」ー「Windowsの設定」ー「フォルダーリダイレクト」ー「デスクトップ」のプロパティを構成
<ターゲット>
設定:基本ー全員のフォルダーを同じ場所にリダイレクトする
対象のフォルダーの場所:ルートパスの下に各ユーザーのフォルダーを作成する
ルートパス:¥¥ad-sv¥FolderData$

<設定>
デフォルトの設定のまま(以下の画面の通り)

ちなみに「¥¥ad-sv¥FolderData$」下には何もデータがない状態である。
この状態でPCからログインしてみる。
すると一見リダイレクトされているのかわからないが、テストデータを作成しプロパティを確認すると
ちゃんとリダイレクトされている。

※先程設定したルートパス上に新規でしっかりとフォルダが作成され、フォルダーリダイレクトされている!!
が、この状態だとアクセス権が「SYSTEMフルコントロール」と「該当ユーザー(ここではuser01)フルコントロール」しかなく、管理者でフォルダーの中身が確認出来ない!!
所有者もuser01になっているよう。
(なんかこれ、移動ユーザープロファイルでもあったような。。。。^^;)
これだと運用上不便なので、フォルダを事前に手動作成してやってみる。
アクセス権は以下の感じ
SYSTEM:フルコントロール
Administrators:フルコントロール
user01:変更
が、この状態だと何度ログインし直しても、「gpupdate /force」をやってもリダイレクトされない。。。
所有者を見ていると思われるので、試しに「user01」に所有者を変更して試すと今度はリダイレクトに成功!
が、アクセス権が「user01フルコントロール」に書き換えられ、管理者からまた見えなくなった。。。orz
どうやら、グループポリシー内の「ユーザーにデスクトップに対して排他的な権限を与える」というチェックボックスが有効だと意地でも管理者に見せない設定のようなので、このチェックボックスを外してリトライ

再度「¥¥ad-sv¥FolderData$」下には何もデータがない状態にする。
この状態で再度リトライ。
すると今度はフォルダーリダイレクトに成功!

がアクセス権を確認すると・・・・

NO〜〜〜〜〜〜〜
上位のフォルダアクセス権をそのまま継承して、フォルダが作られている!!!
これじゃ他のユーザーから覗かれてしまうので却下。
今度は事前にリダイレクト用のフォルダーを作成し、以下のようにアクセス権を設定
SYSTEM:フルコントロール
Administrators:フルコントロール
user03:変更
(所有者はAdministrators)

再度チャレンジ!
するとフォルダーリダイレクト成功!!

アクセス権もばっちり!!!

・フォルダ作成コマンド
===
mkdir d:¥FolderData¥user01¥Desktop
===
・アクセス権付与コマンド
===
icacls d:¥FolderData¥user01¥Desktop /T /grant user01:(OI)(CI)M
===
今回はWindowsのフォルダーリダイレクト機能について確認の為検証してみました。
検証環境は以下の通り
仮想環境:Virtual Box 5.2.22
DC:Windows Server2012R2
PC:Windows7 32bit
まずはフォルダーリダイレクト先の共有フォルダを以下の通りに作成。
フォルダー共有: ¥¥ad-sv¥FolderData$
共有アクセス権: everyoneフルコントロール
NTFSアクセス権: SYSTEMフルコントロール
Administraotorsフルコントロール
Domain Users書き込み権限まで


そして、DCにログインし管理ツールから「グループポリシーの管理」を開く。
今回はデスクトップのみをとりあえずリダイレクトするように設定するので、以下の通りに設定
「ユーザーの構成」ー「ポリシー」ー「Windowsの設定」ー「フォルダーリダイレクト」ー「デスクトップ」のプロパティを構成
<ターゲット>
設定:基本ー全員のフォルダーを同じ場所にリダイレクトする
対象のフォルダーの場所:ルートパスの下に各ユーザーのフォルダーを作成する
ルートパス:¥¥ad-sv¥FolderData$

<設定>
デフォルトの設定のまま(以下の画面の通り)

ちなみに「¥¥ad-sv¥FolderData$」下には何もデータがない状態である。
この状態でPCからログインしてみる。
すると一見リダイレクトされているのかわからないが、テストデータを作成しプロパティを確認すると
ちゃんとリダイレクトされている。

※先程設定したルートパス上に新規でしっかりとフォルダが作成され、フォルダーリダイレクトされている!!
が、この状態だとアクセス権が「SYSTEMフルコントロール」と「該当ユーザー(ここではuser01)フルコントロール」しかなく、管理者でフォルダーの中身が確認出来ない!!
所有者もuser01になっているよう。
(なんかこれ、移動ユーザープロファイルでもあったような。。。。^^;)
これだと運用上不便なので、フォルダを事前に手動作成してやってみる。
アクセス権は以下の感じ
SYSTEM:フルコントロール
Administrators:フルコントロール
user01:変更
が、この状態だと何度ログインし直しても、「gpupdate /force」をやってもリダイレクトされない。。。
所有者を見ていると思われるので、試しに「user01」に所有者を変更して試すと今度はリダイレクトに成功!
が、アクセス権が「user01フルコントロール」に書き換えられ、管理者からまた見えなくなった。。。orz
どうやら、グループポリシー内の「ユーザーにデスクトップに対して排他的な権限を与える」というチェックボックスが有効だと意地でも管理者に見せない設定のようなので、このチェックボックスを外してリトライ

再度「¥¥ad-sv¥FolderData$」下には何もデータがない状態にする。
この状態で再度リトライ。
すると今度はフォルダーリダイレクトに成功!

がアクセス権を確認すると・・・・

NO〜〜〜〜〜〜〜
上位のフォルダアクセス権をそのまま継承して、フォルダが作られている!!!
これじゃ他のユーザーから覗かれてしまうので却下。
今度は事前にリダイレクト用のフォルダーを作成し、以下のようにアクセス権を設定
SYSTEM:フルコントロール
Administrators:フルコントロール
user03:変更
(所有者はAdministrators)

再度チャレンジ!
するとフォルダーリダイレクト成功!!

アクセス権もばっちり!!!

検証結果
1.フォルダーリダイレクトを使用する際は運用面を考慮し、「ユーザーに排他的な権限を与える」のチェックボックスはオフにする。
2.フォルダーリダイレクト先のフォルダーは事前作成する(そうしないと上位のフォルダアクセス権を継承するフォルダが自動作成されてしまう)。
一括で作成する際にはコマンドでの作成とアクセス権登録が必須ですね!
そんな訳で最後にコマンド例を
・フォルダ作成コマンド
===
mkdir d:¥FolderData¥user01¥Desktop
===
・アクセス権付与コマンド
===
icacls d:¥FolderData¥user01¥Desktop /T /grant user01:(OI)(CI)M
===
スポンサードリンク
コメント