移動ユーザプロファイルを利用する場合、MyDocument等のユーザフォルダをどうするか問題になります。
全て移動ユーザプロファイル内に含めてしまうとログイン時にデータをローカルにコピーするのでユーザによっては
ログオンに数分かかってしまうケースがあり、これを回避するために「フォルダリダイレクト」の機能が用意されています。
この機能を利用すると、データを移動ユーザプロファイル領域には保存せずにネットワーク共有された場所に「リダイレクト」され
移動ユーザプロファイルとは異なり、ログオンする度にデータコピーの必要が無く、ある程度はログオンのパフォーマンス向上に
つながります。
移動ユーザプロファイルと同様にネットワーク共有された領域へユーザ個々のフォルダを用意し、自由に利用する
ことが出来るのですが、リダイレクト領域とプロファイル領域では設定されるNTFSのアクセス権に違いがあり、プロファイル領域は、
対象のアカウント+管理者(AdministratorやSYSTEM等)が個別に設定されているので権限のないユーザはフォルダを開くことすら
できません。
フォルダリダイレクトの領域はどうでしょう。
こちらの領域は、リダイレクト設定により異なります。リダイレクト設定画面の3番目のタブ(設定)にある、
「ユーザにXXXに対しての排他的な権限を与える」にチェックを入れると所有者しかアクセスできなくなり、
管理者権限のアカウントで操作してもフォルダの中に入ることもできません。
NTFSのアクセス権は通常、上位より継承されているのであまり細かな設定はできませんがNTFSアクセス権を
正しく設定しなければどのユーザも自由に他人のフォルダを開くことができてしまいます。
ちなみに、何も気にせずに設定すればこのようになってしまいます。
フォルダリダイレクト先にNTFSのアクセス権を設定する場合、上位からの継承を全て削除し、次のような
権限を設定します。
Everyone:このフォルダーのみフルアクセス
CREATE OWNER:サブフォルダーとファイルのみフルアクセス
Administrators:このフォルダー、サブフォルダーおよびファイルにフルアクセス
SYSTEM:このフォルダー、サブフォルダーおよびファイルにフルアクセス
Everyoneの権限は、Domain Usersに対して設定してもOKです。
この設定を行うと、リダイレクト先のフォルダに対してはユーザのフォルダを作成できます。
フォルダを作成したユーザは「CREATE OWNER」の権限となり、それ以下のフォルダやファイルに
対してはフルアクセスの権限を有することになります。
リダイレクト先のフォルダは、通常「共有」フォルダとして設定することになるのですが、デフォルトでは
権限に関係なく共有先の全てのフォルダが表示されてしまいます。
これを回避するために「共有と記憶域の管理」ツールを使用して共有フォルダ毎に「アクセスベースの列挙」を
有効にすることで対応できます。
この機能ですが、デフォルトでは「無効」に設定されていますので権限に関係なく全てのフォルダが表示されて
しまいます。
ログオフスクリプトで次のような感じでスクリプトを実行しています。
毎回ログオフ時に権限を操作すると気分的にあまり良くないので
iCacls %ooooo%\%USERNAME% | FIND "Everyone"
でEveryoneに権限があるのかを判断し処理しています。
iCacls %ooooo%\%USERNAME% /inheritance:d
iCacls %ooooo%\%USERNAME% /grant:r %USERDOMAIN%\%USERNAME%:(OI)(CI)(F)
iCacls %ooooo%\%USERNAME% /grant BUILTIN\Administrators:(OI)(CI)(F)
iCacls %ooooo%\%USERNAME% /remove Everyone
ちなみに、icaclsの実行結果は次の様になります。
NT AUTHORITY\SYSTEM:(OI)(CI)(F)
BUILTIN\Administrators:(OI)(CI)(F)
CREATOR OWNER:(OI)(CI)(IO)(F)
Everyone:(F)