フォルダーリダイレクトは、一見魅力的に聞こえますが、正しく設定するのは非常に面倒な機能の一つです。特に、権限を侵害したりファイルを紛失したりすることなく、各ユーザーが適切な場所にデータを確実にアクセスできるようにしたい場合はなおさらです。基本的に、デスクトップ、ドキュメント、画像などのファイルをローカルデバイスではなくネットワーク共有に保存できる機能です。これは、集中バックアップ、どのマシンからの迅速なアクセス、RDSファームのような大規模な環境におけるユーザーデータの管理に最適です。しかし、権限が適切でなかったり、グループポリシーの設定を間違えたりすると、ユーザーがアクセスの問題に遭遇したり、最悪の場合、データが正しく同期されなかったりする可能性があります。そのため、特にドメインを管理する場合は、これを適切に行う方法を知っておくことが重要です。
Active Directory を使用した Windows Server でのフォルダー リダイレクトの設定方法
共有ネットワークフォルダ(または共有)の作成
- まず、高可用性を備えた優れたサーバーを選びます(Windowsは必要以上にサーバーを複雑にするため)。ユーザーフォルダー専用のドライブ(C:\ではなく、D:\RedirFolderなど)を設定します。Windows標準のエクスプローラーまたはPowerShellを使用して、 RedirFolderのような名前のフォルダーを作成し、共有します。
New-SmbShareCLI を好む場合はPowerShell のコマンドを使用します。
New-SmbShare -Name RedirFolder -Path D:\RedirFolder –description "Target location for user's redirected folders"共有権限で、アクセスするユーザーグループ(ドメインユーザーや作成した特定のグループなど)に読み取りと変更の権限が付与されていることを確認してください。ただし、重要なのは共有権限だけでなく、フォルダ自体の*NTFS*権限を適切に設定することです。
フォルダのNTFS権限の設定
- フォルダーを右クリックし、「プロパティ」に移動して、「セキュリティ」タブに進みます。
- 「詳細設定」をクリックし、「継承を無効にする」をクリックします。Windowsから警告が表示されたら、「継承されたアクセス許可をオブジェクトの明示的なアクセス許可に変換する」を選択します。これにより、誰が何を参照できるかを制御できます。
- 確信が持てない場合は、「Users」と「Authenticated Users」を削除してください。代わりに、 munFolderRedirectionなどの特定のセキュリティグループを追加してください。
- このグループに、フォルダのスキャン/ファイルの実行、フォルダの一覧表示/データの読み取り、属性の読み取り、拡張属性の読み取り、フォルダの作成/データの追加、および読み取り権限を付与します。これらの権限は、フルコントロールを付与せずにリダイレクトを機能させるために不可欠です。
- ルートに対する実際のNTFS権限については、所有者または管理者のみがフルコントロールを持つ必要があります。一般ユーザーには、フォルダの作成とアクセスを可能にする特定の権限のみが付与されます。
非常に重要:これらの権限をよく確認してください。よくある間違いとして、全員に過剰なアクセス権限を与えたり、ユーザーに十分な権限を与えなかったりすることがあります。設定によっては、権限が完全に反映されるまでに再起動やログオフ/ログインの繰り返しが必要になる場合があります。
ユーザーとグループのリンクとグループポリシーの設定
- munFolderRedirectionという新しいADグループを作成します。PowerShellまたはADUCを使用します。
New-ADGroup munFolderRedirection -path 'OU=Groups, OU=Munich, dc=woshub, DC=com' -GroupScope Global -PassThru –Verbose- このグループにユーザーを追加します:
Add-AdGroupMember -Identity munFolderRedirection -Members user1, user2, user3次に、グループポリシー管理コンソール(gpmc.msc )でGPO(グループポリシーオブジェクト)を作成します。これを、リダイレクトするユーザーが含まれるOUにリンクします。
新しいGPOで、「ユーザーの構成」>「ポリシー」>「Windowsの設定」>「フォルダーリダイレクト」に移動します。次に、リダイレクトするプロファイルフォルダー(例:Documents)を選択します。
フォルダーリダイレクトポリシーの構成
- フォルダーのプロパティを開き、[基本 – 全員のフォルダーを同じ場所にリダイレクト]を選択します。
- ターゲット フォルダーの場所を、ルート パスの下に各ユーザーのフォルダーを作成するように設定します。
- ルート パスで、共有フォルダーへの UNC パスを指定します (例:
\\mun-fs1\RedirFolder)。 - 「設定」タブの「コンテンツを新しい場所に移動する」などのオプションは、特にユーザーがローカルフォルダに既にデータを持っている場合に便利です。ただし、大量のデータが関係する場合は遅延が発生する可能性があることに注意してください。
- ポリシーが削除されたときにローカル プロファイルにリダイレクトするかどうかを選択します。これは、オフライン アクセスやトラブルシューティングに役立ちます。
その他の重要な設定とセキュリティに関する考慮事項
- Internet Explorer / Microsoft Edge 設定のサイトとゾーンの割り当てリストを使用して、ファイル サーバーおよびドメインを信頼されたイントラネット ゾーンに追加します。
- ゾーン 1 (ローカル イントラネット) にサーバーを追加すると、ユーザーがリダイレクトされたフォルダーからファイルを開いたり実行したりしようとしたときに表示されるセキュリティ警告を防ぐことができます。
- ログオフ/ログオン後にユーザーのUNC パスがドキュメント フォルダーのプロパティに表示されることを確認します。表示されない場合は、アクセス許可と GPO 設定を再確認してください。
とはいえ、本格的に展開する前に、少数のユーザーでテストすることをお勧めします。失敗したり、権限がおかしくなったり、グループポリシーの反映に時間がかかったりすることもあるため、忍耐強く、慎重な権限管理が鍵となります。
セットアップ中に何か異常が発生した場合は、イベント ログに注意することをお勧めします。そこには、コピー エラーやアクセス許可エラーが多数表示されます。
これが役に立つことを祈ります。フォルダー リダイレクトを正しく設定するのは少しパズルですが、すべてがうまくいけば、その価値は十分にあります。
まとめ
- 正しい NTFS アクセス許可を持つ共有フォルダーを作成します (慎重に行ってください)。
- 専用の AD グループにユーザーを追加します。
- 正しい UNC パスを指すように、そのグループのフォルダーをリダイレクトする GPO を設定します。
- スムーズな操作のためにセキュリティ ゾーンと権限を構成します。
- 大量展開する前に徹底的にテストしてください。
まとめ
複雑に聞こえるかもしれませんが、権限とGPOが適切に設定されていれば、かなりスムーズに動作するはずです。ただし、ここでは権限が重要だということを覚えておいてください。権限を間違えると、誰のフォルダも正しくリダイレクトされなくなります。ポリシーの更新を待っている間やトラブルシューティング中は、少しの忍耐が大きな力となります。この情報が、将来誰かの頭痛の種を救ってくれることを願っています。頑張ってください!