これは非常に簡単です。ドキュメント フォルダーを //dc/documents という共有にリダイレクトしています。この共有の下に各ユーザーのフォルダーが作成され、その下にマイ ドキュメントのフォルダーが作成されます。この //dc/documents 共有のセキュリティ権限は次のとおりです。
- 共有権限:
- 全員 - フルコントロール
- 全員 - フルコントロール
- NTFS アクセス許可:
- 全員 (このフォルダーのみ) - フォルダーの一覧表示/データの読み取り、属性の読み取り、拡張属性の読み取り、アクセス許可の読み取り
- 作成者 所有者 (サブフォルダとファイルのみ) - フルコントロール
- SYSTEM (このフォルダ、サブフォルダ、ファイル) - フルコントロール
- 管理者 (このフォルダ、サブフォルダ、ファイル) - フルコントロール
- ドメイン管理者 (このフォルダ、サブフォルダ、ファイル) - フルコントロール
問題は、PDC に組み込まれている管理者アカウントにサインインするときに発生します。そのアカウントは Domain Admins および Administrators グループの一部ですが、サブフォルダーとファイルを表示する権限がありません。これらのフォルダー内でやりたいことをすべて実行できないようにする継承された権限は見当たりません。フォルダーを開くときに押さなければならない魔法のボタンがあるのでしょうか? ますますイライラしています。
答え1
フォルダー リダイレクト設定の [設定] タブで [ユーザーに排他的権限を付与する...] ボックスにチェックマークが付いています。これをオフにすると、フォルダー リダイレクトのクライアント側拡張機能 (CSE) によって、作成するフォルダーのアクセス許可に「管理者」が追加されます。
個人的には、フォルダー リダイレクト CSE は、作成するサブフォルダーの継承を無効にするため (これは悪いことだと考えています) 、ユーザー用のサブフォルダーを事前に作成します。フォルダーを事前に作成し、サブフォルダーに「ユーザー / フル コントロール」を追加すると、フォルダー リダイレクト CSE は問題なく、フォルダーの継承階層をそのまま残します。
すでに存在するフォルダを「修復」したい場合は、icaclsスクリプト内のユーティリティなどを使用して権限をクリーンアップできます。サブフォルダがすべてユーザーの samAccountNames に基づいて名前が付けられていると仮定すると、次のような操作を実行できます。
FOR /D %%d in (E:\Home Directories\*) DO (
TAKEOWN /f "E:\Home Directories\%%d" /r /d y
ICACLS "E:\Home Directories\%%d" /reset /T
ICACLS "E:\Home Directories\%%d" /grant:r "MYDOMAIN\%userDir%":(OI)(CI)F
ICACLS "E:\Home Directories\%%d" /setowner "MYDOMAIN\%userDir%" /T
)
これにより、各サブフォルダーで「フル コントロール」権限を指定したユーザーによって、適切でクリーンな継承階層が再び提供されます。
答え2
GPO 経由でフォルダー リダイレクトを構成する場合、リダイレクトされたフォルダーへの排他的アクセスをユーザーに許可するオプションがあります。このオプションは既定でオンになっており、親レベルでアクセス許可を付与しようとしたにもかかわらず、この GPO 設定が問題の原因になっていると思われます。親レベルで適切なアクセス許可を設定したように見えますが、リダイレクトされたフォルダーが GPO 設定によって作成されるため、Windows はそれらのアクセス許可を削除しています。
GPO 設定を変更すると、作成されたすべての新しいフォルダーには反映されますが、既存のフォルダーには反映されません。これを回避する最も簡単な方法は、GPO オプションのチェックを外し、データをバックアップし、既存のフォルダーを削除し、Windows にフォルダーを再作成させて、データを復元することです。
答え3
UAC に問題があるだけなのでしょうか?
UAC は、ユーザーを保護するために、管理者グループの使用をフィルターします。
http://technet.microsoft.com/en-us/library/cc709691(WS.10).aspx