Windows ドメイン ユーザーがホーム ディレクトリのサブディレクトリを削除できないようにする最善の方法は何ですか?

Windows ドメイン ユーザーがホーム ディレクトリのサブディレクトリを削除できないようにする最善の方法は何ですか?

私は主に Windows 7 Professional クライアントを搭載した Windows Server 2012 R2 ドメイン コントローラーで作業しています。

私は最近、フォルダリダイレクトとユーザープロファイルローミングを設定しました。これにより、各ドメインユーザーはネットワーク共有上にフォルダを持ち、そこにユーザープロファイルとドキュメントの両方を保存できます。これらのユーザーフォルダには、

D:\Users\%USERNAME%

ファイルサーバー上で、それに応じて、

\\MYSERVER\Users\%USERNAME%

ドメイン上。

これらのフォルダは、ユーザーの初回ログイン時に自動的に生成され、「アプリケーション データ」、「マイ ドキュメント」、「リンク」、「連絡先」、「Profile.V2」など、一般的なファイルがすべて含まれています。

これらのサブフォルダーはすべて、ドメイン グループ ポリシーで指定されているように、ユーザーの最初のログイン時に自動的に生成されます。具体的には、「Profile.V2」を除くすべてのサブフォルダーはフォルダー リダイレクト ポリシーの結果であり、「Profile.V2」は移動ユーザー プロファイル ポリシーの結果です。

これを実現するために、NTFS権限を設定しました

D:\Users\%USERNAME%

これはMicrosoft(今はどこだったか思い出せない!)や数え切れないほどの他の派生ブログ投稿で推奨されている。これらの権限は、

Disable Inheritance

Allow - SYSTEM - Full Control - This Folder, Subfolders and Files
Allow - Administrator - Full Control - This Folder, Subfolders and Files

Allow - CREATOR OWNER - Full Control - Subfolders and Files

Allow - MyUserGroup - Special (List Folder / Read Data; Create Folders / Append Data) - This Folder Only

これは私にとってはうまく機能しますが、1 つの問題があります。ユーザーがログオンし、フォルダー構造が指定どおりに生成されると、当然、ユーザーはこれらのフォルダーを自由に削除する権限を保持します。つまり、ユーザーは、誤って、または何らかの理由で、たとえば「デスクトップ」を削除する可能性があります。これにより、「デスクトップ」フォルダーの内容が失われるだけでなく、次回のログイン時にフォルダーのリダイレクトが中断されます。

私の質問は、ユーザーがこれらの最上位レベルのユーザー サブフォルダー (「デスクトップ」、「連絡先」、「Profile.V2」など) を削除できないようにする最善の方法は何ですか?親フォルダーの代替権限を試してみましたが、ユーザーの初回ログイン時に自動フォルダー生成が中断されてしまいます。さらに、スクリプトを使用してユーザーの初回ログイン後にプログラムでこれらのサブフォルダーの権限を調整しようとしましたが、うまくいきません (Powershell を使用して ACL を変更するのは、かなり面倒な作業です)。

ここでのベストプラクティスの解決策は何でしょうか? この問題に遭遇したのは私だけではないはずです!

答え1

各プロファイル フォルダーを個別の共有にリダイレクトします。これにより、デスクトップ フォルダーは \myserver\usersDesktops\%username% にリダイレクトされます。

テックネット記事

答え2

削除したらどうなるでしょうか。Allow - CREATOR OWNER - Full Control - Subfolders and Files これは最近では少し冗長になっていると思いますし、彼らがあなたの言うことを実行する権利を持っている理由かもしれません。

他の人たちも正しいですが、柔軟性を高めるために、それらを分離する方が良いでしょう。

答え3

つまり、これを行う簡単な方法はないということになります。

他の投稿者のアドバイスに従って、ローミング プロファイル ルート フォルダ (例: 「Profile.V2」) とユーザー ホーム ルート フォルダ (例: 「My Documents」など) の場所を分けてみましたが、うまく機能しています。また、これらの共有をネットワーク参照から非表示にしました (共有名に「$」を追加)。これにより、ユーザーが自分のローミング プロファイル フォルダにアクセスできなくなるという効果がありました (これは非常に良いことです)。この動作には困惑していると言わざるを得ませんが、それでも非常に歓迎すべきことです。

ユーザーが自分のデスクトップ フォルダーを削除した場合、それはユーザー自身の損失であるという事実を受け入れるしかないようです。幸いなことに、私はこれらの共有すべてを頻繁にバックアップしているので、被害をいくらか軽減できるはずです。

関連情報