none
リモートデスクトップサービスのホームフォルダーのアクセス権について RRS feed

  • 質問

  • 現在、リモートデスクトップサービスを提供しているサーバーの入替えを検討しております。

    【現環境】
     RDSサーバー:Windows Server 2008 R2
     プロファイルサーバー:Windows Server 2008 R2

    【新環境】
     RDSサーバー:Windows Server 2016
     プロファイルサーバー:Windows Server 2016

    現環境では、ユーザーのホームフォルダをプロファイルサーバーにネットワークパスとして指定しています。
    設定方法としては、ADの各ユーザーのプロパティの[リモートデスクトップサービスのホームフォルダー]で指定しています。

    新環境では、Windows Server 2016からリモート接続マネージャ(RCM)の機能が変更されたことにより、
    ホームフォルダーの設定をグループポリシーを利用して指定することとしました。

    新環境でユーザーがRDSサーバーにアクセスし、ホームフォルダーが出来上がることを確認しておりますが、
    アクセス権が現行と異なることに気づきました。
    異なる点は、現行環境ではログインしたユーザーのアクセス権がフルコントロールで付与されておりましたが、
    新環境はログインしたユーザーのアクセス権が特殊なアクセス権のみが付与されている状態でした。

    また、現環境はホームフォルダーをそのまま運用すると、ビルドインユーザーの読み取り権限により、
    パスを指定することでユーザーが自分以外のホームフォルダーを閲覧することができてしまうので、
    ホームフォルダーからビルドインユーザー権限を削除しています。
    新環境でビルドインユーザーのアクセス権を削除しましたが、特殊なアクセス権のみで読み書きができるので
    特段問題ないと思っておりましたが、ログオンバッチにxcopyでファイルをコピーするスクリプトが
    機能しないことが発覚しましたので、現環境同様にユーザーのフルコントロールを付与したいと思います。

    ▼質問
     ①ホームフォルダーが作成される際にユーザーのフルコントロールを付与する方法はないでしょうか(現環境と同じにしたい)。
     ②①の対応ができない場合、事前にホームフォルダーを作成、アクセス権変更対応を実施したいと思いますが、
      ホームフォルダーを事前に作成しても問題ないでしょうか。
     ③グループポリシーでホームフォルダーのパスを指定する場合、ユーザーのフルコントロールは付与されない仕様に変わったのでしょうか。

    ご教示のほどよろしくお願いいたします。

    2019年7月9日 2:30

回答

  • チャブーンです。

    この件ですが、正直おっしゃることにわからない点があるのですが、少なくとも「ユーザーのフルコントロールは付与されない仕様に変わった」などということは、ないという認識です。

    この件について言えることがあるとすれば、ホームフォルダーを設定する「親フォルダー」のNTFSアクセス許可に「SYSTEM:フルコントロール」は入っていますか?ということかと思います。Windowsの設定はすべからず、Windows OS自身が設定しますが、その際「SYSTEMアカウント」が暗黙的に利用されます。ホームフォルダーのNTFSアクセス許可に「SYSTEM:フルコントロール」が入っていないと、正常に働かないためおっしゃるような事態になるのでしょう。こちらで簡単に試したところ、「SYSTEM:フルコントロール」がないと、ユーザー権限のフルコントロールが記録されない状況になりました。

    まずは、Windows OSが扱うすべてのフォルダーに対して、「SYSTEM:フルコントロール」の設定は行うようにしてください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年7月16日 3:20

すべての返信

  • こんにちは。フォーラムオペレーターのFanです。

    フォーラムにご投稿くださいましてありがとうございます。

    問題のスクリーンショット等、詳細な状況を共有いただくことで他のユーザー様よりのご意見が集まりやすくなります。

     

    同じ問題を抱えている方と経験がある方、ご意見を共有頂ければ本当に有難いです.

     

    どうぞよろしくお願いいたします。

    Fan

     


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月11日 5:46
    モデレータ
  • こんにちは

    この後の状況はいかがでしょうか

    ホームフォルダの既定のアクセス許可構成を識別するために、グループポリシーを介してホームフォルダをテストするようにVMを構築しています。

    ご存知のとおり、リモート接続マネージャ(RCM)の機能はWindows Server 2016から変更されています。 Active DirectoryユーザーとコンピュータMMCスナップインレにジストリエントリを使用して変更することができます。

    下記リンクをご参照ください。

    「Windows Serverのリモート接続マネージャへの変更」:
    https://support.microsoft.com/ja-jp/help/3200967/changes-to-remote-connection-manager-in-windows-server

    どうぞよろしくお願いいたします。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月15日 8:49
    モデレータ
  • チャブーンです。

    この件ですが、正直おっしゃることにわからない点があるのですが、少なくとも「ユーザーのフルコントロールは付与されない仕様に変わった」などということは、ないという認識です。

    この件について言えることがあるとすれば、ホームフォルダーを設定する「親フォルダー」のNTFSアクセス許可に「SYSTEM:フルコントロール」は入っていますか?ということかと思います。Windowsの設定はすべからず、Windows OS自身が設定しますが、その際「SYSTEMアカウント」が暗黙的に利用されます。ホームフォルダーのNTFSアクセス許可に「SYSTEM:フルコントロール」が入っていないと、正常に働かないためおっしゃるような事態になるのでしょう。こちらで簡単に試したところ、「SYSTEM:フルコントロール」がないと、ユーザー権限のフルコントロールが記録されない状況になりました。

    まずは、Windows OSが扱うすべてのフォルダーに対して、「SYSTEM:フルコントロール」の設定は行うようにしてください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年7月16日 3:20
  • 皆様ご回答ありがとうございます。

    引き続き確認していたところ、WindowsServer2016のホームフォルダー内に作成したフォルダーのプロパティのセキュリティタブから権限状況を確認すると、該当ユーザーは特殊権限となっておりましたが、詳細設定を確認すると、フォルダーのみに対してフルコントロールが付与されておりました。

    WindowsServer2008R2では、フォルダーのプロパティのセキュリティタブの権限状況をみるとユーザーのフルコントロールが付与されておりましたので、混乱してしまいました。

    動作的には意図する設定となっておりましたので、本件はクローズで問題ございません。

    ご返信いただいた方にはお手数をお掛けして申し訳ございませんでした。

    2019年7月16日 6:02
  • フォーラムにご投稿くださいましてありがとうございます

    ご不明な点がございましたら、お気軽にお問い合わせください

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年7月16日 6:28
    モデレータ