locked
共有フォルダのプロパティの以前のバージョンから一般ユーザにリストアさせたくないため、[以前のバージョンタブ]を非表示にしたい。 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

     Windows Server 2008 R2のActiveDirectoryドメインサービスが展開されている環境に、Windows Server 2008 R2のターミナルサービスの役割を構成したサーバーを構成しました。一般利用者は、ドメインのDomainUsersのメンバとして登録し、RDPを利用してターミナルサービスが構成されているサーバーのデスクトップを利用させる想定でおります。

     このときに、共有のファイルサーバをネットワークドライブ(I:)として接続させる想定なのですが、共有フォルダのシャドーコピーからのリストアを、一般利用者に許可したくありません。

     Windows XP Professional の時は、regsvr32 /u twext.dllをローカルの管理者権限で実行し、タブを非表示にしておりました。

     Windows Server 2008 R2環境で、同様に実現する方法をご存知の方、ご教示いただけませんでしょうか。

    [環境]

    Windows Server 2008 R2 SPなし

    ActiveDirectoryドメインサービス環境(ドメイン機能レベルWindows Server 2008 R2)

     

    • 移動 Jundan Wu 2012年10月3日 17:12 (移動元:Windows Server 2008 R2 全般)
    2011年3月1日 9:16

回答

  • Question
    サインインして投票
    1
    サインインして投票

    もしかすると意味を取り違えているのかもしれませんが、グループポリシーの[コンピュータの構成]と[ユーザーの構成]にある以下のポリシーでうまく制御できないでしょうか。
    [管理用テンプレート][Windowsコンポーネント][エクスプローラ][以前のバージョン]にある、
    ・[ローカルファイルの以前のバージョンの一覧を表示しない]
    ・[リモートファイルの以前のバージョンの一覧を表示しない]

    [ローカル・・・]を有効にすると、現在ログオンしているコンピューターの[以前のバージョン]タブが消えます。
    [リモート・・・]を有効にすると、現在ログオンしているコンピューターからネットワーク経由でアクセスする共有の[以前のバージョン]タブが消えます。

    ターミナルサーバーからアクセスする、全てのリモート共有の[以前のバージョン]タブが消えていいのであれば、
    ターミナルサーバーに適用されるポリシーで[リモートファイルの以前のバージョンの一覧を表示しない]を有効にすればいいかもしれません。
    条件によってはOUをうまく使うか、それぞれのサーバーのローカルポリシーで定義することでも可能です。

    • 回答としてマーク abekawa 2011年3月2日 5:20
    2011年3月1日 12:49
  • Question
    サインインして投票
    1
    サインインして投票

    ご質問の意味を取り違えていたようです。

    ターミナルサーバーの管理者がある共有フォルダをネットワークドライブ(I:) として割り当てた場合、一般のDomainUsersはターミナルサーバーにリモートデスクトップ接続してもそのネットワークドライブ(I:)が利用できません。一般のユーザーの普通にネットワーク経由で共有フォルダにアクセスする[以前のバージョン]のことですね。ボリュームのシャドウコピーを無効にする必要はありません。

     

    確かにVistaServer 2008以降にはOMEGATさんのおっしゃるポリシーがあるようです。OUを分けて

    「ユーザーの構成」で一般ユーザーは[以前のバージョン]タブを使えない、管理ユーザーは使え、復元・コピーができるなどとすればよいでしょう。

    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    • 回答としてマーク abekawa 2011年3月2日 5:20
    2011年3月1日 16:25

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    おっしゃられることは、そのファイルサーバーでポリュームのシャドウコピーを無効にするしか方法は無いと思います。

    [スタート][管理ツール][コンピュータの管理]→[共有フォルダ](を右クリック)→[すべてのタスク] (を選択)→[シャドウコピーの構成] (をクリック)、シャドウコピーが有効になっているボリュームを選択し[無効]をクリック

    http://technet.microsoft.com/ja-jp/library/cc736700(WS.10).aspxServer 2003のページですが

     

    XPServer 2003ではしたのプログの方法でシャドウコピークライアントを無効にできたようです。VistaServer 2008以降はその機能はないようです。

    http://cs.albis.jp/blogs/ms-18e/archive/2006/11/27/778.aspx

    シャドウコピークライアントは無効にする必要は無いと思います。
    ユーザーはアクセス権を与えられていた共有資源しか復活させることはできないわけで、シャドウコピークライアントを無効にして得られるモノは無いと思うからです。

     

    ましてやターミナルサーバーとしてファイルサーバーを運用しているなら、フォルダにアクセス権を付けることにより、ユーザーに大切なファイルを変更されたり、消されないようにするべきだと思うからです。ターミナルサーバーにログオンできるユーザーも必要なユーザーだけに制限しましょう。

    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    2011年3月1日 12:11
  • Question
    サインインして投票
    1
    サインインして投票

    もしかすると意味を取り違えているのかもしれませんが、グループポリシーの[コンピュータの構成]と[ユーザーの構成]にある以下のポリシーでうまく制御できないでしょうか。
    [管理用テンプレート][Windowsコンポーネント][エクスプローラ][以前のバージョン]にある、
    ・[ローカルファイルの以前のバージョンの一覧を表示しない]
    ・[リモートファイルの以前のバージョンの一覧を表示しない]

    [ローカル・・・]を有効にすると、現在ログオンしているコンピューターの[以前のバージョン]タブが消えます。
    [リモート・・・]を有効にすると、現在ログオンしているコンピューターからネットワーク経由でアクセスする共有の[以前のバージョン]タブが消えます。

    ターミナルサーバーからアクセスする、全てのリモート共有の[以前のバージョン]タブが消えていいのであれば、
    ターミナルサーバーに適用されるポリシーで[リモートファイルの以前のバージョンの一覧を表示しない]を有効にすればいいかもしれません。
    条件によってはOUをうまく使うか、それぞれのサーバーのローカルポリシーで定義することでも可能です。

    • 回答としてマーク abekawa 2011年3月2日 5:20
    2011年3月1日 12:49
  • Question
    サインインして投票
    1
    サインインして投票

    ご質問の意味を取り違えていたようです。

    ターミナルサーバーの管理者がある共有フォルダをネットワークドライブ(I:) として割り当てた場合、一般のDomainUsersはターミナルサーバーにリモートデスクトップ接続してもそのネットワークドライブ(I:)が利用できません。一般のユーザーの普通にネットワーク経由で共有フォルダにアクセスする[以前のバージョン]のことですね。ボリュームのシャドウコピーを無効にする必要はありません。

     

    確かにVistaServer 2008以降にはOMEGATさんのおっしゃるポリシーがあるようです。OUを分けて

    「ユーザーの構成」で一般ユーザーは[以前のバージョン]タブを使えない、管理ユーザーは使え、復元・コピーができるなどとすればよいでしょう。

    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    • 回答としてマーク abekawa 2011年3月2日 5:20
    2011年3月1日 16:25
  • Question
    サインインして投票
    1
    サインインして投票

     私の質問の趣旨を汲み取っていただきありがとうございます。

     実現したかったのは、ターミナルサーバー(リモートデスクトップサービスの役割有効化)にログインしたユーザが、net useで接続している接続先のネットワーク経由のファイルサーバにアクセスした際の、以前のバージョンタブを管理者以外には見せたくないということです。

    今回、頂いた情報を基に、実現したかったことが実現できました。手順は、以下の通りです。

    1. リモートデスクトップサービスを構成し、テストユーザでログイン出来ることを確認。
    2. テストユーザでログインした際に、共有フォルダIドライブに接続できるようにしておき、そのプロパティを開くと、以前のバージョンタブが表示されることを確認。
    3. ターミナルサーバ用のOU 「TS」を作成。
    4. ドメイン参加したターミナルサーバ「TSserver」をOU「TS」に移動。
    5. ActiveDirectoryドメインサービスの役割のサーバでGPO「TS一般ユーザ」作成し、OU「TS」にリンクする。※セキュリティフィルタ処理は、デフォルト
    6. GPO「TS一般ユーザ」の、コンピュータの構成のユーザポリシーのループバック処理を有効化、ユーザの構成の[リモートファイルの以前のバージョンの一覧を表示しない]を有効化。
    7. サーバ「TSServer」を再起動。
    8. テスト用のユーザで、サーバ「TSServer」にRDPでログインし、全体の共有フォルダのプロパティを開き、以前のバージョンタブが表示されないことを確認。

    情報ありがとうございました。

     

    2011年3月2日 1:46