none
Windows7 でのフォルダアクセス制御について RRS feed

  • 質問

  • コミュニティにも投稿させていただきましたが、
    サポートの方に「technetフォーラム」への投稿を進められたため、実現方法について質問させて頂きます。

    ■環境
    ○OS:Windows7 Professional SP1 32bit
    ○Internet Explorer:IE9
    ○ユーザアカウント:
     ・「Administrator」:管理者※デフォルトユーザ
     ・「SUPERUSER」:管理者※作成ユーザ
     ・「OPE」:標準ユーザー※作成ユーザ
    ○パーティション構成:
     ・C:\
     ・D:\
     ・E:\
     ※全フォルダでオプション「別のプロセスでフォルダウインドウを開く」は許可
      ※UACは無効化

    ■実施したいこと
    (1)「OPE」ユーザーにてOSログイン
    (2)エクスプローラを開いた場合「D:\」以外のフォルダ参照および、ファイル作成・削除不可にしたい
    (この際、Interner Explorerやtextからファイル保存した場合でも同様)
    (3)OSのログインユーザを変更しないまま、
    エクスプローラを「SUPERUSER」ユーザに切り替えて起動
    (4)全フォルダ(C:\やE:\ドライブなど)を参照および、全操作可能にしたい

    ■前提
    ○OS標準機能のみ使用して制御したい
    ○フォルダへのアクセスの拒否は行わない(アクセス許可を付与しない)
     ※別のアプケーションが拒否だと動かなくなるため

    ■試したが失敗したこと
    各情報を参照して、以下を実施してみましたが、うまくいきませんでした。

     【RANAS利用(エクスプローラ):その1】
    (1)「C:\」および「E:\」ドライブのプロパティから「OPE」ユーザーへ「アクセス許可」を付与しない
     ・「フォルダ右クリック」→「プロパティ」→「セキュリティ」→「アクセス許可の変更」
      →「追加操作」で「OPE」ユーザーの「アクセス許可」を付与しない
        (SUPERUSERはフルコントロール許可状態です)
    (2)RANASコマンドで、エクスプローラ起動
     ・コマンド「runas /user:SUPERUSER "explorer"」
    (3)結果NG:「C:\」および「E:\」ともにアクセス許可が無く参照が出来ない

     【RANAS利用(エクスプローラ):その2】
    ○端末起動時にexplorer.exeが「OPE」ユーザで起動しているので
     タスクマネージャよりすべて終了。
     →すべて停止すると、デスクトップ画面下部のタスクバーやスタートメニューがなくなった。
     →RUNAS利用でexplorer起動(1回目):explorer.exeが「SUPERUSER」で起動
      (デスクトップ画面下部のタスクバーやスタートメニューが起動)
     →RUNAS利用でexplorer起動(2回目):explorer.exeが「OPE」で起動された。
      explorer.exeが「SUPERUSER」とならず、以降何度もRUNAS実行でも変わらなかった

    【RANAS利用(Internet Explorer)】
    (1)「C:\」および「E:\」ドライブのプロパティから「OPE」ユーザーへ「アクセス許可」を付与しない
      ・「フォルダ右クリック」→「プロパティ」→「セキュリティ」→「アクセス許可の変更」
       →「追加操作」で「OPE」ユーザーの「アクセス許可」を付与しない
         (SUPERUSERはフルコントロール許可状態です)
    (2)RANASコマンドで、インターネットエクスプローラ起動
      ・コマンド「Runas /user:SUPERUSER
      "%systemroot%\ie9\iexplore.exe ::{20D04FE0-3AEA-1069-A2D8-08002B30309D}"」
    (3)結果NG:「C:\」および「E:\」ともにアクセス許可が無く参照が出来ない
    (Iexplorer.exeが「SUPERUSER」にて起動されている。)

    上記を実現する方法、ありますでしょうか?
    ご助言のほど、よろしくお願い致します。

    2015年1月14日 8:29

回答

  • 別の方法で自己解決しましたので、簡単に記載しておきます。
    ■フォルダ締めは「OPE」ユーザにグループポリシーで設定
     ※mmcを利用して「OPE」に対してポリシー設定
    ■グループポリシー解除バッチを作成して、参照する場合はそのバッチで切り替えるように対応

    理想としては、RUNASなどでexplorerを切り替えれればよかったのですが、
    どうも解決できなかったので上記対応しました

    • 回答としてマーク munehachisan 2015年1月26日 9:15
    2015年1月26日 9:15