ITよろづや

ITから生活の参考になる情報を備忘録代わりに残していきます

移動ユーザープロファイル、フォルダーリダイレクトを管理者で削除できない場合の対象方法

移動ユーザープロファイル、フォルダーリダイレクトの検証をしていて、管理者権限のアカウント(ドメインAdministrator)で各ユーザーがログイン時に作成する移動ユーザープロファイル、フォルダーリダイレクト用のフォルダーが削除できない事象にぶつかりました。


管理者権限のアカウントで削除できない理由は、やはり”アクセス権”の問題でした。


以下の二つの設定を行わない場合、ユーザー毎に作成される各フォルダには、”Administratorsグループ”の削除要する適切な権限が付与されません。


①「Administrators セキュリティ グループを移動ユーザー プロファイルに追加する」

”このポリシー設定を有効にすると、administrators グループにもユーザーのプロファイル フォルダーへのフル コントロールが与えられます。このポリシー設定を無効にした場合、または構成しなかった場合は、ユーザーのみにユーザー プロファイルへのフル コントロールが与えられ、administrators グループはこのフォルダーへはアクセスできません。”※GPOのヘルプ抜粋。


【場所】
 [コンピューターの構成]
  ∟[ポリシー]
    ∟[管理用テンプレート]
      ∟[システム]
        ∟[ユーザープロファイル]


②ユーザーに<フォルダ名>に対して排他的な権限を与える
”このチェック ボックスがオンで、ターゲット ディレクトリが存在しない場合は、新しいディレクトリが作成され、対象ユーザーとローカル システムにのみそのフォルダに対するフル コントロール アクセス許可が与えられます。

このチェック ボックスがオンで、ターゲット ディレクトリが既に存在する場合は、そのディレクトリの所有権が検証されます。そのディレクトリを別のユーザーが所有している場合、フォルダ リダイレクトは行われません。既定で有効なアクセス許可はすべて有効のままとなります。

このチェック ボックスをオフにした場合、フォルダのアクセス許可は変更されません。既定で有効なアクセス許可はすべて有効のままとなります。このチェック ボックスをオフにした場合にのみ、スタート メニュー フォルダをリダイレクトできます。”※MSサイトより抜粋⇒GPMC のフォルダ リダイレクトの概要


【場所】
 [ユーザーの構成]
  ∟[ポリシー]
    ∟[Windowsの設定]
      ∟[フォルダーリダイレクト]
       ※各フォルダのプロパティで「設定」タブ


上記の設定になっていると、権限の不足から、Administratorsグループのアカウントであっても削除できない事になります。


また、上記設定後に作成されたフォルダーは、後でポリシーを変更しても、アクセス権は変更できませんので、削除したい場合、以下の手順で対応可能です。

 



【アクセス権の不足したフォルダー、ファイルの削除手順】

※以下の順番で実施してください。

①所有権の変更

>takeown /f <フォルダのパス> /a /r

/f:ファイル名を指定。
/a:現在のユーザーではなく、Administrators グループに所有権を与えます。
/r:指定されたディレクトリとサブディレクトリのすべてのファイルに対して再帰的操作を実行します。

 

②アクセス権の変更
>icacls <フォルダのパス> /grant Administrators:F /t

/grant: 許可ユーザー ・ アクセス権を指定します。
※grant△<ユーザー、グループ>:F(フルアクセス)
/t: 現在のディレクトリとそのサブディレクトリで、操作で指定されたすべてのファイルを実行します。

コマンドの詳細は、以下のマイクロソフトのサイトを参考にしてください。

Takeown
Icacls


これで、対象のフォルダ、ファイルを削除する事ができるようになります。