Deploy Access-Denied Assistance (Demonstration Steps)
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
このトピックでは、アクセス拒否アシスタンスを構成し、それが正しく機能していることを確認する方法について説明します。
このドキュメントの内容
注意
このトピックでは、説明した手順の一部を自動化するのに使用できる Windows PowerShell コマンドレットのサンプルを示します。 詳細については、「コマンドレットの使用」を参照してください。
手順 1:アクセス拒否アシスタンスを構成する
グループ ポリシーを使用して、ドメイン内でアクセス拒否アシスタンスを構成できます。あるいは、ファイル サーバー リソース マネージャーのコンソールを使用して、ファイル サーバーごとに個別にアシスタンスを構成できます。 ファイル サーバー上の特定の共有フォルダーのアクセス拒否メッセージを変更することもできます。
次のようにグループ ポリシーを使用して、ドメインのアクセス拒否アシスタンスを構成できます。
グループ ポリシーを使用してアクセス拒否アシスタンスを構成するには
[グループ ポリシーの管理] を開きます。 サーバー マネージャーで、[ツール] をクリックし、[グループ ポリシーの管理] をクリックします。
該当するグループ ポリシーを右クリックしてから、[編集] をクリックします。
[コンピューターの構成] をクリックし、[ポリシー] をクリックし、[管理用テンプレート] をクリックし、[システム] をクリックしてから、[アクセス拒否アシスタンス] をクリックします。
[アクセス拒否エラーのメッセージをカスタマイズする] を右クリックしてから、[編集] をクリックします。
[有効] オプションを選択します。
次のオプションを構成します。
[アクセスが拒否されたユーザーに次のメッセージを表示する] ボックスに、ファイルまたはフォルダーへのアクセスが拒否されたときにユーザーに表示されるメッセージを入力します。
カスタマイズしたテキストを挿入するマクロをメッセージに追加できます。 マクロには次のものが含まれています。
[Original File Path] ユーザーによってアクセスされた元のファイル パス。
[Original File Path Folder] ユーザーによってアクセスされた元のファイル パスの親フォルダー。
[Admin Email] 管理者の電子メール受信者リスト。
[Data Owner Email] データ所有者の電子メール受信者リスト。
[ユーザーがアシスタントを依頼できるようにする] チェック ボックスを選択します。
残りの既定の設定をそのままにします。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName AllowEmailRequests -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName GenerateLog -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName IncludeDeviceClaims -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName IncludeUserClaims -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName PutAdminOnTo -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName PutDataOwnerOnTo -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName ErrorMessage -Type MultiString -value "Type the text that the user will see in the error message dialog box."
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName Enabled -Type DWORD -value 1
あるいは、ファイル サーバー リソース マネージャーのコンソールを使用して、ファイル サーバーごとに個別にアクセス拒否アシスタンスを構成できます。
ファイル サーバー リソース マネージャーを使用してアクセス拒否アシスタンスを構成するには
ファイル サーバー リソース マネージャーを開きます。 サーバー マネージャーで [ツール] をクリックしてから、[ファイル サーバー リソース マネージャー] をクリックします。
[ファイル サーバー リソース マネージャー (ローカル)] をクリックしてから、[オプションの構成] をクリックします。
[アクセス拒否アシスタンス] タブをクリックします。
[アクセス拒否アシスタンスを有効にする] チェック ボックスを選択します。
[フォルダーまたはファイルへのアクセスが拒否されたユーザーに次のメッセージを表示] ボックスに、ファイルまたはフォルダーへのアクセスが拒否されたときにユーザーに表示されるメッセージを入力します。
カスタマイズしたテキストを挿入するマクロをメッセージに追加できます。 マクロには次のものが含まれています。
[Original File Path] ユーザーによってアクセスされた元のファイル パス。
[Original File Path Folder] ユーザーによってアクセスされた元のファイル パスの親フォルダー。
[Admin Email] 管理者の電子メール受信者リスト。
[Data Owner Email] データ所有者の電子メール受信者リスト。
[電子メール要求の構成] をクリックし、[ユーザーがアシスタンスを依頼できるようにする] チェック ボックスを選択してから、[OK] をクリックします。
エラー メッセージがユーザーにどのように表示されるのかを確認する場合は、[プレビュー] をクリックします。
[OK] をクリックします。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
Set-FSRMAdrSetting -Event "AccessDenied" -DisplayMessage "Type the text that the user will see in the error message dialog box." -Enabled:$true -AllowRequests:$true
アクセス拒否アシスタンスを構成した後に、グループ ポリシーを使用して、すべてのファイルの種類に対してアクセス拒否アシスタンスを有効にする必要があります。
グループ ポリシーを使用してすべてのファイルの種類に対してアクセス拒否アシスタンスを構成するには
[グループ ポリシーの管理] を開きます。 サーバー マネージャーで、[ツール] をクリックし、[グループ ポリシーの管理] をクリックします。
該当するグループ ポリシーを右クリックしてから、[編集] をクリックします。
[コンピューターの構成] をクリックし、[ポリシー] をクリックし、[管理用テンプレート] をクリックし、[システム] をクリックしてから、[アクセス拒否アシスタンス] をクリックします。
[クライアントですべてのファイルの種類についてアクセス拒否アシスタンスを有効にする] を右クリックしてから、[編集] をクリックします。
[有効] をクリックしてから、[OK] をクリックします。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\SOFTWARE\Policies\Microsoft\Windows\Explore" -ValueName EnableShellExecuteFileStreamCheck -Type DWORD -value 1
ファイル サーバー リソース マネージャーのコンソールを使用して、ファイル サーバー上の共有フォルダーごとに個別のアクセス拒否メッセージを指定することもできます。
ファイル サーバー リソース マネージャーを使用して共有フォルダーに個別のアクセス拒否メッセージを指定するには
ファイル サーバー リソース マネージャーを開きます。 サーバー マネージャーで [ツール] をクリックしてから、[ファイル サーバー リソース マネージャー] をクリックします。
[ファイル サーバー リソース マネージャー (ローカル)] を展開してから、[分類管理] をクリックします。
[分類プロパティ] を右クリックしてから、[フォルダー管理プロパティの設定] をクリックします。
[プロパティ] ボックスで [アクセス拒否アシスタンス メッセージ] をクリックしてから、[追加] をクリックします。
[参照] をクリックしてから、カスタム アクセス拒否メッセージが必要なフォルダーを選択します。
[値] ボックスに、当該フォルダー内のリソースにアクセスできない場合にユーザーに表示するメッセージを入力します。
カスタマイズしたテキストを挿入するマクロをメッセージに追加できます。 マクロには次のものが含まれています。
[Original File Path] ユーザーによってアクセスされた元のファイル パス。
[Original File Path Folder] ユーザーによってアクセスされた元のファイル パスの親フォルダー。
[Admin Email] 管理者の電子メール受信者リスト。
[Data Owner Email] データ所有者の電子メール受信者リスト。
[OK] をクリックし、 [閉じる] をクリックします。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
Set-FSRMMgmtProperty -Namespace "folder path" -Name "AccessDeniedMessage_MS" -Value "Type the text that the user will see in the error message dialog box."
手順 2:電子メール通知設定を構成する
アクセス拒否アシスタンス メッセージを送信するファイル サーバーごとに電子メール通知設定を構成する必要があります。
ファイル サーバー リソース マネージャーを開きます。 サーバー マネージャーで [ツール] をクリックしてから、[ファイル サーバー リソース マネージャー] をクリックします。
[ファイル サーバー リソース マネージャー (ローカル)] をクリックしてから、[オプションの構成] をクリックします。
[電子メールの通知] タブをクリックします。
次の設定を構成します。
[SMTP サーバー名または IP アドレス] ボックスに、組織内の SMTP サーバーの IP アドレスの名前を入力します。
[管理者である既定の受信者] および [既定の '差出人' 電子メール アドレス] ボックスに、ファイル サーバー管理者のメール アドレスを入力します。
[テスト電子メールの送信] をクリックして、電子メール通知が正しく構成されていることを確認します。
[OK] をクリックします。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
set-FSRMSetting -SMTPServer "server1" -AdminEmailAddress "fileadmin@contoso.com" -FromEmailAddress "fileadmin@contoso.com"
手順 3:アクセス拒否アシスタンスが正しく構成されていることを確認する
Windows 8 を実行しているユーザーからアクセス権限がない共有またはその共有内のファイルにアクセスしようとすることで、アクセス拒否アシスタンスが正しく構成されていることを確認できます。 アクセス拒否メッセージが表示された場合、ユーザーには、[サポートの要求] ボタンが表示されます。 [サポートの要求] ボタンをクリックすると、ユーザーは、アクセス理由を指定してから、フォルダー所有者またはファイル サーバー管理者に電子メールを送信できます。 フォルダー所有者またはファイル サーバー管理者は、到着した電子メールに適切な詳細が含まれているかを確認できます。
重要
Windows Server 2012 を実行しているユーザーを使用してアクセス拒否アシスタンスを確認する場合は、ファイル共有に接続する前にデスクトップ エクスペリエンスをインストールする必要があります。