フォルダー リダイレクトとオフライン ファイルを展開する

適用対象: Windows Server 2022、Windows 10、Windows 7、Windows 8、Windows 8.1、Windows Vista、Windows Server 2019、Windows Server 2016、Windows Server 2012、Windows Server 2012 R2、Windows Server 2008 R2

この記事では、リダイレクトされたファイルへのアクセスを制御するために従う必要のある手順など、フォルダー リダイレクトとオフライン ファイル機能をまとめてデプロイするための要件について説明します。

重要

MS16-072) で行われたセキュリティの変更により、この記事の「手順 4: フォルダー リダイレクトの GPO を作成する」を更新し、Windows でフォルダー リダイレクト ポリシーを適切に適用できるように (また、影響を受けるクライアント コンピューターでリダイレクトされたフォルダーが元に戻されないように) しました。

この記事に最近加えられた変更の一覧については、「変更履歴」を参照してください。

前提条件

管理の要件

  • フォルダー リダイレクトを管理するには、Domain Administrators セキュリティ グループ、Enterprise Administrators セキュリティ グループ、または Group Policy Creator Owners セキュリティ グループのメンバーとしてサインインする必要があります。
  • グループ ポリシー管理および Active Directory 管理センターがインストールされたコンピューターを使用できる必要があります。

ファイル サーバーの要件

ファイル サーバーは、リダイレクトされたフォルダーをホストするコンピューターです。

リモート デスクトップ サービスとの相互運用性

リモート アクセスの構成は、ファイル サーバー、ファイル共有、ポリシーを構成する方法に影響を与えます。 ファイル サーバーによってリモート デスクトップ サービスもホストされている場合は、いくつかのデプロイ手順が次のように異なります。

  • フォルダー リダイレクト ユーザー用のセキュリティ グループを作成する必要がありません。
  • リダイレクトされたフォルダーをホストするファイル共有に対して、異なるアクセス許可を構成する必要があります。
  • 新しいユーザー用のフォルダーを事前に作成し、それらのフォルダーに対して特定のアクセス許可を設定する必要があります。

重要

このセクションの残りの部分に記載されているほとんどの手順は、両方の構成に適用されます。 片方の構成に固有の手順には、それを示すラベルが付いています。

アクセスの制限

構成に応じて、次の変更をファイル サーバーに適用します。

  • すべての構成。 必要な IT 管理者だけがファイル サーバーに対する管理アクセス権を持っていることを確認してください。 次の手順では、個々のファイル共有に対するアクセス権を構成します。
  • リモート デスクトップ サービスもホストしてはいないサーバー。 リモート デスクトップ サービスもホストしてはいないファイル サーバーでは、リモート デスクトップ サービス (termserv) サービスを無効にします。

他のストレージ機能との相互運用性

フォルダー リダイレクトとオフライン ファイルが他のストレージ機能と正しく通信できるようにするために、次の構成を確認してください。

  • ファイル共有で DFS 名前空間を使用している場合、ユーザーのさまざまなサーバーへの編集の競合を防ぐため、DFS フォルダー (リンク) のターゲットは 1 つである必要があります。
  • ファイル共有で DFS レプリケーションを使用して、コンテンツを別のサーバーにレプリケートする場合、ユーザーのさまざまなサーバーへの編集の競合を防ぐため、ユーザーはソース サーバーにのみアクセスできる必要があります。
  • クラスター化されたファイル共有を使用する場合は、フォルダー リダイレクトとオフライン ファイルのパフォーマンスの問題を回避するために、ファイル共有の継続的可用性を無効にします。 さらに、オフライン ファイルは、ユーザーが継続的に利用可能なファイル共有へのアクセスを失った後 3 から 6 分間、オフライン モードに移行できない可能性があります。これによって、オフライン ファイルの常時オフライン モードをまだ使用していないユーザーはストレスを感じる可能性があります。

クライアントの要件

  • クライアント コンピューターでは、Windows 10、Windows 8.1、Windows 8、Windows 7、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、または Windows Server 2008 を実行する必要があります。
  • クライアント コンピューターは、管理している Active Directory Domain Services (AD DS) ドメインに参加している必要があります。
  • クライアント コンピューターは、x64 ベースまたは x86 ベースのプロセッサで実行する必要があります。 ARM プロセッサを搭載した PC では、フォルダー リダイレクトはサポートされません。

注意

フォルダー リダイレクトの一部の新機能には、クライアント コンピューターと Active Directory スキーマの追加の要件があります。 詳細については、プライマリ コンピューターの展開フォルダーでのオフライン ファイルの無効化常時オフライン モードの有効化、およびフォルダー移動の最適化の有効化に関する記事を参照してください。

手順 1:フォルダー リダイレクトのセキュリティ グループを作成する

ファイル サーバーでリモート デスクトップ サービスを実行している場合は、この手順をスキップし、代わりに新しいユーザー用のフォルダーを事前に作成するときに、ユーザーにアクセス許可を割り当ててください。

この手順では、フォルダー リダイレクト ポリシー設定を適用するすべてのユーザーを含むセキュリティ グループを作成します。

  1. Active Directory 管理センターがインストールされたコンピューターでサーバー マネージャーを開きます。

  2. [ツール]>[Active Directory 管理センター] を選択します。 Active Directory 管理センターが表示されます。

  3. 適切なドメインまたは OU を右クリックし、 [新規作成]>[グループ] を選択します。

  4. [グループの作成] ウィンドウの [グループ] で、次の設定を指定します。

    • [グループ名] に、セキュリティ グループの名前を入力します。たとえば、Folder Redirection Users などです。
    • [グループのスコープ] で、 [セキュリティ]>[グローバル] を選択します。
  5. [メンバー] セクションの [追加] を選択します。 [ユーザー、連絡先、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスが表示されます。

  6. フォルダー リダイレクトのデプロイ先となるユーザーまたはグループの名前を入力して [OK] を選択し、もう一度 [OK] を選択します。

手順 2:リダイレクトされたフォルダーのファイル共有を作成する

リダイレクトされたフォルダーのファイル共有がまだない場合は、次の手順を実行して、Windows Server 2012 以降のバージョンを実行しているサーバー上にファイル共有を作成します。

注意

別のバージョンの Windows Server を実行しているサーバーにファイル共有を作成した場合は、一部の機能が異なっていたり、使用できなかったりすることがあります。

  1. サーバー マネージャーのナビゲーション ペインで [ファイル サービスと記憶域サービス]>[共有] を選択して [共有] ページを表示します。

  2. [共有] ページで、 [タスク]>[新しい共有] を選択します。 新しい共有ウィザードが表示されます。

  3. [プロファイルの選択] ページで、次のいずれかの操作を行います。

    • ファイル サーバー リソース マネージャーがインストールされており、フォルダー管理プロパティを使用している場合は、 [SMB 共有 - 高度] を選択します。
    • ファイル サーバー リソース マネージャーがインストールされていないか、フォルダー管理プロパティを使用していない場合は、 [SMB 共有 - 簡易] を選択します。
  4. [共有の場所] ページで、共有を作成するサーバーとボリュームを選択します。

  5. [共有名] ページで、 [共有名] ボックスに共有の名前 (例: Users$ ) を入力します。

    ヒント

    共有を作成する場合、共有を非表示にするには、共有名の後ろに $ を付けてください。 この変更により、共有が通常のブラウザーからは非表示になります。

  6. [その他の設定] ページで、 [継続的可用性有効] チェック ボックスをオフにします (存在する場合)。 必要に応じて、 [アクセス許可設定に基づいた列挙を有効にする] および [データ アクセスの暗号化] チェック ボックスをオンにします。

  7. [アクセス許可] ページで、 [アクセス許可のカスタマイズ] を選択して [セキュリティの詳細設定] ダイアログ ボックスを開きます。

  8. [継承の無効化] を選択し、 [継承されたアクセス許可をこのオブジェクトの明示的なアクセス許可に変換します] を選択します。

  9. この後の表と図に示すように、アクセス許可を設定します。

    重要

    使用するアクセス許可は、リモート アクセスの構成によって異なります。正しい表を使用していることを確認してください。

    • リモート デスクトップ サービスのないファイル サーバーのアクセス許可:

      ユーザー アカウント 権限 適用対象
      System フル コントロール このフォルダー、サブフォルダーおよびファイル
      管理者 フル コントロール このフォルダーのみ
      作成者/所有者 フル コントロール サブフォルダーとファイルのみ
      共有にデータを置く必要があるユーザーのセキュリティ グループ (Folder Redirection Users) フォルダーの一覧/データの読み取り1
      フォルダーの作成/データの追加 1
      属性の読み取り1
      拡張属性の読み取り1
      読み取り1
      フォルダーのスキャン/ファイルの実行1
      このフォルダーのみ
      その他のグループおよびアカウント なし (この表に記載されていないアカウントは削除してください)

      1 高度なアクセス許可

      Advanced permissions page showing the permissions configuration for the separate server configuration.

    • リモート デスクトップ サービスのあるファイル サーバーのアクセス許可

      ユーザー アカウントまたはロール 権限 適用対象
      System フル コントロール このフォルダー、サブフォルダーおよびファイル
      管理者 フル コントロール このフォルダー、サブフォルダーおよびファイル
      作成者/所有者 フル コントロール サブフォルダーとファイルのみ
      その他のグループおよびアカウント なし (他のすべてのアカウントはアクセス制御リストから削除してください)

      Advanced permissions page showing the permissions configuration for the co-located server configuration.

  10. この手順の前半で [SMB 共有 - 高度] プロファイルを選択した場合は、次の追加の手順に従います。

    • [管理プロパティ] ページで、 [フォルダーの使用法] として [ユーザー ファイル] 値を選択します。
    • 必要に応じて、共有のユーザーに適用するクォータを選択します。
  11. [確認] ページで、 [作成] を選択します。

手順 3: リモート デスクトップ サービスもホストしているサーバーに新しいユーザーのフォルダーを事前作成する

ファイル サーバーがリモート デスクトップ サービスもホストしている場合は、次の手順を使用して、新しいユーザーのフォルダーを事前に作成し、フォルダーに適切なアクセス許可を割り当ててください。

  1. 前の手順で作成したファイル共有で、ファイル共有のルート フォルダーに移動します。

  2. 新しいフォルダーを作成します。 次の方法があります。

    • ルート フォルダーを右クリックし、 [新規作成]>[フォルダー] を選択します。 フォルダーの名前として、新しいユーザーのユーザー名を入力します。

    • または、Windows PowerShell を使用して新しいフォルダーを作成するために、PowerShell コマンド プロンプト ウィンドウを開き、次のコマンドレットを実行します。

      New-Item -Path 'c:\shares\frdeploy\<newuser>' -ItemType Directory
      

      注意

      このコマンドの場合、<newuser> は、新しいユーザーのユーザー名を表します。

  3. 新しいフォルダーを右クリックし、 [プロパティ]>[セキュリティ]>[詳細設定]>[所有者] の順に選択します。 フォルダーの所有者が Administrators グループであることを確認します。

  4. 次の表と図に示すように、アクセス許可を設定します。 ここに記載されていないすべてのグループとアカウントについては、アクセス許可を削除してください。

    ユーザー アカウント 権限 適用対象
    System フル コントロール このフォルダー、サブフォルダーおよびファイル
    管理者 フル コントロール このフォルダー、サブフォルダーおよびファイル
    作成者/所有者 フル コントロール サブフォルダーとファイルのみ
    newuser1 フル コントロール このフォルダー、サブフォルダーおよびファイル
    その他のグループおよびアカウント なし (他のすべてのアカウントはアクセス制御リストから削除してください)

    1 newuser は、新しいユーザーのアカウントのユーザー名を表します

    Setting the permissions for newuser’s folder under the root of the Folder Redirection share

手順 4: フォルダー リダイレクトの GPO を作成する

フォルダー リダイレクトとオフライン ファイルの機能を管理するグループ ポリシー オブジェクト (GPO) がまだない場合は、次の手順を使用して作成してください。

  1. グループ ポリシー管理がインストールされたコンピューターで、サーバー マネージャーを開きます。

  2. [ツール]>[グループ ポリシーの管理] を選択します。

  3. [グループ ポリシーの管理] で、フォルダー リダイレクトを設定するドメインまたは OU を右クリックし、 [このドメインに GPO を作成し、このコンテナーにリンクする] を選択します。

  4. [新しい GPO] ダイアログ ボックスで、GPO の名前 (例: Folder Redirection Settings) を入力し、 [OK] を選択します。

  5. 新しく作成した GPO を右クリックし、 [リンクの有効化] チェック ボックスをオフにします。 この変更により、GPO の構成が完了するまで、それが適用されるのを防ぎます。

  6. GPO を選択します。 [スコープ]>[セキュリティ フィルター処理]>[認証されたユーザー] を選択し、 [削除] を選択して、GPO がすべてのユーザーに適用されないようにします。

  7. [セキュリティ フィルター処理] セクションで [追加] を選択します。

  8. [ユーザー、コンピューター、またはグループの選択] ダイアログ ボックスで、構成に応じて、次のいずれかの操作を行います。

  9. [委任]>[追加] の順に選択し、「Authenticated Users」と入力します。 [OK] を選択し、もう一度 [OK] を選択して、既定の読み取りアクセス許可を受け入れます。

    重要

    MS16-072 で行われたセキュリティの変更により、この手順が必要になりました。フォルダー リダイレクト GPO への委任された読み取りアクセス許可を Authenticated Users グループに付与することが必要になりました。これを行わないと、GPO がユーザーに適用されません。または、GPO が既に適用されている場合はそれが削除され、フォルダーがローカル PC にリダイレクトされます。 詳細については、「グループ ポリシーのセキュリティの更新 MS16-072 の展開」を参照してください。

手順 5: フォルダー リダイレクトおよびオフライン ファイルのグループ ポリシー設定を構成する

フォルダー リダイレクト設定の GPO を作成したら、次の手順に従って、フォルダー リダイレクトを有効にして構成するグループ ポリシー設定を編集します。

注意

既定では、オフライン ファイル機能は Windows クライアント コンピューター上のリダイレクトされたフォルダーに対しては有効になり、Windows Server コンピューターでは無効になります。 ユーザーはこの機能を有効にすることも、グループ ポリシーを使用して制御することもできます。 ポリシーは、オフライン ファイルの機能の使用を許可または禁止するです。

その他のオフライン ファイル グループ ポリシー設定の詳細については、「オフライン ファイルの高度な機能を有効にする」および「オフライン ファイルのグループ ポリシーの構成」を参照してください。

  1. グループ ポリシーの管理で、作成した GPO (例: Folder Redirection Settings) を右クリックし、 [編集] を選択します。

  2. [グループ ポリシー管理エディター] ウィンドウで、 [ユーザーの構成]>[ポリシー]>[Windows の設定]>[フォルダー リダイレクト] に移動します。

  3. リダイレクトするフォルダー (例: ドキュメント) を右クリックし、 [プロパティ] を選択します。

  4. [プロパティ] ダイアログ ボックスの [設定] ボックスで、 [基本 - 全員のフォルダーを同じ場所にリダイレクトする] を選択します。

    注意

    Windows XP または Windows Server 2003 を実行しているクライアント コンピューターにフォルダー リダイレクトを適用するには、 [設定] タブを選択し、 [Windows 2000、Windows 2000 Server、Windows XP、および Windows Server 2003 オペレーティング システムへのリダイレクト ポリシーも適用] チェック ボックスをオンにします。

  5. [ターゲット フォルダーの場所] セクションで、[ルート パスの下に各ユーザーのフォルダーを作成する] を選択し、[ルート パス] ボックスに、リダイレクトされたフォルダーを格納するファイル共有へのパスを入力します (例: \\fs1.corp.contoso.com\users$)。

  6. (省略可能) [設定] タブを選択し、 [ポリシーの削除] セクションで、 [ポリシーが削除されたとき、フォルダーをローカルのユーザー プロファイルにリダイレクトする] を選択します (この設定により、管理者とユーザーはフォルダー リダイレクトの動作を予測しやすくなります)。

  7. [OK] を選択し、 [警告] ダイアログ ボックスで [はい] を選択します。

手順 6: フォルダー リダイレクトの GPO を有効にする

フォルダー リダイレクトのグループ ポリシー設定の構成が終わったら、次のステップとして GPO を有効にします。 この変更により、影響を受けるユーザーに GPO を適用できます。

ヒント

プライマリ コンピューターのサポートまたはその他のポリシー設定を実装する予定がある場合は、GPO を有効にする前に、ここでそれらを実行してください。 これにより、プライマリ コンピューターのサポートが有効にされる前に、ユーザー データがプライマリでないコンピューターにコピーされることを防ぎます。

  1. グループ ポリシーの管理を開きます。
  2. 作成した GPO を右クリックし、 [リンクの有効化] を選択します。 メニュー項目の横にチェックボックスが表示されます。

手順 7: フォルダー リダイレクトをテストする

フォルダー リダイレクトをテストするには、リダイレクトされたフォルダーを使用するように構成されているユーザー アカウントを使用してコンピューターにサインインします。 次に、フォルダーとプロファイルがリダイレクトされることを確認します。

  1. フォルダー リダイレクトを有効にしてあるユーザー アカウントを使用してプライマリ コンピューターにサインインします (プライマリ コンピューターのサポートを有効にしている場合)。

  2. ユーザーが以前にコンピューターにサインインしている場合、管理者特権でコマンド プロンプトを開き、次のコマンドを入力して、クライアント コンピューターに最新のグループ ポリシー設定が適用されるようにします。

    gpupdate /force
    
  3. エクスプローラーを開きます。

  4. リダイレクトされたフォルダー (ドキュメント ライブラリの [マイ ドキュメント] フォルダーなど) を右クリックし、 [プロパティ] を選択します。

  5. [場所] タブを選択し、パスにローカル パスではなく、自分が指定したファイル共有が表示されていることを確認します。

付録 A:フォルダー リダイレクトを展開するためのチェックリスト

完了 作業/項目
ドメインとその他の前提条件を準備する
- コンピューターをドメインに参加させる
- ユーザー アカウントを作成する
- ファイル サーバーの前提条件と他のサービスとの互換性を確認する
- ファイル サーバーはリモート デスクトップ サービスもホストしているか?
- ファイル サーバーへのアクセスを制限する
手順 1:フォルダー リダイレクトのセキュリティ グループを作成する
- グループ名:
- メンバー:
手順 2:リダイレクトされたフォルダーのファイル共有を作成する
- ファイル共有名:
手順 3: リモート デスクトップ サービスもホストしているサーバーに新しいユーザーのフォルダーを事前作成する
手順 4: フォルダー リダイレクトの GPO を作成する
- GPO 名:
手順 5: フォルダー リダイレクトおよびオフライン ファイルのグループ ポリシー設定を構成する
- リダイレクトされたフォルダー:
- Windows 2000、Windows XP、および Windows Server 2003 のサポートは有効になっていますか?
- オフライン ファイルは有効になっていますか? (Windows クライアント コンピューターでは既定で有効になっています)
- 常時オフライン モードは有効になっていますか?
- バックグラウンドのファイル同期は有効になっていますか?
- リダイレクトされたフォルダーの移動の最適化は有効になっていますか?
(省略可能) プライマリ コンピューターのサポートを有効にする:
- コンピューター ベースかユーザー ベースか
- ユーザーのプライマリ コンピューターを指定する
- ユーザーとプライマリ コンピューターの場所のマッピング:
- (オプション) フォルダー リダイレクトに対してプライマリ コンピューターのサポートを有効にする
- (オプション) 移動ユーザー プロファイルに対してプライマリ コンピューターのサポートを有効にする
手順 6: フォルダー リダイレクトの GPO を有効にする
手順 7: フォルダー リダイレクトをテストする

変更履歴

次の表に、このトピックの最も重要な変更をいくつかまとめています。

日付 説明 原因
2021 年 3 月 9 日 異なる構成の手順を追加しました。 異なる構成でのアクセス制御を向上させるために変更が必要になりました。
2017 年 1 月 18 日 フォルダー リダイレクトの GPO を作成する」に、Authenticated Users に読み取りアクセス許可を委任する手順を追加しました。これは、グループ ポリシーのセキュリティが更新されたために必要になりました。 お客様からのフィードバック。

説明を見る