- 締切済み
Windows7 でのフォルダアクセス制御について
実現方法について、質問させて頂きます。 宜しくお願い致します。 ■環境 ○OS:Windows7 SP1 ○Internet Explorer:IE9 ○ユーザアカウント: ・「Administrator」:管理者※デフォルトユーザ ・「SUPERUSER」:管理者※作成ユーザ ・「OPE」:標準ユーザー※作成ユーザ ○パーティション構成: ・C:\ ・D:\ ・E:\ ※全フォルダでオプション「別のプロセスでフォルダウインドウを開く」は許可しています。 ■実施したいこと (1)「OPE」ユーザーにてOSログイン (2)エクスプローラを開いた場合「D:\」以外のフォルダ参照および、全操作不可にしたい (この際、Interner Explorerやtextからファイル保存した場合でも同様) (3)OSのログインユーザを変更しないまま、 エクスプローラを「SUPERUSER」ユーザに切り替えて起動 (4)全フォルダ(C:\やE:\ドライブなど)を参照および、全操作可能にしたい ■前提 ○OS標準機能のみ使用して制御したい ■試したが失敗したこと 過去の質問など参照して、以下を実施してみましたが、うまくいきませんでした。 【RANAS利用(エクスプローラ)】 (1)「C:\」および「E:\」ドライブのプロパティからアクセス許可で「OPE」ユーザーへ全操作拒否設定 ・「フォルダ右クリック」→「プロパティ」→「セキュリティ」→「アクセス許可の変更」 →「追加操作」で「OPE」ユーザーの全操作拒否登録 (SUPERUSERはフルコントロール許可状態です) (2)RANASコマンドで、エクスプローラ起動 ・コマンド「runas /user:SUPERUSER "explorer"」 (3)結果NG:「C:\」および「E:\」ともにアクセス許可が無く参照が出来ない 【RANAS利用(Internet Explorer)】 (1)「C:\」および「E:\」ドライブのプロパティからアクセス許可で「OPE」ユーザーへ全操作拒否設定 ・「フォルダ右クリック」→「プロパティ」→「セキュリティ」→「アクセス許可の変更」 →「追加操作」で「OPE」ユーザーの全操作拒否登録 (SUPERUSERはフルコントロール許可状態です) (2)RANASコマンドで、インターネットエクスプローラ起動 ・コマンド「Runas /user:SUPERUSER "%systemroot%\ie9\iexplore.exe ::{20D04FE0-3AEA-1069-A2D8-08002B30309D}"」 (3)結果NG:「C:\」および「E:\」ともにアクセス許可が無く参照が出来ない 上記を実現する方法、ありますでしょうか? ご助言のほど、よろしくお願い致します。
- munehachisan
- お礼率66% (2/3)
- Windows系OS
- 回答数3
- ありがとう数9
- みんなの回答 (3)
- 専門家の回答
みんなの回答
回答No.1 です。 UACはダメでしたか。残念です。 これは単なる思いつきなのですが、RANAS は『他のユーザ権限 で実行』と一般的に説明されますが、そのとき元のユーザの権限 (制限)は消滅するのでしょうか? 今回のパターンでは、目標のドライブは「OPE」ユーザーは全操 作拒否にしているのですよね? アクセス権限は「許可」よりも 「拒否」のほうが優先して適用されますので、もし RANAS コマ ンドが『ユーザ権限の上書き(元のユーザ権限は消える)』ではな く、『ユーザ権限の追加』であるなら、今回のこの動作は妥当と 言えます。 ⇒ SUPERUSER の権限が追加されても、元の OPE ユーザ権限 (制限)で拒否されてしまうということです。 調べてみたのですが、この思い付きを支持する資料も否定する資 料も見つけることができませんでした。モヤモヤします。質問者 さんが遭遇している状況以外の検証方法も思いつきませんし。 とりあえず、解決策として拒否設定をやめるのはどうでしょう。 目的のドライブへのアクセスをさせたくないのなら、「OPE」 ユーザに「アクセス許可」を付与しない設定でも良いかと思い ます。
- NotFound404
- ベストアンサー率70% (288/408)
http://okwave.jp/qa/q6907143.html で出来るような・・・。 タスクマネージャでExplorer.exe を終了させるのがミソのようです。
お礼
書き込み遅くなり申し訳ないです。 ご回答ありがとうございます。 リンクURL手順で実施してみましたが、 結果は変わらずでした。 タスクマネージャ上の「ユーザ名」では「SUPERUSER」にかわりましたが、 動作としては、変化はありませんでした。 そのほか、術などありましたら、ご助言頂けると助かります。
UACが有効になっている場合、RunAs で管理ユーザで 動かそうとしてもダメらしいですよ。UAC をいちど 切って実験してみてはいかがでしょうか。 https://social.technet.microsoft.com/Forums/ja-JP/5fe8dc7b-c14a-4f7e-9915-28a626ec6d11/administratorsntfs-explorer-?forum=w7itprogeneralja
お礼
ご回答ありがとうございます。 参考URLも付与頂き、大変助かります。 さっそく、UACを無効にしてみたのですが、 状況は変わりませんでした。 そのほか術などありましたら、ご教授お願い致します。
補足
shitabaさん 追加書き込みありがとうございます。 ご助言頂いた通り「ユーザ権限切替」ではなく、「ユーザ権限追加」を仮説とした場合、 今の手段でうまくいかないのは、確かだとおもいました。 今回の目的は、OSログインユーザが「OPE」のままの前提で・・ ・「OPE」ユーザにDドライブ以外を操作させない ・「OPE」ユーザでも「SUPERUSER」(パスワード認証後)にした場合、 全ドライブで操作可能 にするのを目的としているため、拒否設定はやめようと思います。 また追って、実施状況を書き込みますが、 上記の仮説前提で、目的に対しての良い術がありましたら、 ご助言のほど、よろしくお願い致します。