Active Directoryでファイルを削除させない設定について

Question

動作環境：Active Directory：Windows Server 2016で稼働

Active Directoryでファイルサーバーを稼働させています。ユーザーはデータに共有ファイルとしてアクセスしています。

その際すべてのユーザーに対してファイルを「削除させない」ようにできないかと考えています（管理者は削除可能にします）

ファイル、フォルダが持っている、または与えられる権限に依存せず、それは維持したままで、追加の設定で「削除させない」という権限を与えたいと考えています。

または別の方法でも良いので削除できなくさせたいです。

一旦、全てのグループ、ユーザーが所属するグループを作成し、そのグループに対して「削除 拒否」の権限を付与してみましたが削除できてしまいます。

良いアイディアがあればご教授いただけますと助かります。

＊＊モデレーター注＊＊

この質問は Windows / Windows 10 / ファイル、フォルダー、オンライン ストレージ に投稿されましたが、内容から判断してこちらのカテゴリに移動いたしました。

適切なカテゴリに投稿すると、返信や回答が得られやすくなり、同じ質問を持つ他のユーザーの参考にもなります。

Answer 1

確かにその通りだと思います。

どこかで確認が抜けているものと思われますので、再確認いたします。

Answer 2

一連の動作の原因が分かりましたので記載いたします。

原因は「ACEの優先度」でした。

再度検証しましたので、その内容を記載します。

継承：全てのフォルダでONの状態

・「共有フォルダA」があり、中に「フォルダB」があります。

・「フォルダB」の中に「ファイル1」があります。

・「共有フォルダA」に「ユーザー1」に対して権限が与えられています。権限は以下のとおりです

「ユーザー1」：読み取り、読み取りと実行、フォルダーの内容の一覧表示、変更、書き込み

※「変更」をつけると削除可能になります

※継承の設定は「このフォルダー、サブフォルーおよびファイル」となっています

↑ここまでの設定では「ユーザー1」で「ファイル1」は削除できます

次に

・「削除制限グループ」を作成し「ユーザー1」を参加させます

・「共有フォルダA」に「削除制限グループ」の権限をつけます。

「削除制限グループ」：高度なアクセス許可にて「削除」「サブフォルダーとファイルの削除」を「拒否」にします

↑ここまでの設定では「ユーザー1」で「ファイル1」を削除できなくなりました。

次に

・「共有フォルダA」の「ユーザー1」の権限を削除し、「フォルダB」に「ユーザー1」の権限をつけます。権限は上記記載と同じです

↑すると「ユーザー1」で「ファイル1」は削除できるようになります。

調べますとアクティブディレクトリの「ACEの優先度」では、「拒否」よりも操作したファイル、フォルダに近い権限のほうが優先度が高くなるらしいです。

つまり「共有フォルダA」より「フォルダB」のほうが「ファイル1」の保存位置に近いフォルダなので、そこで設定されている権限が優先される、ということのようです。

おそらくこれを乗り越える方法は無いと考えています。

「NTFS」では拒否が強いらしいですが、Active Directoryでは変わっているとのことでした。

大変お騒がせしました。

Answer 3

最終的に「icacls」コマンドを使用して、全てのフォルダとファイルに拒否を指定して対応しました。

一応、専用のグループを作成して設定し、後から一括で削除可能にしました。