Windows ServerのVSS・以前のバージョンはとっても便利だけど…
Windows Server 2003以降のWindows Serverでは、VSS(volume shadow copy)という機能を使用可能になっています。
この機能はボリューム単位で有効・無効を切り替えることができます。
そして有効状態のボリュームでは、自動的にスナップショット※が取得されるようになり、そのボリューム上にあるファイルやフォルダーのスナップショットは、サーバーのエクスプローラーで簡単に復元することができ、とっても便利です。
※WindowsのGUIでは、『以前のバージョン』と表記されています。
ところがこの便利なVSSと、その技術を利用した以前のバージョン機能について、初期設定ではこんな問題点があります。
クライアントPCのエクスプローラーで、共有フォルダーの以前のバージョンを復元できてしまう!?
実は初期設定のWindowsでは、クライアントPCのエクスプローラーで、共有フォルダーの以前のバージョンを復元可能です。
たとえばVSSが有効状態のボリューム上のフォルダーに対し、共有の設定を行い、共有フォルダーとして公開したとしましょう。
このフォルダーに対してアクセス権があるユーザーの資格情報を提示し、他のクライアントPCのエクスプローラーでそのフォルダーにアクセス。
そしてデータを復元したいファイルやフォルダーのプロパティを開きます。
プロパティ内には『以前のバージョン』というタブがあり、このタブ上の操作により、データを復元可能です。
上記画面中の『開く』や『復元』ボタンを操作することで、以前の状態のデータを取得します。
これにより、ユーザーが誤ってファイルやフォルダーを削除してしまっても、そのユーザー自身の手で以前のバージョンを復元することができ、ユーザー側の視点からすると便利な機能でしょう。
ですが便利な半面、取り扱い方法を謝ると大量のデータが以前の状態に戻ってしまう、恐ろしい機能でもあります。
そこで今回は、GPOを使って共有フォルダーの以前のバージョンを復元できないようにする方法をご紹介します!
また、併せて『以前のバージョン』の左隣にある『セキュリティ』タブを非表示にする方法についても、解説していますよ~!
GPOを使って、共有フォルダーの以前のバージョンを復元できないようにする設定方法
GPOを使って、共有フォルダーの以前のバージョンを復元できないようにする場合は、復元できないようにする設定に加え、エクスプローラーのプロパティ画面で、共有フォルダーの『以前のバージョン』タブが表示されないように設定することをおすすめします。
それぞれ、GPOに対してグループポリシー管理エディターで以下のように設定を行います。
共有フォルダーの以前のバージョンを復元できないようにする設定:
[ユーザーの構成] – [ポリシー] – [管理用テンプレート] – [Windowsコンポーネント] – [エクスプローラー] – [以前のバージョン] – [リモートの以前のバージョンを復元できないようにする:有効]
プロパティ画面で、共有フォルダーの『以前のバージョン』タブが表示されないようにする設定:
[ユーザーの構成] – [ポリシー] – [管理用テンプレート] – [Windowsコンポーネント] – [エクスプローラー] – [以前のバージョン] – [リモートファイルの以前のバージョンの一覧を表示しない:有効]
GPOの設定が終わったら、対象のユーザーが属するOUに対してリンクを設定してください。
運用時の利便性を考えると、一般ユーザーは復元不可・非表示とし、管理ユーザーのみ復元可・表示とするのが良いでしょう。
あるいは管理ユーザーも含めたほぼすべてのユーザーで復元不可・非表示とし、復元の必要があるときは、管理者がサーバーにリモートログオンするなどして、復元するのも一つの手です。
サーバーの運用ポリシーを含め、どういった設定とするか、総合的に検討ください。
ちなみに、[ユーザーの構成] – [ポリシー] – [管理用テンプレート] – [Windowsコンポーネント] – [エクスプローラー] – [以前のバージョン]配下に、[ローカルの以前のバージョンを復元できないようにする]と [ローカルファイルの以前のバージョンの一覧を表示しない]というポリシーが存在します。
これらは文字通り、ローカルファイルに対する設定です。
したがってローカルファイルに対しても、制限を加えたい場合は、併せて設定を行ってください。
GPOを使って、エクスプローラーの『セキュリティ』タブを非表示にする方法
共有フォルダーの権限設定に関連し、エクスプローラーの『セキュリティ』タブを非表示にしたい場合もあるでしょう。
特に共有アクセス権ではなく、NTFSアクセス許可で共有フォルダーのアクセス権を設定している環境では、こういった要望を聞くことが多いです。
参考:ファイル共有はNTFSアクセス権と共有アクセス権のどちらで設定?
そのため、これについてもご紹介しましょう。
GPOを使ってエクスプローラーの『セキュリティ』タブを非表示にしたい場合、GPOに対してグループポリシー管理エディターで以下のように設定を行います。
[ユーザーの構成] – [ポリシー] – [管理用テンプレート] – [Windowsコンポーネント] – [エクスプローラー] – [[セキュリティ]タブを削除する:有効]
尚、 [[セキュリティ]タブを削除する:有効]の設定とすると、共有フォルダーのファイルやフォルダーだけではなく、ローカルファイルに対しても設定が適用され、エクスプローラーの『セキュリティ』タブが非表示となりますので、この点だけはご注意ください。