Deploy Access-Denied Assistance (Demonstration Steps)Deploy Access-Denied Assistance (Demonstration Steps)

適用先:Windows Server 2016 では、Windows Server 2012 R2、Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

このトピックでは、アクセス拒否アシスタンスを構成し、それが正しく機能していることを確認する方法について説明します。This topic explains how to configure access-denied assistance, and verify that it is working properly.

このドキュメントの内容In this document

注意

このトピックでは、説明した手順の一部を自動化するのに使用できる Windows PowerShell コマンドレットのサンプルを示します。This topic includes sample Windows PowerShell cmdlets that you can use to automate some of the procedures described. 詳細については、「コマンドレットの使用」を参照してください。For more information, see Using Cmdlets.

手順 1:アクセス拒否アシスタンスを構成するStep 1: Configure access-denied assistance

グループ ポリシーを使用して、ドメイン内でアクセス拒否アシスタンスを構成できます。あるいは、ファイル サーバー リソース マネージャーのコンソールを使用して、ファイル サーバーごとに個別にアシスタンスを構成できます。You can configure access-denied assistance within a domain by using Group Policy, or you can configure the assistance individually on each file server by using the File Server Resource Manager console. ファイル サーバー上の特定の共有フォルダーのアクセス拒否メッセージを変更することもできます。You can also change the access-denied message for a specific shared folder on a file server.

次のようにグループ ポリシーを使用して、ドメインのアクセス拒否アシスタンスを構成できます。You can configure access-denied assistance for the domain by using Group Policy as follows:

この手順を Windows PowerShell で行うDo this step using Windows PowerShell

グループ ポリシーを使用してアクセス拒否アシスタンスを構成するにはTo configure access-denied assistance by using Group Policy

  1. [グループ ポリシーの管理] を開きます。Open Group Policy Management. サーバー マネージャーで、[ツール] をクリックし、[グループ ポリシーの管理] をクリックします。In Server Manager, click Tools, and then click Group Policy Management.

  2. 該当するグループ ポリシーを右クリックしてから、[編集] をクリックします。Right-click the appropriate Group Policy, and then click Edit.

  3. [コンピューターの構成] をクリックし、[ポリシー] をクリックし、[管理用テンプレート] をクリックし、[システム] をクリックしてから、[アクセス拒否アシスタンス] をクリックします。Click Computer Configuration, click Policies, click Administrative Templates, click System, and then click Access-Denied Assistance.

  4. [アクセス拒否エラーのメッセージをカスタマイズする] を右クリックしてから、[編集] をクリックします。Right-click Customize message for Access Denied errors, and then click Edit.

  5. [有効] オプションを選択します。Select the Enabled option.

  6. 次のオプションを構成します。Configure the following options:

    1. [アクセスが拒否されたユーザーに次のメッセージを表示する] ボックスに、ファイルまたはフォルダーへのアクセスが拒否されたときにユーザーに表示されるメッセージを入力します。In the Display the following message to users who are denied access box, type a message that users will see when they are denied access to a file or folder.

      カスタマイズしたテキストを挿入するマクロをメッセージに追加できます。You can add macros to the message that will insert customized text. マクロには次のものが含まれています。The macros include:

      • [元のファイルパス] ユーザーによってアクセスされた元のファイルパス。[Original File Path] The original file path that was accessed by the user.

      • [Original File Path Folder] ユーザーによってアクセスされた元のファイル パスの親フォルダー。[Original File Path Folder] The parent folder of the original file path that was accessed by the user.

      • [Admin Email] 管理者の電子メール受信者リスト。[Admin Email] The administrator email recipient list.

      • [Data Owner Email] データ所有者の電子メール受信者リスト。[Data Owner Email] The data owner email recipient list.

    2. [ユーザーがアシスタントを依頼できるようにする] チェック ボックスを選択します。Select the Enable users to request assistance check box.

    3. 残りの既定の設定をそのままにします。Leave the remaining default settings.

ソリューションガイド * Windows PowerShell の同等のコマンド solution guides**Windows PowerShell equivalent commands_* _

次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName AllowEmailRequests -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName GenerateLog -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName IncludeDeviceClaims -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName IncludeUserClaims -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName PutAdminOnTo -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName PutDataOwnerOnTo -Type DWORD -value 1
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName ErrorMessage -Type MultiString -value "Type the text that the user will see in the error message dialog box."
Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName Enabled -Type DWORD -value 1

あるいは、ファイル サーバー リソース マネージャーのコンソールを使用して、ファイル サーバーごとに個別にアクセス拒否アシスタンスを構成できます。Alternatively, you can configure access-denied assistance individually on each file server by using the File Server Resource Manager console.

この手順を Windows PowerShell で行うDo this step using Windows PowerShell

ファイル サーバー リソース マネージャーを使用してアクセス拒否アシスタンスを構成するにはTo configure access-denied assistance by using File Server Resource Manager

  1. ファイル サーバー リソース マネージャーを開きます。Open File Server Resource Manager. サーバーマネージャーで、[_ * ツール] * * をクリックし、[ ファイルサーバーリソースマネージャー] をクリックします。In Server Manager, click _*Tools**, and then click File Server Resource Manager.

  2. [ファイル サーバー リソース マネージャー (ローカル)] をクリックしてから、[オプションの構成] をクリックします。Right-click File Server Resource Manager (Local), and then click Configure Options.

  3. [アクセス拒否アシスタンス] タブをクリックします。Click the Access-Denied Assistance tab.

  4. [アクセス拒否アシスタンスを有効にする] チェック ボックスを選択します。Select the Enable access-denied assistance check box.

  5. [フォルダーまたはファイルへのアクセスが拒否されたユーザーに次のメッセージを表示] ボックスに、ファイルまたはフォルダーへのアクセスが拒否されたときにユーザーに表示されるメッセージを入力します。In the Display the following message to users who are denied access to a folder or file box, type a message that users will see when they are denied access to a file or folder.

    カスタマイズしたテキストを挿入するマクロをメッセージに追加できます。You can add macros to the message that will insert customized text. マクロには次のものが含まれています。The macros include:

    • [元のファイルパス] ユーザーによってアクセスされた元のファイルパス。[Original File Path] The original file path that was accessed by the user.

    • [Original File Path Folder] ユーザーによってアクセスされた元のファイル パスの親フォルダー。[Original File Path Folder] The parent folder of the original file path that was accessed by the user.

    • [Admin Email] 管理者の電子メール受信者リスト。[Admin Email] The administrator email recipient list.

    • [Data Owner Email] データ所有者の電子メール受信者リスト。[Data Owner Email] The data owner email recipient list.

  6. [電子メール要求の構成] をクリックし、[ユーザーがアシスタンスを依頼できるようにする] チェック ボックスを選択してから、[OK] をクリックします。Click Configure email requests, select the Enable users to request assistance check box, and then click OK.

  7. エラー メッセージがユーザーにどのように表示されるのかを確認する場合は、[プレビュー] をクリックします。Click Preview if you want to see how the error message will look to the user.

  8. [OK] をクリックします。Click OK.

ソリューションガイド * Windows PowerShell の同等のコマンド solution guides**Windows PowerShell equivalent commands_* _

次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Set-FSRMAdrSetting -Event "AccessDenied" -DisplayMessage "Type the text that the user will see in the error message dialog box." -Enabled:$true -AllowRequests:$true

アクセス拒否アシスタンスを構成した後に、グループ ポリシーを使用して、すべてのファイルの種類に対してアクセス拒否アシスタンスを有効にする必要があります。After you configure the access-denied assistance, you must enable it for all file types by using Group Policy.

この手順を Windows PowerShell で行うDo this step using Windows PowerShell

グループ ポリシーを使用してすべてのファイルの種類に対してアクセス拒否アシスタンスを構成するにはTo configure access-denied assistance for all file types by using Group Policy

  1. [グループ ポリシーの管理] を開きます。Open Group Policy Management. サーバーマネージャーで、[_ * ツール] * * をクリックし、[ グループポリシーの管理] をクリックします。In Server Manager, click _*Tools**, and then click Group Policy Management.

  2. 該当するグループ ポリシーを右クリックしてから、[編集] をクリックします。Right-click the appropriate Group Policy, and then click Edit.

  3. [コンピューターの構成] をクリックし、[ポリシー] をクリックし、[管理用テンプレート] をクリックし、[システム] をクリックしてから、[アクセス拒否アシスタンス] をクリックします。Click Computer Configuration, click Policies, click Administrative Templates, click System, and then click Access-Denied Assistance.

  4. [クライアントですべてのファイルの種類についてアクセス拒否アシスタンスを有効にする] を右クリックしてから、[編集] をクリックします。Right-click Enable access-denied assistance on client for all file types, and then click Edit.

  5. [有効] をクリックしてから、[OK] をクリックします。Click Enabled, and then click OK.

ソリューションガイド * Windows PowerShell の同等のコマンド solution guides**Windows PowerShell equivalent commands_* _

次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Set-GPRegistryValue -Name "Name of GPO" -key "HKLM\SOFTWARE\Policies\Microsoft\Windows\Explore" -ValueName EnableShellExecuteFileStreamCheck -Type DWORD -value 1

ファイル サーバー リソース マネージャーのコンソールを使用して、ファイル サーバー上の共有フォルダーごとに個別のアクセス拒否メッセージを指定することもできます。You can also specify a separate access-denied message for each shared folder on a file server by using the File Server Resource Manager console.

この手順を Windows PowerShell で行うDo this step using Windows PowerShell

ファイル サーバー リソース マネージャーを使用して共有フォルダーに個別のアクセス拒否メッセージを指定するにはTo specify a separate access-denied message for a shared folder by using File Server Resource Manager

  1. ファイル サーバー リソース マネージャーを開きます。Open File Server Resource Manager. サーバーマネージャーで、[_ * ツール] * * をクリックし、[ ファイルサーバーリソースマネージャー] をクリックします。In Server Manager, click _*Tools**, and then click File Server Resource Manager.

  2. [ファイル サーバー リソース マネージャー (ローカル)] を展開してから、[分類管理] をクリックします。Expand File Server Resource Manager (Local), and then click Classification Management.

  3. [分類プロパティ] を右クリックしてから、[フォルダー管理プロパティの設定] をクリックします。Right-click Classification Properties, and then click Set Folder Management Properties.

  4. [プロパティ] ボックスで [アクセス拒否アシスタンス メッセージ] をクリックしてから、[追加] をクリックします。In the Property box, click Access-Denied Assistance Message, and then click Add.

  5. [参照] をクリックしてから、カスタム アクセス拒否メッセージが必要なフォルダーを選択します。Click Browse, and then choose the folder that should have the custom access-denied message.

  6. [] ボックスに、当該フォルダー内のリソースにアクセスできない場合にユーザーに表示するメッセージを入力します。In the Value box, type the message that should be presented to the users when they cannot access a resource within that folder.

    カスタマイズしたテキストを挿入するマクロをメッセージに追加できます。You can add macros to the message that will insert customized text. マクロには次のものが含まれています。The macros include:

    • [元のファイルパス] ユーザーによってアクセスされた元のファイルパス。[Original File Path] The original file path that was accessed by the user.

    • [Original File Path Folder] ユーザーによってアクセスされた元のファイル パスの親フォルダー。[Original File Path Folder] The parent folder of the original file path that was accessed by the user.

    • [Admin Email] 管理者の電子メール受信者リスト。[Admin Email] The administrator email recipient list.

    • [Data Owner Email] データ所有者の電子メール受信者リスト。[Data Owner Email] The data owner email recipient list.

  7. [OK] をクリックし、 [閉じる] をクリックします。Click OK, and then click Close.

ソリューションガイド * Windows PowerShell の同等のコマンド solution guides**Windows PowerShell equivalent commands_* _

次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

Set-FSRMMgmtProperty -Namespace "folder path" -Name "AccessDeniedMessage_MS" -Value "Type the text that the user will see in the error message dialog box."

手順 2:電子メール通知設定を構成するStep 2: Configure the email notification settings

アクセス拒否アシスタンス メッセージを送信するファイル サーバーごとに電子メール通知設定を構成する必要があります。You must configure the email notification settings on each file server that will send the access-denied assistance messages.

この手順を Windows PowerShell で行うDo this step using Windows PowerShell

  1. ファイル サーバー リソース マネージャーを開きます。Open File Server Resource Manager. サーバーマネージャーで、[_ * ツール] * * をクリックし、[ ファイルサーバーリソースマネージャー] をクリックします。In Server Manager, click _*Tools**, and then click File Server Resource Manager.

  2. [ファイル サーバー リソース マネージャー (ローカル)] をクリックしてから、[オプションの構成] をクリックします。Right-click File Server Resource Manager (Local), and then click Configure Options.

  3. [電子メールの通知] タブをクリックします。Click the Email Notifications tab.

  4. 次の設定を構成します。Configure the following settings:

    • [SMTP サーバー名または IP アドレス] ボックスに、組織内の SMTP サーバーの IP アドレスの名前を入力します。In the SMTP server name or IP address box, type the name of IP address of the SMTP server in your organization.

    • [管理者の 既定の受信 者] と [ 既定の電子メールアドレス ] ボックスに、ファイルサーバー管理者の電子メールアドレスを入力します。In the Default administrator recipients and Default 'From' e-mail address boxes, type the email address of the file server administrator.

  5. [テスト電子メールの送信] をクリックして、電子メール通知が正しく構成されていることを確認します。Click Send Test E-mail to ensure that the email notifications are configured correctly.

  6. [OK] をクリックします。Click OK.

ソリューションガイド * Windows PowerShell の同等のコマンド solution guides**Windows PowerShell equivalent commands_* _

次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.

set-FSRMSetting -SMTPServer "server1" -AdminEmailAddress "fileadmin@contoso.com" -FromEmailAddress "fileadmin@contoso.com"

手順 3:アクセス拒否アシスタンスが正しく構成されていることを確認するStep 3: Verify that access-denied assistance is configured correctly

アクセス拒否アシスタンスが正しく構成されていることを確認するには、Windows 8 を実行しているユーザーが、アクセス権のない共有またはその共有内のファイルにアクセスしようとします。You can verify that the access-denied assistance is configured correctly by having a user who is running Windows 8 try to access a share or a file in that share that they do not have access to. アクセス拒否メッセージが表示されると、ユーザーには [アシスタンスの要求] * ボタンが表示されます。When the access-denied message appears, the user should see a _ Request Assistance* button. [サポートの要求] ボタンをクリックすると、ユーザーは、アクセス理由を指定してから、フォルダー所有者またはファイル サーバー管理者に電子メールを送信できます。After clicking the Request Assistance button, the user can specify a reason for access and then send an email to the folder owner or file server administrator. フォルダー所有者またはファイル サーバー管理者は、到着した電子メールに適切な詳細が含まれているかを確認できます。The folder owner or file server administrator can verify for you that the email arrived and contains the appropriate details.

重要

Windows Server 2012 を実行しているユーザーを使用してアクセス拒否アシスタンスを確認する場合は、ファイル共有に接続する前にデスクトップエクスペリエンスをインストールする必要があります。If you want to verify access-denied assistance by having a user who is running Windows Server 2012 , you must install the Desktop Experience before connecting to the file share.

関連項目See also