Windows7 でのフォルダアクセス制御について

実現方法について、質問させて頂きます。
宜しくお願い致します。

■環境
○OS：Windows7 SP1
○Internet Explorer：IE9
○ユーザアカウント：
　・「Administrator」：管理者※デフォルトユーザ
　・「SUPERUSER」：管理者※作成ユーザ
　・「OPE」：標準ユーザー※作成ユーザ
○パーティション構成：
　・C:\
　・D:\
　・E:\
　※全フォルダでオプション「別のプロセスでフォルダウインドウを開く」は許可しています。

■実施したいこと
(1)「OPE」ユーザーにてOSログイン
(2)エクスプローラを開いた場合「D:\」以外のフォルダ参照および、全操作不可にしたい
（この際、Interner Explorerやtextからファイル保存した場合でも同様）
(3)OSのログインユーザを変更しないまま、
エクスプローラを「SUPERUSER」ユーザに切り替えて起動
(4)全フォルダ（C:\やE:\ドライブなど）を参照および、全操作可能にしたい

■前提
○OS標準機能のみ使用して制御したい

■試したが失敗したこと
過去の質問など参照して、以下を実施してみましたが、うまくいきませんでした。

【RANAS利用（エクスプローラ）】
(1)「C:\」および「E:\」ドライブのプロパティからアクセス許可で「OPE」ユーザーへ全操作拒否設定
　・「フォルダ右クリック」→「プロパティ」→「セキュリティ」→「アクセス許可の変更」
　　→「追加操作」で「OPE」ユーザーの全操作拒否登録
　　　　（SUPERUSERはフルコントロール許可状態です）
(2)RANASコマンドで、エクスプローラ起動
　・コマンド「runas /user:SUPERUSER "explorer"」
(3)結果NG：「C:\」および「E:\」ともにアクセス許可が無く参照が出来ない

【RANAS利用（Internet Explorer）】
(1)「C:\」および「E:\」ドライブのプロパティからアクセス許可で「OPE」ユーザーへ全操作拒否設定
　・「フォルダ右クリック」→「プロパティ」→「セキュリティ」→「アクセス許可の変更」
　　→「追加操作」で「OPE」ユーザーの全操作拒否登録
　　　　（SUPERUSERはフルコントロール許可状態です）
(2)RANASコマンドで、インターネットエクスプローラ起動
　・コマンド「Runas /user:SUPERUSER
"%systemroot%\ie9\iexplore.exe ::{20D04FE0-3AEA-1069-A2D8-08002B30309D}"」
(3)結果NG：「C:\」および「E:\」ともにアクセス許可が無く参照が出来ない


上記を実現する方法、ありますでしょうか？
ご助言のほど、よろしくお願い致します。

No.1 回答者： shitaba 回答日時： 2014/12/22 00:01

UACが有効になっている場合、RunAs で管理ユーザで

動かそうとしてもダメらしいですよ。UAC をいちど
切って実験してみてはいかがでしょうか。
https://social.technet.microsoft.com/Forums/ja-J …

この回答へのお礼

ご回答ありがとうございます。
参考URLも付与頂き、大変助かります。

さっそく、UACを無効にしてみたのですが、
状況は変わりませんでした。

そのほか術などありましたら、ご教授お願い致します。

お礼日時：2014/12/22 14:17

No.2 回答者： NotFound404 回答日時： 2014/12/23 09:37

http://okwave.jp/qa/q6907143.html
で出来るような・・・。
タスクマネージャでExplorer.exe を終了させるのがミソのようです。

この回答へのお礼

書き込み遅くなり申し訳ないです。
ご回答ありがとうございます。

リンクURL手順で実施してみましたが、
結果は変わらずでした。

タスクマネージャ上の「ユーザ名」では「SUPERUSER」にかわりましたが、
動作としては、変化はありませんでした。

そのほか、術などありましたら、ご助言頂けると助かります。

お礼日時：2014/12/24 14:37

No.3 回答者： shitaba 回答日時： 2014/12/23 21:04

回答No.1 です。

UACはダメでしたか。残念です。

これは単なる思いつきなのですが、RANAS は『他のユーザ権限
で実行』と一般的に説明されますが、そのとき元のユーザの権限
(制限)は消滅するのでしょうか？

今回のパターンでは、目標のドライブは「OPE」ユーザーは全操
作拒否にしているのですよね？ アクセス権限は「許可」よりも
「拒否」のほうが優先して適用されますので、もし RANAS コマ
ンドが『ユーザ権限の上書き(元のユーザ権限は消える)』ではな
く、『ユーザ権限の追加』であるなら、今回のこの動作は妥当と
言えます。
⇒ SUPERUSER の権限が追加されても、元の OPE ユーザ権限
　 (制限)で拒否されてしまうということです。

調べてみたのですが、この思い付きを支持する資料も否定する資
料も見つけることができませんでした。モヤモヤします。質問者
さんが遭遇している状況以外の検証方法も思いつきませんし。

とりあえず、解決策として拒否設定をやめるのはどうでしょう。
目的のドライブへのアクセスをさせたくないのなら、「OPE」
ユーザに「アクセス許可」を付与しない設定でも良いかと思い
ます。

この回答への補足

shitabaさん
追加書き込みありがとうございます。

ご助言頂いた通り「ユーザ権限切替」ではなく、「ユーザ権限追加」を仮説とした場合、
今の手段でうまくいかないのは、確かだとおもいました。

今回の目的は、OSログインユーザが「OPE」のままの前提で・・

・「OPE」ユーザにDドライブ以外を操作させない
・「OPE」ユーザでも「SUPERUSER」（パスワード認証後）にした場合、
　 全ドライブで操作可能

にするのを目的としているため、拒否設定はやめようと思います。
また追って、実施状況を書き込みますが、
上記の仮説前提で、目的に対しての良い術がありましたら、
ご助言のほど、よろしくお願い致します。

補足日時：2014/12/24 14:44