退職者の作成したファイルやフォルダ

Windows2008R2のドメイン環境「例）、NETDOM」で運用をしております。

とある役職者、山田さんのドメインアカウント「NETDOM\t-yamada」が、
メンバサーバ「MSERV」上で作成したファイルやフォルダがあります。

ところが山田さんが近いうちに退職することになりました。

ADからも、アカウント「NETDOM\t-yamada」が削除される見通しです。

以下の点について確認をしたいのですが、ご助言を頂けますと助かります。

１．ファイルやフォルダの所有者アカウントが削除された場合、
ファイルのアクセス権などは維持されるのでしょうか？。
それともアクセスができない状態となるのでしょうか？。

２．山田さんがアカウントを使用してインストールした、ツールやソフトなどは
動作に影響があることが懸念されますでしょうか？。

尚、山田さんのアカウントは、メンバサーバ「MSERV」の
ローカルのAdministratorsグループに属しています。
また山田さんの同僚のドメインアカウントも同じくAdministratorsグループに属しており、
山田さんのファイルを読み書きしています。

よろしくお願いします。

No.1 ベストアンサー 回答者： maesen 回答日時： 2013/02/20 18:23

＞１．ファイルやフォルダの所有者アカウントが削除された場合、

＞ファイルのアクセス権などは維持されるのでしょうか？。
＞それともアクセスができない状態となるのでしょうか？。

適切な言葉が思いつきませんが、存在しないユーザーとしてアクセス権が維持されることになります。

NETDOM\t-yamadaユーザーが存在しないので、NETDOM\t-yamadaのみがアクセス可能のファイル／フォルダはアクセスすることが出来なくなることになります。

実際にやってみればわかりますが、NETDOM\t-yamadaを削除するとアクセス権に設定が今まで見えていたNETDOM\t-yamadaの代わりにS-1-5-XXXXXXXXXXX のような表示になります。
これはユーザーが削除されたことでSIDとのユーザーのマッチが出来なくなったためです。

このような状態になったとしても対応策はありまして、対応としてはadministrators権限を持つ別のユーザーで所有者を変更します。
所有権があるユーザーは元のアクセス権依存せずにアクセス権の設定を変更できます。

余談ですが、このような退職などのユーザー削除にてファイル／フォルダのアクセス権の問題が出るため、ファイル／フォルダのアクセス権は全てグループ（ドメインローカル）を設定すべきです。
（たとえグループのメンバが1人であっても）

グループにすればアクセス権を設定したフォルダがいくつあっても、グループメンバシップの変更だけで済みます。
逆にユーザーだと全てのアクセス権を設定したフォルダを一つづつ追っていく必要があります。

ADでリソースに権限を与える手法として AG(U)DLP という手法があります。
これに従うとわかりやすさ、効率的な管理を行うことが出来るということでマイクロソフトの推奨となっています。
時間が有るときにでも調べて見て下さい。

（余談が長くてすいません）

＞２．山田さんがアカウントを使用してインストールした、ツールやソフトなどは
＞動作に影響があることが懸念されますでしょうか？。

通常はAdministrators権限がある別のユーザーならば動作に影響が出ることは考えにくいです。
ただ、山田さんがアカウントで実行して作成したデータなどはローカルプロファイルに保存されることもあるので移行をきちんとする必要があるということは考えられます。
この辺はアクセス権などとは異なりソフトに依存することになります。

この回答へのお礼

有難うございました。
大変参考になりました。

お礼日時：2013/03/13 10:21