アクティブディレクトリ管理下でのファイル共有制限

アクティブディレクトリで管理されているドメイン下で、ファイルの共有を制限したいのですができません。
具体的には、一つのドメインに2つの会社のグループが設定されており、それぞれ、参照可能な共有フォルダが違います。

例：親会社のドメインアカウントでPCにログインすると、OYAという共有フォルダを参照できるが、子会社のドメインアカウントでPCにログインすると、KOというフォルダが参照できる。

このような場合に、親会社のドメインアカウントでPCにログインし、OYAフォルダの内容をCドライブ直下にコピーし、そののちにログアウトし、子会社のドメインアカウントでログインした場合、Cドライブの直下を見た場合、OYAフォルダを見ることができてしまいます。
このようなことができないようにしたいのですが、ADサーバの設定、もしくは、ADサーバによるクライアントPCの設定などでできる方法はありますでしょうか。

あまりPCに詳しくないので、不足している情報などがあれば追加いたします。
よろしくお願いします。

No.3 回答者： x-1919 回答日時： 2014/11/12 13:58

同一人物が親子 ２つのドメインにアカウントを持っているって話ではないですよね？

親会社にアカウントを持つ A さんと、子会社にアカウントを持つ B さんが同じ PC を使う。
A さんがサーバーにある親会社用のフォルダーからローカル (ユーザーごとの専用フォルダーではなく、ドライブ直下など) にファイルを保存する。
B さんが同じ PC にログインした場合、A さんが保存したファイルにアクセスできてしまう。
なんとかならんか。

ってことでよいでしょうか？

これはもう仕方がない話なので、ユーザーたちにこういう懸案事例を公開して啓蒙するしかないと思います。
PC に保存するならデスクトップやドキュメントなど、ユーザーごとに用意される領域にすべきだ、と。

No.2 回答者： maesen 回答日時： 2014/11/11 15:31

＞このような場合に、親会社のドメインアカウントでPCにログインし、OYAフォルダの内容をCドライブ直下にコピーし、そののちにログアウトし、子会社のドメインアカウントでログインした場合、Cドライブの直下を見た場合、OYAフォルダを見ることができてしまいます。

共有フォルダの内容をローカルディスクにコピーするということですので、
この場合は、コピー元（共有フォルダOYA）のアクセス権は引き継ぎません。

Cドライブに設定されているアクセス権を元にアクセス権がコピーされたOYAに再設定されます。
Cドライブのアクセス権のデフォルトにはUsersに対する読み取り権限がありますので別のユーザーからも参照できることになります。

＞このようなことができないようにしたいのですが、ADサーバの設定、もしくは、ADサーバによるクライアントPCの設定などでできる方法はありますでしょうか。

クライアント側で何も設定せずに、ADのグループポリシーのみで実現するのはなかなか困難です。
Cドライブのデフォルトのアクセス権を変更するのはリスクを伴います。
Cドライブ直下にコピーという運用をやめれば何とかなるかもしれませんがそれでもNTFSアクセス権の知識が無いと簡単では無いかもしれません。

そもそもなぜCドライブ直下にコピーなのでしょうか？
マイドキュメントやデスクトップ等のユーザー領域にコピーすればデフォルトで他のユーザーからのアクセスはできません。
一般的には他のユーザーから見えてほしくないデータここに入れると思うのですが。

なお、ログオンするユーザーがローカルPCの管理者権限がある場合、多少知識があればどんな設定をしてもファイルを参照することができますのでご注意下さい。

No.1 回答者： celtis 回答日時： 2014/11/07 12:10

共有フォルダのアクセス権はユーザーアカウントと紐付けされます。

親会社のアカウントと子会社のアカウント、両方を使い分けられること自体が問題だと思います。
なぜ複数のアカウントが使えるようになっているのかを、まず確認する必要がありますね。

たとえ上司や役員だったとしても、本人の業務に必要のないアカウント情報は知らせるべきではありません。