Server 2008 R2 で移動プロファイルを設定するときに、少し問題が発生しています。移動プロファイル共有に設定した権限は次のとおりです。
共有権限
Administrators - Full
SYSTEM - Full
Authenticated Users - Full
NTFS アクセス許可
Administrators - Full
CREATOR OWNER - Full
SYSTEM - Full
Authenticated Users - List Folder/Read Data, Read, Create Folders/Write Data (This Folder Only)
これは問題なく動作しているようで、ユーザーが初めてログインしたときにプロファイルが自動的に作成されます。
私が抱えている問題は、ユーザーが移動プロファイル共有にフォルダーを作成できるようにしたくないのですが、その権限を削除すると何も作成されなくなることです。
答え1
ユーザーが最初にログインしたときにプロファイル フォルダーが作成されるようにしたい場合は、これらの権限で対処する必要があります。ログイン/ログアウト時にユーザーのプロファイル フォルダーをプロファイル共有に同期するときには、ユーザーのセキュリティ設定が使用されるため、ユーザーにプロファイル共有にフォルダーを作成する権限がない場合は問題が発生します。
残念ながら、ユーザーに自分のフォルダーのみを作成する権限を与える方法はありません。
この問題を回避するには、ユーザーが最初にログオンする前に、プロファイル共有にプロファイル フォルダーを事前に作成し (各ユーザーに自分のプロファイル フォルダーに対する完全な権限を付与する) ことが考えられます。その後、ユーザーには、プロファイル共有 (このフォルダーのみ) のコンテンツをスキャン/読み取る権限のみが必要になります。
なお、私の経験は Win2k と Win2k3 (現時点では) に関するものであり、Win2k8 に関するものではありませんが、それほど違いはないはずです。
答え2
これを解決するにはいくつかの方法があり、ローミング プロファイルの概念を理解する必要があるため、正しい答えを出すのは少し難しいです。理解していないと言っているわけではありません。
多くの場合、実行できることは、マイ ドキュメント、デスクトップなどの一部のフォルダーをリダイレクトするポリシーを作成することです。私がよく実行するのは、サーバーのデータ ディレクトリに次のようなディレクトリを作成することです。
D:\Users\ローミングプロファイル
D:\ユーザー\ホームディレクトリ
D:\ユーザー\デスクトップ
またはそのようなもの。
したがって、Active Directory でローミング プロファイルのポリシーを正しく実装していれば、ユーザーがデスクトップにログインするときに、そのユーザーのデスクトップを完全に制御できます。エンタープライズ環境では、次の操作を実行できます。
新しいローミング プロファイルのテンプレートとして標準ユーザー プロファイルを作成します。デスクトップをロックし、テンプレートで指定したプログラムのアイコンのみを表示します。ユーザーがフォルダーやファイルを作成したい場合に、それらをホーム ディレクトリまたはエンタープライズ データ ディレクトリにリダイレクトします。たとえば、ワークステーションの H:\ はサーバーのホーム ディレクトリです。M:\ はエンタープライズ データ ディレクトリです。
Active Directory とポリシーの使用方法の詳細については、MSDN Web サイトをご覧ください。
これが役に立つことを願っています。