AD 移動プロファイル

testユーザを作成して、プロファイル欄に\\サーバ名\profile\%username%と入力しています。
サーバのprofileフォルダの実体はD:\profileとなっています。
profileフォルダに共有をかけて、testがログインしてログオフするとD:\profile以下に
testというフォルダが作成されています。
しかしこのフォルダをサーバから直接参照しようとするとアクセスが拒否されます。
クライアントから共有フォルダにアクセスし、セキュリティ権限を確認すると、SYSTEMとtest
の2つしかユーザリストにありませんでした。
当然フォルダの削除も共有からアクセスしてtestユーザで削除するしかありません。
あらかじめサーバ側でD:\profile\testというフォルダを作成しておくと、上位から権限が
継承されてadministratorでもtestユーザでも参照、書き込みすることができるようになっています。

通常運用として管理者が先にそのユーザのフォルダを作成しておくものなのでしょうか？

No.1 ベストアンサー 回答者： monda 回答日時： 2007/12/05 13:43

移動プロファイル フォルダが管理アクセスを許可しない

http://support.microsoft.com/kb/222043/ja

どうやら、ユーザの初回ログオン時に自動作成にしていると
親フォルダ権利を継承しないのは仕様みたいです。
移動プロファイル準備についてMicrosoftのドキュメントでは:

移動プロファイルの設定手順
http://support.microsoft.com/kb/161070/ja

Windows XP で移動ユーザー プロファイルを作成およびコピーする方法
http://support.microsoft.com/kb/314478/ja

これらを読むと「フォルダ作成はもちろん、管理者が雛形を用意して
おいて都度展開」と考えているようです。これは面倒ですね。
ユーザ以外読めないのでも通常は問題ないのですが、クォータかける、
監査が必要、など読めることが必要なら、面倒でも都度作成するのが
よろしいかと。

削除が出来れば良いだけなら、子オブジェクトすべてを含めての所有者
を管理者アカウントに変更してしまえば削除できます。
--