あんまりなので対象法その２ - グダクサン in Hatena

○グループポリシーでTS固定プロファイルを使用する
その１でホントに全部OKなの？っていうのはちょっと確信がもてない。
他にもおんなじ様な状態になってるキーがあったりしないの？ってのがあって、
あんまり積極的にこれで行こうって気になれない。
ユーザーアカウントの差異で出てる問題は今のところ画面表示だけですが、他に無いとも限らないし。
もっとちゃんとした方法は無いの？というのであれこれ検索しまくってたら、
どっかのフォーラム（海外）で違う現象だったとは思いますが、
「グループポリシーと固定プロファイルでやれば？ちょうど Terminal Server Resource Kitのその部分がサンプルで読めるよ」的な投稿が。
そういえばリソースキットが出たとか前にどっかでみたな、と記憶をたどってみる。
記憶はあまり頼りにならないので検索。

Terminal Services Team Blog : The Windows Server 2008 Terminal Services Resource Kit is now available!
http://blogs.msdn.com/ts/archive/2009/02/04/the-windows-server-2008-terminal-services-resource-kit-is-now-available.aspx

ぐは、日本語訳はまだ出てないのか・・・仕方が無いので無理をして読んでみる。
うむ、できた。方法はP189からの"Setting Standards with Mandatory Profile"を読んでもらえれば。

じゃあんまりだ。やった事はP191の "Creating a Single Mandatory Profile"の所。
Resource Kitではドメイン環境ですが、自分の検証環境はワークグループにしてたので、そこをちょっと変えてやってます。
自分の英語は怪しいのでちゃんと確認して自己責任でお願いします。

1.固定プロファイルの元となるユーザーでターミナルサーバーにログオン。
　このユーザーがデフォルト設定みたいになるので、
　ついでにIEの設定なんかして置くとそいつも全ユーザーに対して有効になるので多少便利かも。
　Resource Kitではドメインのグループポリシーの影響を受けないようローカルユーザー（Administrator権限付き)でやれ、ってなことが書かれてるみたい。
　設定が終わったらログオフ。

2.固定プロファイル保存用のネットワーク共有フォルダを作成。
　パーミッションを設定。自分はユーザーグループをビルトインのRemote Desktop Usersで読み替えて設定しました。検証環境だしグループ作るのも面倒なので。

3.グループポリシーの設定。
　設定するのは2点。ワークグループなのでmmcからGPOエディタスナップインで作業。
　コンピュータの構成
　　→管理用テンプレート
　　　→Windows コンポーネント
　　　　→ターミナルサービスの中の
　・TS 移動プロファイルのパスを指定する
　　　2.で作成したフォルダを指定。
　・ターミナルサーバーで固定ユーザープロファイルを使用するを有効に
　　　会社でやってたので日本語訳がちょっと覚えてない
　　　まぁ、パス指定のひとつ上にあるやつです。
　

4. グループポリシーの更新
　コマンドプロンプトから
　gpupdate /force

5.固定ユーザープロファイルのフォルダを作成
　1.のユーザーでリモートデスクトップ接続でログオン。
　AD下ではドメインユーザーで入れ、とかいてますね。
　ワークグループ環境でも別のユーザーを用意した方が良かったんだろうか?
　すぐにログオフ。これで2.のフォルダの下に「.V2」というフォルダが出来ます。
　これのパーミッション変更（ユーザーグループにアクセス権付加）、
　所有者をAdministratorsへ。

6.ユーザープロファイルのコピー
　1.のユーザーのプロファイルを5.で出来たフォルダへコピー。
　ここは手でコピーは厳禁。システムのプロパティ→詳細設定にあるユーザープロファイルからコピーしましょう。このとき、使用を許可するユーザー／グループで固定プロファイルを利用するユーザーを指定するのを忘れないように。
　忘れないどころか「ワークグループ環境だしいいや」と横着してコピーすらせずに進めてたら別のユーザーのリモートでのログイン時に「Group Policy Client サービスによるログオンの処理に失敗しました」とか言われてログインできません。

7.NTUSER.DATをNTUSER.MANへリネーム
　5.で横着してユーザーを使いまわしたせいか既にNTUSER.MANが出来てしまっていました。
　6.を素っ飛ばしてやり直したりとかしたせいもあるかもしれません。
　とりあえず新規ユーザーでいきなりRemoteAppでログインしても文字化けが起こることも無く、正常に動作しているようです。

このサーバーに関してはRemoteAppしか使わないというような運用であれば、特に使うアプリケーションがメールクライアントとは違い業務アプリケーションのようなユーザー環境の影響が少ないような物であればこれで大丈夫だと思います。
（勿論そのアプリケーションにもよりますが）

まぁ、きっと、ちゃんとグループポリシーを設計して運用しているようなしっかりしたシステム管理を行っているとこではこういう現象は出ないんでしょうねぇ