• テンプレートファイルを作成する（ファイル名.admで保存する）
  • 例はお気に入りのフォルダを変更するためのポリシーです。

CLASS USER
CATEGORY !!categoryname
KEYNAME “SoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders”
POLICY !!policyname
PART !!text EDITTEXT REQUIRED EXPANDABLETEXT
DEFAULT “%USERPROFILE%Favorites”
VALUENAME “Favorites”
END PART
END POLICY
END CATEGORY
[strings]
categoryname=”お気に入り”
policyname=”お気に入りの保管場所”
text=”お気に入りの場所”

• 次の手順でADに反映する

1. 作成した.admファイルをADMXMigraterでadmx・adml化する
2. admxは%logonserver%SYSVOL%userdnsdomain%policiesPolicyDefinitionsフォルダ、admlは同ja-JPフォルダにコピーする
3. PDCエミュレータにログオンしているVistaでGPMCを開き、新たにポリシーを作成する
4. gpmc.mmcの表示-フィルタ-「完全に管理されているポリシーのみ表示する」のチェックを外さないと、カスタムポリシーテンプレートを表示することができないので注意。

委任されたアクセス許可を利用できず継承が自動的に無効になる

ユーザさんから、ドメインユーザアカウントのプロパティ、「ユーザはパスワードを変更できない」という項目を有効にしても、一定時間経つと無効になっている、という障害報告があり調査したところ、上記の内容がヒントとなりました。

障害が発生していたユーザが所属しているグローバルグループが、保護の対象である特権グループ「Account Operators」のメンバとなっていました。

このAccount Operatorsの「アクセス許可（ACL）」にはAccount Operatorsのアクセス許可は未設定（当然ですが。）、Domain Adminsにはフルコントロールなし、というものです。

ですので、このグループに所属するグローバルグループは同様のACLになります（引継ぐことになります）。

で、それがユーザアカウントのプロパティに対する変更にどういった影響を与えるのか、というとそれがよく分かりません。

このプロパティはActiveDirectoryの上位にいるLDAP管理サーバから流し込まれているのですが、この流し込みに使われるアカウントがAccountOperatorsの権限で動作している（＝アクセス許可がない） ために設定が反映されないのかな…という推測で止まっています。

移行用PCを用意するのが最も確実だと思います。

手順については以下の通り。

1. 移行用PC(MIG)をNT4のBDCとしてインストール。
2. MIGをPDCに昇格。
3. MIGをWindowsServer2003R2にアップグレード。
4. 新SVをDCに昇格(dcpromo)。
5. 新SVにFSMOを移行。

移行用PCはNT4が動く少し古めのマシンを用意するのがポイントです。

あまり古いと2003がインストールできないので、少し古いというのが重要です。

もちろんこういった実作業の前に、ドメイン設計（サイト構成、DCの台数、DNS構成等）をよく検討しておく必要があります。

Windows 2000 Serverで構築されているActiveDirectoryに、Windows Server 2003 R2をドメインコントローラとして導入する場合は、R2のDisc2に入っているadprepを使用します。

その後は通常のServer 2003でのスキーマ拡張と同じです。

拡張後はDC間の複製が完了してから昇格させたいWindows Server 2003 R2機でdcpromoを実行します。