フォルダリダイレクトのポリシーを定義することで、

デスクトップをローカルプロファイルではなく、

サーバー側(DC)に格納するように設定した。

DCには共有フォルダを作成しておき、

ポリシーでパス指定して設定。

User001 でログオンし、プロファイルを見るとデスクトップだけがない。

なるほどこういう動きするんすか。

そんでもって gpupdate /force 実行で以下のメッセージ。

しかも毎回、再現性100％。

～～～～～～～～～～～～～～～～～～～～～～～

C:\Users\001>gpupdate /force
ポリシーを最新の情報に更新しています...

ユーザー ポリシーの更新が正常に完了しました。

ユーザー ポリシーの処理中に次のエラーが発生しました。g:

システムのスタートアップまたはユーザーのログオン前に変更を処理する必要があったた
め、グループ ポリシーのクライアント側拡張機能 Folder Redirection で 1 つまたは複
数の設定を適用できませんでした。次のスタートアップまたはこのユーザーの次回のログ
オンの前には、グループ ポリシーの処理が完了するまで待機します。この結果、スター
トアップおよび起動のパフォーマンスが遅くなる場合があります。
コンピューター ポリシーの更新が正常に完了しました。

詳細については、イベント ログを参照するか、またはコマンド ラインから GPRESULT /H
GPReport.html を実行してグループ ポリシーの結果についての情報にアクセスしてくだ
さい。

ログオン時のみに実行できる特定のユーザー ポリシーが有効になっています。

ログオフしますか (Y/N)?

～～～～～～～～～～～～～～～～～～～～～～～～

ログの名前: Application
ソース: Microsoft-Windows-Folder Redirection
日付: 2015/12/28 6:23:36
イベント ID: 510
タスクのカテゴリ: なし
レベル: 警告
キーワード:
ユーザー: domain\001
コンピューター: 2008R2.domain.com
説明:
グループ ポリシー ログオンの最適化が有効になっているため、フォルダー リダイレクト ポリシーの適用は次のログオンまで延期されました。

～～～～～～～～～～～～～～～～～～～～～～～～

グループポリシーのフォルダリダイレクトの設定を変更したらWindows7で反映変更出来ない @ コンピュータ系サラリーマンブログ: グループポリシーのフォルダリダイレクトの設定を変更したらWindows7で反映変更出来ない

ユーザープロファイルとフォルダリダイレクト・その5 - Tech Notes

https://support.microsoft.com/ja-jp/kb/305293

================

Windows 7 では、高速ログオン最適化機能が規定で設定されています。

グループポリシー設定は、コンピューターが起動し、ユーザーがサインインすると、非同期的に適用されます。その結果、ネットワークが起動時やサインイン時に完全に初期化されるまで待ちません。

既存ユーザーはキャッシュされた資格情報を使用してログオンします。

この結果、ログオン時間が短縮されます。

ネットワークが利用可能になった後、バック グラウンドでグループ ポリシーが適用されます。

これはバック グラウンド更新であるため、フォルダー リダイレクトなどの変更を適用するのにはログオンが 2 回必要なことがあります。この機能をオフにすると、Windows はユーザーがログオンする前にネットワークが完全に初期化されるのを待ちます。

この結果、コンピューターが起動し、ユーザーがログオンするときにポリシー同期が適用されます。

■1.
すべてのアドオンにはクラス ID (CLSID) があるため、
クラス ID を使用して特定のアドオンを有効または無効にすることができます。
そのためには、ローカルグループポリシーを利用します。

○アドオンを管理手順
(1)有効または無効にするアドオンの CLSID を取得します。
a. IE を開き、[ツール] をクリックして、[アドオンの管理] をクリックします。
b. 変更するアドオンを右クリックし、[詳細情報] をクリックします。
c. [コピー] をクリックして、[アドオンの管理] と IE を閉じます。
(2) コピーした情報から、クラス ID の値のみを選んでコピーします。
(3) ローカル グループ ポリシー エディターを開きます。

[コンピューターの構成] or [ユーザーの構成]
[管理用テンプレート] -
[Windows コンポーネント] -
[Internet Explorer] -
[セキュリティの機能] -
[アドオン管理] の順に移動します。
・[アドオンの一覧]

⇒[有効] を選んで、[表示] をクリックします。
[表示するコンテンツ] ボックスが表示されます。
[値の名前] に、コピーしたクラス ID を入力します。
[値] に、次の値を入力します。
0 = アドオンが無効になり、従業員はアドオンを変更できません。
1 = アドオンが有効になりますが、従業員はアドオンを変更できません。
2 = アドオンが有効になり、従業員はアドオンを変更できます。
[OK] クリックして、グループ ポリシー エディターを閉じます。

＜参考情報＞
管理用テンプレートとグループ ポリシーを使用したアドオンの有効化と無効化
https://technet.microsoft.com/ja-jp/library/dn454941.aspx

■2.
ポップアップブロックの設定で「許可する Web サイトのアドレス」に追加するアドレスをグループポリシーで設定したいのですね。

調べてみたところ、それらしき項目がありましたので紹介します。

[コンピューターの構成] or [ユーザーの構成]
[管理用テンプレート] -
[Windows コンポーネント] -
[Internet Explorer] -
・[許可されたポップアップの一覧]

⇒[有効] を選んで、[サイト一覧] を追加します。

■3.

[ユーザーの構成] -
[管理用テンプレート] -
[Windows コンポーネント] -
[Internet Explorer] -
[インターネット コントロールパネル] -
[セキュリティ ページ] -
・[サイトとゾーンの割り当て一覧]

この方法の場合、予め手動で登録していたサイトは消える（上書きされる）。
また、ユーザーが手動で信頼済みサイトを追加することはできない。

＜参考情報＞
グループ ポリシー、および Internet Explorer 11 との互換性
https://technet.microsoft.com/ja-jp/library/dn321457.aspx?f=255&MSPPError=-2147217396

■5.
未検証

[コンピューターの構成]
[管理用テンプレート] -
[Windows コンポーネント] -
[コントロール パネル] -
[地域と言語オプション]
・すべてのログオン ユーザーに対して Windows が使用する UI 言語を制限する

[ユーザーの構成]
[管理用テンプレート] -
[Windows コンポーネント] -
[コントロール パネル] -
[地域と言語オプション] -
・Windows メニューおよびダイアログの言語の選択を制限する

⇒有効にした場合はコントロールパネルの[地域と言語のオプション]のメニューの制御が無効になる。
ユーザーは指定された言語のみを使用することになります。

■6.

[ユーザーの構成] -
[管理用テンプレート] -
[Windows コンポーネント] -
[Internet Explorer] -
[インターネットの設定] -
[詳細設定] -
[マルチメディア]
・[画像を表示しない]
⇒[無効]

このポリシーを無効にすると画像が表示されます。
ユーザーは画像の表示をオフに選択できません。

■7.
[コンピューターの構成] or [ユーザーの構成]
[管理用テンプレート] -
[Windows コンポーネント] -
[Internet Explorer] -
[インターネット コントロール パネル] -
[詳細設定ページ]
・暗号化されたページをディスクに保存しない
(このポリシー設定は Windows Server 2003 でのみ使用できます)

展開
脅威とその対策
https://technet.microsoft.com/ja-jp/library/cc163048.aspx?f=255&MSPPError=-2147217396#EBAA

■ Windows Server 2008 R2 で Internet Explorer 9 を管理
=========================================================

○ Internet Explorer 9
[インターネットオプション] - [サイト]
IEM で設定しているなら、Internet Explorer 9 も管理可能
基本設定はInternet Explorer 8 までしか制御できない。

ただし、xml ファイル (sysvol配下のuser... xmlファイルで配布可能なバージョンを変更する)
可能っちゃ可能ですが、力技。

基本設定だったら、対象が 8 までなので、9 はできないですね。
なのでIEM で実施する。もしくは以下の KB2530309 を適用する。

Internet Explorer のグループポリシー
http://blog.engineer-memo.com/2013/03/24/internet-explorer-%E3%81%AE%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC/

グループ ポリシーの基本設定の使用
https://technet.microsoft.com/ja-jp/library/gg699429.aspx

======
グループ ポリシーの基本設定を使用して、Internet Explorer 9 の設定を構成することはできません。管理用テンプレートまたは Internet Explorer のメンテナンスを使用して、Internet Explorer の設定を管理できます。詳細については、「管理用テンプレートの使用」または「Internet Explorer メンテナンス拡張の使用」を参照してください。
======

”Internet Explorer の メンテナンス”廃止に伴う代替案の紹介 - Part1.基本設定の紹介とプロキシ設定の配布
http://blogs.technet.com/b/jpieblog/archive/2014/08/13/3635844.aspx

//Windows Server 2008/Windows 7 環境か らIE9 への基本設定配布について

Windows Server 2008 R2 や RSATを使用したWindows 7 から基本設定をIE9のクライアントに対して配布する場合は下記の修正プログラムを適用する必要がございます。

Internet Explorer Group Policy Preferences do not apply to Internet Explorer 9 in a Windows Server 2008 R2 domain environment
http://support.microsoft.com/kb/2530309
https://support.microsoft.com/en-us/kb/2530309

※RSATで構成する場合は、Windows 7環境に適用してください
※適用後も新規作成時はIE8までしか選択できませんが、IE8項目から構成することでIE9へも配布可能となります。

==========================
ファイアウォールでポートを指定して通信を無効にする場合、
port 445 - SMB 通信を無効にする、リトライでnetbios ポートを使う。
これを抑止する場合は、双方のどちらがドメインコントローラかを考慮する必要がある。

要は、ドメイン上では普通に使用されるポート、
sysvol などもこのポートを使用した通信になるが、
無効にするとポリシーを適用などができなくなる。

だだ、ドメインコントローラが複数台あり、
別のドメインコントローラではこのような通信を無効化しないのであれば、
問題はないかも。

でもなんでもファイル共有を無効にするのか、
ドメインで普通に使用されるポートだけど。

Active Directory および Active Directory ドメイン サービスのポートの要件
https://technet.microsoft.com/ja-jp/library/dd772723(v=ws.10).aspx

DHCP
次の表は、動的ホスト構成プロトコル (DHCP) のポートの要件を示しています。

ポート トラフィックの種類
UDP 67 DHCP
UDP 2535 MADCAP

共有フォルダーと Windows ファイアウォールとは
https://technet.microsoft.com/ja-jp/library/cc731402.aspx

フォルダーまたはファイルを共有すると、ファイルとプリンターの共有のために Windows ファイアウォールの例外が作成されます。
この例外は、次の表に示すポートを開きます。

接続 ポート
TCP 139, 445
UDP 137, 138

既定のスコープでは、インターネット上のコンピューターも含めて、ネットワーク上のあらゆるコンピューターからのアクセスが許可されます。したがって、ハードウェア ファイアウォール、ファイアウォール サーバー、またはその他のインターネット共有デバイスを使用してこれらのポートでの着信接続をブロックしなければ、インターネット接続がアクティブになっている間はコンピューターがインターネットからの攻撃に対して無防備な状態になります。

ドメイン環境で使用されるポートについて
http://blogs.technet.com/b/jpntsblog/archive/2009/03/04/3208978.aspx

なぜポート137,138,139(NetBIOS,便利な機能)を、フィルタするんですか？
http://www.rtpro.yamaha.co.jp/RT/FAQ/Windows/NetBIOS-Filter.html

＝＝＝＝＝＝＝＝＝＝＝＝＝
DHCP DNS で使用される権限、
DNS Admin , Enterprise Admin
これらになる。ローカル Administratorでもいいけど
権限が少し足りない。
DNS は、ドメイン統合ゾーンの作成、
これはメンバでも無理？
DHCP は承認するために、
ローカルAdministrator　ではむり、
Enterprise Adminが必要になる。

また、承認する際には通信は発生するがそれ以降は承認自体に通信は発生しない。
ただし、クライアント間では通信は発生する。

また、ドメインコントローラと、DHCP 間で使用されるポートについて、
これは、DHCP で使用されるポート以外にも、Active Directory 環境で
使用される LDAP や Kerberos に使われるポートを開ける必要がある。

ファイアウォールを挟むのであれば、それらを含む必要がある。

Windows のサービス概要およびネットワーク ポート要件
https://support.microsoft.com/ja-jp/kb/832017

DHCP サーバー

DHCP サーバー サービスは、DHCP (Dynamic Host Configuration Protocol) を使用して、自動的に IP アドレスを割り当てます。
このサービスを使用すると、DHCP クライアントの詳細なネットワーク設定を調整できます。
たとえば、ドメイン ネーム システム (DNS) サーバーや Windows インターネット ネーム サービス
(WINS) サーバーなどのネットワーク設定を調整できます。1 つまたは複数の DHCP サーバーを構成することにより、
TCP/IP 構成情報を管理し、その情報をクライアント コンピューターに提供することができます。

システム サービス名: DHCPServer
アプリケーション プロトコル プロトコル ポート
DHCP サーバー UDP 67
マルチキャスト アドレス動的クライアント割り当てプロトコル (MADCAP)
UDP 2535
DHCP フェールオーバー TCP 647

Windows ファイアウォールのポートを構成して、DHCP サーバーのリモート管理を許可する
https://technet.microsoft.com/ja-jp/library/cc725989.aspx

DHCPサーバ＆クライアントの利用ポートについて
https://social.technet.microsoft.com/Forums/ja-JP/54120902-a4d6-4bc2-9150-f6e4eb3c8156/dhcp

ご質問に対する回答としては、以下で良いかと思います。
Clietn --> DHCP Server (実際にはブロードキャストですが) の要求は UDP/67 に向けて送られ
DHCP --> Client の応答は UDP/68 に向けて送られる

補足として、DHCP リレー エージェントを含む場合はリレー エージェントと DHCP Server 間の通信は双方向とも UDP/67 になったかと思います。

=＝＝＝＝＝＝＝＝＝＝＝＝＝

DNS ゾーンのセキュリティ保護
https://technet.microsoft.com/ja-jp/library/cc755193.aspx

他の DNS サーバーをゾーンに対する権限のあるサーバーとして指定する
https://technet.microsoft.com/ja-jp/library/cc770984.aspx

DHCP セキュリティ グループの詳細
https://technet.microsoft.com/ja-jp/library/dd759157.aspx

===================
DHCP Administrators グループ
DHCP Administrators グループのメンバーは、DHCP サーバーに関するすべての設定を表示および変更できます。DHCP Administrators は、スコープの作成と削除、予約の追加、オプション値の変更、スーパースコープの作成に加え、DHCP サーバーの構成とデータベースのエクスポートとインポートなど、サーバーを管理するために必要なすべてのタスクを実行できます。
DHCP Administrators グループのメンバーの管理権限は無制限ではありません。たとえば、DHCP サーバーがドメイン ネーム システム (DNS) サーバーとしても構成されている場合、DHCP Administrators グループのメンバーは DHCP の構成を表示および変更できますが、同じコンピューター上の DNS サーバーの構成は変更できません。
DHCP Administrators グループのメンバーの権限は、ローカル コンピューターだけを対象とするので、DHCP Administrators は、Active Directory ドメイン サービス (AD DS) で DHCP サーバーの承認または承認の解除を行うことはできません。このタスクは、Domain Admins グループのメンバーだけが実行できます。子ドメインで DHCP サーバーの承認または承認の解除を行う場合は、親ドメインに対するエンタープライズ管理者資格情報を持っている必要があります。
note注
エンタープライズ管理者としてログオンするには、Enterprise Admins グループのメンバー アカウントを使用する必要があります。エンタープライズで作成された最初のドメイン コントローラーでローカル管理者としてログオンすることで、このグループに加わることができます。
===================

Active Directory ドメイン サービスで DHCP サーバーを承認する
https://technet.microsoft.com/ja-jp/library/dd894453(v=ws.10).aspx

抜粋
================
この手順を使用して、Active Directory ドメイン サービス (AD DS) で DHCP サーバーを承認できます。
この手順を実行するには、Domain Admins のメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。

AD DS で DHCP サーバーを承認するには
[スタート] ボタンをクリックし、[管理ツール] をクリックして、[DHCP] をクリックします。DHCP Microsoft 管理コンソール (MMC) が開きます。
[DHCP] で、サーバー名をダブルクリックします。たとえば、DHCP サーバー名が DHCP-01.example.com の場合、[DHCP-01.example.com] をダブルクリックします。
DHCP MMC で、[操作] をクリックし、[承認] をクリックします。
AD DS でサーバーが承認されたことを確認するには、[操作] をクリックし、[更新] をクリックします。IPv4 アイコンが赤から緑に変わります。さらに、[操作] メニューの [承認] メニュー項目が、[承認の解除] メニュー項目に変わります。DHCP サーバーを使用停止にする場合、[承認の解除] メニュー項目を使用します。
================

AD DS で DHCP サーバーを承認する方法の詳細
https://technet.microsoft.com/ja-jp/library/cc754493.aspx

一般サイト
Active Directory 環境の DHCP サーバーの承認について
http://blog.engineer-memo.com/2010/03/31/active-directory-%E7%92%B0%E5%A2%83%E3%81%AE-dhcp-%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E3%81%AE%E6%89%BF%E8%AA%8D%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/

==============
■Enterprise Admins が必要な理由
DHCP の承認状況に関しては、Active Directory のパーティションの中でも、[構成パーティション] という場所に格納がされます。

- ADSI Edit で確認した構成パーティション

Active Directory 上では、[CN=Configuration,DC=<ドメイン>] となっている情報ですね。

この構成パーティションを変更できるのはデフォルトの設定では、[Enterprise Admins] のユーザーとなります。
認証されたユーザー [Authenticated Users] であれば、[読み取り] の権限がついていますので、通常のユーザーでも
構成を読み込むことはできるのですが変更はできません。
変更をするためには [Enterprise Admins] グループのユーザーの必要があります。
===============

DHCP サーバー移行ガイド
https://technet.microsoft.com/ja-jp/library/dd379535(v=ws.10).aspx

移行を完了するために必要な権限
移行元および移行先のサーバーで、次の権限が必要です。
DHCP サーバーの承認に必要なドメイン管理者の権限。

DHCP サーバーのインストールや管理に必要なローカル管理者権限。

移行ストアの場所に必要な書き込みアクセス許可。詳細については、「DHCP サーバーの移行: 移行の準備」を参照してください。

役割、役割サービス、または機能のインストールまたはアンインストール
https://technet.microsoft.com/ja-jp/library/hh831809.aspx

一部抜粋
==========
役割、役割サービス、機能をインストールまたはアンインストールするには、管理者としてサーバーにログオンしている必要があります。対象サーバーに対する管理者権限のないアカウントでローカル コンピューターにログオンしている場合は、[サーバー] タイルで対象サーバーを右クリックし、[管理に使用する資格情報] をクリックして、管理者権限を持つアカウントを指定します。オフライン VHD のマウント先のサーバーをサーバー マネージャーに追加する必要があります。さらに、マウント先のサーバーの管理者権限が必要となります
==========

管理者アカウント セキュリティ計画ガイド - 第 2 章
https://technet.microsoft.com/ja-jp/library/cc162790.aspx

==========
ドメイン環境の既定の管理者グループおよびアカウントには、次のものがあります。
Enterprise Admins (フォレスト ルート ドメインにのみ存在)
Domain Admins (すべてのドメインに存在)
Schema Admins (フォレスト ルート ドメインにのみ存在)
Group Policy Creator Owners (フォレスト ルート ドメインにのみ存在)
Administrators グループ
Administrator アカウント
DS Restore Mode Administrator (ディレクトリ サービス復元モードでのみ使用可能。 このアカウントは、ドメイン コントローラのローカル アカウントです。ドメイン全体に適用されるアカウントではありません。

このアカウントのパスワードは、コンピュータに Active Directory をインストールするときに設定されます)

管理者アカウントの種類
コンピュータまたはドメインにログオンする際に使用する管理者アカウントは、基本的に 3 つのカテゴリに分類されます。
どのカテゴリのアカウントにも、それぞれ固有の機能と権限があります。

ローカル管理者アカウント。
このカテゴリのアカウントには、Windows Server 2003 を最初にコンピュータにインストールしたときに作成および使用される、ビルトイン Administrator アカウントなどがあります。 また、インストール後に作成してビルトイン ローカル Administrators グループに追加したユーザー アカウントも、このカテゴリに含まれます。 このグループのメンバは、ローカル コンピュータのすべての機能に無制限にアクセスできます。

ドメイン管理者アカウント。
このカテゴリのアカウントには、Active Directory を最初にインストールしたときに作成および使用される、ビルトイン ドメイン Administrator アカウントなどがあります。 また、インストール後に作成してビルトイン ローカル Administrators グループまたは Domain Admins グループに追加したユーザー アカウントも、このカテゴリに含まれます。 これらのグループのメンバは、ドメイン (適切にセキュリティ保護されていない場合はフォレスト全体) のすべての機能に無制限にアクセスできます。

フォレスト管理者アカウント。
このカテゴリのアカウントには、フォレストに最初に作成したドメイン (フォレスト ルート ドメイン) のビルトイン ドメイン Administrator アカウントなどがあります。これは、フォレスト ルート ドメインの Administrator アカウントは Active Directory のインストール時に Enterprise Admins グループに自動的に追加されるためです。 また、インストール後に作成して Enterprise Admins グループに追加したユーザー アカウントも、このカテゴリに含まれます。 Enterprise Admins グループのメンバは、フォレスト全体のすべての機能に無制限にアクセスできます。 Enterprise Admins では、証明機関をインストールすることもできます。したがって、これを利用してフォレスト内の任意のユーザーのふりをすることができます。
==========