グループポリシーで特定のホストにログオンできるユーザを制限

社内である特殊なアクセス管理が必要になったので、その際のまとめです。

 

ゴール

• 特定のホストにログオンできるユーザを制限したい
• また、このホストにリモートデスクトップ接続する際も同様に制限したい
• さらに、このホストにリモートデスクトップで接続する際の、リモートホストも制限したい

ここでは、

アクセスを制限したいホスト：

host1

アクセスを許可されたユーザー：

user1

host1にリモートデスクトップ接続可能なホスト：

adminhost

とします。

流れとしては、ドメインにOUを作成してそこにGPOをリンクさせ、配下に制限したいホスト(ドメインコンピュータ)を配置します。

前提条件

グループポリシーでリモートデスクトップを制限する が適用されていること。

OUの作成

GPEで構わないので、ドメインの任意の場所にOUを作成する。

グループポリシーオブジェクトを作成

作成したOUを右クリックして、「このドメインにGPOを作成し、このコンテナにリンクする」で、GPOを作成する。

GPOの設定

ユーザー権利の割当

ローカルログオンの許可

これらのポリシーの設定を定義する にチェックを入れて次のようにユーザ（グループ）を追加

• Administrators
• Backup Operators
• user1

AdministratorsやBackup Operatorsを入れ忘れると、そもそもログオンできなくので注意

制限されたグループ

グループの追加 Remote Desktop Users
=> 参照で、Remoteと入力し、名前の確認で補完させる

この「Remote Desktop Usersのメンバーシップの構成」の、「このグループのメンバー」に、user1 を追加し、必要に応じて管理ユーザやグループを追加する。

ファイアウォール

「受信の規則」に新しい規則を作成

• 新規の受信の規則ウィザード
• 規則の種類
  ⇒ 事前定義の、「リモートデスクトップ」を選択
• 事前定義された規則
  ⇒ 規則の一覧が表示されるので、「リモートデスクトップ（TCP受信）」 にチェックを入れる。
• 操作
  ⇒ 接続を許可するをチェックし、[完了]
• 追加された規則のプロパティのスコープタグ
  ⇒リモートIPアドレス をこれらのIPアドレス をチェックし、adminhost のIPアドレスを追加する。

コンピュータをOUに移動

ADUCを開き、該当のホスト host1 を、作成したOUの配下に移動する。

参考

The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Default values are also listed on the policy’s property page.

Server type or GPO	Default value
Default Domain Policy	Not Defined
Default Domain Controller Policy	Account Operators Administrators Backup Operators Print Operators Server Operators
Stand-Alone Server Default Settings	Administrators Backup Operators Users
Domain Controller Effective Default Settings	Account Operators Administrators Backup Operators Print Operators Server Operators
Member Server Effective Default Settings	Administrators Backup Operators Users
Client Computer Effective Default Settings	Administrators Backup Operators Users