社内である特殊なアクセス管理が必要になったので、その際のまとめです。

 

ゴール

  • 特定のホストにログオンできるユーザを制限したい
  • また、このホストにリモートデスクトップ接続する際も同様に制限したい
  • さらに、このホストにリモートデスクトップで接続する際の、リモートホストも制限したい

ここでは、

アクセスを制限したいホスト:
host1
アクセスを許可されたユーザー:
user1
host1にリモートデスクトップ接続可能なホスト:
adminhost

とします。

流れとしては、ドメインにOUを作成してそこにGPOをリンクさせ、配下に制限したいホスト(ドメインコンピュータ)を配置します。

前提条件

グループポリシーでリモートデスクトップを制限する が適用されていること。

OUの作成

GPEで構わないので、ドメインの任意の場所にOUを作成する。

グループポリシーオブジェクトを作成

作成したOUを右クリックして、「このドメインにGPOを作成し、このコンテナにリンクする」で、GPOを作成する。

GPOの設定

ユーザー権利の割当

コンピュータの構成 ⇒ ポリシー ⇒ Windowsの設定 ⇒ セキュリティの設定 ⇒ ローカルポリシー ⇒ ユーザー権利の割当

ローカルログオンの許可

これらのポリシーの設定を定義する にチェックを入れて次のようにユーザ(グループ)を追加

  • Administrators
  • Backup Operators
  • user1

AdministratorsBackup Operatorsを入れ忘れると、そもそもログオンできなくので注意

制限されたグループ

コンピュータの構成 ⇒ ポリシー ⇒ Windowsの設定 ⇒ セキュリティの設定 ⇒ 制限されたグループ

グループの追加 Remote Desktop Users
=> 参照で、Remoteと入力し、名前の確認で補完させる

この「Remote Desktop Usersのメンバーシップの構成」の、「このグループのメンバー」に、user1 を追加し、必要に応じて管理ユーザやグループを追加する。

ファイアウォール

コンピュータの構成 ⇒ ポリシー ⇒ Windowsの設定 ⇒ セキュリティの設定 ⇒ セキュリティが強化されたWindowsファイアウォール

「受信の規則」に新しい規則を作成

  • 新規の受信の規則ウィザード
  • 規則の種類
    ⇒ 事前定義の、「リモートデスクトップ」を選択
  • 事前定義された規則
    ⇒ 規則の一覧が表示されるので、「リモートデスクトップ(TCP受信)」 にチェックを入れる。
  • 操作
    ⇒ 接続を許可するをチェックし、[完了]
  • 追加された規則のプロパティのスコープタグ
    ⇒リモートIPアドレス をこれらのIPアドレス をチェックし、adminhost のIPアドレスを追加する。

コンピュータをOUに移動

ADUCを開き、該当のホスト host1 を、作成したOUの配下に移動する。

参考

The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Default values are also listed on the policy’s property page.

Server type or GPO Default value
Default Domain Policy Not Defined
Default Domain Controller Policy Account Operators
Administrators
Backup Operators
Print Operators
Server Operators
Stand-Alone Server Default Settings Administrators
Backup Operators
Users
Domain Controller Effective Default Settings Account Operators
Administrators
Backup Operators
Print Operators
Server Operators
Member Server Effective Default Settings Administrators
Backup Operators
Users
Client Computer Effective Default Settings Administrators
Backup Operators
Users

0件のコメント

コメントを残す

メールアドレスが公開されることはありません。