社内である特殊なアクセス管理が必要になったので、その際のまとめです。
ゴール
- 特定のホストにログオンできるユーザを制限したい
- また、このホストにリモートデスクトップ接続する際も同様に制限したい
- さらに、このホストにリモートデスクトップで接続する際の、リモートホストも制限したい
ここでは、
- アクセスを制限したいホスト:
- host1
- アクセスを許可されたユーザー:
- user1
- host1にリモートデスクトップ接続可能なホスト:
- adminhost
とします。
流れとしては、ドメインにOU
を作成してそこにGPOをリンクさせ、配下に制限したいホスト(ドメインコンピュータ)を配置します。
前提条件
グループポリシーでリモートデスクトップを制限する が適用されていること。
OUの作成
GPEで構わないので、ドメインの任意の場所にOU
を作成する。
グループポリシーオブジェクトを作成
作成したOU
を右クリックして、「このドメインにGPOを作成し、このコンテナにリンクする」で、GPOを作成する。
GPOの設定
ユーザー権利の割当
コンピュータの構成 ⇒ ポリシー ⇒ Windowsの設定 ⇒ セキュリティの設定 ⇒ ローカルポリシー ⇒ ユーザー権利の割当 |
ローカルログオンの許可
これらのポリシーの設定を定義する にチェックを入れて次のようにユーザ(グループ)を追加
- Administrators
- Backup Operators
- user1
Administrators
やBackup Operators
を入れ忘れると、そもそもログオンできなくので注意
制限されたグループ
コンピュータの構成 ⇒ ポリシー ⇒ Windowsの設定 ⇒ セキュリティの設定 ⇒ 制限されたグループ |
グループの追加 Remote Desktop Users
=> 参照で、Remote
と入力し、名前の確認で補完させる
この「Remote Desktop Users
のメンバーシップの構成」の、「このグループのメンバー」に、user1 を追加し、必要に応じて管理ユーザやグループを追加する。
ファイアウォール
コンピュータの構成 ⇒ ポリシー ⇒ Windowsの設定 ⇒ セキュリティの設定 ⇒ セキュリティが強化されたWindowsファイアウォール |
「受信の規則」に新しい規則を作成
- 新規の受信の規則ウィザード
- 規則の種類
⇒ 事前定義の、「リモートデスクトップ」を選択 - 事前定義された規則
⇒ 規則の一覧が表示されるので、「リモートデスクトップ(TCP受信)」 にチェックを入れる。 - 操作
⇒ 接続を許可するをチェックし、[完了] - 追加された規則のプロパティのスコープタグ
⇒リモートIPアドレス をこれらのIPアドレス をチェックし、adminhost のIPアドレスを追加する。
コンピュータをOUに移動
ADUCを開き、該当のホスト host1 を、作成したOUの配下に移動する。
参考
The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Default values are also listed on the policy’s property page.
Server type or GPO | Default value |
---|---|
Default Domain Policy | Not Defined |
Default Domain Controller Policy | Account Operators Administrators Backup Operators Print Operators Server Operators |
Stand-Alone Server Default Settings | Administrators Backup Operators Users |
Domain Controller Effective Default Settings | Account Operators Administrators Backup Operators Print Operators Server Operators |
Member Server Effective Default Settings | Administrators Backup Operators Users |
Client Computer Effective Default Settings | Administrators Backup Operators Users |
0件のコメント