グループポリシーでリモートデスクトップを制限する際のまとめです。
前提条件とゴール
前提条件
- ActiveDirectory が構築済みで、ユーザー、コンピューターがドメインに参加していること。
- RSAT1 が導入された管理用の Windows マシンがあること。
ゴール
- リモートデスクトップでログオンできるユーザを制限します。
- 必要に応じて柔軟にリモートデスクトップサービスを使用できるユーザーを切り替えたい。
リモートデスクトップ用のセキュリティグループを作成
後々の利便性を考えて、リモートデスクトップ専用のセキュリティグループを作成しておきます。
「管理ツール」 (Windows 10 であれば、「Windows 管理ツール」) から、「Active Directory ユーザーとコンピューター」(ADUC) を開きます。
左側のディレクトリのツリーの、「Users」 を右クリックし、「新規作成」 → 「グループ」とします。
グループ名に適当な名前 (ここでは、DomainRDUsers) をつけて、グループのスコープは グローバル、グループの種類は セキュリティ として、「OK」。
グループポリシーオブジェクト (GPO) の作成
「管理ツール」 から、「グループポリシーの管理」 (GPE2)を開きます。
左側のナビゲーションツリーの、フォレスト → ドメイン → 自ドメイン名 を右クリックして「このドメインにGPOを作成し、このコンテナにリンクする」で適当な名前の GPO を作成します。
例: remote_desktop_policy
今回は、ドメイン全体にポリシーを適用させるようにします。
GPOの編集
ツリーに作成した GPO、「remote_desktop_policy」ができていると思うので、それを右クリックし「編集」で、「グループポリシー管理エディタ」(GPMC3) を開きます。
制限されたグループ
ビルトイングループのRemote Desktop Users
に所属しているユーザでないと、リモートデスクトップサービスを利用してログオンすることができません。そこで、任意のユーザーや~グループ (ここでは、DomainRDUsers
) を、Remote Desktop Users
に所属させる必要があります。
そのために、
コンピュータの構成 → ポリシー → Windowsの設定 → セキュリティの設定 → 制限されたグループ を右クリックでグループの追加。
グループに、 Remote Desktop Users
と入力。
※ [参照]ボタンで、Remote
と途中まで入力し、[名前の確認] ボタンで補完させる方がよいかもしれません。入力が終わったら、「OK」 として、次に「Remote Desktop Users のメンバーシップの構成」 が開きます。
「このグループのメンバー」に、先程作成した、DomainRDUsers
を追加します (こちらも同じように、参照ボタンから名前を検索してください)。
システムサービス
次に、リモートデスクトップサービスを起動時に自動的に実行されるようにします。
コンピュータの構成 → ポリシー → Windowsの設定 → セキュリティの設定 → システムサービス
サービスの一覧が表示されるので、「Remote Desktop Services」という項目を探し、右クリック → プロパティ。
「このポリシーの設定を定義する」 を有効にして、
サービスのスタートアップモードを「自動」にする
ファイアウォール
ファイアウォールの受信の規則に新しルールを作成して、リモートですkトップの通信を遮断しないように設定します。
コンピュータの構成 → ポリシー → Windowsの設定 → セキュリティの設定 → セキュリティが強化されたWindowsファイアウォール
「受信の規則」に新しい規則を作成
「新規の受信の規則ウィザード」が開くので、次のようにすすめていく。
- 規則の種類
- 「事前定義」の、「リモートデスクトップ」を選択
事前定義された規則の一覧が表示されるので、「リモートデスクトップ(TCP受信)」 にチェックを入れる。 - 操作
- 「接続を許可する」をチェックし、[完了]
必要に応じて、追加された受信の規則を編集する。
リモートデスクトップセッションホスト
ユーザがリモートデスクトップサービスをつかってリモート接続ができるようにする。
コンピュータの構成 → ポリシー → 管理用テンプレート → Windowsコンポーネント → リモートデスクトップサービス → リモートデスクトップセッションホスト
接続 → 「ユーザーがリモートデスクトップを使ってリモート接続することを許可する」
を「有効」にします。これで、GPMC での作業は終わりです。
特に「保存」ボタンがあるわけではないので、× ボタンをクリックして GPMC を閉じます。
GPO をリンクさせる
この手順通りにやっていれば、自ずとドメイン直下に GPO のリンクが作成されているので問題ないのですが、そうでない場合は、GPE のディレクトリツリーの 自ドメイン を右クリックし、「既存のGPOのリンク」でリンクさせます。
作成したセキュリティグループにユーザーを追加
最後に、ADUC 上で作成したグループ、「DomainRDUsers
」を右クリック のプロパティで、メンバーにユーザーを追加するか、あるいは、ADUC 上でユーザーを右クリック のプロパティで、「所属するグループ」に DomainRDUsers
を追加します。
-
リモートサーバー管理ツール。詳細は、「 Windows オペレーティング システムのリモート サーバー管理ツール (RSAT) 」 を参照。 ↩
-
G roup P olicy E ditor. ↩
-
G roup P olicy M anagement C onsole. ↩
0件のコメント