グループポリシーでリモートデスクトップを制限する際のまとめです。

ゴール

リモートデスクトップでログオンできるユーザを制限します。

GPOの作成

「グループポリシーの管理」(GPE)を開く。

フォレスト → ドメイン → 自ドメイン名 を右クリックして「このドメインにGPOを作成し、このコンテナにリンクする」で適当な名前のグループポリシーオブジェクトを作成する。

例: remote_desktop_policy

ドメイン全体にポリシーを適用させるようにします。

GPOの設定

制限されたグループ

ビルトイングループのRemote Desktop Usersに所属しているユーザでないと、リモートデスクトップサービスを利用してログオンすることができません。

コンピュータの構成 → ポリシー → Windowsの設定 → セキュリティの設定 → 制限されたグループ

グループの追加: Remote Desktop Users
=> [参照]で、Remoteと入力し、名前の確認で補完させるのも良い

この追加した Remote Desktop Users のメンバにリモートデスクトップを許可するユーザーまたはグループを追加する。

システムサービス

リモートデスクトップサービスを起動時に自動的に実行されるようにします。

コンピュータの構成 → ポリシー → Windowsの設定 → セキュリティの設定 → システムサービス

サービスの一覧が表示されるので、「Remote Desktop Services」という項目を探し、右クリック → プロパティ。

「このポリシーの設定を定義する」 を有効にして、
サービスのスタートアップモードを「自動」にする

ファイアウォール

コンピュータの構成 → ポリシー → Windowsの設定 → セキュリティの設定 → セキュリティが強化されたWindowsファイアウォール

「受信の規則」に新しい規則を作成

「新規の受信の規則ウィザード」が開くので、次のようにすすめていく。

規則の種類:

「事前定義」の、「リモートデスクトップ」を選択

事前定義された規則の一覧が表示されるので、「リモートデスクトップ(TCP受信)」 にチェックを入れる。

操作:

「接続を許可する」をチェックし、[完了]

必要に応じて、追加された受信の規則を編集する。

リモートデスクトップセッションホスト

ユーザがリモートデスクトップサービスをつかってリモート接続ができるようにする。

コンピュータの構成 → ポリシー → 管理用テンプレート → Windowsコンポーネント → リモートデスクトップサービス → リモートデスクトップセッションホスト

接続 → 「ユーザーがリモートデスクトップを使ってリモート接続することを許可する」

を「有効」に

複数のリモートホストから、あるユーザアカウントでリモート接続した時にセッションを取り合わないようにするには以下を構成しておく。

接続 → 「リモートデスクトップサービスユーザーに対してリモートデスクトップサービスセッションを1つに制限する」

を「無効」に(こちらは必要に応じて)


0件のコメント

コメントを残す

メールアドレスが公開されることはありません。