グループポリシーでリモートデスクトップを制限する際のまとめです。

 

 

前提条件とゴール

 

前提条件

  • ActiveDirectory が構築済みで、ユーザー、コンピューターがドメインに参加していること。
  • RSAT1 が導入された管理用の Windows マシンがあること。

 

ゴール

  • リモートデスクトップでログオンできるユーザを制限します。
  • 必要に応じて柔軟にリモートデスクトップサービスを使用できるユーザーを切り替えたい。

 

リモートデスクトップ用のセキュリティグループを作成

後々の利便性を考えて、リモートデスクトップ専用のセキュリティグループを作成しておきます。

管理ツール」 (Windows 10 であれば、「Windows 管理ツール」) から、「Active Directory ユーザーとコンピューター」(ADUC) を開きます。

左側のディレクトリのツリーの、「Users」 を右クリックし、「新規作成」 → 「グループ」とします。

グループ名に適当な名前 (ここでは、DomainRDUsers) をつけて、グループのスコープは グローバル、グループの種類は セキュリティ として、「OK」。

 

グループポリシーオブジェクト (GPO) の作成

管理ツール」 から、「グループポリシーの管理」 (GPE2)を開きます。

左側のナビゲーションツリーの、フォレスト → ドメイン → 自ドメイン名 を右クリックして「このドメインにGPOを作成し、このコンテナにリンクする」で適当な名前の GPO を作成します。

例: remote_desktop_policy

今回は、ドメイン全体にポリシーを適用させるようにします。

 

GPOの編集

ツリーに作成した GPO、「remote_desktop_policy」ができていると思うので、それを右クリックし「編集」で、「グループポリシー管理エディタ」(GPMC3) を開きます。

 

制限されたグループ

ビルトイングループのRemote Desktop Usersに所属しているユーザでないと、リモートデスクトップサービスを利用してログオンすることができません。そこで、任意のユーザーや~グループ (ここでは、DomainRDUsers) を、Remote Desktop Users に所属させる必要があります。

そのために、

コンピュータの構成 → ポリシー → Windowsの設定 → セキュリティの設定 → 制限されたグループ を右クリックでグループの追加。

グループに、 Remote Desktop Users と入力。
※ [参照]ボタンで、Remote と途中まで入力し、[名前の確認] ボタンで補完させる方がよいかもしれません。入力が終わったら、「OK」 として、次に「Remote Desktop Users のメンバーシップの構成」 が開きます。

「このグループのメンバー」に、先程作成した、DomainRDUsers を追加します (こちらも同じように、参照ボタンから名前を検索してください)。

 

システムサービス

次に、リモートデスクトップサービスを起動時に自動的に実行されるようにします。

コンピュータの構成 → ポリシー → Windowsの設定 → セキュリティの設定 → システムサービス

サービスの一覧が表示されるので、「Remote Desktop Services」という項目を探し、右クリック → プロパティ。

「このポリシーの設定を定義する」 を有効にして、
サービスのスタートアップモードを「自動」にする

 

ファイアウォール

ファイアウォールの受信の規則に新しルールを作成して、リモートですkトップの通信を遮断しないように設定します。

コンピュータの構成 → ポリシー → Windowsの設定 → セキュリティの設定 → セキュリティが強化されたWindowsファイアウォール

受信の規則」に新しい規則を作成

新規の受信の規則ウィザード」が開くので、次のようにすすめていく。

規則の種類
「事前定義」の、「リモートデスクトップ」を選択
事前定義された規則の一覧が表示されるので、「リモートデスクトップ(TCP受信)」 にチェックを入れる。
操作
「接続を許可する」をチェックし、[完了]

必要に応じて、追加された受信の規則を編集する。

 

リモートデスクトップセッションホスト

ユーザがリモートデスクトップサービスをつかってリモート接続ができるようにする。

コンピュータの構成 → ポリシー → 管理用テンプレート → Windowsコンポーネント → リモートデスクトップサービス → リモートデスクトップセッションホスト

接続 → 「ユーザーがリモートデスクトップを使ってリモート接続することを許可する」

を「有効」にします。これで、GPMC での作業は終わりです。

特に「保存」ボタンがあるわけではないので、× ボタンをクリックして GPMC を閉じます。

 

GPO をリンクさせる

この手順通りにやっていれば、自ずとドメイン直下に GPO のリンクが作成されているので問題ないのですが、そうでない場合は、GPE のディレクトリツリーの 自ドメイン を右クリックし、「既存のGPOのリンク」でリンクさせます。

 

作成したセキュリティグループにユーザーを追加

最後に、ADUC 上で作成したグループ、「DomainRDUsers」を右クリック のプロパティで、メンバーにユーザーを追加するか、あるいは、ADUC 上でユーザーを右クリック のプロパティで、「所属するグループ」に DomainRDUsers を追加します。

 

 


  1. リモートサーバー管理ツール。詳細は、「 Windows オペレーティング システムのリモート サーバー管理ツール (RSAT) 」 を参照。 

  2. G roup P olicy E ditor. 

  3. G roup P olicy M anagement C onsole. 


 
記事を共有する

zaturendo

中小企業社内SE。

0件のコメント

コメントを残す

メールアドレスが公開されることはありません。