ドメインユーザーのRDP許可設定の話。
ActiveDirectoryに参加しているコンピューターWindows01とWindows02があって、ドメインユーザーUser01とUser02があったとします。
RemoteDesktopUsersグループにUser01,User02を追加した状態で、コンピューターWindows01,Windows02それぞれRemoteDesktopUsersグループにリモートログイン権限をつけると、User01,User02はWindows01,Windows02両方にRDPできますが、
たとえばチームごとに踏み台を分けるとかで、Windows01はUser01だけ、Windows02はUser02だけRDPさせる時は以下のように設定します。
1.RemoteDesktopUsersグループにユーザーを追加する
[コントロールパネル]→[システム]→[リモートの設定]から、 「このコンピューターへのリモート接続を許可する」にチェックを入れて、 [ユーザーの選択]から追加します。
[コンピューターの管理]→[ローカルユーザーとグループ]と移動して、リモートデスクトップを許可したいユーザープロパティの[所属するグループ]タブよりRemoteDesktopUsersグループを追加することでも設定できます。※上記と同じウィンドウが開きます。
ちなみに、AdministratorsグループはデフォルトでRDPできるようになっています。
ここで注意なのが、ドメインユーザーなので、RemoteDesktopUsersグループに追加すると、RemoteDesktopUsersにRDP権限があるコンピューターすべてにRDPできてしまいます。
ということで、コンピューターのRDP権限をいじりましょう。
2.コンピューターごとにリモートログイン権限を割り当てる
グループポリシーエディター(gpedit.msc)を開いて、
[コンピューターの構成]→[Windowsの設定]→[セキュリティの設定]→ [ローカルポリシー]→[ユーザー権利の割り当て]から、 「リモートデスクトップサービスを使ったログオンを拒否」を確認します。
許可には[Administrators]と[RemoteDesktopUsers]が入っているため、拒否の方で
RDPを拒否するユーザーを指定することでリモートログインできるユーザーを絞ることができます。
3.確認
RDPで繋いだ時にそもそもウィンドウが開かない場合はリモートセッション自体ができていない=**"RemoteDesktopUsersに入っていない"** ため、上記1.の方法を確認します。
2.の項目で拒否できている場合は、リモートセッションはできていますが以下のような画面が出てRDPできません。
上記以外でも、
例えばRemoteDesktopUsersグループを追加で作成したり、そもそもOUで分けたりと方法は色々ありますので、
運用ポリシーに従って設定しましょう。
以上。