はじめに
オンプレのみで簡易的なVDIを構築するために、SCVMMを用いてHyper-Vを構築していたのだが、
Windows10仮想マシンをドメインユーザ専用にするための方法について調べていて時間がかかったのでメモしておく。
(AzureADとの連携云々は色々出てきたけど今回はオンプレのみ)
調べているとADの機能でログオン先のコンピュータ名を絞る方法が良く出てくるが、ユーザ毎にAD側の設定変更が必要でログオン先のコンピュータ名も個別に入れる必要があるなどさすがに管理しきれないので以下の代替方法で実施した。
※ADの設定ではユーザの紐づけを行っていません
-
注意点:
- 仮想マシンに直接コンソールアクセスしてドメインユーザでログインすることは可能なので完全に専用になるわけではない。
- 上記ユーザは管理者権限はない状態で作成される。
- デフォルトではRDP接続は許可されないので直接アクセス以外で操作されることはない。
上記より、RDP接続前提としてはドメインユーザ専用にはできるとしています。
ユーザの紐づけ
※仮想マシンのマスタイメージ作成及びSysprep応答ファイルの作成については省略
⇒私はこちらの記事を参考にしました
https://www.pit-navi.jp/deployment-how-to-deploy-windows10-20190819-1/
-
VMテンプレートからRDP接続可能な状態で仮想マシンを作成する
Sysprep応答ファイル等を利用して合わせてローカル管理者ユーザを作成しておく
※ローカル管理者情報をユーザに共有して、以降は利用者が実施するイメージです。
-
RDPで仮想マシンへローカルユーザで接続し、ドメインに参加する
※SCVMMを利用したり、応答ファイルを利用したりして仮想マシン作成時にドメインに参加してもよい。
-
再起動後、RDP接続でローカルユーザでログインする
※ドメイン参加後だとローカルのユーザ接続時に接続先の情報を指定しないとログインできないので注意
RDP接続のユーザ名に以下のように入力する必要があります。コンピュータ名\local_user_name or Ipアドレス\local_user_name -
ユーザアカウント管理画面を開く
- コントロールパネル⇒ユーザアカウント
- ユーザアカウント⇒他のユーザにこのコンピュータへのアクセスを許可
- コントロールパネル⇒ユーザアカウント
-
ユーザアカウント管理⇒追加を選択
-
参照⇒PCを利用するドメインユーザ名を検索し、選択する
-
ユーザに与えるアクセスレベルを変更する⇒管理者として登録
-
上記が完了するとユーザが追加されます
-
設定後はドメインユーザでRDP接続するとログインできるようになります
※未登録ドメインユーザはRDP接続の許可がないとしてログインできない
ローカル管理者の削除
同じイメージ使ってを複数の仮想マシンを作成した場合同じローカル管理者ユーザで接続することになるかと思います。
他のユーザが勝手にログインできないようにローカルユーザは削除してもらう。
-
管理者権限を持ったドメインユーザでログインする
-
ローカル管理者ユーザを削除する
以上で作業完了となります。