この記事では、リモート デスクトップ サービス (RDS) サーバーにグループ ポリシー オブジェクトを適用する方法について説明します。
適用対象: サポートされているすべてのバージョンの Windows Server
元の KB 番号: 260370
まとめ
リモート デスクトップ サービス サーバーが Active Directory ドメイン内にある場合、ドメイン管理者はリモート デスクトップ サービス サーバーにグループ ポリシー オブジェクト (GPO) を実装して、ユーザー環境を制御します。 この記事では、ネットワーク上の他のサーバーに悪影響を与えることなく、リモート デスクトップ サービスに GPO を適用する推奨されるプロセスについて説明します。
GPO をリモート デスクトップ サービスに適用する方法は、設定がコンピューター用かユーザー用かによって異なります。
コンピューター ポリシーの設定
リモート デスクトップ サービス コンピューターを独自の組織単位 (OU) に配置します。 この構成により、関連するコンピューター構成設定を、リモート デスクトップ サービス コンピューターにのみ適用される GPO に配置できます。 この構成は、ワークステーションや他のサーバーのユーザー エクスペリエンスには影響せず、ユーザーに対して厳密に制御されたリモート デスクトップ サービス エクスペリエンスを作成できます。 ドメイン管理者がリモート デスクトップ サービスのエクスペリエンスを微調整できるように、この OU にはユーザーやその他のコンピューターを含めないようにする必要があります。 OU は、サーバーオペレーターや個々のユーザーなどの下位グループに制御を委任することもできます。
新しい OU の場所については、次のオプションを検討してください。
- RDS サーバーが配置されている子 OU として新しい OU を配置します。 これにより、現在のグループ ポリシーが以前と同様に適用されます。 このオプションは、ほとんどの RDS サーバー コンピューター アカウントまたはすべての RDS サーバー コンピューター アカウントがこの親 OU にある場合に最適です。
- または、管理モデルに適している場合は、RDS サーバー コンピューター オブジェクトの大部分またはすべてを含む現在の OU の兄弟 OU として新しい OU を作成します。 この場合は、既存の OU のすべてのポリシーを新しい OU にもリンクする必要があります。
詳細については、「 GPO を Active Directory コンテナーにリンクするを参照してください。
リモート デスクトップ サービス サーバーの新しい OU を作成するには、次の手順に従います。
- リモート サーバー管理ツール (RSAT) がインストールされているドメイン コントローラー (DC) またはコンピューターにサインインします。
- スタート メニューを開き、「Active Directory ユーザーとコンピューター」と入力します。 Active Directory ユーザーとコンピューターを選択して開きます。
- Active Directory ユーザーとコンピューターコンソールで、新しい OU を作成するドメインまたはコンテナーに移動します。
- ドメインまたはコンテナーを右クリックします。 New>Organizational Unit を選択します。
- [新しいオブジェクト - 組織単位] ダイアログで、新しい OU の名前として「Remote Desktop Services servers」と入力します。
- [OK] を選択して OU を作成します。
リモート デスクトップ サービス グループ ポリシー オブジェクトを作成するには、次の手順に従います。
- スタート メニューを開き、「Group Policy Management」と入力します。 グループ ポリシー管理を選択して開きます。
- Group ポリシー管理コンソールで、ドメインに移動します。
- グループ ポリシー オブジェクト コンテナーを右クリックし、New を選択します。
- リモート デスクトップ サービス サーバー ポリシーなど、新しい GPO の名前を入力します。
-
OK を選択して GPO を作成します。 - 新しく作成した GPO を右クリックし、 Edit を選択して Group ポリシー管理エディターを開きます。ここで、必要に応じてポリシー設定を構成できます。
- Group Policy Management コンソールで、Remote Desktop Services サーバー OU に移動します。
- デスクトップ サービス サーバー OU を右クリックし、[ 既存の GPO のリンクを選択します。
- GPO の選択 ダイアログで、一覧から Remote Desktop Services サーバー ポリシーを選択します。
-
OK を選択して GPO を OU にリンクします。
Note
関連する設定のほとんどは、 Computer Configuration>Windows Settings>Security Settings>Local Policies にあります。 たとえば、右側の一覧の User Rights Assignment で、ローカルで Log を見つけます。 この設定は、リモート デスクトップ サービスのセッションにログオンするために必要です。 また、 ネットワークからこのコンピューターにアクセス。 この設定は、リモート デスクトップ サービス セッションの外部にあるサーバーに接続するために必要です。 これは、ユーザーがシステムをシャットダウンできないようにすることもできます。 ユーザーがリモート デスクトップ サービス サーバーを使用してこの OU に配置されていないため、ポリシーのユーザー部分の設定をここでは適用しないでください。 この記事は、コンピューター ポリシーの実装のために記述されています。
変更が完了したら、グループ ポリシー管理エディターを閉じ、 Close を選択して OU プロパティを閉じます。
ユーザー ポリシー設定
グループ ポリシー ループバック機能を使用して、リモート デスクトップ サービス サーバーにログオンした場合にのみ、ユーザー構成 GPO 設定をユーザーに適用します。 リモート デスクトップ サービス サーバーのみを含む OU 内のコンピューターに対して GPO ループバック処理が有効になっている場合、それらのコンピューターは、その OU に適用される GPO のセットからユーザー構成 GPO 設定を適用します。 マージ モードで loopback ポリシー設定 を使用すると、コンピューターはまず、ユーザーのアカウントを含む OU にリンクまたは継承された GPO のユーザー構成 GPO 設定を適用し、次にコンピューター ポリシーのユーザー部分を処理します。
この実装については、グループ ポリシーのループバック処理で説明します。
次の理由から、DC でリモート デスクトップ サービスを使用することを強くお勧めします。
- 展開では、ドメイン以外の管理者が DC にログオンする必要があります。DC のセキュリティの秘密度と競合します。 ドメイン管理者のみが、DC で "ローカルにログオン" 権限を持つ必要があります。
- ユーザーが RDS サーバーとして DC で作業している場合、攻撃者を LocalSystem に昇格させるセキュリティの脆弱性により、攻撃者は即座にフォレスト全体にアクセスできるようになります。
詳細については、「 ローカル ポリシーでは対話形式でログオンできない」を参照してください。
リモート デスクトップ サービス サーバーのコンピューター アカウントは、ループバック用に作成される GPO のセキュリティ プロパティに追加する必要があります。 これを行うには、次の手順に従います。
- ループバック用に作成された GPO を選択し、 Properties を選択します。
- [セキュリティ] タブを選択し、[追加] 選択。
- ユーザー、コンピューター、またはグループの選択 ボックスで、コンピューター アカウントを選択し、OKを選択します。
- グループまたはユーザー名ボックスからコンピューター アカウントを選択します。
- [コンピューター名の] ボックスで、[Allow] 列の [Read と Apply グループ ポリシー] チェック ボックスをオンにします。
- OKを 2 回選択してポリシー設定を閉じて保存します。
データ収集
Microsoft サポートからのサポートが必要な場合は、グループ ポリシーの問題に TSS を使用して Gather 情報に記載されている手順に従って情報を収集することをお勧めします。