この記事では、リモート デスクトップ セッション ホスト サーバーにログオンするためのこのユーザーのアクセス許可 Deny 機能が異なるバージョンの Windows Server で動作する問題を解決するためのヘルプを提供します。
元の KB 番号: 2258492
現象
リモート デスクトップ セッション ホスト サーバーにログオンする このユーザーのアクセス許可が の動作が Windows Server 2003 と Windows Server 2008 で異なることがあります。 Windows Server 2003 では、この設定は Deny このユーザーアクセス許可をターミナル サーバーにログオンするために呼び出されます。
次のセットアップを検討します。
Windows 2008 Server メンバー サーバー。
Windows Server 2003 メンバー サーバー。
Active Directory ユーザーとコンピュータースナップイン内で、ユーザーを選択し、[リモート デスクトップ サービス プロファイル] タブにアクセスします。ドメイン コントローラーが Windows Server 2003 を実行している場合、これはターミナル サービス プロファイルと呼ばれます。 ここで、"リモート デスクトップ セッション ホスト サーバーにログオンするには、このユーザーのアクセス許可をします。" 設定します。 繰り返しますが、Windows Server 2003 では、これは "ターミナル サーバーにログオンするこのユーザーアクセス許可を"" と呼びます。
このユーザーを、Windows Server 2003 サーバーと Windows Server 2008 サーバーの両方の "リモート デスクトップ ユーザー" グループまたはローカルの "Administrators" グループのメンバーとして設定します。
次に、このユーザーの資格情報を使用して RDP 経由で Windows 2003 メンバー サーバーにログオンすると、このユーザーがブロックされます。 ただし、このユーザーは Windows Server 2008 サーバーにログオンできます。
原因
この動作は仕様です。 Windows Server 2003 では、サーバーがリモート管理ターミナル サーバー モードかアプリケーション ターミナル サーバー モードかに関係なく、この設定がチェックされます。 ただし、Windows Server 2008 では、この設定は、アプリケーション モードでのみリモート デスクトップ サービスを持つコンピューターでオンになります。 リモート管理モードでは、このパラメーターはチェックされません。 役割をインストールして Windows Server 2008 サーバーをリモート デスクトップ サービス アプリケーション モードに変更した場合、このユーザーは RDP 経由でログオンを拒否されません。
解決方法
RDP 経由でユーザーまたはグループのログオンを拒否するには、"リモート デスクトップ サービスによるログオンを拒否する" 特権を明示的に設定します。 これを行うには、グループ ポリシー エディター (サーバーまたは OU からローカル) にアクセスし、次の権限を設定します。
開始 |実行 |Gpedit.msc (ローカル ポリシーを編集する場合、または適切なポリシーを選択して編集する場合)。
コンピューターの構成 |Windows の設定 |セキュリティ設定 |ローカル ポリシー |ユーザー権限の割り当て。
[リモート デスクトップ サービスによるログオンを拒否する] を見つけてダブルクリックします。
アクセスを拒否するユーザーとグループを追加します。
[OK] を選択します。
gpupdate /force /target:computer実行するか、この設定が有効になるまで、次のポリシー更新を待ちます。