リモート デスクトップ サービスを使ったログオンを許可
適用対象
- Windows 11
- Windows 10
[リモート デスクトップ サービスによるログオンを許可する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
このポリシー設定は、リモート デスクトップ サービス接続を介してリモート デバイスのサインイン画面にアクセスできるユーザーまたはグループを決定します。 ユーザーが特定のサーバーへのリモート デスクトップ サービス接続を確立することはできますが、同じサーバーのコンソールにサインインすることはできません。
定数: SeRemoteInteractiveLogonRight
値
- アカウントのユーザー定義リスト
- 定義されていません
ベスト プラクティス
- リモート デスクトップ サービス接続を開いてデバイスにサインインできるユーザーを制御するには、リモート デスクトップ ユーザー グループにユーザーを追加または削除します。
場所
[コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカル ポリシー] > [ユーザー権利の割り当て]
既定値
既定では、Administrators グループのメンバーは、ドメイン コントローラー、ワークステーション、およびサーバーでこの権限を持ちます。 リモート デスクトップ ユーザー グループには、ワークステーションとサーバーでもこの権限があります。 次の表に、実際のポリシー値と有効な既定のポリシー値を示します。 既定値は、このポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
| 既定のドメイン ポリシー | 定義されていません |
| 既定のドメイン コントローラー ポリシー | 定義されていません |
| ドメイン コントローラーのローカル セキュリティ ポリシー | 管理者 |
| スタンドアロン サーバーの既定の設定 | 管理者 リモート デスクトップ ユーザー |
| ドメイン コントローラーの有効な既定の設定 | 管理者 |
| メンバー サーバーの有効な既定の設定 | 管理者 リモート デスクトップ ユーザー |
| クライアント コンピューターの有効な既定の設定 | 管理者 リモート デスクトップ ユーザー |
ポリシー管理
このセクションでは、このポリシーの管理に役立つさまざまな機能とツールについて説明します。
グループ ポリシー
リモート デスクトップ サービスを使用してリモート デバイスに正常にサインインするには、ユーザーまたはグループがリモート デスクトップ ユーザーまたは管理者グループのメンバーであり、 リモート デスクトップ サービス経由でログオンを許可 する権限が付与されている必要があります。 ユーザーが特定のサーバーへのリモート デスクトップ サービス セッションを確立することはできますが、同じサーバーのコンソールにサインインすることはできません。
ユーザーまたはグループを除外するには、 リモート デスクトップ サービスを使用してログオンを拒否 する権限をそれらのユーザーまたはグループに割り当てることができます。 ただし、 リモート デスクトップ サービスによるログオンを許可 する権限を使用してアクセスが許可されている正当なユーザーまたはグループに対して競合が発生する可能性があるため、この方法を使用する場合は注意してください。
詳細については、「 リモート デスクトップ サービスを使用してログオンを拒否する」を参照してください。
このポリシー設定を有効にするには、デバイスの再起動は必要ありません。
アカウントのユーザー権利の割り当てに行った変更は、そのアカウントの所有者が次回ログオンすると有効になります。
グループ ポリシー設定は次の順序で GPO を介して適用され、次のグループ ポリシー更新時にローカル コンピューターの設定が上書きされます。
- ローカル ポリシー設定
- サイト ポリシーの設定
- ドメイン ポリシー設定
- OU ポリシー設定
セキュリティに関する考慮事項
このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。
脆弱性
[リモート デスクトップ サービスによるログオンを許可する] ユーザー権利を持つアカウントは、デバイスのリモート コンソールにサインインできます。 このユーザーの権利を、コンピューターの本体にサインインする必要がある正当なユーザーに制限しない場合、承認されていないユーザーが悪意のあるソフトウェアをダウンロードして実行して特権を昇格させる可能性があります。
対抗策
ドメイン コントローラーの場合は、[ リモート デスクトップ サービスによるログオンを許可する] ユーザーを Administrators グループにのみ割り当てます。 その他のサーバー ロールとデバイスの場合は、リモート デスクトップ ユーザー グループを追加します。 リモート デスクトップ (RD) セッション ホスト役割サービスが有効になっていて、アプリケーション サーバー モードで実行されていないサーバーの場合は、コンピューターをリモートで管理する必要がある承認された IT 担当者のみがこれらのグループに属していることを確認します。
注意: アプリケーション サーバー モードで実行される RD セッション ホスト サーバーの場合、この組み込みグループには既定でこのログオン権限があるため、サーバーへのアクセスを必要とするユーザーのみがリモート デスクトップ ユーザー グループに属するアカウントを持っていることを確認します。
または、 リモート デスクトップ サービスを使用してログオンを拒否 する権限を、アカウントオペレーター、サーバーオペレーター、ゲストなどのグループに割り当てることができます。 ただし、この方法を使用する場合は、 リモート デスクトップ サービスを使用してログオンを拒否 する権限を持つグループにも属する正当な管理者へのアクセスをブロックできるため、注意してください。
潜在的な影響
他のグループ (またはこれらの既定のグループのメンバーシップの変更) から リモート デスクトップ サービス ユーザーによるログオンを許可する権限を削除すると、環境内で特定の管理ロールを実行するユーザーの能力が制限される可能性があります。 委任されたアクティビティが悪影響を受けないことを確認する必要があります。