Windows 7のリモートデスクトップを有効にして、ドメインユーザーがログインを許可するには次のようにグループポリシーで設定します。
まずリモートデスクトップサービスを有効にするため、グループポリシーの以下の項目を設定します。
- 「コンピューターの構成/ポリシー/管理用テンプレート/Windows コンポーネント/リモート デスクトップ サービス/リモート デスクトップ セッション ホスト/セキュリティ」にある「リモート接続にネットワーク レベル認証を使用したユーザー認証を必要とする」を有効にする。
- 「コンピューターの構成/ポリシー/管理用テンプレート/Windows コンポーネント/リモート デスクトップ サービス/リモート デスクトップ セッション ホスト/接続」にある「ユーザーがリモート デスクトップ サービスを使ってリモート接続することを許可する」を有効にする。
- 「コンピューターの構成/ポリシー/Windows の設定/セキュリティの設定/システム サービス」にある「Remote Desktop Services」を自動にする。
これだけだとドメインユーザーではリモートデスクトップではログイン出来ません。ドメインユーザーがリモートデスクチップ経由でログイン出来るようにするには、クライアントPCのRemote Desktop Usersローカルグループにドメインのユーザーを追加しておく必要があります。
「コンピューターの構成/ポリシー/Windows の設定/セキュリティの設定/ローカル ポリシー/ユーザー権利の割り当て」にある「リモート デスクトップ サービスを使ったログオンを許可」を設定すれば接続出来るように思うかもしれませんが、実際に設定してもログインする事は出来ません。あくまでRemote Desktop Usersローカルグループに追加する必要があるようです。
グループポリシーのローカルアカウント設定ではBuiltin Groupへのユーザー追加は行えないので、ログインスクリプトからnet localgroupでユーザーの追加を行うことになります。
以下のようなバッチファイルをスタートアップスクリプトに登録します。
net localgroup "Remote Desktop Users" [ドメイン名]\[ユーザーID] /ADD