グループポリシーから、Windows7のリモートデスクトップに、ドメインユーザーの接続を許可する

Windows 7のリモートデスクトップを有効にして、ドメインユーザーがログインを許可するには次のようにグループポリシーで設定します。

まずリモートデスクトップサービスを有効にするため、グループポリシーの以下の項目を設定します。

  • 「コンピューターの構成/ポリシー/管理用テンプレート/Windows コンポーネント/リモート デスクトップ サービス/リモート デスクトップ セッション ホスト/セキュリティ」にある「リモート接続にネットワーク レベル認証を使用したユーザー認証を必要とする」を有効にする。
  • 「コンピューターの構成/ポリシー/管理用テンプレート/Windows コンポーネント/リモート デスクトップ サービス/リモート デスクトップ セッション ホスト/接続」にある「ユーザーがリモート デスクトップ サービスを使ってリモート接続することを許可する」を有効にする。
  • 「コンピューターの構成/ポリシー/Windows の設定/セキュリティの設定/システム サービス」にある「Remote Desktop Services」を自動にする。

これだけだとドメインユーザーではリモートデスクトップではログイン出来ません。ドメインユーザーがリモートデスクチップ経由でログイン出来るようにするには、クライアントPCのRemote Desktop Usersローカルグループにドメインのユーザーを追加しておく必要があります。

「コンピューターの構成/ポリシー/Windows の設定/セキュリティの設定/ローカル ポリシー/ユーザー権利の割り当て」にある「リモート デスクトップ サービスを使ったログオンを許可」を設定すれば接続出来るように思うかもしれませんが、実際に設定してもログインする事は出来ません。あくまでRemote Desktop Usersローカルグループに追加する必要があるようです。

グループポリシーのローカルアカウント設定ではBuiltin Groupへのユーザー追加は行えないので、ログインスクリプトからnet localgroupでユーザーの追加を行うことになります。

以下のようなバッチファイルをスタートアップスクリプトに登録します。

net localgroup "Remote Desktop Users" [ドメイン名]\[ユーザーID] /ADD

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です