リモート デスクトップ サービスを使ったログオンを許可する
[リモート デスクトップ サービスを使ったログオンを許可] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
参考
このポリシー設定では、リモート デスクトップ サービス接続を使ってリモート デバイスのログオン画面にアクセスできるユーザーまたはグループを指定します。ユーザーは特定のサーバーにリモート デスクトップ サービス接続を確立できますが、同じサーバーのコンソールにはログオンできません。
定数: SeRemoteInteractiveLogonRight
設定可能な値
アカウントのユーザー定義一覧
未定義
ベスト プラクティス
- リモート デスクトップ サービス接続を開いてデバイスにログオンするユーザーを制御するには、Remote Desktop Users グループからユーザーを追加または削除します。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
既定では、Administrators グループのメンバーには、ドメイン コントローラー、ワークステーション、サーバーでこの権利が付与されます。Remote Desktop Users グループにも、ワークステーションとサーバーでこの権利が付与されます。
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
Administrators |
スタンドアロン サーバーの既定の設定 |
Administrators Remote Desktop Users |
ドメイン コントローラーの有効な既定の設定 |
Administrators |
メンバー サーバーの有効な既定の設定 |
Administrators Remote Desktop Users |
クライアント コンピューターの有効な既定の設定 |
Administrators Remote Desktop Users |
ポリシー管理
このセクションでは、このポリシーの管理をサポートするために利用可能な各種機能およびツールについて説明します。
グループ ポリシー
リモート デバイスに正常にログオンするためにリモート デスクトップ サービスを使用するには、ユーザーまたはグループが Remote Desktop Users または Administrators グループのメンバーであり、[リモート デスクトップ サービスを使ったログオンを許可] の権利を与えられている必要があります。ユーザーは特定のサーバーにリモート デスクトップ サービス セッションを確立できますが、同じサーバーのコンソールにはログオンできません。
ユーザーまたはグループを除外するには、[リモート デスクトップ サービスを使ったログオンを拒否] ユーザー権利をユーザーまたはグループに割り当てることができます。ただし、[リモート デスクトップ サービスを使ったログオンを許可] ユーザー権利を使ったアクセスが許可されている正規のユーザーまたはグループで競合が発生する可能性があるため、この方法を使う場合には注意してください。
詳細については、「リモート デスクトップ サービスを使ったログオンを拒否」を参照してください。
このポリシー設定を有効にするために、デバイスを再起動する必要はありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
グループ ポリシー設定は、GPO を通じて次の順番で適用されます。これにより、次回のグループ ポリシーの更新時にローカル コンピューターの設定が上書きされます。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
OU ポリシー設定
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
[リモート デスクトップ サービスを使ったログオンを許可] ユーザー権利を持つすべてのアカウントがデバイスのリモート コンソールにログオンできます。コンピューターのコンソールにログオンする必要がある正規のユーザーにこのユーザー権利を制限しない場合、承認されていないユーザーが特権を昇格するために、悪意のあるソフトウェアをダウンロードして実行する可能性があります。
対策
ドメイン コントローラーの場合は、[リモート デスクトップ サービスを使ったログオンを許可] ユーザー権利を Administrators グループのみに割り当てます。他のサーバーの役割とデバイスの場合は、Remote Desktop Users グループを追加します。リモート デスクトップ (RD) セッション ホストの役割サービスが有効化されており、アプリケーション サーバー モードで実行していないサーバーの場合、コンピューターをリモートから管理する必要のある承認済み IT 担当者のみがこれらのグループに属していることを確認します。
注意
アプリケーション サーバー モードで実行している RD セッション ホスト サーバーの場合、既定ではこのビルトイン グループがこのログオン権利を持っているため、サーバーへのアクセスを必要とするユーザーのみが、Remote Desktop Users グループに属するアカウントを持っていることを確認します。
または、Account Operators、Server Operators、Guest などのグループに [リモート デスクトップ サービスを使ったログオンを拒否] ユーザー権利を割り当てることができます。ただし、[リモート デスクトップ サービスを使ったログオンを許可] ユーザー権利を持ったグループにも属する正規の管理者のアクセスをブロックする可能性があるため、この方法を使う場合には注意してください。
考えられる影響
他のグループの [リモート デスクトップ サービスを使ったログオンを許可] ユーザー権利を削除すると (またはこれらの既定グループのメンバーシップ変更)、ユーザー環境内で特定の管理の役割を実行しているユーザーの機能を制限する場合があります。委任されたアクティビティが悪影響を受けないことを確認する必要があります。