リモート デスクトップ サービスを使ったログオンを拒否
[リモート デスクトップ サービスを使ったログオンを拒否] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
参考
このポリシー設定では、どのユーザーがリモート デスクトップ サービスからのリモート デスクトップ接続によるデバイスへのログオンを防がれるかを決定します。ユーザーは特定のサーバーにリモート デスクトップ接続を確立できますが、同じサーバーのコンソールにはログオンできません。
定数: SeDenyRemoteInteractiveLogonRight
設定可能な値
アカウントのユーザー定義一覧
未定義
ベスト プラクティス
- リモート デスクトップ接続とデバイスへのログオンができるユーザーを制御するには、Remote Desktop Users グループのユーザー アカウントを追加または削除します。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て
既定値
次の表に、サポートされている最新バージョンの Windows の実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
未定義 |
ドメイン コントローラーの有効な既定の設定 |
未定義 |
メンバー サーバーの有効な既定の設定 |
未定義 |
クライアント コンピューターの有効な既定の設定 |
未定義 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。
このポリシー設定の有効化には、コンピューターの再起動は必要ありません。
アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。
Remote System プロパティは、リモート デスクトップ サービスの設定 ([Allow or prevent remote connections to the computer] (コンピューターへのリモート接続を許可または防止する)) とリモート アシスタンスの設定 ([このコンピューターへのリモート アシスタンス接続を許可する]) を制御します。
グループ ポリシー
このポリシー設定は、[リモート デスクトップ サービスを使ったログオンを許可] ポリシー設定より優先されます (ユーザー アカウントが両方のポリシーの対象である場合)。
グループ ポリシー設定は次の順序で適用されます。次のグループ ポリシーの更新時にローカル デバイスの設定を上書きします。
ローカル ポリシー設定
サイト ポリシー設定
ドメイン ポリシー設定
組織単位ポリシー設定
ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
リモート デスクトップ サービスを使ったログオンを行う権利を持つ任意のアカウントがデバイスのリモート コンソールにログオンするために使われる可能性があります。このユーザー権利をコンピューターのコンソールにログオンする必要がある正規のユーザーに制限しない場合、悪意のあるユーザーが、ユーザー権利を昇格するために悪意のあるソフトウェアをダウンロードして実行する可能性があります。
対策
[リモート デスクトップ サービスを使ったログオンを拒否] ユーザー権利を組み込みのゲスト アカウントとすべてのサービス アカウントに割り当てます。ASP.NET などのオプション コンポーネントをインストールしている場合は、それらのコンポーネントで必要とされる他のアカウントにこのユーザー権利を割り当てることができます。
考えられる影響
別のグループに [リモート デスクトップ サービスを使ったログオンを拒否] ユーザー権利を割り当てる場合、環境内の特定の管理役割に割り当てられているユーザーの権限を制限する可能性があります。このユーザー権利を持つアカウントは、リモート デスクトップ サービスまたはリモート アシスタンスを使ってデバイスに接続することができません。委任されたタスクが悪影響を受けないことを確認する必要があります。