リモート デスクトップ サービスを使ったログオンを拒否

[リモート デスクトップ サービスを使ったログオンを拒否] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。

参考

このポリシー設定では、どのユーザーがリモート デスクトップ サービスからのリモート デスクトップ接続によるデバイスへのログオンを防がれるかを決定します。ユーザーは特定のサーバーにリモート デスクトップ接続を確立できますが、同じサーバーのコンソールにはログオンできません。

定数: SeDenyRemoteInteractiveLogonRight

設定可能な値

  • アカウントのユーザー定義一覧

  • 未定義

ベスト プラクティス

  • リモート デスクトップ接続とデバイスへのログオンができるユーザーを制御するには、Remote Desktop Users グループのユーザー アカウントを追加または削除します。

場所

コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て

既定値

次の表に、サポートされている最新バージョンの Windows の実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。

サーバーの種類または GPO 既定値

既定のドメイン ポリシー

未定義

既定のドメイン コントローラー ポリシー

未定義

スタンドアロン サーバーの既定の設定

未定義

ドメイン コントローラーの有効な既定の設定

未定義

メンバー サーバーの有効な既定の設定

未定義

クライアント コンピューターの有効な既定の設定

未定義

 

ポリシー管理

このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。

このポリシー設定の有効化には、コンピューターの再起動は必要ありません。

アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。

Remote System プロパティは、リモート デスクトップ サービスの設定 ([Allow or prevent remote connections to the computer] (コンピューターへのリモート接続を許可または防止する)) とリモート アシスタンスの設定 ([このコンピューターへのリモート アシスタンス接続を許可する]) を制御します。

グループ ポリシー

このポリシー設定は、[リモート デスクトップ サービスを使ったログオンを許可] ポリシー設定より優先されます (ユーザー アカウントが両方のポリシーの対象である場合)。

グループ ポリシー設定は次の順序で適用されます。次のグループ ポリシーの更新時にローカル デバイスの設定を上書きします。

  1. ローカル ポリシー設定

  2. サイト ポリシー設定

  3. ドメイン ポリシー設定

  4. 組織単位ポリシー設定

ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。

セキュリティに関する考慮事項

このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。

脆弱性

リモート デスクトップ サービスを使ったログオンを行う権利を持つ任意のアカウントがデバイスのリモート コンソールにログオンするために使われる可能性があります。このユーザー権利をコンピューターのコンソールにログオンする必要がある正規のユーザーに制限しない場合、悪意のあるユーザーが、ユーザー権利を昇格するために悪意のあるソフトウェアをダウンロードして実行する可能性があります。

対策

[リモート デスクトップ サービスを使ったログオンを拒否] ユーザー権利を組み込みのゲスト アカウントとすべてのサービス アカウントに割り当てます。ASP.NET などのオプション コンポーネントをインストールしている場合は、それらのコンポーネントで必要とされる他のアカウントにこのユーザー権利を割り当てることができます。

考えられる影響

別のグループに [リモート デスクトップ サービスを使ったログオンを拒否] ユーザー権利を割り当てる場合、環境内の特定の管理役割に割り当てられているユーザーの権限を制限する可能性があります。このユーザー権利を持つアカウントは、リモート デスクトップ サービスまたはリモート アシスタンスを使ってデバイスに接続することができません。委任されたタスクが悪影響を受けないことを確認する必要があります。

関連トピック

ユーザー権利の割り当て