- 締切済み
AD&グループポリシー設定の問題です。
AD&グループポリシー設定の問題です。 現在は環境を説明いたします。 AD環境内ユーザー: User1 AD環境内PC: PC1、PC2 AD環境外PC: PC3 やりたいこと(★の部分): あるユーザがPC3のローカルユーザ情報を使ってPC3にログイン、 ↓ PC3のリモートディスクトップを起動し、User1情報を使ってPC1に接続 ↓ ★PC1のリモートディスクトップ機能を無効したい。★ (簡単にいうとAD内指定したユーザーのリモートディスクトップ機能を無効したい) 説明しにくい状況です、不明点がございましたら追加説明致します。 グループポリシーのどの辺設定すればいいですか? 知っているかたはいらっしゃいますでしょう。
- xuelei
- お礼率60% (3/5)
- その他(ITシステム運用・管理)
- 回答数2
- ありがとう数12
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- maesen
- ベストアンサー率81% (646/790)
違っていましたか。 文章を理解するのは難しいですね。 >(1)外から自分へのリモートディスクトップ機能 >(2)自分から外へのリモートディスクトップ機能 (1)はリモートディスクトップ機能のサーバ(別の言い方ではターミナルサーバー) (2)はリモートディスクトップ接続のクライアント つまり、リモートディスクトップ接続クライアントの使用をユーザー毎で制限したいということでしょうか。 Vista SP1及びこれ以降であれば一応可能なようですが(抜け道が無いかまでは判りません)、それ以前ではグループポリシーにリモートディスクトップ接続のクライアントの使用を制限するような設定は無いのではないかと思います。 ソフトウェアの制限のポリシーではコンピュータの設定になりますしちょっと難しいように思います。 もしかしたら、まだ認識が違っているかもしれません。 サーバ及びクラインアトを意識してどの時点で制限されればいいかが判れば設定出来るGPOを運用で実現出来るかもしれません。 Vista SP1及びこれ以降の場合のグループポリシー設定は以下の設定になると思います。 [ユーザーの構成\管理テンプレート\Windowsコンポーネント\ターミナルサービス\リモートデスクトップ接続のクライアント]で 「有効な発行元からの.rdpファイルと、ユーザーの既定の.rdp設定を許可する」を無効 「不明な発行元からの.rdpファイルを許可する」を無効
- maesen
- ベストアンサー率81% (646/790)
意味を取り違えていたらごめんなさいですが、 「コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て」の「ターミナル サービスを通したログオンを拒否する」に該当ユーザーを設定するでどうでしょうか。 GPOの適用はPC1の所属しているOUにリンクすればいいと思います。 例ではPC1になっていますが、同じOUにPC2を入れればPC2にも適用されますね。 コンピュータに対する設定ですので、対象となるコンピュータに適用される必要があります。 拒否の設定が優先ですので、たとえば拒否にDomain Usersグループを設定すれば、ほぼすべてのユーザーが拒否されることになります。 許可するユーザーもいる場合には注意して下さい。
補足
御回答ありがとうございます。 説明不足で申し訳ないですが。 リモートディスクトップ機能は以下の2種類があると思っています。 (1)外から自分へのリモートディスクトップ機能 (2)自分から外へのリモートディスクトップ機能 今回やりたいことは(1)を有効、(2)を無効にすることです。 ご説明していただいたの方法は(1)の設定方法だと思います。 (2)のほうはどすればいいですか。 そして、PC単位ではなく ユーザー単位で制限をかけたいです。 以上 よろしくお願いします
お礼
回答ありがとうございます。 現在端末の中はVistaがないですが、今後出た時にその設定方法を使わせていただきます。 ありがとうございます。 リモートディスクトップ接続のクライアントを無効のはソフトウェアの制限で実現できました。 ちょっと無理やりの感じですが、他の方法を探し続けています。 以上