ドメインセキュリティグループGlobalRDP
のメンバーが特定のWindows 10 PCにRDPできるようにしようとしています。 GlobalRDP
グループに「リモートデスクトップサービスを介したログオンを許可する」権利を付与し、そのポリシーがターゲットコンピュータに正常に展開されました。
これにもかかわらず、GlobalRDP
グループのメンバーがRDP経由でログインしようとすると、次のエラーが表示されます。"ユーザーアカウントがリモートログインを許可されていないため、接続が拒否されました" 。同様のアクセス拒否エラーがRDPログに表示されます5236でCUMRDPSecurityStreamCallback :: AccessCheckの[このユーザーはこの接続へのアクセスを許可されていません] err = [0x80070005] "。
不思議なことに、デフォルトでこの権限を持つAdministrators
およびRemote Desktop Users
グループのRDP権限も削除しましたが、ローカルRemote Desktop Users
のメンバーとしてRDPを実行できましたグループ。
最後に、GPOを変更して、GlobalRDP
グループをターゲットPCのローカルRemote Desktop Users
グループに追加し、RDPが機能するようにしました。このローカルグループがまだRDPログイン権限が付与されていません!
これは、Windows 10ワークステーションからの設定画面です。
同様のスレッドで提供された修正に対処するには:
GPOはターゲットコンピューターに完全に適用されます。Local Security Policy -> Policies -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment -> Allow log on through Remote Desktop Services
を見ると、GlobalRDP
グループとGPOを介して設定されたポリシーのみが表示されます。グループポリシーの結果ウィザードには、同じこと。
Deny log on through Remote Desktop Services
は空です(デフォルトは空です)
何を変更しても、デフォルトのグループにのみRDPログイン権限が付与されているようです。各PCのローカルグループにドメイングローバルグループを追加すると機能しますが、不思議な匂いがします。私は何を取りこぼしたか? ドメイングループを使用してその特権を単純に管理できないのはなぜですか?
リモートデスクトップセッションへのアクセス許可確立および使用時のログインへのアクセス許可へのアクセスリモートデスクトップセッションは2つの異なるものです。ユーザー権利の割り当て設定は、後者にのみ影響します。
マイクロソフトは、リモートデスクトップセッションを確立できるユーザーを制御するアクセス許可の変更に関するドキュメントを提供しています。
ただし、これらの設定を変更しないことを強くお勧めします。トッドの回答が既に述べられているように、リモートデスクトップユーザーのローカルグループにドメインユーザーやグループを追加することは、リモートデスクトップアクセスを許可するためのサポートされている方法です。
(ちなみに、接続を確立するには、「ネットワーク経由でコンピュータにアクセスする」権限も必要です。)
Microsoftのドキュメント によると:
リモートデスクトップサービスを使用してリモートデバイスに正常にログオンするには、ユーザーまたはグループがリモートデスクトップユーザーまたは管理者グループのメンバーである必要がありますand[強調が追加されました]リモートデスクトップサービスを介したログオンを許可する権利。
リモートデスクトップユーザーグループにはリモートデスクトップサービスを介したログオンを許可する権利が付与されているため、ユーザーまたはグループをそのグループに追加すると、両方の要件が満たされます。権利を与えることはしません。
なぜ両方が必要なのか、私にはわかりません。
同じページで、推奨されるベストプラクティスは次のように指定されています。
リモートデスクトップサービス接続を開いてデバイスにログオンできるユーザーを制御するには、リモートデスクトップユーザーグループにユーザーを追加または削除します。