特定のユーザーへのリモートデスクトップアクセスをドメイン環境の特定のサーバーに制限しますか?
ドメインコントローラーがあり、特定のユーザーアカウントに、同じドメイン内の特定のサーバーへのリモートデスクトップアクセスを許可します。
リモートデスクトッププロトコルを介してアクセスできるサーバーは多数ありますが、これらのユーザーがすべてではなく、許可したサーバーにのみ接続するように制限したいと思います。
たとえば、ユーザー「Billy」がいて、サーバー「1」と「2」にはRDPできるが、サーバー「3」にはRDPできないようにしたいとします。
この問題に対する適切なアプローチを説明してください。
domain-userのドメイン環境での制限されたリモートデスクトップ接続
ソリューション
RDPを介したユーザーまたはグループのログオンを拒否するには、「リモートデスクトップサービスによるログオンの拒否特権を明示的に設定します。
これを行うには、グループポリシーエディターにアクセスし(サーバーのローカルまたはOUから)、この特権を設定します。
開始 | 実行 | Gpedit.mscローカルポリシーを編集する場合、または適切なポリシーを選択して編集する場合。
コンピューターの構成 | Windows設定 | セキュリティ設定 | ローカルポリシー | ユーザー権利の割り当て。
「リモートデスクトップサービスによるログオンの拒否」を見つけてダブルクリックします。
アクセスを拒否するユーザーまたはグループ、あるいはその両方を追加します。
OKをクリックします。
gpupdate/force/target:computerを実行するか、この設定が有効になるまで次のポリシーの更新を待ちます。
この場合の最善の方法は、ユーザーのADアカウントのプロパティを変更することです。 [アカウント]タブで[ログオン]を選択すると、ユーザーがログインできるコンピューターを指定できます。もちろん、ユーザーに自分のワークステーションへのログインを許可する必要がありますが、ログインを許可するターミナルサーバーを追加することもできます。
この方法の欠点は、環境によっては、この許可されたシステムのリストでワークステーションが指定されていない限り、ユーザーが他のワークステーションにもログインできないことです。
これがあなたが探している答えかどうかはわかりませんが、役に立つかもしれません。
- ファイアウォールの詳細設定に移動し、受信してRDPを検索します
- Scoopから、RDPを介してアクセス権を付与するIPを指定し、必要な数のIPを配置できます
- RDPのプロパティに移動し、許可する代わりに接続をブロックすることを選択します
注:ホスティング会社ごとにテクニカルサポートの問題に対するIP範囲があることを忘れないでください。質問して許可してもらってください。それ以外の場合は、テクニカルサポートに問題が発生する可能性があります。