none
セグメント越えのリモートデスクトップでユーザ名の入力ができない RRS feed

  • 質問

  • いつもお世話になっております。

    別セグメントのサーバに接続する際にユーザアカウントの入力ができず困っております。

    ご存じの方、対応方法をご教授お願いできませんか?

    以下、長文で申し訳ありませんがよろしくお願いします。

    【環境】WindowsServer2016

        サーバAとサーバBは別セグメントでリモートデスクトップで接続する。

    【同一セグメントからの接続時の動作】

    ①リモートデスクトップにてIPのみを入力し、PWは入力せず接続ボタン押下。

    ②サーバに接続されID/PWの入力画面が表示される。

     この際、画面の左側にユーザ一覧は表示されない。

    ③ID/PWを入力してログイン可能。

    【別セグメントからの接続時の動作】

    A)①は同様

    B)②でサーバに接続されるが、1回前にログインしたユーザ名が表示され、PW入力を促される。

     *この際、ユーザ名はラベル表示で変更ができない。

      また、画面左側にAdministrators+Usersグループに所属するユーザ一覧が表示される。

    【運用上の制約】

    ・リモートデスクトップユーザはUsersグループに所属させない(ログイン後のフォルダ閲覧を制限するため)

    ・Administratorsグループには一部管理者のみ所属させ、全ユーザは所属させない(特権者を制限するため)

    ・リモートデスクトップユーザはRemotoDesktopUsersグループに所属する。

    【やりたいこと】

    以下のどちらかを実現したい。

    プラン1⇒B)で②と同じようにユーザ名を変更できるようにしたい。

    プラン2⇒B)で画面の左側にAdministratorsに所属せず、RemoteDesktopUsersのみに所属する

         ユーザも表示したい。


    原因はセグメントが異なることで信頼関係がうまく結べていないのか?と推測しています。

    ローカルグループポリシーなどを変更してみたのですが、うまくいかず、解決先をご存じの方が居られましたらご教授いただけると幸いです。

    ログイン画面のイメージ及び行いたいことは以下のリンクの参照お願いします。

    <a href="https://social.technet.microsoft.com/Forums/getfile/1544312">https://social.technet.microsoft.com/Forums/getfile/1544312</a>


    2020年2月7日 13:15

回答

  • チャブーンです。

    この件ですが、期待される動作とちがう状況になっているようですが、想定しないアクセス権にも遠因があるのでないでしょうか?まず、

    リモートデスクトップユーザはUsersグループに所属させない(ログイン後のフォルダ閲覧を制限するため)

    これはヤメテください。理由として、Usersグループには権限として「自分自身のデスクトップへのアクセス」が保証されていますが、この権限がない場合、何らかの問題が生じる権限が高いためです。

    リモートデスクトップの「接続先サーバー」のローカルポシリーで「対話型ログオン:最後のユーザー名を表示しない」を有効にすると、動作が変わるかもしれません。

    https://ittrip.xyz/soft/windows/gpo-logon-user-del

    それと、画像ファイルのURLを投稿いただいているようですが、残念ながらアクセスできません。投稿数が少ない方は画像を含む投稿はできませんので、したのページのやり方で投稿の許可を取ってください。

    https://social.msdn.microsoft.com/Forums/ja-JP/6644446f-8110-48a6-8d95-29050d33b7ae/


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2020年2月9日 7:06

すべての返信

  • 書かれている内容からネットワークレベル認証が無効になった居るようですが、ネットワークレベル認証を必須にしてリモートデスクトップ接続すれば、ネットワークレベル認証の段階で任意のユーザーアカウントが投入できるのではないでしょうか。


    Hebikuzure aka Murachi Akira

    2020年2月8日 5:42
  • ご連絡ありがとうございます。

    NW認証を必須にしてリモート接続について確認しました。

    リモートデスクトップのツールで接続ボタン押下後に、ID/PWの認証ダイヤログが表示されました。

    ロック画面が表示される前にダイヤログが表示される。

    【ダイヤログイメージ】https://social.technet.microsoft.com/Forums/getfile/1544511

    【表示したい画面】https://social.technet.microsoft.com/Forums/getfile/1544312

     ⇒ロック画面で入力するようにしたい。

    やはり機能的に無理なのでしょうか・・・・

    2020年2月9日 4:54
  • 別セグメントだろうがインターネット越しだろうが、ネットワークレベル認証にしていれば(正しい資格情報が提供されていれば)資格情報の入力は一度で済みます。そもそも資格情報が正しくないのでは?

    書かれている URL では画像を見れないので、

    本文に画像やリンクを含むことが出来ませんというエラーについて

    の記載に従って制限を解除してもらって、投稿内にスクリーンショットを貼ってください。

    ※画像やリンクのブロックはロボット(自動化ソリューション)での SPAM 投稿を防ぐためのものなので、人間が投稿していることを示せば解除されます


    Hebikuzure aka Murachi Akira

    2020年2月9日 7:03
  • チャブーンです。

    この件ですが、期待される動作とちがう状況になっているようですが、想定しないアクセス権にも遠因があるのでないでしょうか?まず、

    リモートデスクトップユーザはUsersグループに所属させない(ログイン後のフォルダ閲覧を制限するため)

    これはヤメテください。理由として、Usersグループには権限として「自分自身のデスクトップへのアクセス」が保証されていますが、この権限がない場合、何らかの問題が生じる権限が高いためです。

    リモートデスクトップの「接続先サーバー」のローカルポシリーで「対話型ログオン:最後のユーザー名を表示しない」を有効にすると、動作が変わるかもしれません。

    https://ittrip.xyz/soft/windows/gpo-logon-user-del

    それと、画像ファイルのURLを投稿いただいているようですが、残念ながらアクセスできません。投稿数が少ない方は画像を含む投稿はできませんので、したのページのやり方で投稿の許可を取ってください。

    https://social.msdn.microsoft.com/Forums/ja-JP/6644446f-8110-48a6-8d95-29050d33b7ae/


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2020年2月9日 7:06
  • チャブーンさん

    ありがとうございます。

    ご教授いただいた内容にて想定の通信をすることができました。

    Usersの件については再検討します。

    本当にありがとうございました!

    2020年2月11日 12:36