none
ドメインコントローラへのリモートデスクトップが出来なくなった RRS feed

  • 質問

  • ドメインコントローラへのリモートデスクトップによるログオンができなくなり、困っております。

    「このリモートコンピュータにログオンするには,ターミナル・サービスでのログオンを許可する権利が必要です」

    クライアント:Windows7 サーバー:WindowsServer2003R2 SP1

    administratorのみリモートデスクトップが可能な環境下だったのですが、

    システム管理を行っているユーザー(A)のアカウントでもログインできるように、下記のように設定を変更しました。

    ①Remote Desktop Usersグループのメンバーにユーザー(A)を追加。

    ②グループポリシーで「ターミナルサービスを使ったログオンを許可する」にユーザー(A)を追加

     >> コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て\

    ③上記ポリシーをドメインコントローラセキュリティポリシーの配下に追加

    この状態で、ユーザー(A)のリモートデスクトップによるログオンはできるようになりました。

    ところが、元々できていた administratorによるリモートデスクトップによるログオンが出来なくなってしまいました。

    困ったので、

    まず、③を外してみましたが、結果は変わりません。

    ①のRemote Desktop Usersグループのメンバーにadministratorを追加してみましたが、駄目です。

    次に、②のポリシーそのものを外した状態で、③の場所に追加してみましたが、これでも駄目です。

    もうセカンダリとの同期が取れてもよい時間は経過しているのですが、強制同期掛けてみるのも一つの方法なのでしょうか?

    あるいはやり方自体に問題があったのか、何かアドバイス頂ければ幸いです。


    • 編集済み hatsujiro 2015年6月17日 5:10
    2015年6月17日 4:59

回答

  • 自己レスです。

    原因ははっきりしませんが、ともあれ解決しました。

    ①Remote Desktop Usersグループのメンバーにユーザー(A)を追加。

    ②グループポリシーで「ターミナルサービスを使ったログオンを許可する」にユーザー(A)を追加

     >> コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て\

    ③上記ポリシーをドメインコントローラセキュリティポリシーの配下に追加

    ②の部分で、グループポリシーの割り当て対象を Remote Desktop Users にしました。

    それから、一度設定したポリシー(ターミナルサービスを使ったログオンの許可)は、取り消して未定義の状態にしても、元の暗黙の設定(administratorにはRemoteDesktopUsersに含まれる)は無効になってしまい、明示的に権限を与えないとだめ?ということが判りました。

    Windowsって難しいですね。


    2015年6月17日 5:55