none
Remote Desktop Serviceの利用者にサーバマネージャを操作出来ないようにしたい RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Windows Server 2016を用いて社内イントラ環境に外部からアクセスする際の踏み台サーバを構築しています。

    そこで1つ悩みがあるのですが、マルチセッションでアクセス可能とするためにRemote Desktop Serviceを使用しているのですが、

    管理者である私以外にはサーバの機能や設定を変更させたくないので、他利用者にはサーバマネージャを操作出来ないようにしたいのですが、

    ユーザ毎、もしくはグループ毎にサーバマネージャの操作権や閲覧権をコントロールすることは可能でしょうか?

    【環境】

    Windows Server 2016(仮想)

    Remote Desktop Service を利用

    ドメイン環境は無く、ワークグループサーバです。

    【やりたいこと】

    Remote Desktop Serviceを用いてサーバにアクセスしてくるユーザがサーバマネージャを操作出来ないようにしたい。

    管理者:サーバマネージャ含む全ての操作権あり

    利用者:サーバマネージャの操作不可、Webブラウザやファイル操作のみを許可

    2019年5月12日 2:57
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、直接な回答ではありませんが、

    Windows Server 2016を用いて社内イントラ環境に外部からアクセスする際の踏み台サーバを構築しています。そこで1つ悩みがあるのですが、マルチセッションでアクセス可能とするためにRemote Desktop Serviceを使用しているのですが、管理者である私以外にはサーバの機能や設定を変更させたくないので、

    この使い方自体が、「RDPの管理者セッション」の使い方として、ライセンス違反になっている可能性が高いです。管理者セッションは、直接的接続サーバーの管理行為以外の内容で利用することはライセンス上認められていないはずだからです。

    対応方法として「Remote Desktopセッションホスト」を構成し、非管理者ユーザーは一般ユーザーとしてRDPログオンさせる方法がよいでしょう。こうすれば、非管理者アカウントなら元々設定を変えられないので、サーバーマネージャーの利用権限うんぬんを考慮する必要がありません。ちなみにライセンス違反は何かあったとき、社や顧客に重大な問題が生じる可能性があるので、マイクロソフトに確認のうえ必要があれば是正する必要があります。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年5月12日 8:08
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    単純に特定のアプリケーション(この場合はサーバーマネージャー)の起動を禁止したいのであれば「ソフトウエアの制限のポリシー(SRP)」か「Applocker」で可能ですね。SRP の場合は管理者を制限の対象外にすることが、AppLocker の場合は制限を特定のユーザーやユーザーグループに適用できるので、ご希望の動作は可能かと思います。

    Hebikuzure aka Murachi Akira

    2019年5月12日 3:52
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、直接な回答ではありませんが、

    Windows Server 2016を用いて社内イントラ環境に外部からアクセスする際の踏み台サーバを構築しています。そこで1つ悩みがあるのですが、マルチセッションでアクセス可能とするためにRemote Desktop Serviceを使用しているのですが、管理者である私以外にはサーバの機能や設定を変更させたくないので、

    この使い方自体が、「RDPの管理者セッション」の使い方として、ライセンス違反になっている可能性が高いです。管理者セッションは、直接的接続サーバーの管理行為以外の内容で利用することはライセンス上認められていないはずだからです。

    対応方法として「Remote Desktopセッションホスト」を構成し、非管理者ユーザーは一般ユーザーとしてRDPログオンさせる方法がよいでしょう。こうすれば、非管理者アカウントなら元々設定を変えられないので、サーバーマネージャーの利用権限うんぬんを考慮する必要がありません。ちなみにライセンス違反は何かあったとき、社や顧客に重大な問題が生じる可能性があるので、マイクロソフトに確認のうえ必要があれば是正する必要があります。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年5月12日 8:08
    |
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは

     

    その後の状況はいかがでしょうか? 

     

    参考になった投稿には「回答としてマーク」をご設定ください。

     

    今後とも TechNet フォーラムをよろしくお願いします。

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月5日 9:39
    |
    モデレータ