none
Windows2012でのリモートデスクトップ権限について RRS feed

  • 質問

  • Windows2003からWindows2012にリプレースしました。リプレースしてから一部のアカウントでリモートデスクトップでログインしようとすると

    英語のメッセーっじが出てログインができなくなりました。

    AdministratorsGroupの権限がないとだめだよという内容のようです。

    http://news.mynavi.jp/series/winserver2012/043/

    を読むと、管理者権限が必要なのは当たり前というような感じで、それはそうだろうなと思うのですが、Windows2003ではAccountOperatorsでもログインができ、ユーザとグループの管理を行っていました。

    何か回避する方法はないでしょうか。

    2014年10月23日 10:22

すべての返信

  • http://news.mynavi.jp/series/winserver2012/043/

    その他のユーザーについては、[ユーザーの選択]をクリックして追加することができる。しかし、管理者ではないユーザーに対してサーバへのリモートデスクトップ接続を認める必然性は、まず存在しないのではないだろうか。

    • 編集済み HomeCloset 2014年10月24日 7:32
    • 回答の候補に設定 佐伯玲 2014年10月27日 1:06
    • 回答の候補の設定解除 佐伯玲 2014年10月27日 8:12
    2014年10月24日 7:30
  • そこの部分は読んでまして、RemoteDesktopUsersグループにメンバーを追加してもだめで、指定したユーザを登録してもログインはできませんでした。
    2014年10月27日 8:05
  • 「英語のメッセーっじ」には何と書いてあるのでしょうか。

    リモート デスクトップでなく、直接ログオンはできてるのでしょうか。

    2014年10月27日 8:17
  • リモートでのログイン失敗時になにかしらイベントログに書き込まれていないですか?

    まずはイベントログを確認して記録されていたらその内容を書いてください。

    ちなみにですが、

    その他のユーザーについては、[ユーザーの選択]をクリックして追加することができる。しかし、管理者ではないユーザーに対してサーバへのリモートデスクトップ接続を認める必然性は、まず存在しないのではないだろうか。

    管理者でなくてもリモート接続を許可する必然性は存在します。いわゆる「踏み台」として使用するサーバーに対しては

    リモート接続を許可しますが管理者権限は与えません。「踏み台サーバー」の設定変更されてはたまりませんから。

    複数のお客さんで実際にそのようにしています

    2014年10月27日 11:59
  • それは役割的にもはやサーバーじゃなくてワークステーション(or セッション ホスト)でしょう。

    2014年10月27日 12:04
  • セキュリティログには何も出ていませんでした。

    管理者ではないユーザーに対してサーバへのリモートデスクトップ接続を認める必然性は、まず存在しないのではないだろうか

    →確かに管理者以外で接続を認める必然性はないのかもしれませんが、Windows2003のときは、サーバの設定内容を確認するだけとかアカウントを登録するだけとか、限定した役割を与えておりAdministratorsグループに属していないユーザにもリモートデスクトップの権限を与えていました。

    それがWindows2012R2でできなくなったので困っています。Windows2012R2のADサーバ配下のメンバーサーバへのリモートデスクトップもできなくなりました。

    管理者以外はログインできない仕様に変わったとあきらめるべきなんでしょうか。

    2014年10月28日 5:09
  • チャブーンです。

    この件ですが、「本来質問者が知らせなければならない大事な情報」が漏れてしまっているので、うまくコミュニケーションが取れていない気がします。おそらくこのサーバは「ドメインコントローラ」なんですよね?

    であるなら、設定に不足があります。具体的には[ユーザー権利の割り当て]ポリシーにある"リモートデスクトップサービスを使ったログオンを許可"ポリシーに使いたいグループ/ユーザーを追加してください。この項目に関してドメインコントローラでは「Administrators」のみの設定になっています。

    メンバーサーバであれば[リモート]画面のUIでユーザーを追加するとこのポリシーも連動して変更されるところ、ドメインコントローラではそれが起こらないようになっています。不具合なのか仕様なのかはわかりませんが(UI上は不合理な設定ですが)、ひとまずそういうものだ、という流れになるかもしれませんね。

    2014年10月28日 6:13
    モデレータ
  • チャブーンです。

    質問とは関係ないところで、「与太話」をさせていただきますね。

    しかし、管理者ではないユーザーに対してサーバへのリモートデスクトップ接続を認める必然性は、まず存在しないのではないだろうか。

    大昔、記事の中で初めてこの文言を見たとき、個人的にちょっと引っかかっていました。「話の流れとしてちょっと浮いているなぁ」という印象です。セキュリティ上の理由で「追加設定すべきでない」とかならそのように書けばいいのですから。で、ドメインコントローラでの挙動が他と違うことが分かったとき、なるほどと思ったものです。

    記事を書かれた方はおそらく、サーバの役割によって挙動が違う(管理者アカウント以外が追加できない)ことに気づいておられたが、その理由がはっきりわからないので、このようにうまく収めたような気がします。管理者アカウントで使うことが前提と考えたほうが、イロイロ都合がいいですよ、ということを強調したかったのだと思います。

    そのように、「書き手の事情」をかんがみながら情報をチェックすると、背後の事情が見えてきて面白いことがあります。私自身も情報の文言解釈に困ったとき、やることがあります。

    という感じで、(きっと書き手側の都合もあるはずなので)シカクシメンに解釈しなくても大丈夫かなぁ、とぼんやり思っております。

    2014年10月28日 6:38
    モデレータ
  • 途中の「踏みだい」でユーザーによってアクセス可能なサーバーを振り分けをしたり、

    アクセスの履歴をとっているのですが。

    2014年10月28日 8:08
  • チャブーンです。

    HomeClosetさん、チキンさん、いつも適切な回答をいただき、ありがとうございます。

    以下、個人的な見解ですが、リモートデスクトップ接続において「管理者以外のアカウント」に接続を許すかどうかは、最終的にはシステムの使い方に依るものではないかしら、と思います。現状ではリモートデスクトップ接続の管理モード(昔の言い方ですが)ですので、それに添えば管理者アカウントを使うことを想定しているでしょうが、そうでない使い方もできないというわけではないと理解しています。

    くだんの文言ですが、個人的印象では執筆者側に事情があって書かれたもので、使い方を強制するものではないと思いますので、気にされることはないと思います。

    HomeClosetさんがこの文を持ち出されたのは、「注目するべき文言(赤字)がどこにあるのか」を参照しやすくするためだろうと思いましたので、特に他意はないと思います。

    おせっかいとは思いましたが、コメントさせていただきました...。

    2014年10月28日 9:17
    モデレータ