ドメインで管理されているマシン同士でリモートデスクトップ接続をする際に、ローカルマシンでログオンしている資格情報をそのまま使って、パスワード等を入力することなくリモートマシンに自動ログオンする方法はありますでしょうか。
コントロールパネルの資格情報マネージャーにリモートマシンを1つ1つ登録していく方法や資格情報を記憶する方法ではなく、ドメインの既定の動作として運用したいです。リモート接続の際に他人の資格情報を入力する機会をなくすセキュリティ対策の意味もあります。
よろしくお願いします。
チャブーンです。
この件ですが、グループポリシー自体がキチンと適用されている前提ですが、
を確認してください。接続先をFQDNで試してみるのも有効です。
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。
ドメインマシンのリモートデスクトップ接続の資格情報入力 - Microsoft コミュニティ からの継続ですね。
そちらにコメントが付いていますが、リモートデスクトップ サービスへの接続であればシングル サインオンが可能です。
windows リモートデスクトップ シングルサインオン - Google 検索
Hebikuzure aka Murachi Akira
この件ですが、WindowsマシンであればRemote Desktop Session Host(Server)であっても、Windows 10であっても、ターミナルサービスとしての基本仕様は同じなので、グループポリシーでSSOを実現することはできます。
「既定の資格情報の委任を許可する」ポリシーを有効にしたうえ、「サーバーを一覧に追加」の項目で"TERMSRV/*"を追加します。使い方については、以下の資料が非常に分かりやすいです。
How to enable Single Sign-On for my Terminal Server connections - Microsoft Tech Community
なお、当たり前ですが、Windows 10リモートデスクトップはRDSHとは仕様が違います。なので、接続した先で「セッションの共用」のようなことは一切できません。他のユーザーが使用中の場合、ユーザーの切り替えを拒否されれば、接続は許容されないなど、制限が多い点はご理解ください。
中村YXです。
グループポリシーで「既定の資格情報の委任を許可する」を有効にしてみました。リモートデスクトップ接続のウィンドウに「Windows ログオン資格情報は、接続に使用されます。」と表示されたのでそのまま接続に進んだところ、「お使いの資格情報は機能しませんでした」となってログオンに失敗しました。
互いに同じドメインに所属していてマシン名で接続しているので、ケルベロス認証は使っているはずですが、システムイベントやセキュリティイベントにはエラー項目は出ていないので、何が原因か不明です。
servicePrincipalNameにはTERMSRVに加えて、HOSTとRestrictedKrbHostのそれぞれの<クライアントホスト名>と<クライアントのFQDN>も存在していました。
で、しばらくダメだったのですが、先ほど試したところSSOでリモート接続できました。ケルベロス認証のサービスチケットのキャッシュが更新されたんでしょうかね。
解決です。ありがとうございました。
