none
ドメインマシンのリモートデスクトップ接続の資格情報入力 RRS feed

  • Frage

  • ドメインで管理されているマシン同士でリモートデスクトップ接続をする際に、ローカルマシンでログオンしている資格情報をそのまま使って、パスワード等を入力することなくリモートマシンに自動ログオンする方法はありますでしょうか。

    コントロールパネルの資格情報マネージャーにリモートマシンを1つ1つ登録していく方法や資格情報を記憶する方法ではなく、ドメインの既定の動作として運用したいです。リモート接続の際に他人の資格情報を入力する機会をなくすセキュリティ対策の意味もあります。

    よろしくお願いします。

    Dienstag, 2. August 2022 02:23

Antworten

  • チャブーンです。

    この件ですが、グループポリシー自体がキチンと適用されている前提ですが、

    • 対象となるWindows 10クライアントのコンピュータアカウントの[属性エディター]からservicePrincipalNameに"TERMSRV/<クライアントホスト名>"と"TERMSRV/<クライアントのFQDN>"が入っていること
    • mstsc接続時に接続先をIPアドレスで「設定しない」こと

    を確認してください。接続先をFQDNで試してみるのも有効です。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • Als Antwort markiert 中村YX Mittwoch, 3. August 2022 04:14
    Dienstag, 2. August 2022 09:48
    Moderator

Alle Antworten

  • ドメインマシンのリモートデスクトップ接続の資格情報入力 - Microsoft コミュニティ からの継続ですね。

    そちらにコメントが付いていますが、リモートデスクトップ サービスへの接続であればシングル サインオンが可能です。

    windows リモートデスクトップ シングルサインオン - Google 検索


    Hebikuzure aka Murachi Akira

    Dienstag, 2. August 2022 04:13
  • 中村YXです。

    コミュニティへの発言が不適切ということでTECHNETに再投稿してコミュニティのほうは削除したつもりだったのですが、そちらにコメント付いてしまったのですね。すみません。

    リモート先がサーバーのリモートデスクトップサービスならSSOが可能なんですね。Windows10のクライアント同士でもリモート接続することがあるので、同じようにSSOできると良いのですが、グループポリシーで設定可能でしょうか。
    Dienstag, 2. August 2022 05:49
  • チャブーンです。

    この件ですが、WindowsマシンであればRemote Desktop Session Host(Server)であっても、Windows 10であっても、ターミナルサービスとしての基本仕様は同じなので、グループポリシーでSSOを実現することはできます。

    「既定の資格情報の委任を許可する」ポリシーを有効にしたうえ、「サーバーを一覧に追加」の項目で"TERMSRV/*"を追加します。使い方については、以下の資料が非常に分かりやすいです。

    How to enable Single Sign-On for my Terminal Server connections - Microsoft Tech Community

    なお、当たり前ですが、Windows 10リモートデスクトップはRDSHとは仕様が違います。なので、接続した先で「セッションの共用」のようなことは一切できません。他のユーザーが使用中の場合、ユーザーの切り替えを拒否されれば、接続は許容されないなど、制限が多い点はご理解ください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    Dienstag, 2. August 2022 07:14
    Moderator
  • 中村YXです。

    グループポリシーで「既定の資格情報の委任を許可する」を有効にしてみました。リモートデスクトップ接続のウィンドウに「Windows ログオン資格情報は、接続に使用されます。」と表示されたのでそのまま接続に進んだところ、「お使いの資格情報は機能しませんでした」となってログオンに失敗しました。

    互いに同じドメインに所属していてマシン名で接続しているので、ケルベロス認証は使っているはずですが、システムイベントやセキュリティイベントにはエラー項目は出ていないので、何が原因か不明です。

    Dienstag, 2. August 2022 08:23
  • チャブーンです。

    この件ですが、グループポリシー自体がキチンと適用されている前提ですが、

    • 対象となるWindows 10クライアントのコンピュータアカウントの[属性エディター]からservicePrincipalNameに"TERMSRV/<クライアントホスト名>"と"TERMSRV/<クライアントのFQDN>"が入っていること
    • mstsc接続時に接続先をIPアドレスで「設定しない」こと

    を確認してください。接続先をFQDNで試してみるのも有効です。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • Als Antwort markiert 中村YX Mittwoch, 3. August 2022 04:14
    Dienstag, 2. August 2022 09:48
    Moderator
  • 中村YXです。

    servicePrincipalNameにはTERMSRVに加えて、HOSTとRestrictedKrbHostのそれぞれの<クライアントホスト名>と<クライアントのFQDN>も存在していました。

    で、しばらくダメだったのですが、先ほど試したところSSOでリモート接続できました。ケルベロス認証のサービスチケットのキャッシュが更新されたんでしょうかね。

    解決です。ありがとうございました。

    Mittwoch, 3. August 2022 04:14