2016年 04月 01日
ドメインの一般ユーザがリモートデスクトップに接続できない。
ドメインに参加しているPCに対して Administrator@mydomain.intra ユーザがログオンすることができるが、一般ユーザ user@mydomain.intra がログインできない。MSTSC からログインしようとすると「このリモートコンピューターにログオンするには"ターミナルサービスを使ったログオンを許可する" 権利が必要です.....」と表示されログインできない。なお、このユーザは "Remote Desktop Users" グループに所属させている。Windows11 以降のリモートデスクトップ:よくあるトラブル
Windows11po 23H2 ローカルアカウントのパスワードを変更できない
リモートデスクトップPCに接続するユーザを「対象のPC」にリモートデスクトップ接続できる様にリストに追加する必要がある。具体的には、Administrator@mydomain.intra でログインしてから、コンピューター > 右ボタン「プロパティ」 > リモートデスクトップ接続、の中の「ユーザの選択」の中に「追加」ボタンから、リモートデスクトップ接続を許可するドメインユーザ(もしくは別途作成したユーザグループにユーザを追加し)を検索して「追加」する必要がある。
ちなみに、このグループに Built in Group である"Remote Desktop Users" はリストに出ないため選べない。(すごい仕様だ)
ビルトインの Remote Desktop Group なんてないじゃん。 この作業を行わないと、ドメインユーザがVDIなどのサーバーにインストールされた仮想PCのリモートデスクトップが利用できない。これはおなじみだったりする
ちなみに、この問題のユーザを ドメインの中で "Remote Desktop Group" から削除しても、ローカルPCにリモートデスクトップユーザ、あるいはユーザグループとして登録しておけば、問題なく接続できる。(つまりDCで Remote Desktop User を設定しても無意味なんだな、何のためのDCなのよ...とほほ)DCサーバー側からの制御はできない。 本当か .....? ってかこの方法しかなかったンだけど、他にいいアイディアがある方はコメントください。ちなみにユーザかグループは選べるが、コンテナ(OU) は選択できない非常におバカな仕様である。当たり前だが Novell eDirectory よりバカだな、やっぱり Windows って。
今すぐできる Windows リモートデスクトップの脆弱対策:医療機関でのランサムウェア被害からの反省で私達が学ぶもの
大病院で起きた大規模サイバーテロ:閉塞網が作る慢心が産んだ惨事
ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)PR