ドメインの一般ユーザがリモートデスクトップに接続できない。

Administrator 以外の一般ユーザがリモートデスクトップPCを利用できない

リモートデスクトップ 接続できない。 認証エラー
ターミナルサービスを使ったログオンを許可されていない
ネットワークレベル認証でリモートデスクトップを実行しているコンピューターからのみ接続を許可する。
ログインできるコンピューターがシステム管理者により制限されています
このユーザーアカウントはリモートログインを許可されていないため、接続は拒否されました。



- 現象 -

ドメインに参加しているPCに対して Administrator@mydomain.intra ユーザがログオンすることができるが、一般ユーザ user@mydomain.intra がログインできない。MSTSC からログインしようとすると

このリモートコンピューターにログオンするには"ターミナルサービスを使ったログオンを許可する" 権利が必要です.....」


ドメインの一般ユーザがリモートデスクトップに接続できない。_a0056607_11044474.jpg

と表示されログインできない。なお、このユーザは "Remote Desktop Users" グループに所属させている。

ドメインの一般ユーザがリモートデスクトップに接続できない。_a0056607_11052581.jpg
Windows11 以降のリモートデスクトップ:よくあるトラブル

Windows11po 23H2 ローカルアカウントのパスワードを変更できない


- 対策 -

リモートデスクトップPCに接続するユーザを「対象のPC」にリモートデスクトップ接続できる様にリストに追加する必要がある。

具体的には、Administrator@mydomain.intra でログインしてから、コンピューター > 右ボタン「プロパティ」 > リモートデスクトップ接続、の中の「ユーザの選択」の中に「追加」ボタンから、リモートデスクトップ接続を許可するドメインユーザ(もしくは別途作成したユーザグループにユーザを追加し)を検索して「追加」する必要がある。

ドメインの一般ユーザがリモートデスクトップに接続できない。_a0056607_11060802.jpg

ちなみに、このグループに Built in Group である"Remote Desktop Users" はリストに出ないため選べない。(すごい仕様だ)

ドメインの一般ユーザがリモートデスクトップに接続できない。_a0056607_09310267.jpg

ビルトインの Remote Desktop Group なんてないじゃん。

この作業を行わないと、ドメインユーザがVDIなどのサーバーにインストールされた仮想PCのリモートデスクトップが利用できない。

ドメインの一般ユーザがリモートデスクトップに接続できない。_a0056607_09313717.jpg
これはおなじみだったりする





ちなみに、この問題のユーザを ドメインの中で "Remote Desktop Group" から削除しても、ローカルPCにリモートデスクトップユーザ、あるいはユーザグループとして登録しておけば、問題なく接続できる。(つまりDCで Remote Desktop User を設定しても無意味なんだな、何のためのDCなのよ...とほほ)DCサーバー側からの制御はできない。

ドメインの一般ユーザがリモートデスクトップに接続できない。_a0056607_11052581.jpg

本当か .....? ってかこの方法しかなかったンだけど、他にいいアイディアがある方はコメントください。


ちなみにユーザかグループは選べるが、コンテナ(OU) は選択できない非常におバカな仕様である。当たり前だが Novell eDirectory よりバカだな、やっぱり Windows って。


今すぐできる Windows リモートデスクトップの脆弱対策:医療機関でのランサムウェア被害からの反省で私達が学ぶもの

大病院で起きた大規模サイバーテロ:閉塞網が作る慢心が産んだ惨事





ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)

PR








by islandcenter | 2016-04-01 11:13 | Windows | Comments(0)