Active Directory のユーザーアカウントの構成

Microsoft Active Directory で登録エージェントユーザーと NLA ユーザーを作成する必要があります。ここでは、それらのユーザーの作成方法を説明します。

登録エージェントユーザーアカウント

登録エージェントユーザーアカウントは、認証ユーザーの代わりに RAS 登録サーバーによって証明書を登録するために必要です。登録エージェントのユーザーには、RAS 登録サーバーエージェントがインストールされているマシンのログオン権限が必要です。

NLA ユーザーアカウント

NLA ユーザーは、RD セッションホストや VDI ゲストとの NLA 接続を開始するときに必要になります。NLA ユーザーには、セッションホストへのログオン権限が必要です。

NLA ユーザーは、Remote Desktop Users グループのメンバーでなければならず、このユーザーには [リモートデスクトップサービスを使ったログオンを許可] の権限を与える必要があります。その一方で、NLA ユーザーに対して、リモートデスクトップサービスを使ったログオンを禁止しなければなりません。

NLA ユーザーアカウントを除外するために、ユーザー権限、[リモートデスクトップサービスを使ったログオンを拒否] をそのアカウントに割り当ててください。

その両方の目的を達成するために、ローカルまたはドメインの GPO(OU またはドメイン全体にリンクした GPO)を使用できます。

このポリシー設定を有効にするために、デバイスを再起動する必要はありません。アカウントのユーザー権限の割り当てを変更すると、そのアカウントの所有者が次回ログオンしたときに、その変更が有効になります。

グループポリシー設定は、GPO によって以下の順序で適用され、その結果、グループポリシーの次回の更新時にローカルコンピューターの設定が上書きされます。

  1. ローカルポリシー設定
  2. サイトポリシー設定
  3. ドメインポリシー設定
  4. OU ポリシー設定

以下のようにして、新しい GPO を作成するか、既定のドメインポリシー GPO を使用します。

  1. グループポリシー管理コンソール(GPMC)を開きます。
  2. RDSH オブジェクトまたは VDI オブジェクトが入っている OU にリンクされている GPO を開くか、作成します。
  3. [コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカルポリシー] > [ユーザー権利の割り当て] に移動し、[リモートデスクトップサービスを使ったログオンを許可] オプションを開きます。
  4. ユーザーまたはグループを追加し、NLA ユーザーを追加し、[OK] をクリックします。
  5. [コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカルポリシー] > [ユーザー権限の割り当て] に移動し、[リモートデスクトップサービスを使ったログオンを拒否] オプションを開きます。
  6. ユーザーまたはグループを追加し、NLA ユーザーを追加し、[OK] をクリックします。
Was this topic helpful?