ラボで必要になったのでGPOを作成。Windows2019で動作した設定をメモ。
TOC
グループをRDPでアクセスで許可する
- コンピュータの構成 > ポリシー > Windowsの設定 > セキュリティの設定 > ローカルポリシー > ユーザー権限の割り当て
リモートデスクトップサービスを使ったログオンを許可にてRDPを許可するユーザもしくはグループを追加する。今回はRemote Desktop Usersを追加。
- コンピュータの構成 > ポリシー > Windowsの設定 > セキュリティの設定 > 制限されたグループ
RDPを許可グループを追加する。 Remote Desktop Usersを追加。
注意
自環境の問題なのかわからないが、メンバーとして該当のユーザを直接指定しないとRDPができなかった。グループを指定しているので、この設定は不要のはず。
RDPサービスの有効化
ローカルでRDPを起動している場合には不要。GPOで設定したいならばこれらも有効化する必要がある。
- コンピュータの構成 > ポリシー > Windowsの設定 > セキュリティの設定 > システムサービス
自動でRDPサービスを起動
- コンピュータの構成 > ポリシー > 管理用テンプレート > Windowsコンポーネント > リモートデスクトップ サービス > リモートデスクトップ セッション ホスト > セキュリティ
ネットワークレベル認証を利用した認証を必要とする。
- コンピュータの構成 > ポリシー > 管理用テンプレート > Windowsコンポーネント > リモートデスクトップ サービス > リモートデスクトップ セッション ホスト > 接続
ユーザがリモートデスクトップに接続できることを有効化する。
RDP用ポートの許可
- コンピュータの構成 > ポリシー > Windowsの設定 > セキュリティの設定 > セキュリティが強化されたWindows Defender ファイアウォール > セキュリティが強化されたWindows Defender ファイアウォール > 受信の規則
ここで新しい規則から事前定義のリモートデスクトップを許可します。
GPOの適用
GPOを該当のホストが存在するOUに適用します。
GPOをリアルタイムで適用するために、適用されるホストにて下記コマンドを実行。
gpupdate /fourceGPOが適用されているかどうかも確認しましょう
gpresult /r
