ラボで必要になったのでGPOを作成。Windows2019で動作した設定をメモ。
TOC
グループをRDPでアクセスで許可する
- コンピュータの構成 > ポリシー > Windowsの設定 > セキュリティの設定 > ローカルポリシー > ユーザー権限の割り当て
リモートデスクトップサービスを使ったログオンを許可にてRDPを許可するユーザもしくはグループを追加する。今回はRemote Desktop Usersを追加。
![](https://eng-investor.com/wp-content/uploads/2021/11/AD2-Administrator-192.168.10.28-Remote-Desktop-Connection-Manager-v2.83-Sysinternals_-www.sysinternals.com-2021-11-15-07.07.51.png)
- コンピュータの構成 > ポリシー > Windowsの設定 > セキュリティの設定 > 制限されたグループ
RDPを許可グループを追加する。 Remote Desktop Usersを追加。
注意
自環境の問題なのかわからないが、メンバーとして該当のユーザを直接指定しないとRDPができなかった。グループを指定しているので、この設定は不要のはず。
![](https://eng-investor.com/wp-content/uploads/2021/11/image-4.png)
![](https://eng-investor.com/wp-content/uploads/2021/11/image-5.png)
RDPサービスの有効化
ローカルでRDPを起動している場合には不要。GPOで設定したいならばこれらも有効化する必要がある。
- コンピュータの構成 > ポリシー > Windowsの設定 > セキュリティの設定 > システムサービス
自動でRDPサービスを起動
![](https://eng-investor.com/wp-content/uploads/2021/11/image-6.png)
- コンピュータの構成 > ポリシー > 管理用テンプレート > Windowsコンポーネント > リモートデスクトップ サービス > リモートデスクトップ セッション ホスト > セキュリティ
ネットワークレベル認証を利用した認証を必要とする。
![](https://eng-investor.com/wp-content/uploads/2021/11/image-7-1024x441.png)
- コンピュータの構成 > ポリシー > 管理用テンプレート > Windowsコンポーネント > リモートデスクトップ サービス > リモートデスクトップ セッション ホスト > 接続
ユーザがリモートデスクトップに接続できることを有効化する。
![](https://eng-investor.com/wp-content/uploads/2021/11/image-8-1024x446.png)
RDP用ポートの許可
- コンピュータの構成 > ポリシー > Windowsの設定 > セキュリティの設定 > セキュリティが強化されたWindows Defender ファイアウォール > セキュリティが強化されたWindows Defender ファイアウォール > 受信の規則
ここで新しい規則から事前定義のリモートデスクトップを許可します。
![](https://eng-investor.com/wp-content/uploads/2021/11/image-9.png)
GPOの適用
GPOを該当のホストが存在するOUに適用します。
![](https://eng-investor.com/wp-content/uploads/2021/11/image-10.png)
GPOをリアルタイムで適用するために、適用されるホストにて下記コマンドを実行。
gpupdate /fource
GPOが適用されているかどうかも確認しましょう
gpresult /r
![](https://eng-investor.com/wp-content/uploads/2021/11/image-11.png)