現在の設定について説明します。従業員は Windows VPN サーバー (RAS) 経由でリモート アクセスすることができます。パスワードを知っていても、ドメイン管理者としてサーバー/ワークステーションにログインできないようにするルールを適用する方法はありますか?
答え1
まず、エンド ユーザーはドメイン管理者のパスワードを決して知ってはいけません。知っている場合は、パスワードを変更する必要があります。それ以外の場合は、本質的に信頼できるはずなので、この問題について心配する必要はありません。ドメイン管理者と (ローカル) 管理者は、自動的にリモート デスクトップ ユーザーのローカル グループとドメイン グループの一部であり、簡単に削除できるとは思えません。
パーKB323381Active Directory ユーザーとコンピューターを開き、ユーザーを右クリックして、ダイヤルイン (タブ) を選択し、アクセスの許可のチェックを外します。記事では、RAS サーバーの設定によってすべてのユーザーがアクセスできるかどうかが制御されると説明されています (詳細は下記を参照)。そのため、指定されたユーザーのみがアクセスできるように設定を変更する必要がある場合があります。
- [スタート] をクリックし、[管理ツール] をポイントして、[ルーティングとリモート アクセス] をクリックします。
- Your_Server_Name をダブルクリックし、[リモート アクセス ポリシー] をクリックします。
- [Microsoft ルーティングとリモート アクセス サーバーへの接続] を右クリックし、[プロパティ] をクリックします。
- [リモート アクセス許可を付与する] をクリックし、[OK] をクリックします。
2016年のドメインフォレストでは、ADユーザーを右クリックしてリモートデスクトップサービスプロファイルに移動すると、「このユーザーにリモートデスクトップセッションホストサーバーへのログオン権限を拒否する」というチェックボックスが表示されます。