Active Directory のユーザーアカウントの構成

Microsoft Active Directory で登録エージェントユーザーと NLA ユーザーを作成する必要があります。ここでは、それらのユーザーの作成方法を説明します。

登録エージェントユーザーアカウント

登録エージェントユーザーアカウントは、認証ユーザーの代わりに RAS 登録サーバーによって証明書を登録するために必要です。登録エージェントのユーザーには、RAS 登録サーバーエージェントがインストールされているマシンのログオン権限が必要です。

NLA ユーザーアカウント

NLA ユーザーは、RD セッションホストや VDI ゲストとの NLA 接続を開始するときに必要になります。NLA ユーザーには、セッションホストへのログオン権限が必要です。

NLA ユーザーは、Remote Desktop Users グループのメンバーでなければならず、このユーザーには [リモートデスクトップサービスを使ったログオンを許可] の権限を与える必要があります。その一方で、NLA ユーザーに対して、リモートデスクトップサービスを使ったログオンを禁止しなければなりません。

NLA ユーザーアカウントを除外するために、ユーザー権限、[リモートデスクトップサービスを使ったログオンを拒否] をそのアカウントに割り当ててください。

その両方の目的を達成するために、ローカルまたはドメインの GPO（OU またはドメイン全体にリンクした GPO）を使用できます。

このポリシー設定を有効にするために、デバイスを再起動する必要はありません。アカウントのユーザー権限の割り当てを変更すると、そのアカウントの所有者が次回ログオンしたときに、その変更が有効になります。

グループポリシー設定は、GPO によって以下の順序で適用され、その結果、グループポリシーの次回の更新時にローカルコンピューターの設定が上書きされます。

1. ローカルポリシー設定
2. サイトポリシー設定
3. ドメインポリシー設定
4. OU ポリシー設定

以下のようにして、新しい GPO を作成するか、既定のドメインポリシー GPO を使用します。

1. グループポリシー管理コンソール（GPMC）を開きます。
2. RDSH オブジェクトまたは VDI オブジェクトが入っている OU にリンクされている GPO を開くか、作成します。
3. [コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカルポリシー] > [ユーザー権利の割り当て] に移動し、[リモートデスクトップサービスを使ったログオンを許可] オプションを開きます。
4. ユーザーまたはグループを追加し、NLA ユーザーを追加し、[OK] をクリックします。

   注: このオプションによって既定の設定が上書きされるので（ワークステーションとサーバーでは管理者とリモートデスクトップユーザー、ドメインコントローラーでは管理者）、ローカル管理者グループやドメイン管理者グループなどを忘れずに追加してください。

5. [コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカルポリシー] > [ユーザー権限の割り当て] に移動し、[リモートデスクトップサービスを使ったログオンを拒否] オプションを開きます。
6. ユーザーまたはグループを追加し、NLA ユーザーを追加し、[OK] をクリックします。