それマグで!

知識はカップより、マグでゆっくり頂きます。 takuya_1stのブログ

習慣に早くから配慮した者は、 おそらく人生の実りも大きい。

Windows Proのリモートデスクトップ許可・拒否するグループとユーザーを設定する

リモートデスクトップのセキュリティ

Windows Proでもリモートデスクトップのユーザーごとの制限ができる。

Windows ServerとADがあればもっと別な方法があるのだろうが。自前PCなら、ローカル・セキュリティポリシとPro版で十分であると思う。

グループポリシー(ローカル)を起動する

gpedit.msc

Win-R を押して gpedit.msc を入力してEnter

グループポリシーが起動したら「ユーザ権限の割当」

次の順にたどります。 - コンピュータの構成 - Windowsの設定 - セキュリティの設定 - ローカルポリシー - ユーザー権利の割当

リモートデスクトップを使ったログオンの許可

許可設定でリモートデスクトップを使ったログオンを許可するグループが設定されています。

AdministratorsグループとRemote Desktop Users *1が許可されています。

リモートデスクトップを使ったログオンの拒否

リモートデスクトップでログインさせたくない、ユーザやグループを列挙します。

RDPのセキュリティはユーザ単位で

RDPの設定は、セキュリティ単位をIPアドレス制限にしてしまう個人ブログが見られるが、基本的には、ユーザーグループ単位で許可するのが基本。それをやったうえで、IPアドレス制限にするといい。

っていうか、IPアドレス制限やユーザー制限をやりたいと考える場合、個人所有PCの場合は、パスワードを入力したくない欲求があるんじゃないだろうか。「パスワードの単純化」のために行っているとしたらそれは暴挙である。Google HomeAmazon Echoなどデバイスが家庭内にあふれ、IPv6が家庭内に割り当てられている現代において、パスワードなしや単純なパスワードでRDPを許可するなど恐ろしいことです。

*1:たしかWin7以降は使わない歴史的経緯