# Active Directory のユーザーアカウントの構成

Microsoft Active Directory で登録エージェントユーザーと NLA ユーザーを作成する必要があります。ここでは、それらのユーザーの作成方法を説明します。

**登録エージェントユーザーアカウント**

登録エージェントユーザーアカウントは、認証ユーザーの代わりに RAS 登録サーバーによって証明書を登録するために必要です。登録エージェントのユーザーには、RAS 登録サーバーエージェントがインストールされているマシンのログオン権限が必要です。

**NLA ユーザーアカウント**

NLA ユーザーは、RD セッションホストや VDI ゲストとの NLA 接続を開始するときに必要になります。NLA ユーザーには、セッションホストへのログオン権限が必要です。

NLA ユーザーは、Remote Desktop Users グループのメンバーでなければならず、このユーザーには **\[リモートデスクトップサービスを使ったログオンを許可]** の権限を与える必要があります。その一方で、NLA ユーザーに対して、リモートデスクトップサービスを使ったログオンを禁止しなければなりません。

NLA ユーザーアカウントを除外するために、ユーザー権限、**\[リモートデスクトップサービスを使ったログオンを拒否]** をそのアカウントに割り当ててください。

その両方の目的を達成するために、ローカルまたはドメインの GPO（OU またはドメイン全体にリンクした GPO）を使用できます。

このポリシー設定を有効にするために、デバイスを再起動する必要はありません。アカウントのユーザー権限の割り当てを変更すると、そのアカウントの所有者が次回ログオンしたときに、その変更が有効になります。

グループポリシー設定は、GPO によって以下の順序で適用され、その結果、グループポリシーの次回の更新時にローカルコンピューターの設定が上書きされます。

1. ローカルポリシー設定
2. サイトポリシー設定
3. ドメインポリシー設定
4. OU ポリシー設定

以下のようにして、新しい GPO を作成するか、既定のドメインポリシー GPO を使用します。

1. グループポリシー管理コンソール（GPMC）を開きます。
2. RDSH オブジェクトまたは VDI オブジェクトが入っている OU にリンクされている GPO を開くか、作成します。
3. **\[コンピューターの構成]** > **\[Windows の設定]** > **\[セキュリティの設定]** > **\[ローカルポリシー]** > **\[ユーザー権利の割り当て]** に移動し、\[リモートデスクトップサービスを使ったログオンを許可] オプションを開きます。
4. ユーザーまたはグループを追加し、NLA ユーザーを追加し、**\[OK]** をクリックします。

* **注:** このオプションによって既定の設定が上書きされるので（ワークステーションとサーバーでは管理者とリモートデスクトップユーザー、ドメインコントローラーでは管理者）、ローカル管理者グループやドメイン管理者グループなどを忘れずに追加してください。
* **\[コンピューターの構成]** > **\[Windows の設定]** > **\[セキュリティの設定]** > **\[ローカルポリシー]** > **\[ユーザー権限の割り当て]** に移動し、**\[リモートデスクトップサービスを使ったログオンを拒否]** オプションを開きます。
* ユーザーまたはグループを追加し、NLA ユーザーを追加し、**\[OK]** をクリックします。