Microsoft Active Directory で登録エージェントユーザーと NLA ユーザーを作成する必要があります。ここでは、それらのユーザーの作成方法を説明します。
登録エージェントユーザーアカウント
登録エージェントユーザーアカウントは、認証ユーザーの代わりに RAS 登録サーバーによって証明書を登録するために必要です。登録エージェントのユーザーには、RAS 登録サーバーエージェントがインストールされているマシンのログオン権限が必要です。
NLA ユーザーアカウント
NLA ユーザーは、RD セッションホストや VDI ゲストとの NLA 接続を開始するときに必要になります。NLA ユーザーには、セッションホストへのログオン権限が必要です。
NLA ユーザーは、Remote Desktop Users グループのメンバーでなければならず、このユーザーには [リモートデスクトップサービスを使ったログオンを許可] の権限を与える必要があります。その一方で、NLA ユーザーに対して、リモートデスクトップサービスを使ったログオンを禁止しなければなりません。
NLA ユーザーアカウントを除外するために、ユーザー権限、[リモートデスクトップサービスを使ったログオンを拒否] をそのアカウントに割り当ててください。
その両方の目的を達成するために、ローカルまたはドメインの GPO(OU またはドメイン全体にリンクした GPO)を使用できます。
このポリシー設定を有効にするために、デバイスを再起動する必要はありません。アカウントのユーザー権限の割り当てを変更すると、そのアカウントの所有者が次回ログオンしたときに、その変更が有効になります。
グループポリシー設定は、GPO によって以下の順序で適用され、その結果、グループポリシーの次回の更新時にローカルコンピューターの設定が上書きされます。
ローカルポリシー設定
サイトポリシー設定
ドメインポリシー設定
OU ポリシー設定
以下のようにして、新しい GPO を作成するか、既定のドメインポリシー GPO を使用します。
グループポリシー管理コンソール(GPMC)を開きます。
RDSH オブジェクトまたは VDI オブジェクトが入っている OU にリンクされている GPO を開くか、作成します。
[コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカルポリシー] > [ユーザー権利の割り当て] に移動し、[リモートデスクトップサービスを使ったログオンを許可] オプションを開きます。
ユーザーまたはグループを追加し、NLA ユーザーを追加し、[OK] をクリックします。
注: このオプションによって既定の設定が上書きされるので(ワークステーションとサーバーでは管理者とリモートデスクトップユーザー、ドメインコントローラーでは管理者)、ローカル管理者グループやドメイン管理者グループなどを忘れずに追加してください。
[コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [ローカルポリシー] > [ユーザー権限の割り当て] に移動し、[リモートデスクトップサービスを使ったログオンを拒否] オプションを開きます。
ユーザーまたはグループを追加し、NLA ユーザーを追加し、[OK] をクリックします。