ターミナル サービス サーバーにグループ ポリシー オブジェクトを適用する方法

文書翻訳 文書翻訳
文書番号: 260370 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

Microsoft Windows 2000 ターミナル サービス サーバーは、アプリケーション サーバー モードではユーザー用にインストールされます。Windows 2000 ターミナル サービス サーバーが Windows 2000 Active Directory ドメイン内にある場合、ドメイン管理者は、ターミナル サービス サーバーにグループ ポリシー オブジェクト (GPO) を実装して、ユーザー環境を制御します。この資料では、ネットワーク上の他の Windows 2000 サーバーに悪影響を与えることなく、ターミナル サービスに GPO を適用するための推奨する方法について説明します。

詳細

ネットワーク上の他の Windows 2000 Server コンピュータに悪影響を与えることなく、ターミナル サービスに GPO を適用するには、2 つの方法があります。

方法 1

1 つ目の方法では、アプリケーション サーバー モードのターミナル サービス専用の組織単位 (OU) を作成します。この OU を使用すると、特定の GPO をアプリケーション サーバー モードのターミナル サービス コンピュータに対してのみ適用し、Active Directory ドメイン内の他のサーバーに影響を与えることなく、厳密に管理されたターミナル サービスをユーザーに提供できます。この OU にユーザーや他のコンピュータを含める必要はないため、ドメイン管理者はターミナル サービスの動作を精細に調整することができます。また、OU の管理は、サーバー オペレータや個々のユーザーなどの下位グループに委任することもできます。

ターミナル サービス サーバー用の新しい OU を作成するには、以下の手順を実行します。
  1. タスク バーの [スタート] ボタンをクリックし、[プログラム]、[管理ツール] の順にポイントして [Active Directory ユーザーとコンピュータ] をクリックします。
  2. 左側のウィンドウでツリーを展開します。
  3. domainname.xxx をクリックします。
  4. [操作] をクリックし、[新規作成] をポイントし、[組織単位 (OU)] をクリックします。
  5. [名前] ボックスに、ターミナル サービス サーバーの名前を入力します。
  6. [OK] をクリックします。

    新しいターミナル サービスの組織単位 (OU) が左側のウィンドウに表示されます。この OU にはデフォルトのオブジェクトは含まれていません。ターミナル サービス サーバーは、[Computer] または [Domain Controllers] のいずれかのコンテナ内に存在します。
  7. ターミナル サービス サーバーを探してクリックし、[操作] をクリックし、[移動] をクリックします。
  8. [移動] ダイアログ ボックスで、新しく作成したターミナル サービス サーバーの OU をクリックし、[OK] をクリックします。
  9. 新しいターミナル サービスの OU をクリックして、オブジェクトが正常に移動したことを確認します。
ターミナル サービスのグループ ポリシー オブジェクトを作成するには、以下の手順を実行します。
  1. 新しいターミナル サービスの OU をクリックします。
  2. [操作] をクリックし、[プロパティ] をクリックします。
  3. [グループ ポリシー] タブをクリックします。
  4. [新規] をクリックして、新しいグループ ポリシー オブジェクトを作成します。作成したグループ ポリシー オブジェクトに適切な名前を入力します。
  5. [編集] をクリックして、グループ ポリシーを編集します。

    : 関連する設定のほとんどは、[コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー] の順に展開した下にあります。たとえば、[ユーザー権利の割り当て] をクリックすると、右側のウィンドウに、ターミナル サービスのセッションにログオンするために必要な [ローカル ログオン] や、ターミナル サービス セッション以外でサーバーに接続するために必要な [ネットワーク経由でコンピュータへアクセス] が表示されます。また、[ユーザー権利の割り当て] では、ユーザーがシステムをシャットダウンすることを禁止する設定を行うこともできます。[セキュリティ オプション] の下には、Windows NT Server 4.0 および Terminal Server Edition の NTConfig.pol ファイルと同様の設定が含まれており、さまざまな制限事項を設定できます。このターミナル サービス サーバーの OU にはユーザーが含まれていないため、ユーザーに対するポリシー設定はここでは行いません。この資料では、コンピュータ ポリシーの実装についてのみ説明します。
  6. 編集が終了したら、グループ ポリシー エディタを終了し、[閉じる] をクリックして OU のプロパティのダイアログ ボックスを閉じます。

方法 2

2 つ目の方法では、GPO ループバック ポリシーを使用して、GPO をターミナル サービス サーバーのみに適用します。このポリシーにより、そのシステムでは、このポリシーの対象となるコンピュータにログオンするユーザーすべてに、そのコンピュータのグループ ポリシー オブジェクトが適用されます。このポリシーは、研究室や教室、一般に開放されている施設など、使用するコンピュータに応じてユーザー ポリシーを変更する必要がある場合に使用します。ループバックを使用しない場合、ユーザーのグループ ポリシー オブジェクトによって、どのユーザー ポリシーを適用するかが決定されます。このループバック ポリシーを有効にしておけば、適用されるグループ ポリシー オブジェクトは、ユーザーのコンピュータ オブジェクトの場所に基づいて決定されます。

この実装については、「サポート技術情報」 (Microsoft Knowledge Base) の次の資料で説明されています。
231287 グループ ポリシーのループバック処理
また、Windows NT 4.0 Terminal Services Edition のシステム ポリシーも、他の Windows NT サーバーとは異なる形で実装されています。これについては、「サポート技術情報」 (Microsoft Knowledge Base) の次の資料で説明されています。
192794 Terminal Server にシステム ポリシーを適用する方法
ユーザーには "ローカル ログオン" のユーザー権利が必要であるため、可能であれば、ターミナル サービスはドメイン コントローラではなく、Windows 2000 メンバ サーバーにインストールします。"ローカル ログオン" の権利をドメイン コントローラに与えると、Active Directory データベースの共有により、その権利がドメイン内のすべてのドメイン コントローラに与えられます。ターミナル サービスがアプリケーション サーバー モードでインストールされている場合、Windows 2000 メンバ サーバーには、デフォルトで、ローカル セキュリティ ポリシーの "ローカル ログオン" のユーザー権利が付与されます。

"ローカル ログオン" の権利の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
247989 [NT]Terminal Server クライアントがドメイン コントローラにログオンできない
234237 Windows 2000 ドメイン コントローラへの "ローカル ログオン" 権利を割り当てる方法
Windows NT 4.0 Terminal Services Edition でも、ドメイン コントローラに "ローカル ログオン" のユーザー権利を付与すると、同様の問題が発生します。この場合、セキュリティ アカウント マネージャ (SAM) データベースがプライマリ ドメイン コントローラ (PDC) からすべてのバックアップ ドメイン コントローラにレプリケートされるためです。

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
186529 ローカル ポリシーが対話的なログオンを許可しない


ターミナル サーバーのコンピュータ アカウントを、ループバック用に作成した GPO のセキュリティ プロパティに追加する必要があります。これを行うには、以下の手順を実行します。

  1. ループバック用に作成した GPO のプロパティを開き、[セキュリティ] タブをクリックします。
  2. [追加] をクリックします。
  3. [場所] ボックスに対象のドメインが表示されていることを確認し、一覧からコンピュータ アカウントをクリックし、[追加] をクリックし、[OK] をクリックします。
  4. [アクセス許可] ボックスの一覧で、[読み取り] および [グループ ポリシーの適用] の [許可] 列のチェック ボックスをオンにします。
  5. [OK] をクリックしてポリシー設定を保存します。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 260370 (最終更新日 2004-12-22) を基に作成したものです。

プロパティ

文書番号: 260370 - 最終更新日: 2005年1月28日 - リビジョン: 2.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
キーワード:?
kbenv kbhowto kbinfo kbtermserv KB260370
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com