ターミナル サービス サーバーにグループ ポリシー オブジェクトを適用する方法

  • [アーティクル]

この記事では、グループ ポリシー オブジェクトをターミナル サービス サーバーに適用する方法について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 260370

概要

Microsoft Windows Server 2003 ターミナル サービス サーバーと Microsoft Windows 2000 ターミナル サービス サーバーは、アプリケーション サーバー モードのユーザー向けにインストールされます。 ターミナル サービス サーバーが Active Directory ドメイン内にある場合、ドメイン管理者はターミナル サービス サーバーにグループ ポリシー オブジェクト (GPO) を実装してユーザー環境を制御します。 この記事では、ネットワーク上の他のサーバーに悪影響を与えることなく、ターミナル サービスに GPO を適用する推奨されるプロセスについて説明します。

詳細

ネットワーク上の他のサーバーに悪影響を与えずにターミナル サービスに GPO を適用するには、2 つの方法があります。

方法 1

ターミナル サーバー コンピューターを独自の組織単位 (OU) に配置します。 この構成により、関連するコンピューター構成設定をターミナル サーバー コンピューターにのみ適用される GPO に配置できます。 この構成は、ワークステーションや他のサーバーでのユーザー エクスペリエンスには影響しません。これにより、ユーザーに対して厳密に制御されたターミナル サーバー エクスペリエンスを作成できます。 ドメイン管理者がターミナル サービス エクスペリエンスを微調整できるように、この OU にはユーザーや他のコンピューターを含めないようにしてください。 OU は、サーバーオペレーターや個々のユーザーなどの下位グループに制御を委任することもできます。

ターミナル サービス サーバーの新しい OU を作成するには、次の手順に従います。

  1. [スタート] をクリックし、[プログラム] をポイントし、[管理ツール] をポイントして、[Active Directory ユーザーとコンピューター] をクリックします。

  2. 左側のウィンドウを展開します。

  3. domainname.xxx をクリックします。

  4. [アクション] メニューの [新規] をクリックし、[組織単位] をクリックします。

  5. [名前] ボックスに、ターミナル サービス サーバーの名前を入力します。

  6. [OK] をクリックします。

    新しいターミナル サービス OU が左側のウィンドウの一覧に表示され、既定のオブジェクトは含めなくなりました。 ターミナル サービス サーバーは、コンピューター OU またはドメイン コントローラー OU に存在します。

  7. ターミナル サービス サーバーまたはサーバーを見つけてクリックし、[アクション] をクリックし、[移動] をクリックします。

  8. [移動] ダイアログ ボックスで、新しいターミナル サービス サーバーまたはサーバーをクリックし、[OK] をクリックします。

  9. 新しいターミナル サービス OU をクリックして、移動が正常に行われたことを確認します。

ターミナル サービス グループ ポリシー オブジェクトを作成するには、次の手順に従います。

  1. 新しいターミナル サービス OU をクリックします。

  2. [アクション] メニューの [プロパティ] をクリックします。

  3. [グループ ポリシー] タブをクリックします。

  4. [新規] をクリックして、New グループ ポリシー オブジェクトを作成します。

  5. [編集] をクリックしてグループ ポリシーを変更します。

    注:

    関連する設定のほとんどは、[コンピューターの構成]、[セキュリティ設定]、または [ローカル ポリシー] の下にあります。 たとえば、右側の一覧の [ユーザー権利の割り当て] の下に [ ローカルでログオン] が表示されます。 この設定は、ターミナル サービスのセッションにログオンするために必要です。 ネットワークからこのコンピューターにアクセスすることもできます。 ターミナル サービス セッションの外部でサーバーに接続するには、この設定が必要です。 これは、ユーザーがシステムをシャットダウンできないようにすることもできます。 [セキュリティ オプション] フォルダーは、制限の多くを行う必要があり、Windows NT 4.0 Server およびターミナル サーバー エディションの NTConfig.pol ファイルと同様の設定がある場所です。 ユーザーがターミナル サービス サーバーを使用してこの OU に配置されていないため、ポリシーのユーザー部分の設定をここで適用しないでください。 この記事は、コンピューター ポリシーの実装のために記述されています。

  6. 変更が完了したら、グループ ポリシー エディターを閉じ、[閉じる] をクリックして OU のプロパティを閉じます。

方法 2

グループ ポリシー ループバック機能を使用して、ユーザーがターミナル サーバーにログオンするときにのみユーザー構成 GPO 設定をユーザーに適用します。 ターミナル サーバーのみを含む OU 内のコンピューターに対して GPO ループバック処理が有効になっている場合、それらのコンピューターは、その OU に適用される GPO のセットのユーザー構成設定を適用します。 さらに、これらのコンピューターは、ユーザーのアカウントを含む OU にリンクまたは継承される GPO のユーザー構成設定を適用します。

この実装については、次のサポート技術情報の記事を参照してください。
グループ ポリシーのループバック処理の231287

可能な場合は、ユーザーがローカルでログオンするユーザー権限が必要なため、ターミナル サービスはドメイン コントローラーではなくメンバー サーバーにインストールする必要があります。 ログオンローカル権限がドメイン コントローラーに割り当てられると、共有 Active Directory データベースのためにドメイン内のすべてのドメイン コントローラーに割り当てられます。 既定では、ターミナル サービスがアプリケーション サーバー モードでインストールされている場合、メンバー サーバーにはローカル セキュリティ ポリシーでローカル ユーザーのログオン権限が付与されます。

詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示します。

186529 ローカル ポリシーでは、対話形式でログオンすることはできません

ターミナル サーバーのコンピューター アカウントは、ループバック用に作成される GPO のセキュリティ プロパティに追加する必要があります。 これを行うには、次の手順に従います。

  1. ループバック用に作成された GPO を選択し、[ プロパティ] をクリックします。
  2. [ セキュリティ ] タブをクリックし、[ 追加] をクリックします。
  3. [ ユーザー、コンピューター、またはグループの選択 ] ボックスで、コンピューター アカウントを選択し、[OK] をクリック します
  4. [ グループ名またはユーザー名 ] ボックスからコンピューター アカウントをクリックします。
  5. [コンピューター名のアクセス許可] ボックスで、[許可] 列の [読み取り] ボックスと [グループ ポリシー適用] チェック ボックスをクリックして選択します。
  6. [OK] を 2 回クリックしてポリシー設定を閉じて保存します。

データ収集

Microsoft サポートからの支援が必要な場合は、「TSS を使用して情報を収集する」で説明されている手順に従って情報グループ ポリシー収集することをお勧めします。