AWS Managed Microsoft AD または Simple AD のグループポリシーを使用して、ドメインユーザーに EC2 Windows インスタンスへの RDP アクセスを許可する方法を教えてください。
Amazon Elastic Compute Cloud (Amazon EC2) Windows インスタンスは、Microsoft Active Directory またはSimple Active Directory (Simple AD) の AWS ディレクトリサービスに参加しています。ドメインユーザーにインスタンスへのリモートデスクトッププロトコル (RDP) アクセスを許可したいです。組み込みの Remote Desktop Users グループをドメインユーザーとして使用して接続しようとすると、次のメッセージが表示されます。 「The connection was denied because the user account is not authorized for remote login.」
簡単な説明
AWS Managed Microsoft AD と Simple AD では、組み込みのリモートデスクトップユーザードメイングループにドメインユーザーを追加することはできません。代わりに、組み込みの管理者アカウントを使用してグループポリシーオブジェクト (GPO) を作成し、そのポリシーを委任されたコンピュータに適用します。
**注記:**GPO は、ポリシーがリンクされている組織単位 (OU) 内のすべてのコンピュータに適用されます。次の手順を使用してユーザーをグループに追加すると、そのユーザーは OU 内の任意のコンピューターに RDP アクセスできるようになります。
解決策
前提条件:
- EC2 の Windows インスタンス (Windows Server 2012 R2 以降) を、Simple AD または AWS Managed Microsoft AD ディレクトリに参加させます。
- インスタンスに Active Directory ツールをインストールします。
ドメインユーザーに EC2 Windows インスタンスへの RDP アクセスを許可する
ドメインユーザーがドメインに参加した Windows インスタンスに RDP アクセスを許可するには、次の手順を実行します。
- RDP を使用して、Windows EC2 インスタンスに接続します。
- ユーザーを作成します。複数のユーザーが必要な場合は、この手順を繰り返してください。
- セキュリティグループを作成します。後のステップに備えて、セキュリティグループ名を書き留めておきます。
- 新しいユーザーを新しいセキュリティグループに追加します。
- [グループポリシー管理] を開きます。ドメインの [フォレスト] を選択し、[ドメイン] を展開してから、ドメイン名を展開します。
- 委任された OU (ディレクトリの NetBIOS 名) を展開します。[コンピュータ] のコンテキストメニューを開き、[Create a GPO in this domain, and Link it here] を選択します。
- [名前] に名前を入力し、[OK] を選択します。
- ナビゲーションペインで、[コンピュータ] を展開します。ポリシーのコンテキストメニューを開き、[編集] を選択します。
- ナビゲーションペインの [コンピュータの構成] で、[環境設定] を展開し、[コントロールパネルの設定] を展開します。
- ローカルユーザーとグループのコンテキストメニューを開きます。
- [新規] を選択し、[ローカルグループ] を選択します。
- [グループ名] で [リモートデスクトップユーザー (ビルトイン)] を選択し、[追加] を選択します。
- [名前] に、作成したセキュリティグループの名前を入力し、[OK] を選択します。または、コンテキストメニューを開いてセキュリティグループ名を入力し、[名前の確認] を選択します。
- [OK] を選択します。
ポリシーは、次のポリシー更新間隔で環境を更新します。ポリシーをすぐに適用するには、ターゲットサーバーで gpupdate /force コマンドを実行します。
関連情報
関連するコンテンツ
- AWS公式更新しました 4年前
