AWS Managed Microsoft AD もしくは Simple AD のグループポリシーを使用して、EC2 Windows インスタンスへの RDP アクセスをドメインユーザーに許可する方法を教えてください。
Amazon Elastic Compute Cloud (Amazon EC2) Windows インスタンスを、AWS Directory Service for Microsoft Active Directory や、Simple Active Directory (Simple AD) と結合しています。ドメインユーザーが、そのインスタンスに対し、リモートデスクトッププロトコル (RDP) アクセスできるようにしたいと考えています。ドメインユーザーとして組み込みのリモートデスクトップユーザーグループを使用して接続しようとすると、「The connection was denied because the user account is not authorized for remote login」(ユーザーアカウントにリモートログインが許可されていないため、接続が拒否されました) というメッセージが表示されます。 どうすれば解決できますか?
簡単な説明
AWS Managed Microsoft AD および Simple AD では、ドメインユーザーを組み込みのリモートデスクトップユーザードメイングループに追加することはできません。代わりに、組み込みの管理者アカウントを使用してグループポリシーオブジェクト (GPO) を作成してから、そのポリシーを委任先のコンピュータに適用します。
注: GPO はポリシーがリンクされている組織単位 (OU) 内のすべてのコンピュータに適用されます。次の手順でグループに追加したすべてのユーザーには、OU 内の任意のコンピュータに対する RDP アクセス権が付与されます。
解決方法
始める前に:
- EC2 Windows インスタンス (Windows Server 2012 R2 以降) を、Simple AD または AWS Managed Microsoft AD ディレクトリに参加させます。
- インスタンスにリモートサーバー管理ツール (RSAT) とグループポリシー管理コンソールをインストールします。
ドメインユーザーがドメインに参加している Windows インスタンスへの RDP アクセスを許可するには、次の手順を実行します。
- RDPを使用してWindows EC2 インスタンスに接続します。
- ユーザーを作成します。複数のユーザーが必要な場合は、この手順を繰り返します。
- セキュリティグループを作成します。後の手順のため、セキュリティグループ名をメモします。
- 新しいセキュリティグループに新規ユーザーを追加します。
- グループポリシー管理を開く。ドメインの [Forest] を選択し、[Domain]、ドメイン名の順に展開します。
- 委任 OU (ディレクトリの NetBIOS 名) を展開します。[Computers] のコンテキストメニューを開き (右クリックする) 、[Create a GPO in this domain, and Link it here] を選択します。
- [Name] に名前を入力し、[Ok] をクリックします。
- ナビゲーションペインで [Computers] を展開します。ポリシーのコンテキストメニューを開き (右クリックする)、[Edit] を選択します。
- ナビゲーションペインの [Computer Configuration] セクションで、[Preferences]、次に [Control Panel Settings] を展開します。
- コンテキスト(右クリック)メニューを開き、 [Local Users and Groups] のコンテキストメニューを開いてから (右クリックする) 、[New]、[Local Group] の順に選択します。
- [Group name] で [Remote Desktop Users (built-in)] を選択してから、[Add] を選択します。
- [Name] にステップ 3 で作成したセキュリティグループの名前を入力してから [Ok] をクリックします。
このポリシーは次回のポリシー更新間隔で、環境を更新します。ポリシーをただちに適用するよう強制するには、ターゲットサーバーで gpupdate/force コマンドを実行します。
関連情報
関連するコンテンツ
- AWS公式更新しました 3年前
