AWS Managed Microsoft AD のグループポリシーを使用して、ドメインユーザーに EC2 Windows インスタンスへの RDP アクセスを許可する方法を教えてください。

最終更新日: 2020 年 12 月 14 日

Amazon Elastic Compute Cloud (Amazon EC2) Windows インスタンスを Microsoft Active Directory ディレクトリ向け AWS Directory Service に結合させました。ドメインユーザーが、インスタンスのリモートデスクトッププロトコル (RDP) アクセスできるようにしたいと考えています。ドメインユーザーとして組み込みのリモートデスクトップユーザーグループを使用して接続しようとすると、「The connection was denied because the user account is not authorized for remote login」(ユーザーアカウントにリモートログインが許可されていないため、接続が拒否されました) というメッセージが表示されます。 どうすれば解決できますか?

簡単な説明

AWS Managed Microsoft AD では、ドメインユーザーを組み込みのリモートデスクトップユーザードメイングループに追加することはできません。代わりに、組み込みの管理者アカウントを使用してグループポリシーオブジェクト (GPO) を作成してから、そのポリシーを委任先のコンピュータに適用することができます。

: GPO はポリシーがリンクされている組織単位 (OU) 内のすべてのコンピュータに適用されます。次の手順でグループに追加したすべてのユーザーは、OU 内の任意のコンピュータへの RDP アクセス権を持ちます。

解決方法

始める前に:

ドメインユーザーがドメインに参加している Windows インスタンスへの RDP アクセスを許可するには、次の手順を実行します。

  1. RDPを使用してWindows EC2 インスタンスに接続します
  2. ユーザーを作成します。複数のユーザーが必要な場合は、この手順を繰り返します。
  3. セキュリティグループを作成します。後の手順のため、セキュリティグループ名をメモします。
  4. 新しいセキュリティグループに新規ユーザーを追加します
  5. グループポリシー管理を開く。ドメインの [Forest] を選択し、[Domain]、ドメイン名の順に展開します。
  6. 委任 OU (ディレクトリの NetBIOS 名) を展開します。[Computers] のコンテキストメニューを開き (右クリックする) 、[Create a GPO in this domain, and Link it here] を選択します。
  7. [Name] に名前を入力し、[Ok] をクリックします。
  8. ナビゲーションペインで [Computers] を展開します。ポリシーのコンテキストメニューを開き (右クリックする)、[Edit] を選択します。
  9. ナビゲーションペインの [Computer Configuration] セクションで、[Preferences]、次に [Control Panel Settings] を展開します。
  10. コンテキスト(右クリック)メニューを開き、 [Local Users and Groups] のコンテキストメニューを開いてから (右クリックする) 、[New]、[Local Group] の順に選択します。
  11. [Group name] で [Remote Desktop Users (built-in)] を選択してから、[Add] を選択します。
  12. [Name] にステップ 3 で作成したセキュリティグループの名前を入力してから [Ok] をクリックします。

このポリシーは次回のポリシー更新間隔で、環境を更新します。ポリシーをただちに適用するよう強制するには、ターゲットサーバーで gpupdate/force コマンドを実行します。


この記事はお役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?