特集 Windows Server 2003完全ガイド

より実用的なサーバ・コンピューティングに向けて強化されたターミナル・サービス(後編)

3.サーバ側の強化ポイント―動作モードとユーザー管理

一色 政彦
2003/09/23

 前編では、ターミナル・クライアント側の機能強化点について説明した。後編では、Windows Server 2003で強化されたサーバ側の機能強化点について見ていこう。

 ターミナル・サービスには2つの動作モードがある。1つは、主に一般ユーザーがサーバ上のアプリケーションを利用するためのモードで、「ターミナル サーバー モード」と呼ばれる。もう1つは、管理者がサーバをリモート管理するためのモードで、「管理用リモート デスクトップ」と呼ばれている。なお、Windows 2000 Server以前では、前者のモードは「アプリケーション サーバー モード」、後者は「リモート管理モード」と呼ばれていた。

「管理用リモート デスクトップ」モード

 この2つのモードのうち「管理用リモート デスクトップ」は、ターミナル・サービスをインストールしなくても、リモート・デスクトップの接続許可を有効にするだけで使えるようになる。

管理用リモート・デスクトップの有効化
コントロール・パネルの「システム」を実行して、[リモート]タブを開いたところ。
  「このコンピュータにユーザーがリモートで接続することを許可する」のチェック・ボックスをオンにすると、管理用リモート・デスクトップが有効になる。

 管理用リモート・デスクトップは、約2Mbytesのサーバ・メモリが必要になるだけで、追加のディスク・スペースはいらない。CPUの使用率にもほとんど影響を与えないため、マイクロソフトはこれを有効にすることを推奨している。これによって、サーバの設置場所に関係なく、柔軟かつ迅速なサーバ管理ができるとしている。ただし、デフォルトでこれを有効にすることはセキュリティ上の問題があるので、最初は無効になっている。

ターミナル・サーバ・モード

 ターミナル・サーバ・モードを利用可能にするには、Windows 2000 Serverと同じようにコントロール・パネルの[プログラムの追加と削除]にある「Windowsコンポーネント ウィザード」から、「ターミナル サーバー」を選択してインストールする。インストール時の注意点としては、セキュリティ・レベルの設定で「完全なセキュリティ」または「緩和されたセキュリティ」のいずれかを選ぶところだ。

ターミナル・サービスをインストールする際のセキュリティ設定
コントロール・パネルの[プログラムの追加と削除]を実行し、そこで表示される「プログラムの追加と削除」ウィザードの[Windowsコンポーネント]で[ターミナル サーバー]コンポーネントを追加し、「ターミナル サーバ セットアップ」を実行するとセットアップ途中で表示されるダイアログ。ここでは、ターミナル・サービス・クライアントに対するアクセス許可のセキュリティ設定を行う。なおこのセキュリティ設定は、インストール後も「ターミナル サービス構成」ツールの[サーバー設定]−[アクセス許可の互換性]で変更が可能だ。

 このうち「完全なセキュリティ」では、Windows Server 2003で強化されたセキュリティが使用される。この場合、安全性は増すがレジストリやシステム・ファイルへのアクセスが制限される。これに対し「緩和されたセキュリティ」では、重要なレジストリやシステム・ファイルへのアクセスが可能になる。ここでターミナル・サービスを利用して、Windows Server 2003に対応していないレガシー・アプリケーションを動かすためには、この「緩和されたセキュリティ」を選択する必要がある。

ローカル・ユーザーとリモート・ユーザーの個別管理

 Windows Server 2003のターミナル・サービスでは、リモート・デスクトップ接続でログオンするユーザーをローカル・ログオンするユーザーと分けて管理するために、「Remote Desktop Users(RDU)グループ」というビルトインのセキュリティ・グループ(セキュリティ設定のために利用されるグループ・オブジェクト)が新たに追加された。

ビルトイン・グループ「Remote Desktop Users」
コントロール・パネルの[管理ツール]にある[Active Directory ユーザーとコンピュータ]を開いたところ。なお、Active Directoryを導入していない場合は、[管理ツール]の[コンピュータの管理]の[ローカル ユーザーとグループ]で参照できる。
  [Builtin](ビルトイン)を選択すると、右側にビルトインのリストが表示される。
  ビルトイン・グループとして[Remote Desktop Users]が初めから登録されている。

 「Remote Desktop Users(RDU)グループ」が新設されたことにより、リモート・デスクトップ接続専用のユーザーを作成できるようになった。ユーザーをRDUグループへ追加してもローカル・ログオンの権限は与えられないので、そのユーザーはリモート・デスクトップ接続でしかログインすることができない。従来は、リモート・デスクトップ接続のログインを認めると、そのユーザーがサーバのコンソール画面からローカル・ログオンする許可も自動的に与えることになっていた。Windows Server 2003では、こうした従来のターミナル・サービスのセキュリティ上の課題が解決された。

 前述したようにRDUグループは、Windows Server 2003のユーザー・グループなので、グループ・ポリシーを使うと、一部のソフトウェアへのアクセスを拒否するなどのセキュリティ・ポリシーの設定を、リモート・デスクトップ接続のユーザー(RDUグループのメンバ)全体に一括して行うことができる。次の画面は、メモ帳のファイル・パスに対しソフトウェア制限ポリシーを適用して、リモート・デスクトップ接続のユーザー(RDUグループのメンバ)がメモ帳を起動できないようにした例だ。

RDUグループへのグループ・ポリシー適用
グループ・ポリシーを利用して、RDUグループのユーザーにのみ(リモート接続するユーザーにのみ)適用するポリシーなどを設定できる。
  「ソフトウェア制限ポリシー」でメモ帳(ファイル・パス「L:\WINDOWS\NOTEPAD.EXE」)へのアクセスを制限する、「Remote Desktop Policy」というグループ・ポリシー・オブジェクト(GPO:Group Policy Object)を作成して、そのGPOをRemote Desktop Users(RDU)グループにのみ割り当てる。
  すると、リモート・デスクトップ接続のユーザー(RDUグループのメンバ)がメモ帳を実行しようとしてもメモ帳を起動することができない。
 

 INDEX
  [特集]Windows Server 2003完全ガイド
  より実用的なサーバ・コンピューティングに向けて強化されたターミナル・サービス
     1.ターミナルサービスとは
     2.クライアント側の強化ポイント
   3.サーバ側の強化ポイント―動作モードとユーザー管理
     4.サーバ側の強化ポイント―MMCスナップインとコンソール・セッション
     5.負荷分散クラスタ環境での強化ポイント
 
目次ページへ  Windows Server 2003完全ガイド


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH