リモート・デスクトップ／ターミナル・サービス

更新日：2006/03/31

サブディレクトリ

リモート制御用コマンド／コンポーネント に戻る

リモート・デスクトップ／ターミナル・サービス
	リモート・ログオン・ユーザーからのファイル・アクセスを制限する リモート・デスクトップは便利な機能だが、万一悪用されるとコンピュータが完全に支配されてしまうという問題がある。 ／ このため機密性の高い一部のファイルについて、リモート・デスクトップなどで遠隔地からリモート・ログオンした場合には、アクセスを禁止したいケースがある。 ／ リモート・デスクトップでログオンしたユーザーにはREMOTE INTERACTIVE LOGONというローカル・グループが自動的に割り当てられるので、このグループに対してアクセス設定を行えば、リモート・ユーザーにのみ適用されるアクセス制御を実現できる。
	リモート・デスクトップでコンソール・セッションに接続する リモート・デスクトップ接続には、コンソール・セッションとリモート・セッションの2つがある。 ／ 物理コンソール上での作業をリモート・デスクトップ環境へ引き継いだり、その逆を行ったりするには、コンソール・セッションへ接続すればよい。 ／ コンソール・セッションへ接続するには、mstsc.exeコマンドに/consoleオプションを指定する。
	リモート・デスクトップ接続を無効にする リモート・デスクトップは便利な機能だが、万一不正アクセスを許すと影響が大きい。 ／ 企業のクライアントPCなど、リモート接続が不要なら、システムのプロパティから接続を不許可にできる。 ／ さらにグループ・ポリシーを使えば、ユーザーがリモート・デスクトップの設定を変更できなくすることができる。
	リモート・デスクトップで目的のコンピュータに素早く接続する リモート・デスクトップ機能を使うと、リモートのコンピュータにログオンして、GUI操作を行うことができる。 ／ リモート・デスクトップ接続の設定をファイルに保存しておくと、クリックするだけで自動的に接続できるようになる。 ／ だがセキュリティの面から見るとこれは危険なので、パスワード指定は空欄にしておくか、サーバ側でパスワードの入力を強制するように設定しておくとよい。
	コマンドラインからクリップボードへコピーする コマンドの実行結果をクリップボードにコピーしたい場合は、いったんファイルに出力するか、コマンド・プロンプト上でコピー＆ペーストを行うのが普通である。 ／ clipコマンドを使えば、標準入力の内容をテキストとして直接クリップボードにコピーすることができる。 ／ clipコマンドは、リモート・デスクトップ使用時にテキスト・ファイルを素早くコピーしたり、バッチ・ファイルの実行結果を返すためにも利用できる。
	リモート・デスクトップ・クライアントでCtrl＋Alt＋Delを送信する リモート・デスクトップのクライアント・ソフトウェアをフルスクリーン・モードで使用すれば、あたかも、ローカルのマシンを直接操作しているように、リモート・マシンのマウスやキーボードを操作することができる／ただしCtrl＋Alt＋Delキーは、ローカル・コンピュータ側で処理されてしまう。このキーコンビネーションをリモート・コンピュータに送信したければ、クライアント側ではCtrl＋Alt＋Endと入力すればよい。
	リモート・デスクトップの接続時間を制限する リモート・デスクトップ接続を利用する場合、ログオフし忘れていると、離席したすきにリモートのコンピュータへアクセスされてしまう可能性がある。 ／ セキュリティのためには、セッションの接続可能時間を制限したり、一定時間アイドル状態が続いたら、強制的にセッションを終了したりするように設定しておくとよい。 ／ セッションのタイムアウト時間や切断時の強制終了を行うには、サーバ側の設定を変更する。
	ターミナル・サービス／リモート・デスクトップ接続のポート番号を変更する ターミナル・サービスを利用すると、システムをリモートから管理したり、出先からログオンして作業を行ったりできる。 ／ だがターミナル・サービスは、ユーザー名とパスワードさえ分かれば利用できるサービスである。そのためインターネット上に公開する場合は注意が必要である。 ／ 最低限のセキュリティ対策として、デフォルトのポート番号を変更するのがよい。
	リモート・デスクトップ接続でクリップボード共有を禁止する リモート・デスクトップ接続を利用すると、別のマシンにリモートからログオンして作業できる。 ／ リモート・デスクトップでは、リモート・デスクトップ内の環境（サーバ）と、ローカル・コンピュータ（クライアント）の間でクリップボードを共有し、データを交換できるが、セキュリティ上の理由からこれを禁止したい場合もある。 ／ グループ・ポリシー・エディタを利用すれば、リモート・デスクトップ接続のリダイレクト機能を禁止できる。
	ターミナル・サービスの暗号化レベルを強化する サーバの管理や業務アプリケーション環境の一元化などにターミナル・サービスを利用すると便利である。 ／しかし企業機密に関わる情報を扱う場合には、セキュリティに配慮する必要がある。 ／ターミナル・サービスでやりとりされるデータはデフォルトで暗号化されるが、必要ならさらにセキュリティを強化することができる。
	リモート・デスクトップ接続の色数を変更する Windows XPやWindows Server 2003のリモート・デスクトップ接続では、16bitや24bitが利用できる。 ／ デフォルトでは最大色数は16bitに制限されており、フルカラーで接続できない。 ／フルカラーを利用するためには、サーバ側の設定を変更する。
	リモート・デスクトップでサウンド機能を利用する リモート・デスクトップ接続のオーディオのリダイレクト機能を使えば、セッション中で再生したオーディオ・データをクライアント側で再生することができる。 ／ Windows Server 2003のリモート・デスクトップ接続ではこの機能はデフォルトでは無効になっている。 ／ 設定を変更するにはグループ・ポリシーやローカル・コンピュータ・ポリシーを変更する。
	リモート・デスクトップ接続でパスワード入力を強制する リモート・デスクトップ接続のためのログイン情報をプロファイルに保存しておけば、クリック1つで簡単にサーバに接続することができる。 ／ だがこのプロファイルさえあれば誰でも簡単にサーバに接続できるようになるので、非常に危険である。 ／ これを避けるためには、常にパスワードの入力を強制するようにサーバ側で設定しておけばよい。
	ターミナル・サービスでアプリケーションが正しく動かない Windows Server 2003のターミナル・サービスを利用してリモートから接続し、アプリケーションを実行したとき、画面が崩れるなどのエラーが発生することがある。 ／ ターミナル・サービス・セッションに割り当てられるデフォルトのセッション用メモリ不足が原因となっている可能性がある。この場合はレジストリの値を増加させることで問題を回避できる。
	Windows 9x／Me／NT／2000からXPのリモート・デスクトップを使う Windows XPでは、フルカラー・サポートなどが強化されたリモート・デスクトップ接続機能が提供される／Windows XPのインストールCDには、Windows 9x／Me、Windows NT、Windows 2000で利用可能なリモート・デスクトップ・クライアント・ソフトウェアが同梱されており、これを使えば、Windows XP以外のOSでも、リモート・デスクトップの最新機能が利用可能になる。
	Windows XPにネットワーク接続できない デフォルト状態のWindows XPでは、空のパスワードのアカウントであっても、コンソールからのログオンは可能である。しかし、ネットワーク経由での各種のサービス（ファイル共有、リモート・デスクトップ接続、telnet接続など）は不可能となっている。これを可能にするには、ローカル・セキュリティ・ポリシーを変更する。
	リモートから「リモート デスクトップ」を許可する リモート・デスクトップ接続を利用するためには、あらかじめコンソール画面で設定を行っておかなければならない。 ／ だがリモートからレジストリを操作すれば、コンソールで作業を行わなくても、リモート・デスクトップ接続を有効にすることができる。 ／ グループ・ポリシーを使えば、複数のコンピュータのリモート・デスクトップ接続をまとめて制御することができる。
	リモート・デスクトップの便利なショートカット・キー リモート・デスクトップ（ターミナル・サービス）を利用すれば、遠隔地にあるコンピュータを、あたかも手元にあるように操作できる。 ／ しかしAlt＋Tabキーによるウィンドウの切り替えなど、Windowsを操作するショートカット・キーはローカル・コンピュータで処理されてしまい、リモート・コンピュータ側には送信されない（ウィンドウ・モード、デフォルト時）。 ／ リモート・デスクトップ用に割り当てられたショートカット・キーを利用すれば、ローカルWindowsへの操作と同等の操作をリモート・コンピュータに対して実行できる。

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）