ユーザーの観点から見れば，ターミナル・サービス（あるいはリモート・デスクトップ接続）は，クライアントPCからサーバーを操作できて，大変便利な存在である。ところが，管理者の観点から見ると，サーバーがなんでもかんでも操作できてしまって，危険このうえない存在だ。

　もちろん，システム管理者が，サーバーのリモート管理を行う場合（リモート・デスクトップ接続）は，様々な操作ができたほうがいい。ところが，複数ユーザーがアプリケーションを共有して使う場合（ターミナル・サービス）は，特定のアプリケーションの利用だけを許して，あとのサーバーの設定などは触れないようにしておきたい。

　今回は，このようなターミナル・サービスを利用するために必要なセキュリティの設定について解説しよう。セキュリティの設定とは，すなわちサーバー上にある様々なオブジェクトに対するアクセス権をどのように制御するかといった問題だ。なお，ドメイン環境やグループ・ポリシーに関する知識を前提に話を進めるので，本サイトの「Active Directory」に関する解説記事（該当サイト）を参考にしてほしい。

　それから，Windows Server 2003では，「ターミナル・サービス」と「リモート・デスクトップ接続」を用語として使い分けているが，ここでは特に断らない限り，「ターミナル・サービス」とあるのは，両方を意味するものとする。

ユーザー数が多いとセキュリティが重要
　前回の解説では，アクセス権とセッションの設定はユーザーごとに行った。しかし，ユーザーの数が多いとユーザーごとに設定するのでは大変な作業になる。また，企業システムなどで大規模にターミナル・サービスを利用する場合，ユーザー数も多いだけでなく，ターミナル・サーバーが複数台あることも想定される。そんなときは，ターミナル・サービスの設定をグループ・ポリシーを使って一括設定すると便利である。

　ターミナル・サービスにまつわるアクセス権とセッションの設定は，（1）ユーザーごと，（2）サーバーごと，（3）グループ・ポリシー――という3つのアプローチがある。（1）は前回の解説で取り上げた。さらに（2）や（3）を臨機応変に使い分けることで，設定を行っていく。以下に具体的な状況を想定して話を進めよう。

△　図をクリックすると拡大されます 図1●ローカル・セキュリティ・ポリシーを見ると「ターミナル・サービスを使ったログオンを許可する」権利が確認できる。選択されたところを見ると「Administrators」と「Remote Desktop Users」のグループが定義されている。

ユーザーがターミナル・サービスで接続できるようにする
　まずは初歩的な例として，ユーザーがターミナル・サービスを利用できるよう，アクセス許可を与える方法について解説しよう。

　前回解説したように，AdministratorsグループとRemote Desktop Usersグループに所属しているユーザーであれば，ターミナル・サーバーにログオンができる（図1）。

　ただし，Remote Desktop Usersはローカル・グループなので，与えられる権利はそのサーバーだけで有効であり，他のサーバーでは利用できない。もし，ターミナル・サーバーが複数台ある場合には，同じ作業をサーバーの台数分だけ行う必要がある。そこで，これら複数台のサーバーの設定を一括で行うのが，グループ・ポリシーの［制限されたグループ］を使う方法である。

　この方法では，まずOU（組織単位）を作成し，各ターミナル・サーバーをこのOUに移動する。次にOUに対してグループ・ポリシーを設定し，［制限されたグループ］に［Remote Desktop Users］グループを追加する。さらに［Remote Desktop Users］に［Domain Users］を追加すれば，OU内の各ターミナル・サーバーのRemote Desktop UsersグループにDomain Usersが一括で追加される。

△　図をクリックすると拡大されます 図2●OUのプロパティを表示する

　では，実際の操作手順を見てみよう。ここではあらかじめ「TerminalSV-OU」というOUが作成され，各ターミナル・サーバーはOU内に移動してある。

（1）［Active Directoryユーザーとコンピュータ］を起動する。TerminalSV-OUを選択して右クリックして現れたメニューからプロパティを選択して表示する（図2）。

△　図をクリックすると拡大されます 図3●OUのプロパティ画面の［グループポリシー］タブ

（2）［グループポリシー］タブに切り替え，［新規］ボタンをクリックし，グループ・ポリシーの名前を入力する（図3）。
（3）［編集］ボタンをクリックして「グループ・ポリシー・オブジェクト・エディタ」を起動する。

△　図をクリックすると拡大されます 図4●「グループ・ポリシー・オブジェクト・エディタ」で［制限されたグループ］にグループを追加

（4）［コンピュータの設定］－［Windowsの設定］－［セキュリティの設定］と展開し，［制限されたグループ］を右クリックして［グループの追加］をクリックする（図4）。

△　図をクリックすると拡大されます 図5●［グループの追加］画面で［Remote Desktop Users］と入力

（5）手前に現れた［グループの追加］画面で，「Remote Desktop Users」と入力して［OK］をクリックする（図5）。

△　図をクリックすると拡大されます 図6●［Remote Desktop Users］に［Domain Users］を追加

（6）［Remote Desktop Usersのプロパティ］画面の［このグループのメンバ］で［追加］をクリックし，［ドメイン名\Domain Users］と入力する（図6）。ここではドメイン名は「TERMINAL」としてある。

△　図をクリックすると拡大されます 図7●［制限されたグループ］に［Remote Desktop Users］が追加された

　以上で，ドメインのユーザーはすべてリモート・デスクトップ接続が可能になる（図7）。

　ここで注意が必要だ。ドメイン上のユーザーは既定でDomain Usersグループに所属するが，Domain Usersグループはドメイン・コントローラ以外のメンバー・サーバーにローカル・ログオンする権利が与えられている。つまり，ドメインのユーザーは，メンバー・サーバーであるターミナル・サーバーのマシンにローカル・ログオンできてしまう。そこでセキュリティを厳格にするために，Remote Desktop Usersにはリモート・デスクトップ接続だけを許可して，ローカル・ログオンはできないように設定しておいたほうがいいだろう。

△　図をクリックすると拡大されます 図8●［ローカルでログオンを拒否する］をダブル・クリック

　では，グループ・ポリシーを使って，Remote Desktop Usersにローカル・ログオンを拒否する設定を見ていこう。

（1）［Active Directoryユーザーとコンピュータ］から先ほど作成したグループ・ポリシーを開く。
（2）［コンピュータの設定］－［Windowsの設定］－［セキュリティの設定］－［ローカルポリシー］－［ユーザー権利の割り当て］と展開し（図8），右ペインで［ローカルでログオンを拒否する］をダブル・クリックする。
（3）［ローカルログオンを拒否するのプロパティ］画面で［これらのポリシーの設定を定義する］をチェックし，［ユーザーまたはグループの追加］をクリックする。

△　図をクリックすると拡大されます 図9●［Remote Desktop Users］を追加

（4）［ユーザーまたはグループの追加］画面で［Remote Desktop Users］と入力する（図9）。

△　図をクリックすると拡大されます 図10●［Remote Desktop Users］はローカル・ログオンできなくなった

　これで，設定は完了した（図10）。

　これでドメインのユーザーは，OU内の各ターミナル・サーバーにリモート・デスクトップ接続はできるが，ローカル・ログオンはできなくなった。