ドメイン環境のリモートデスクトップ権限

server2003がDC環境で、クライアントから別クライアントにリモートですくトップを試みますと、「このシステムのローカルポリシーはこのユーザーが対話的にログオンすることを許可しておりません」と表示されログオンできない管理者権限アカウントがあります。その管理者アカウントの所属グループはAdministrators/DomainUsersです。ただし、別の管理者アカウントではリモートですくトップOKです。そのアカウントの所属グループは以下です。Administrators/DomainUsers//DomainAdmins/EnterpriseAdmins
/GrooupPolicyCreatorOwners/ShimaAdminsまた、このアカウントは
ワークグループ時のローカルアカウントでした。リモートデスクトップされる側のクライアント(XP)のリモートタブでは許可にチェックが入っているだけです。Admin権限があるアカウントは無条件でリモートデスクトップが
OKだと思っていたのですが、違うのでしょうか、また、この違いはなぜでしょうか？詳しい方がいらっしゃいましたら教えてください。

No.2 ベストアンサー 回答者： Quux 回答日時： 2007/05/15 23:16

XPに「リモートデスクトップできる」のは、XPのローカルのAdministratorsまたは、Remote Desktop Usersです。

ローカルのAdministratorsの中には、Domain Adminsが入っています。これが、Domain AdminsメンバーがXPに接続できる理由です。一方、ドメインのbuiltinコンテナ中のAdministratorsは、Domain Adminsのメンバではありません。builtinのAdministratorsは、ドメインコントローラ上でのみ、管理者として役割を果たします。builtinのAdministratorsにもDomain Adminsが入っています。

この回答へのお礼

Quux様、素晴らしい！ありがとうございます。大変勉強になりました。

お礼日時：2007/05/16 01:05

No.1 回答者： noname#30624 回答日時： 2007/05/15 08:08

駆け出しですので間違っていたらごめんなさい！！

ドメイン環境で、フォレスト内のすべてのドメインで継承されるポリシーではなく、
ワークグループの時の、ローカル内でしか許可されないポリシーではないでしょうか？
何かで読んだような気がするんですが。

ワークグループで作ったローカルポリシーは、ドメイン環境には継承されないって事を。

間違っていたらごめんなさい！！

この回答へのお礼

回答ありがとうございます！
いえいえ、こちらは駆け出す前の段階なので、細かい情報情報でも
とても参考になります。
すいません、いろいろ設定をいじりたおし燃え尽きる寸前に
書いた文章ですので説明が支離滅裂でした。
RDP可能PC(DCの元ローカルアカウント)が以下のグループに属しており、
Administrators/DomainUsers//DomainAdmins/EnterpriseAdmins
/GrooupPolicyCreatorOwners/ShimaAdmins
リモートデスクトップができません。
ActiveDirectoryインストール後に作成したadminアカウントではRDP可能です。グループポリシーは作成していないので、ひょっとするとRDPを受ける側(XP)のローカルセキュリティポリシーとかですかね？

お礼日時：2007/05/15 20:13