プロが教えるわが家の防犯対策術!

Windows2008R2を社内で運用しています。
リモートデスクトップを使用し、管理の操作をすることが多いのですが、

このリモートデスクトップの「接続元PC」のアクセスを制御することは
技術的に可能なのでしょうか?。

例)基本は全クライアントが接続不可だが、PC1とPC2のみ接続を許可、など
 ※社内のPCはWindows7です

<補足>
現状、リモートデスクトップサービスは、2008R2で付属されている(?)
接続数が制限されたものを使用しています。

お恥ずかしい話なのですが、
社内のIT管理がなっておらず、前任の管理者や技術者が
好き放題にリモートデスクトップを使用して、同サーバにアクセスします。
これを技術的に制御したい、というのがそもそもの要件です。
※注意しても聞かないため・・

アドバイスを頂ければ助かります。
よろしくお願いします。

A 回答 (3件)

>このリモートデスクトップの「接続元PC」のアクセスを制御することは


>技術的に可能なのでしょうか?。

可能は可能なんですが、
いずれの方法もアクセスさせたくない人がそのサーバの管理者権限を持っていてローカル(コンソール)でログオン出来れば簡単に設定を元に戻すことが出来てしまいます。
ADのメンバサーバならば別ですが。

一応、方法を書きます。

(1)Windowsファイアウォールで制御する
端末のIPアドレスが特定できるのであれば特定のIPアドレスのRDPを拒否するルールを追加すればいいです。

(2)ログオンするユーザーを制限する
ユーザーが特定できるのであれば
[ローカルポリシー]-[ユーザー権利の割り当て]にある、「リモートデスクトップサービスを使ったログオンを拒否する」に拒否したいユーザーを登録する

※管理者権限があるユーザーでもここに設定すれば拒否が優先になるはずです。

>もしそれで可能であれば、ドメインアカウントで

あっ、もしかしてAD環境下ですか?
そうであれば、上記の(1)か(2)をグループポリシーに設定して、アクセスさせたくないサーバのコンピュータアカウントが格納されているOUに適用すれば良いです。
これならばサーバ上では変更できませんので。
    • good
    • 0

ファイアーウォールソフトの設定で出来るはずです。



TCPポート3389の通信の相手先を、特定のIPのみに限定する。

上位ルール:TCP3389との通信をxxとxxxのアドレスのみ許可
下位ルール:TCP3389との通信をすべてのコンピュータについて禁止

設定画面を見てわからないようであれば、マニュアルを見るか、
ソフト名とバージョンを書いて、再度質問してください。

Symantec(Norton)だとこんな画面。
「リモートデスクトップの制御について」の回答画像2
    • good
    • 0

他の方法があるかも知れませんが、知っている範囲で。




LAN構成で、対象のサーバーは、ルーターに接続されていませんか? ルーターがあれば、接続できるPCのIPアドレス制限を掛けることが出来ます。

ルーターが設置されていないのであれば、ネットワーク構成でセキュリティを強化するためにも、ルーターを設置された方が良いと思います。
    • good
    • 0
この回答へのお礼

有難うございます、

弊社はL2環境でサーバやPCが接続されており、
ルータなどは設けておりません・・

ただセキュリティ的にもセグメント分けは
今後の課題としたいと思います。

その後こちらでも調べたのですが、
サーバ側のリモートデスクトップの設定画面で、
接続するユーザを設定できるかもしれません。
※画面にそのようなボタンがあったのですが・・

もしそれで可能であれば、ドメインアカウントで
接続を制御するかもしれません。

お礼日時:2014/11/16 03:01

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!