[!] この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
当社では自社製品としてV-Boot ⧉を開発しています。V-Bootは多台数のPCへイメージ(OSやアプリケーションなどの設定に関する情報)を⼀斉配信し、同じ環境に統⼀することができるPC運⽤システムです。
V-Bootでは、PCに対してリモートデスクトップ接続を管理するリモートデスクトップ接続コントローラ ⧉機能があります。リモートデスクトップ接続コントローラでは、V-Bootで管理しているPCに対して、リモートデスクトップ接続の仲介を行うことができます。
リモートデスクトップ接続コントローラを利用することで、VDI(仮想デスクトップインフラ)の代わりとして遊休PCの有効利用を行うことができます。また、BYOD(Bring Your Own Device)を導入して特定のPCにしかインストールされていないアプリケーションの有効利用を行うことができます。
この記事では、1台のWindows 10のPCを複数のユーザーで共有してリモートデスクトップ接続を行う場合に活用可能な以下のカスタマイズテクニックを紹介します。
-
リモートデスクトップ接続中、後から別のユーザーがサインインできないようにする
別のユーザーのサインインによりリモートデスクトップ接続が切断されてしまうのを防止する場合に有効です。
-
リモートデスクトップ接続を「切断」した後、⼀定時間経過後に自動的にサインアウトさせる
リモートデスクトップ接続の終了時にサインアウトを忘れた場合に有効です。
カスタマイズの方法について
カスタマイズを行う方法は大きく分けて、グループポリシーを用いる方法と、レジストリを直接編集する方法の2通りがあります。
グループポリシーを用いる方法はグラフィカルで操作も簡単ですが、すべてのカスタマイズが行えるわけではありません。その際は、レジストリを直接編集する方法を用います。
以下の内容は管理者権限を持っているユーザーで行ってください。 また、レジストリの編集を誤ると、Windowsに問題が発生するため、レジストリを触る際は必ずバックアップをとったうえで自己責任にてお願いします。
リモートデスクトップ接続中、後から別のユーザーがサインインできないようにする
リモートデスクトップ接続中、後から同じPCに対して別のユーザーがサインインすることで、リモートデスクトップ接続が切断されます。この問題を防止するカスタマイズテクニックを紹介します。
後からサインインするユーザーが、リモートデスクトップ接続の場合とローカルの場合、それぞれで設定が必要です。
デフォルトの動作
Windowsのデフォルトの設定では、ユーザーAがリモートデスクトップ接続中に、別のユーザーBがサインインしようとした場合、ユーザーBの画面にサインインを続行するか選択するメッセージが表示されます。
ユーザーBが [はい] を選択すると、リモートデスクトップ接続中のユーザーAの画面では30秒以内に応答するようメッセージが表示されます。
この時、ユーザーAが [キャンセル] を選択すると、ユーザーBのサインインを拒否することができます。
ただし、ユーザーAが [OK] を選択するかメッセージを気付かずに 30秒放置 した場合は、ユーザーAのリモートデスクトップ接続が切断されます。
リモートデスクトップ接続でのサインインを拒否するカスタマイズ
リモートデスクトップ接続の同時最大接続数を1に制限することで、後から別のユーザーでサインインすることを防止できます。
グループポリシーで設定する場合
項目 | 設定内容 |
---|---|
場所 | 「コンピューターの構成」-「管理用テンプレート」-「Windows コンポーネント」-「リモート デスクトップ サービス」-「リモートデスクトップ セッション ホスト」-「接続」 |
項目 | 「接続数を制限する」 |
編集内容 | 有効 |
オプション | 「最大接続数」を「1」に設定する |
レジストリで設定する場合
項目 | 設定内容 |
---|---|
パス | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
値 | MaxInstanceCount |
データ型 | DWORD値(REG_DWORD) |
編集内容 | 1(接続数の上限を指定しない場合は「999999」と入力してください) |
設定後の動作
後から別のユーザーでリモートデスクトップ接続を行おうとすると、次のメッセージが表示されて、サインインを行うことはできなくなります。
物理PCを使ったローカルでのサインインを拒否するカスタマイズ
ローカルでのサインインの制御を行い、物理PCを使用してサインインすることを防止できます。設定は、指定のユーザーのサインインのみを許可する場合と、拒否する場合のふたつがあります。拒否の設定は許可の設定よりも優先されます。環境に合わせてどちらかの設定を行います。なお、設定はグループポリシーのみ可能です。
指定のユーザーのサインインのみ許可の設定を行う場合
項目 | 設定内容 |
---|---|
場所 | 「コンピューターの構成」-「Windowsの設定」-「セキュリティの設定」-「ローカルポリシー」-「ユーザー権利の割り当て」 |
項目 | 「ローカル ログオンを許可」 |
編集内容 | 「ローカル ログオンを許可」から、AdministratorsとBackup Operators以外のユーザーまたはグループを削除します (管理用としてローカルでのサインインができるよう、Administratorsグループを残します) |
指定のユーザーのサインインの拒否の設定を行う場合
項目 | 設定内容 |
---|---|
場所 | 「コンピューターの構成」-「Windowsの設定」-「セキュリティの設定」-「ローカルポリシー」-「ユーザー権利の割り当て」 |
項目 | 「ローカル ログオンを拒否」 |
編集内容 | 「ローカル ログオンを拒否」にサインインを拒否するユーザーまたはグループを追加します (Everyoneグループを設定するとだれもローカルでのサインインができなくなるため、特定のドメインユーザーのグループを追加し、Administratorsグループはログオンできるように設定するとよいです) |
設定後の動作
サインインを許可されていないユーザーがローカルでサインインした際は、次のメッセージが表示されて、サインインを行うことはできなくなります。
留意事項
[ローカル ログオンを許可]と[ローカル ログオンを拒否]を動的に設定変更することはできないため、リモートデスクトップ接続をしていない時に、ローカルサインインを許可することはできません。ローカルサインインを許可する場合は、事前に設定を解除する必要があります。
リモートデスクトップ接続を「切断」した後、一定時間経過後に自動的にサインアウトさせる
リモートデスクトップ接続の終了時にサインアウトではなく「切断」を実行して、リモートデスクトップ接続を終了した場合、接続先のPCではユーザーのアカウントがサインインした状態になります。
リモートデスクトップ接続の切断後に、一定時間経過で自動的にサインアウトするカスタマイズテクニックを紹介します。
グループポリシーで設定する場合
項目 | 設定内容 |
---|---|
場所 | 「コンピューターの構成」-「管理用テンプレート」-「Windows コンポーネント」-「リモート デスクトップ サービス」-「リモートデスクトップ セッション ホスト」-「セッションの時間制限」 |
項目 | 「切断されたセッションの制限時間を設定する」 |
編集内容 | 有効 |
オプション | 「切断されたセッションを終了する」を以下から選択します なし 1分 5分 10分 15分 30分 1時間 2時間 3時間 6時間 8時間 12時間 16時間 18時間 1日 2日 3日 4日 5日 |
レジストリで設定する場合
項目 | 設定内容 |
---|---|
パス | HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
値 | MaxDisconnectionTime |
データ型 | DWORD値(REG_DWORD) |
編集内容 | 1ミリ秒単位で設定(1ミリ秒以上で、自由に時間を設定可能です) |
留意事項
リモートデスクトップ接続が切断されると強制的にサインアウトされるため、編集中のファイルなどは警告を表示することなく内容が消えてしまいます。リモートデスクトップ接続の切断前に必ず編集中のファイルを保存するようにしてください。
おわりに
今回は、知っていると少し役に立つリモートデスクトップ接続に活用可能なカスタマイズを紹介しました。当社では、V-Boot ⧉のリモートデスクトップ接続コントローラ機能を利用する前に、今回紹介したようなカスタマイズを行い、お客様が使いやすい環境を実現しています。
紹介した内容はカスタマイズの中でもほんの一部なので、これをきっかけとしてカスタマイズに興味を持たれた方は、グループポリシーの編集の他の項目などもぜひ試してみてください。