Amazon Elastic Compute Cloud (Amazon EC2) Windows インスタンスを、AWS Directory Service for Microsoft Active Directory や、Simple Active Directory (Simple AD) と結合しています。ドメインユーザーが、そのインスタンスに対し、リモートデスクトッププロトコル (RDP) アクセスできるようにしたいと考えています。ドメインユーザーとして組み込みのリモートデスクトップユーザーグループを使用して接続しようとすると、「The connection was denied because the user account is not authorized for remote login」(ユーザーアカウントにリモートログインが許可されていないため、接続が拒否されました) というメッセージが表示されます。 どうすれば解決できますか?
簡単な説明
AWS Managed Microsoft AD および Simple AD では、ドメインユーザーを組み込みのリモートデスクトップユーザードメイングループに追加することはできません。代わりに、組み込みの管理者アカウントを使用してグループポリシーオブジェクト (GPO) を作成してから、そのポリシーを委任先のコンピュータに適用します。
注: GPO はポリシーがリンクされている組織単位 (OU) 内のすべてのコンピュータに適用されます。次の手順でグループに追加したすべてのユーザーには、OU 内の任意のコンピュータに対する RDP アクセス権が付与されます。
解決方法
始める前に:
ドメインユーザーがドメインに参加している Windows インスタンスへの RDP アクセスを許可するには、次の手順を実行します。
- RDPを使用してWindows EC2 インスタンスに接続します。
- ユーザーを作成します。複数のユーザーが必要な場合は、この手順を繰り返します。
- セキュリティグループを作成します。後の手順のため、セキュリティグループ名をメモします。
- 新しいセキュリティグループに新規ユーザーを追加します。
- グループポリシー管理を開く。ドメインの [Forest] を選択し、[Domain]、ドメイン名の順に展開します。
- 委任 OU (ディレクトリの NetBIOS 名) を展開します。[Computers] のコンテキストメニューを開き (右クリックする) 、[Create a GPO in this domain, and Link it here] を選択します。
- [Name] に名前を入力し、[Ok] をクリックします。
- ナビゲーションペインで [Computers] を展開します。ポリシーのコンテキストメニューを開き (右クリックする)、[Edit] を選択します。
- ナビゲーションペインの [Computer Configuration] セクションで、[Preferences]、次に [Control Panel Settings] を展開します。
- コンテキスト(右クリック)メニューを開き、 [Local Users and Groups] のコンテキストメニューを開いてから (右クリックする) 、[New]、[Local Group] の順に選択します。
- [Group name] で [Remote Desktop Users (built-in)] を選択してから、[Add] を選択します。
- [Name] にステップ 3 で作成したセキュリティグループの名前を入力してから [Ok] をクリックします。
このポリシーは次回のポリシー更新間隔で、環境を更新します。ポリシーをただちに適用するよう強制するには、ターゲットサーバーで gpupdate/force コマンドを実行します。
関連情報
AWS Managed Microsoft AD
Simply Active Directory
Manage users and groups in AWS Managed Microsoft AD