リモート デスクトップのリソース承認ポリシー (RD RAP) を使用すると、リモート ユーザーが RD ゲートウェイ サーバーを経由して接続できる内部ネットワーク リソース (コンピューター) を指定できます。
少なくとも 1 つの RD CAP と 1 つの RD RAP で指定された条件を満たす場合、RD ゲートウェイ サーバーを経由してネットワークに接続するリモート ユーザーには、内部ネットワークのコンピューターに対するアクセス権が付与されます。
注 | |
RD ゲートウェイで管理されるコンピューター グループを RD RAP に関連付ける際に、完全修飾ドメイン名 (FQDN) と NetBIOS 名の両方を RD ゲートウェイで管理されるコンピューター グループに別々に追加することで、これら両方の名前をサポートできます。クライアントが接続する内部ネットワーク コンピューターが RD ゲートウェイ サーバーと同じドメインに属している場合は、Active Directory セキュリティ グループまたは RD セッション ホスト サーバー ファームを RD RAP に関連付ける際に、FQDN と NetBIOS の両方の名前が自動的にサポートされます。内部ネットワーク コンピューターが RD ゲートウェイ サーバーとは異なるドメインに属している場合、ユーザーは内部ネットワーク コンピューターの FQDN を指定する必要があります。 |
ここでは、リモート デスクトップ ゲートウェイ マネージャーを使用してカスタムの RD RAP を作成する方法について説明します。また、承認ポリシー ウィザードを使用すると、RD ゲートウェイの RD CAP と RD RAP を簡単に作成できます。
この操作を正常に行うには、少なくとも、構成する RD ゲートウェイ サーバーのローカル Administrators グループのメンバーまたはそれと同等の権限を持つグループのメンバーである必要があります。 適切なアカウントおよびグループ メンバーシップの使用の詳細については、
RD RAP を作成するには |
RD ゲートウェイ サーバーで、リモート デスクトップ ゲートウェイ マネージャーを開きます。リモート デスクトップ ゲートウェイ マネージャーを開くには、[スタート] ボタン、[管理ツール]、[リモート デスクトップ サービス]、[リモート デスクトップ ゲートウェイ マネージャー] の順にクリックします。
リモート デスクトップ ゲートウェイ マネージャーのコンソール ツリーで、RD ゲートウェイ サーバーを表すノードをクリックして展開します。このノードには、RD ゲートウェイ サーバーを実行しているコンピューターの名前が付けられています。
コンソール ツリーで、[ポリシー] を展開し、[リソース承認ポリシー] をクリックします。
コンソール ツリーで、[リソース承認ポリシー] を右クリックし、[新規ポリシーの作成] をクリックして、[カスタム] をクリックします。
[新規 RD RAP] ダイアログ ボックスの [全般] タブの [ポリシー名] ボックスに、名前を 64 文字以内で入力します。
[説明] ボックスに、新しい RD RAP の説明を入力し、[このポリシーを有効にする] チェック ボックスがオンになっていることを確認します。
[ユーザー グループ] タブで [追加] をクリックし、この RD RAP を適用するユーザー グループを選択します。
[グループの選択] ダイアログ ボックスで、ユーザー グループの場所と名前を指定し、[OK] をクリックします。ユーザー グループを複数指定するには、次のいずれかの操作を実行します。
- 各ユーザー グループの名前をセミコロンで区切って入力します。
- 別のドメインのグループを追加する場合は、グループごとに手順 7 を繰り返します。
- 各ユーザー グループの名前をセミコロンで区切って入力します。
[ネットワーク リソース] タブで、ユーザーが RD ゲートウェイ経由で接続できるコンピューター グループを指定します。RD ゲートウェイ用のコンピューター グループを作成する方法の詳細については、「ユーザーがリモート デスクトップ ゲートウェイ経由で接続できるコンピューターを指定する」を参照してください。
[許可されたポート] タブで、次のいずれかの操作を実行し、RD ゲートウェイ経由でコンピューターに接続する際にリモート デスクトップ サービス クライアントが使用できるポートを指定します。
- クライアントが使用するポートを TCP ポート 3389 に制限するには、[TCP ポート 3389 経由の接続のみを許可する] をクリックします。これは既定のオプションです。
- クライアントの接続用に別のポートを指定するには、[次のポート経由の接続を許可する] をクリックしてポート番号を入力します。ポートを複数指定する場合は、各ポートの番号をセミコロンで区切って入力します。
- 任意のポートを経由した接続をクライアントに許可するには、[すべてのポート経由の接続を許可する] をクリックします。
- クライアントが使用するポートを TCP ポート 3389 に制限するには、[TCP ポート 3389 経由の接続のみを許可する] をクリックします。これは既定のオプションです。
[OK] をクリックして、[新規 RD RAP] ダイアログ ボックスを閉じます。
作成した新しい RD RAP がリモート デスクトップ ゲートウェイ マネージャーの結果ウィンドウに表示されます。RD RAP の名前をクリックすると、ポリシーの詳細が下のウィンドウに表示されます。