このドキュメントでは、ターミナル サービスに直接影響する Active Directory の既存のポリシーすべてについて詳しく説明します. 各ポリシーとその構成の可能性について詳しく説明します. コンソールからポリシーを作成/編集します “グループポリシー管理” それは “管理ツール”.

で “機器のセットアップ” > “管理用テンプレート” > “Windows コンポーネント” > “ターミナルサービス” > “リモート デスクトップ接続クライアント” 次の構成があります:

– 有効な発行元の .rdp ファイルとユーザーの既定の .rdp 設定を許可する: このポリシー設定を使用すると、ユーザーが RD プロトコル ファイルを実行できるかどうかを指定できます (.RDPの) 有効な証明書でファイルに署名した発行元から. 有効な証明書とは、お客様が認識したエンティティによって発行された証明書です, 証明書ストアの発行者、クライアントのサード・パーティー・ルートCAなど. このポリシー設定は、ユーザーが既定の .rdp 設定で RDP セッションを開始できるかどうかも制御します; 例えば, ユーザーがリモート デスクトップ接続クライアントを直接開いたとき (コンゴ民主共和国) .rdp ファイルを指定せずに.

このポリシー設定を有効にするかどうか, ユーザーは、有効な証明書で署名された .RDP ファイルを実行できます. ユーザーは、RDC クライアントを直接開くことで、既定の .rdp 構成で RDP セッションを開始することもできます. ユーザーが RDP セッションを開始したとき, ユーザーは、接続するかどうかを確認するように求められます.

このポリシー設定を無効にした場合, ユーザーは、有効な証明書で署名された .RDP ファイルを実行できません. 同様, ユーザーは、RDC クライアントを直接開いてリモート コンピューター名を指定して RDP セッションを開始することはできません. ユーザーが RDP セッションを開始しようとしたとき, ユーザーは、パブリッシャーがブロックされたというメッセージを受け取ります.

– 不明な発行元からの .rdp ファイルを許可する: このポリシー設定を使用すると、ユーザーが RD プロトコル ファイルを実行できるかどうかを指定できます (.RDPの) クライアント コンピューター上の不明な発行元からの署名されていないファイルと .rdp ファイル.

このポリシー設定を有効にするかどうか, ユーザーは、クライアント コンピューター上で .RDP ファイル、署名されていないファイル、および不明な発行元からの .RDP ファイルを実行できます. ユーザーが RDP セッションを開始する前に, ユーザーには警告メッセージが表示され、接続するかどうかを確認するように求められます.

このポリシー設定を無効にした場合, ユーザーは、署名されていない .RDP ファイルや不明な発行元からの .RDP ファイルをクライアント コンピューターで実行できません. ユーザーが RDP セッションを開始しようとした場合, ユーザーは、パブリッシャーがブロックされたというメッセージを受け取ります.

– パスワードの保存を許可しない: ターミナル サービス クライアントからこのコンピュータにパスワードを保存できるかどうかを制御します.

このオプションを有効にした場合, ターミナル サービス クライアントでパスワードを保存するためのチェック ボックスは無効になり、ユーザーはパスワードを保存できなくなります. ユーザーがターミナル サービス クライアントを介して RDP ファイルを開き、その構成を保存するとき, RDP ファイル内の既存のパスワードはすべて削除されます.

このオプションを無効にした場合、または設定しない場合, ユーザーは、ターミナル サービス クライアントを通じてパスワードを保存できます.

– 信頼できる .rdp 発行元を表す証明書の SHA1 フィンガープリントの指定: このポリシー設定を使用すると、強力なハッシュ アルゴリズム証明書のフィンガープリントの一覧を指定できます 1 (SHA1 (英語)) RD プロトコル ファイルの発行元を表すもの (.RDPの) 頼もしい.

このポリシー設定を有効にした場合, リスト内のフィンガープリントと一致する SHA1 フィンガープリントを持つ証明書は、信頼できると見なされます. ユーザーが信頼された証明書によって署名された .rdp ファイルを起動しようとするとします, ファイルの起動時に警告メッセージが表示されない. 指紋を取得するには, 証明書の詳細を表示し、[Fingerprint] フィールドをクリックします.

このポリシー設定を無効にするか、構成しなかった場合, どのパブリッシャーも、信頼された .rdp パブリッシャーとして扱われません.

– クライアント コンピューターで資格情報を要求する: このポリシー設定は、クライアント コンピューター上のターミナル サーバーへのリモート接続の資格情報を提供するようにユーザーに求めるかどうかを決定します.

このポリシー設定を有効にした場合, ユーザーは、クライアント コンピューター上のターミナル サーバーへのリモート接続の資格情報を入力するように求められます, ターミナルサーバーではなく. クライアント コンピューターで使用できるユーザーの保存された資格情報があるかどうか, ユーザーには資格情報の入力を求められません.

– クライアントのサーバー認証の構成: このポリシー設定を使用すると、クライアントがターミナル サーバーを認証できない場合に、クライアントがターミナル サーバーへの接続を確立するかどうかを指定できます。, 次のいずれかのオプションを指定する必要があります:

常に接続, 認証エラーがある場合でも: クライアントがターミナル サーバーを認証できない場合でも、クライアントはターミナル サーバーに接続します.

認証エラーが発生した場合に通知する: クライアントはターミナル サーバーの認証を試みます. 認証できる場合, 顧客は彼との接続を確立します. 認証できない場合, ユーザーは、認証せずにターミナル サーバーに接続するかどうかを選択するように求められます.

認証エラーがある場合は接続しない: クライアントは、ターミナル サーバーが認証できる場合にのみ、ターミナル サーバーへの接続を確立します.

このポリシー設定を無効にするか、構成しなかった場合, リモート デスクトップ接続または .rdp ファイルで指定された認証設定によって、クライアントがターミナル サーバーを認証できない場合に、クライアントがターミナル サーバーへの接続を確立するかどうかが決まります.

で “機器のセットアップ” > “管理用テンプレート” > “Windows コンポーネント” > “ターミナルサービス” > “ターミナル サーバー ライセンス” 次の構成があります:

– ライセンス サーバ セキュリティ グループ: このポリシー設定を使用すると、ターミナル サービス ライセンス サーバーがターミナル サービス クライアント アクセス ライセンスを提供するターミナル サーバーを指定できます (カル・デ・TS).

このポリシー設定を使用して、ターミナル サービス ライセンス サーバーによって TS CAL が発行されるターミナル サーバーを制御できます. デフォルトでは, ライセンス サーバーは、要求するターミナル サーバーに TS CAL を発行します。.

このポリシー設定を有効にし、ターミナル サービス ライセンス サーバーに適用される場合, ライセンス サーバーは、コンピューター アカウントがライセンス サーバー上のターミナル サーバー コンピューター グループのメンバーであるターミナル サーバーからの TS CAL 要求のみを処理します.

デフォルトでは, ターミナル サーバー コンピューター グループが空です.

このポリシー設定を無効にするか、構成しなかった場合, ターミナル サービス ライセンス サーバーは、TS CAL を要求するターミナル サーバーに TS CAL を発行します。. ターミナル サーバー コンピューター グループは、このポリシー設定が無効になっているか設定されていない場合、削除またはは変更されません.

– ライセンスの更新を防ぐ: このポリシー設定を使用すると、ターミナル サービス クライアント アクセス ライセンスのバージョンを指定できます (カル・デ・TS) これにより、他の Windows ベースのオペレーティング システムを実行しているターミナル サーバーに接続するお客様にターミナル サービス ライセンス サーバーが発行されます.

ライセンス サーバーは、各接続に最も適切な TS CAL を提供しようとします. 例えば, Windows Server を使用したライセンス サーバー 2008 Windows Server TS CAL の発行を試みます 2008 Windows Server を実行しているターミナル サーバーに接続しているクライアントの場合 2008, Windows Server TS CAL の発行を試みます 2003 Windows Server を実行しているターミナル サーバーに接続しているクライアントの場合 2003.

デフォルトでは, 接続に最も適切な TS CAL が使用できない場合, Windows Server を使用したライセンス サーバー 2008 Windows Server TS CAL を発行する 2008, 利用可能な場合, 宛先:

* Windows Server Terminate Server サーバーに接続するクライアント 2003
* Windows ターミナル サーバーに接続するクライアント 2000

このポリシー設定を有効にした場合, ライセンス サーバーは、ターミナル サーバーで適切な TS CAL が使用できない場合にのみ、一時的な TS CAL をクライアントに発行します. 一時的なTS CALがすでにお客様に発行されており、有効期限が切れている場合, ターミナル サーバーの TS ライセンス猶予期間が期限切れにならない限り、クライアントはターミナル サーバーに接続できません.

このポリシー設定を無効にするか、構成しなかった場合, ライセンス サーバーは、上記のデフォルトの動作を採用します.

で “機器のセットアップ” > “管理用テンプレート” > “Windows コンポーネント” > “ターミナルサービス” > “ターミナル サーバー” > “TSセッション・エージェント” 次の構成があります:

– TS セッション エージェントに参加する: このポリシー設定を使用すると、ターミナル サーバーが TS セッション エージェント ファームに参加するかどうかを指定できます. TS セッション エージェントは、ユーザーのセッションを追跡し、ユーザーが負荷分散されたターミナル サーバー ファーム内の既存のセッションに再接続できるようにします. TS セッション エージェントに参加するには, ターミナル サーバーの役割サービスがサーバーにインストールされている必要があります.

ポリシー設定が有効になっている場合, ターミナル サーバーは、 “TS セッション エージェント ファーム名”. ファームは、ポリシー設定で指定されている TS セッション エージェント サーバー上に存在します “TS セッション エージェント サーバ”.

このポリシー設定を無効にした場合, サーバーが TS セッション エージェント ファームに参加していないため、ユーザーのセッションは追跡されません. もし, ターミナル サービス構成ツールまたはターミナル サービス WMI プロバイダを使用して、サーバーを TS セッション エージェントに参加させることはできません.

ポリシー設定が設定されていない場合, このオプションは、グループ ポリシー レベルでは指定されません. そんなときに, TS セッション エージェントに参加するようにサーバーを構成するには、ターミナル サービス構成ツールまたはターミナル サービス WMI プロバイダを使用します.

– TS セッション エージェント ファーム名の構成: このポリシー設定を使用すると、TS セッション エージェントから参加するファームの名前を指定できます. TS セッション エージェントは、ファーム名を使用して、同じターミナル サーバー ファームに配置されているターミナル サーバーを特定します. そこで, 同じ負荷分散ファーム内のすべてのターミナル サーバーに対して、同じファーム名を使用する必要があります. ファーム名は、Active Directory ドメイン サービスの名前に対応している必要はありません.

新しいファーム名を指定した場合, 新しいファームが TS セッション エージェントに作成されます. 既存のファーム名を指定する場合, サーバーはこの TS セッション エージェント ファームに参加します.

このポリシー設定を有効にした場合, TS セッション エージェント ファームの名前を指定する必要があります.

このポリシー設定を無効にするか、構成しなかった場合, グループ ポリシーでファーム名が指定されない. そんなときに, ファーム名は、ターミナル サービス構成ツールまたはターミナル サービス WMI プロバイダを使用して指定できます.

– IPアドレス転送を使用する: このポリシー設定を使用すると、クライアント デバイスが負荷分散されたターミナル サーバー ファーム内の既存のターミナル サービス セッションに再接続するときに使用するリダイレクト方法を指定できます. このオプションは、TS セッション エージェントを使用するように構成されたターミナル サーバーに適用されます, TSセッション・エージェント・サーバーには送信されません.

このポリシー設定を有効にした場合, ターミナル サービス クライアントは TS セッション エージェントに対してクエリを実行し、セッションが配置されているターミナル サーバーの IP アドレスを使用して既存のセッションにリダイレクトされます. このリダイレクト方法を使用するには, クライアント コンピュータは、IP アドレスを使用してファームのターミナル サーバーに直接接続できる必要があります.

このポリシー設定を無効にした場合, ターミナル サーバーの IP アドレスがクライアントに送信されない. その代わりに, IP アドレスが監視に埋め込まれている. クライアントがロードバランシングに再接続したとき, ルーティング トークンは、クライアントをファーム内の正しいターミナル サーバー上の既存のセッションにリダイレクトするために使用されます. このオプションは、ネットワーク負荷分散ソリューションが TS セッション エージェント ルーティング トークンの使用をサポートしており、クライアントが負荷分散ファーム内のターミナル サーバーに IP アドレス経由で直接接続しないようにする場合にのみ無効にします.

このポリシー設定を設定しない場合, このオプションが使用されます “IPアドレス転送を使用する” ターミナル サービス構成ツール. デフォルトでは, ターミナル サービス構成ツールのこのオプションは有効になっています.

– TS セッション エージェント サーバー名の構成: このポリシー設定を使用すると、ターミナル サーバーがユーザー セッションを追跡し、負荷分散されたターミナル サーバー ファームにリダイレクトするために使用する TS セッション エージェント サーバーを指定できます. 指定したサーバーは、ターミナル サービス セッション エージェント サービスを実行している必要があります. 負荷分散されたファーム内のすべてのターミナル サーバーは、同じ TS セッション エージェント サーバーを使用する必要があります.

このポリシー設定を有効にした場合, TS セッション・エージェント・サーバは、そのホスト名を使用して指定する必要があります, IPアドレスまたは完全修飾ドメイン名. TSセッション・エージェント・サーバに無効な名前またはIPアドレスを指定した場合, エラー メッセージは、ターミナル サーバーのイベント ビューアに記録されます.

このポリシー設定を無効にするか、構成しなかった場合, TS セッション エージェントのサーバー名または IP アドレスは、ターミナル サービス構成ツールまたはターミナル サービス WMI プロバイダを使用して指定できます.

– TS セッション エージェントのロード バランシングの使用: このポリシー設定を使用すると、ターミナル サーバー ファーム内のサーバー間の負荷分散に TS セッション エージェントの負荷分散機能を使用するかどうかを指定できます.

このポリシー設定を有効にした場合, TS セッション エージェントは、既存のセッションを持たないユーザーを、セッションの少ないファーム内のターミナル サーバーにリダイレクトします. 既存のセッションを持つユーザーのリダイレクト動作は影響を受けません. サーバーが TS セッション エージェントを使用するように構成されている場合, 既存のセッションを持つユーザーは、セッションが配置されているターミナル サーバーにリダイレクトされます.

このポリシー設定を無効にした場合, 既存のセッションを持たないユーザーは、接続した最初のターミナル サーバーにログオンします.

このポリシー設定を設定しない場合, ターミナル サービス構成ツールまたはターミナル サービス WMI プロバイダを使用して、ターミナル サーバーが TS セッション エージェントの負荷分散に参加するように構成できます.

で “機器のセットアップ” > “管理用テンプレート” > “Windows コンポーネント” > “ターミナルサービス” > “ターミナル サーバー” > “一時フォルダ” 次の構成があります:

– 退出時に一時フォルダを削除しないでください: ターミナル サービスがユーザーのログオフ時にセッションごとに一時フォルダを保持するかどうかを指定します.

このオプションを使用すると、リモート コンピュータ上のユーザーのセッションに固有の一時フォルダを保持できます, ユーザーがログアウトした場合でも. デフォルトでは, ターミナル サービスは、ユーザーがログオフしたときにユーザーの一時フォルダを削除します.

ステータスが [有効] に設定されている場合, ユーザーセッションごとの一時フォルダは、ユーザーがログオフしても保持されます.

ステータスが [無効] に設定されている場合, 一時フォルダは、ユーザーがログアウトすると削除されます, 管理者がターミナル サービス設定ツールで別のアクションを指定した場合でも.

ステータスが [未設定] に設定されている場合, ターミナル サービスは、ログオフするとリモート コンピュータから一時フォルダを削除します, サーバー管理者が別のアクションを指定している場合を除く.

– セッションごとに一時フォルダを使用しない: このポリシー設定を使用すると、ターミナル サービスでセッション固有の一時フォルダーが作成されないようにすることができます.

このポリシー設定を使用して、セッションごとにリモート コンピューター上に個別の一時フォルダーの作成を無効にすることができます. デフォルトでは, ターミナル サービスは、ユーザーがリモート コンピュータ上に保持するアクティブなセッションごとに個別の一時フォルダを作成します. これらの一時フォルダは、リモートコンピュータ上に作成されます, ユーザーのプロファイル フォルダー内の Temp フォルダー, そして、それらには名前が割り当てられます “セッションID”.

このポリシー設定を有効にした場合, セッションごとに一時フォルダは作成されません. その代わりに, リモート コンピュータ上のすべてのユーザー セッションの一時ファイルは、リモート コンピュータ上のユーザーのプロファイル フォルダ内の共通の一時フォルダに格納されます.

このポリシー設定が無効になっている場合, 一時フォルダは常にセッションごとに作成されます, ターミナル サービス構成ツールで別段の指定をした場合でも.

このポリシー設定が構成されていない場合, 一時フォルダは常にセッションごとに作成されます, ターミナル サービス構成ツールで特に指定されていない限り.

で “機器のセットアップ” > “管理用テンプレート” > “Windows コンポーネント” > “ターミナルサービス” > “ターミナル サーバー” > “リモート・セッション環境” 次の構成があります:

– 自動再接続: リモート デスクトップ接続クライアントが一時的にネットワーク接続を失った場合に、ターミナル サービス セッションに自動的に再接続できるかどうかを指定します. デフォルトでは, 5 秒間隔で最大 20 回の再接続試行が行われます.

ステータスが [有効] に設定されている場合, ネットワーク接続が失われるたびに、リモート デスクトップ接続を実行しているすべてのクライアントの自動再接続が試行されます.

ステータスが [無効] に設定されている場合, クライアントの自動再接続は禁止されています.

ステータスが [未設定] に設定されている場合, 自動再接続は、グループ ポリシー レベルでは指定されません. しかし, ユーザーは、 “接続が失われた場合は再接続します” [リモート デスクトップ接続のパフォーマンス] タブ.

– ユーザーがターミナル サービスを使用してリモートで接続できるようにする: このポリシー設定を使用すると、ターミナル サービスを使用してコンピューターへのリモート アクセスを構成できます.

このポリシー設定を有効にした場合, ターゲット コンピュータの Remote Desktop Users グループのメンバであるユーザーは、ターミナル サービスを使用してターゲット コンピュータにリモート接続できます.

このポリシー設定を無効にした場合, ユーザーは、ターミナル サービスを使用してターゲット コンピューターにリモート接続することはできません. 宛先チームは現在の接続を維持します, ただし、新しい着信接続は受け付けられません.

このポリシー設定を設定しない場合, ターミナル サービスは、ターゲット コンピュータのリモート デスクトップ オプションを使用して、リモート接続が許可されているかどうかを判断します. このオプションは、[システムのプロパティ] の [リモート アクセス] タブにあります. デフォルトでは, リモート接続は許可されていません.

– セッション・コンソールにログオンしている管理者のログオフを拒否します。: このポリシー設定は、サーバー コンソールにリモート接続を試みる管理者が、コンソールにログオンしている管理者をログオフできるかどうかを決定します.

このポリシーは、ログインしている管理者が別の管理者からログアウトされることを望まない場合に便利です. 接続している管理者がログアウトしている場合, 以前に保存されていないデータは失われます.

このポリシー設定を有効にした場合, 接続されている管理者からログアウトすることはできません.

このポリシー設定を無効にするか、構成しなかった場合, 接続されている管理者からログアウトすることが可能になります.

– 接続メンテナンス メッセージの間隔を構成する: このポリシー設定を使用すると、接続メンテナンス メッセージの間隔を指定して、ターミナル サーバー上のセッション状態がクライアントの状態と一致していることを確認できます.

ターミナル サーバー クライアントがターミナル サーバーへの接続を失った後, そのサーバー上のセッションは、切断する代わりにアクティブなままにすることができます, クライアントがサーバーから物理的に切断されている場合でも. クライアントが同じターミナル サーバーに再度ログオンした場合, 新しいセッションを確立できます (ターミナル サービス構成で複数のセッションが許可されている場合) また、元のセッションはアクティブなままにすることができます.

このポリシー設定を有効にした場合, 接続保守メッセージの間隔を指定する必要があります. 接続キープアライブ メッセージの間隔によって、頻度が決まります (数分で) サーバーがセッションの状態を確認する. 書き込める値の範囲は、 1 宛先 999.999.

このポリシー設定を無効にするか、構成しなかった場合, 接続メンテナンス メッセージの間に間隔は設定されず、サーバーはセッション状態をチェックしません.

– 接続数の制限: ターミナル サービスがサーバーへの同時接続数を制限するかどうかを指定します.

このオプションを使用して、サーバー上でアクティブにできるリモート・セッションの数を制限できます. この数を超えた場合, 他のユーザーが接続を試みると、サーバーがビジーであることを示すエラー メッセージが表示されるため、後で再試行できます. セッション数を制限すると、システムリソースを消費するセッションが少なくなるため、パフォーマンスが向上します. デフォルトでは, ターミナル サーバーでは、リモート セッションの数に制限なく、管理用リモート デスクトップでは 2 つのリモート セッションが許可されます.

このオプションを使用するには, サーバーの最大数として指定する接続数を入力します. 接続数を無制限に指定するには, だいしょ 999999.

ステータスが [有効] に設定されている場合, 接続の最大数は、Windows のバージョンとサーバーで実行されているターミナル サービス モードと一致する指定された数に制限されます.

ステータスが [無効] または [未設定] に設定されている場合, 接続数の制限は、グループ ポリシー レベルでは適用されません.

– ターミナル サービスのユーザー セッションのリモート コントロールに関するルールを設定する: このポリシー設定を使用すると、ターミナル サービス セッションで許可されるリモート コントロールのレベルを指定できます.

このポリシー設定を使用して、リモート コントロールの 2 つのレベルのいずれかを選択できます: セッションの表示またはフル コントロール. セッションの表示 は、リモートコントロールユーザーがセッションを表示することを可能にします. フル コントロールにより、管理者はセッションと対話できます. リモートコントロールは、ユーザー権限の有無にかかわらず設定できます.

このポリシー設定が有効になっている場合, 管理者は、指定されたルールに基づいて、ユーザーのターミナル サービス セッションとリモートで対話できます. このようなルールを定めること, [オプション]リストから必要な制御と権限のレベルを選択します. リモコンを無効にするには, 選ぶ “リモコンは許可されていません”.

このポリシー設定が無効になっているか、構成されていない場合, リモート コントロールのルールは、ターミナル サービス構成ツールの [リモート コントロール] タブを構成することによって決定されます. デフォルトでは, リモートコントロールユーザーは、ユーザー権限を使用してセッションを完全に制御できます.

– 元のクライアントからの再接続のみを許可する: 切断されたターミナル サービス セッションにユーザーが元のクライアント コンピューターとは異なるコンピューターを使用して再接続できるかどうかを指定します.

このオプションを使用すると、ターミナル サービス ユーザーが最初にセッションを作成したクライアント コンピュータとは別のコンピュータを使用して、切断されたセッションに再接続できないようにすることができます. デフォルトでは, ターミナル サービスを使用すると、ユーザーは任意のクライアント コンピューターから切断されたセッションに再接続できます.

ステータスが [有効] に設定されている場合, ユーザーは、元のクライアント コンピューターからのみ、切断されたセッションに再接続できます. ユーザーが別のコンピューターから切断されたセッションに接続しようとした場合, 新しいセッションがその場所に作成されます.

ステータスが [無効] に設定されている場合, ユーザーは、どのコンピューターからでも切断されたセッションにいつでも接続できます.

ステータスが [未設定] に設定されている場合, 元のクライアント コンピュータからのセッションの再接続は、グループ ポリシー レベルでは指定されません.

大事な: このオプションをサポートするのは、接続時にシリアル番号を提供するCitrix ICAのお客様のみです, これは、ユーザーが Windows クライアントに接続する場合は無視されます. 同様, このオプションは、[コンピュータの構成] と [ユーザー設定] の両方に表示されることに注意してください. 両方のオプションが設定されている場合, 「コンピュータ構成」オプションは、他のオプションを上書きします.

– ターミナル サービス ユーザーを 1 つのリモート セッションに制限する: このポリシー設定を使用すると、ユーザーを 1 つのリモート ターミナル サービス セッションに制限できます.

このポリシー設定が有効になっている場合, ターミナル サービスを介してリモートでログインするユーザーは、そのサーバー上の 1 つのセッションに制限されます (アクティブまたは切断). ユーザーが切断された状態でセッションを終了した場合, 次回のログイン時にそのセッションに自動的に再接続します.

このポリシー設定を無効にした場合, ユーザーは、ターミナルサービスを使用して無制限の数の同時リモート接続を確立できます.

このポリシー設定が構成されていない場合, ターミナルサービス構成ツールの「各ユーザーをセッションに制限する」設定, ユーザーが 1 つのリモート セッションに制限されているかどうかを判断する.

– 一覧にないプログラムのリモート起動を許可する: このポリシー設定を使用すると、リモート ユーザーがリモート セッションを開始するときにターミナル サーバー上の任意のプログラムを起動できるようにするか、RemoteApp プログラムの一覧に表示されるプログラムのみを起動できるようにするかを指定できます.

ターミナル サーバー上でリモートで起動できるプログラムを制御するには、TS RemoteApp マネージャー ツールを使用して RemoteApp プログラムの一覧を作成します. デフォルトでは, [RemoteApp プログラム] の一覧にあるプログラムは、ユーザーがリモート セッションを開始したときにのみ起動できます.

このポリシー設定を有効にした場合, リモート ユーザーは、リモート セッションを開始するときに、ターミナル サーバー上の任意のプログラムを起動できます. 例えば, リモート・ユーザーは、リモート・デスクトップ接続クライアントを使用して、接続時にプログラム実行可能ファイルのパスを指定することで、これを行うことができます.

このポリシー設定を無効にするか、構成しなかった場合, リモート ユーザーは、リモート セッションの開始時にのみ、TS RemoteApp Manager の RemoteApp プログラムの一覧に表示されるプログラムを起動できます.

で “機器のセットアップ” > “管理用テンプレート” > “Windows コンポーネント” > “ターミナルサービス” > “ターミナル サーバー” > “ライセンス” 次の構成があります:

– 指定したターミナル サービス ライセンス サーバーを使用する: このポリシー設定を使用すると、ターミナル サーバーがターミナル サービス ライセンス サーバーを検索する順序を指定できます.

このポリシー設定を有効にした場合, ターミナル サーバーは、最初に指定したライセンス サーバーの検索を試みます. これらが見つからない場合は、, ターミナル サーバーは、ライセンス サーバーの自動検出を試みます.

ライセンスサーバーの自動検出中, Windows Server ベースのドメイン内のターミナル サーバーは、次の順序でライセンス サーバーへの接続を試みます:

1. ターミナル サービス構成ツールで指定されるライセンス サーバー
2. Active Directory Domain Servicesに公開されたライセンス サーバー
3. ターミナル サーバーと同じドメイン内のドメイン コントローラーにインストールされているライセンス サーバー

このポリシー設定を無効にするか、構成しなかった場合, ターミナル サーバーは、ターミナル サービス構成ツールで指定されたライセンス サーバー検出モードを使用します.

– ターミナル サーバーに影響を与えるターミナル サーバーのライセンス問題に関する通知を非表示にする: このポリシー設定は、ターミナル サーバーに影響を与えるターミナル サーバー ライセンスの問題がある場合に、ターミナル サーバーに通知を表示するかどうかを決定します.

デフォルトでは, 通知は、ローカル管理者としてログオンした後、ターミナル サーバーに表示されます, ターミナル サーバー ライセンスに問題があり、ターミナル サーバーに影響する場合. 該当する場合, ターミナル サーバーのライセンス猶予期間が終了するまでの残り日数も通知が表示されます.

このポリシー設定を有効にした場合, これらの通知はターミナル サーバーに表示されません.

このポリシー設定を無効にするか、構成しなかった場合, これらの通知は、ローカル管理者としてログインした後、ターミナル サーバーに表示されます.

– ターミナルサービスライセンスモードの設定: このポリシー設定を使用すると、ターミナル サービス クライアント アクセス ライセンスの種類を指定できます (カル・デ・TS) このターミナル サーバーへの接続を確立するために必要です.

このポリシー設定を使用して、次の 2 つのライセンス モードのいずれかを選択できます: ユーザー別およびデバイス別.

ユーザー数ライセンス モードでは、このターミナル サーバーに接続する各ユーザー アカウントに TS Per User CAL が必要です.

接続デバイス数ライセンス モードでは、このターミナル サーバーに接続する各デバイスに TS 接続デバイス CAL が必要です.

このポリシー設定を有効にした場合, 指定したライセンス モードは、ターミナル サービスのインストール時またはターミナル サービス構成ツールで指定したライセンス モードよりも優先されます.

このポリシー設定を無効にするか、構成しなかった場合, ターミナル サービスのインストール中またはターミナル サービス構成ツールで指定されたライセンス モードが使用されます.

で “機器のセットアップ” > “管理用テンプレート” > “Windows コンポーネント” > “ターミナルサービス” > “ターミナル サーバー” > “セッション時間制限” 次の構成があります:

– 切断されたセッションの時間制限を設定する: Esta configuración de directiva permite configurar un límite de tiempo para las sesiones de Terminal Services desconectadas.

Puede usar esta configuración de directiva para especificar la cantidad máxima de tiempo que una sesión desconectada se mantiene activa en el servidor. デフォルトでは, Terminal Services permite a los usuarios desconectarse de una sesión remota sin cerrar sesión.

Cuando una sesión está desconectada, los programas en ejecución se mantienen activos aunque el usuario ya no esté conectado de forma activa. デフォルトでは, estas sesiones desconectadas se mantienen durante un tiempo ilimitado en el servidor.

このポリシー設定を有効にした場合, las sesiones desconectadas se eliminarán del servidor una vez transcurrido el tiempo especificado. Para aplicar el comportamiento predeterminado que mantiene las sesiones desconectadas por tiempo ilimitado, 選ぶ “一度もない”. En sesiones de la consola, los límites de tiempo de las sesiones desconectadas no se aplican.

このポリシー設定を無効にするか、構成しなかった場合, las sesiones desconectadas se mantienen durante un tiempo ilimitado. Se pueden especificar límites de tiempo para sesiones desconectadas en la ficha Sesiones de la herramienta Configuración de Terminal Services.

– Establecer el límite de tiempo para sesiones activas, pero en inactividad, de Terminal Services: Esta configuración de directiva permite especificar la cantidad máxima de tiempo durante el que una sesión activa de Terminal Services puede estar inactiva (私が言いたいのは, sin la intervención del usuario) antes de que se desconecte automáticamente.

このポリシー設定を有効にした場合, debe seleccionar el límite de tiempo deseado en la lista desplegable Límite de la sesión inactiva. Terminal Services desconectará automáticamente las sesiones activas que no se hayan usado en el tiempo límite especificado. El usuario recibe una advertencia dos minutos antes de que se desconecte la sesión, lo que le permite presionar una tecla o mover el mouse para mantener activa la sesión. En sesiones de la consola, los límites de tiempo de las sesiones inactivas no se aplican.

このポリシー設定を無効にするか、構成しなかった場合, Terminal Services permite mantener las sesiones activas pero sin usar durante un tiempo ilimitado. Se pueden especificar límites de tiempo para sesiones activas, pero en inactividad, en la ficha Sesiones de la herramienta Configuración de Terminal Services.

Si desea que Terminal Services termine (en lugar de que desconecte) una sesión cuando se alcanza el límite de tiempo, se puede configurar la directiva “Configuración del equipoPlantillas administrativasComponentes de WindowsTerminal ServicesTerminal ServerLímites de tiempo de sesiónTerminar sesión cuando se alcancen los límites de tiempo”.

– Establecer el límite de tiempo para sesiones activas de Terminal Services: Esta configuración de directiva permite especificar la cantidad máxima de tiempo durante el que una sesión de Terminal Services puede estar activa antes de que se desconecte automáticamente.

このポリシー設定を有効にした場合, debe seleccionar el límite de tiempo deseado en la lista desplegable Límite de sesión activa. Terminal Services desconectará automáticamente las sesiones activas una vez transcurrido el tiempo límite especificado. El usuario recibe una advertencia dos minutos antes de que se desconecte la sesión de Terminal Services, lo que le permite guardar los archivos abiertos y cerrar programas. En sesiones de la consola, los límites de tiempo de las sesiones activas no se aplican.

このポリシー設定を無効にするか、構成しなかった場合, Terminal Services permite mantener activas las sesiones durante un tiempo ilimitado. Se pueden especificar límites de tiempo para sesiones activas en la ficha Sesiones de la herramienta Configuración de Terminal Services.

Si desea que Terminal Services termine (en lugar de que desconecte) una sesión cuando se alcanza el límite de tiempo, 「コンピュータの構成管理用テンプレートWindows コンポーネントターミナル サービスターミナル サーバーセッション時間制限時間制限時間に達したときにセッションを終了する」ポリシーを構成できます.

– 制限時間に達した場合の端末セッション: タイムアウトしたターミナル サービス セッションを切断するのではなく、終了するかどうかを指定します.

このオプションを使用して、ターミナル サービスでセッションを終了させることができます (私が言いたいのは, ユーザー・セッションが閉じられ、サーバー・セッションが削除されます) アクティブまたは非アクティブなセッションの時間制限に達したとき. デフォルトでは, ターミナル サービスは、制限時間に達したセッションを切断します.

時間制限は、サーバー管理者によってローカルまたはグループ ポリシーで設定されます. 見る “アクティブなターミナル サービス セッションの時間制限を設定する” そして “アクティブセッションの時間制限を設定する, pero en inactividad, de Terminal Services”.

ステータスが [有効] に設定されている場合, ターミナル サービスは、タイムアウト制限に達したセッションを終了します.

ステータスが [無効] に設定されている場合, ターミナル サービスは、タイムアウトしたセッションを常に切断します, サーバー管理者が別のアクションを指定した場合でも同様です.

ステータスが [未設定] に設定されている場合, ターミナル サービスがタイムアウトしたセッションを切断する, ローカル設定で別のアクションが指定されていない限り.

– RemoreAppからログアウトする時間制限を設定します: このポリシー設定を使用すると、ユーザーの RemoteApp セッションがターミナル サーバーから閉じられるまでにオフラインのままでいる時間を指定できます.

デフォルトでは, ユーザーが RemoteApp プログラムを閉じた場合, セッションがターミナル サーバーから切断されている.

このポリシー設定を有効にした場合, ユーザーが RemoteApp プログラムを閉じたとき, RemoteApp セッションは、指定された時間制限に達するまで切断された状態のままになります. 指定した制限時間に達したとき, ターミナル サーバーから RemoteApp セッションが閉じられている. ユーザーが制限時間に達する前に RemoteApp プログラムを起動した場合, ターミナル サーバー上の切断されたセッションに再接続します.

このポリシー設定を無効にするか、構成しなかった場合, ユーザーが RemoteApp プログラムを閉じたとき, セッションがターミナル サーバーから切断されている.

で “機器のセットアップ” > “管理用テンプレート” > “Windows コンポーネント” > “ターミナルサービス” > “ターミナル サーバー” > “プロファイル” 次の構成があります:

– TS ユーザーホームディレクトリの設定: ターミナル サービスが、ターミナル サービス セッションのユーザーのホーム ディレクトリのルートとして、指定したネットワーク共有またはローカル ディレクトリ パスのどちらを使用するかを指定します.

このオプションを使用するには, ホームディレクトリの場所を選択します (ネットワークまたはローカル) [ロケーション] ドロップダウン リストから. ディレクトリをネットワーク共有に配置することを選択した場合, ホームディレクトリのルートパスをTeamNameShareResource Nameとして入力し、, 後, ネットワーク共有をマップするドライブ文字を選択します.

ホームディレクトリをローカルコンピュータに保持することを選択した場合, ホームディレクトリのルートパスを次のように入力します。 “単位:パス” (引用符は付けません), 環境変数や省略記号はありません. ユーザーエイリアスのプレースホルダーを指定しないでください, ターミナルサービスはログイン時に自動的に追加するためです.

– ターミナル サーバーで必要なプロファイルを使用する: このポリシー設定を使用すると、ターミナル サーバーにリモートで接続するすべてのユーザーに必要なプロファイルをターミナル サービスで使用するかどうかを指定できます.

このポリシー設定を有効にした場合, ターミナル サービスは、ポリシー設定で指定されたパスを使用します “TS ローミング ユーザー プロファイル パスの設定” 必要なユーザープロファイルのルートフォルダとして. ターミナル サーバーにリモートで接続するすべてのユーザーは、同じユーザー プロファイルを使用します.

このポリシー設定を無効にするか、構成しなかった場合, ターミナル サーバーにリモートで接続するユーザーは、必要なユーザー プロファイルを使用しません.

– TS モバイル ユーザー プロファイル パスの設定: このポリシー設定を使用すると、ターミナル サービスが移動ユーザー プロファイルに使用するネットワーク パスを指定できます.

デフォルトでは, ターミナル サービスは、すべてのユーザー プロファイルをターミナル サーバーにローカルに保存します. このポリシー設定を使用して、ユーザー プロファイルを一元的に保存できるネットワーク共有を指定できます, これにより、ユーザーは、ユーザープロファイルにネットワーク共有を使用するように構成されているすべてのターミナルサーバー上のセッションの同じプロファイルにアクセスできるようになります.

このポリシー設定を有効にした場合, ターミナル サービスは、指定されたパスをすべてのユーザー プロファイルのルート ディレクトリとして使用します. プロファイルは、各ユーザーのアカウント名を含むサブフォルダに保存されます.

このポリシー設定を設定するには, ネットワーク共有へのパスを ComputerNameShareName の形式で入力します. ユーザーアカウント名のプレースホルダーを指定しないでください, ターミナル サービスがユーザーにログインしてプロファイルが作成されると自動的に追加されるためです. 指定したネットワーク共有が存在しない場合, ターミナル サービスは、ターミナル サーバーにエラー メッセージを表示し、ユーザー プロファイルをターミナル サーバーにローカルに格納します.

このポリシー設定を無効にするか、構成しなかった場合, ユーザー プロファイルは、ターミナル サーバーにローカルに格納されます. ユーザー プロファイルのパスは、[ユーザー アカウントのプロパティ] ダイアログ ボックスの [ターミナル サービス プロファイル] タブで構成できます.

で “機器のセットアップ” > “管理用テンプレート” > “Windows コンポーネント” > “ターミナルサービス” > “ターミナル サーバー” > “デバイスまたはリソースのリダイレクト” 次の構成があります:

– オーディオ リダイレクトを許可する: ターミナル サービス セッション中にリモート コンピューターのオーディオ出力を再生する場所をユーザーが選択できるかどうかを指定します (オーディオリダイレクト).

ユーザーは、 “リモートコンピュータの音” [リモート デスクトップ接続] の [ローカル リソース] タブで、リモート オーディオをリモート コンピューターとローカル コンピューターのどちらで再生するかを選択します. ユーザーはオーディオを無効にすることもできます.

デフォルトでは, ユーザーは、ターミナル サービスを使用して Windows Server を実行しているサーバーに接続するときにオーディオ リダイレクトを適用できません 2003. Windows XP Professional を実行しているコンピュータに接続するユーザーは、デフォルトでオーディオ リダイレクトを適用できます.

ステータスが [有効] に設定されている場合, ユーザーはオーディオリダイレクトを適用できるようになります.

ステータスが [無効] に設定されている場合, ユーザーはオーディオ リダイレクトを適用できなくなります.

ステータスが [未設定] に設定されている場合, オーディオ リダイレクトは、グループ ポリシー レベルでは指定されません. しかし, 管理者は、ターミナル サービス構成ツールを使用してオーディオ リダイレクトを有効または無効にすることができます.

– クリップボードのリダイレクトを許可しない: クリップボードの内容の共有を禁止するかどうかを指定します (クリップボードのリダイレクト) ターミナル サービス セッション中のリモート コンピュータとクライアント コンピュータの間.

このオプションを使用すると、ユーザーがクリップボード情報をリモート コンピューターとローカル コンピューターとの間でリダイレクトできないようにすることができます. デフォルトでは, ターミナル サービスでは、クリップボードのリダイレクトが許可されます.

ステータスが [有効] に設定されている場合, ユーザーはクリップボードから情報をリダイレクトできなくなります.

ステータスが [無効] に設定されている場合, ターミナル サービスでは、常にクリップボードのリダイレクトが許可されます.

ステータスが [未設定] に設定されている場合, クリップボードのリダイレクトは、グループ ポリシー レベルでは指定されません. しかし, 管理者は、ターミナル サービス構成ツールを使用してクリップボードのリダイレクトを無効にすることができます.

– COM ポート転送を許可しない: ターミナル サービス セッションでリモート コンピュータからクライアント COM ポートへのデータ リダイレクトを防止するかどうかを指定します.

このオプションを使用すると、ターミナル サービス セッションを維持しながら、ユーザーがデータを COM ポート周辺機器にリダイレクトしたり、ローカル COM ポートを割り当てたりできないようにすることができます. デフォルトでは, ターミナル サービスでは、この COM ポート転送が許可されます.

ステータスが [有効] に設定されている場合, ユーザーは、サーバーからローカル COM ポートにデータをリダイレクトできません.

ステータスが [無効] に設定されている場合, ターミナルサービスは常にCOMポート転送を許可します.

ステータスが [未設定] に設定されている場合, COM ポート転送は、グループ ポリシー レベルでは指定されません. しかし, 管理者は、ターミナルサービス構成ツールを使用してCOMポート転送を無効にすることができます.

– ドライブのリダイレクトを許可しない: ターミナル サービス セッションでのクライアント ドライブの割り当てを禁止するかどうかを指定します (ドライブ リダイレクション).

デフォルトでは, ターミナル サービスは、接続時にクライアント ユニットを自動的に割り当てます. マップされたドライブは、Windows エクスプローラーのセッション・フォルダー・ツリーまたは「マイ・コンピューター」の形式で表示されます <レターユニティ> で <チーム名>. このオプションを使用して、この動作を上書きできます.

ステータスが [有効] に設定されている場合, クライアントユニットのリダイレクトは、ターミナルサービスセッションでは許可されません.

ステータスが [無効] に設定されている場合, 顧客ユニットのリダイレクトは常に許可されます.

ステータスが [未設定] に設定されている場合, クライアント ドライブのリダイレクトは、グループ ポリシー レベルでは指定されません. しかし, 管理者は、ターミナル サービス構成ツールを使用してクライアント ドライブのリダイレクトを無効にすることができます.

– LPT ポート転送を許可しない: ターミナル サービス セッション中にクライアント LPT ポートへのデータ リダイレクトを防止するかどうかを指定します.

このオプションを使用すると、ユーザーがローカル LPT ポートを割り当てたり、リモート コンピュータからローカル LPT ポート周辺機器にデータをリダイレクトしたりできないようにすることができます. デフォルトでは, ターミナル サービスでは、この LPT ポート転送が許可されます.

ステータスが [有効] に設定されている場合, ターミナル サービス セッションのユーザーは、サーバーからローカル LPT ポートにデータをリダイレクトできません.

ステータスが [無効] に設定されている場合, LPTポートフォワーディングは常に許可されます.

ステータスが [未設定] に設定されている場合, LPT ポート転送は、グループ ポリシー レベルでは指定されません. しかし, 管理者は、ターミナルサービス構成ツールを使用してLPTローカルポート転送を無効にすることができます.

– 互換性のあるプラグアンドプレイデバイスのリダイレクトを許可しない: このポリシー設定を使用すると、サポートされているプラグ アンド プレイ デバイスのリダイレクトを制御できます, Windowsポータブルデバイスなど, ターミナル サービス セッションのリモート コンピュータ.

デフォルトでは, ターミナルサービスにより、互換性のあるプラグアンドプレイデバイスのリダイレクトが可能. ユーザーは、 “もっとその” [リモート デスクトップ接続] の [ローカル リソース] タブで、リモート コンピューターにリダイレクトされるサポートされているプラグ アンド プレイ デバイスを選択します.

このポリシー設定が有効になっている場合, ユーザーは、互換性のあるプラグアンドプレイデバイスをリモートコンピューターにリダイレクトできません.

このポリシー設定が無効になっているか、構成されていない場合, ユーザーは、互換性のあるプラグアンドプレイデバイスをリモートコンピューターにリダイレクトできます.

– スマートカードデバイスのリダイレクトを許可しない: このポリシー設定を使用すると、ターミナル サービス セッションでのスマート カード デバイスのリダイレクトを制御できます.

このポリシー設定を有効にした場合, ターミナル サービスのユーザーは、スマート カードを使用してターミナル サービスにログインすることはできません.

このポリシー設定を無効にするか、設定しない場合, スマートカードデバイスのリダイレクトが許可されます. デフォルトでは, ターミナル サービスは、接続中にスマート カード デバイスを自動的にリダイレクトします.

– タイムゾーンリダイレクトを許可: このポリシー設定は、クライアント コンピューターがタイム ゾーン設定をターミナル サービス セッションにリダイレクトするかどうかを決定します.

このポリシー設定を有効にした場合, タイムゾーンをリダイレクトできるクライアントは、その情報をサーバーに送信します. サーバーの基本時間は、現在のセッションの時間を計算するために使用されます (現在のセッション時間 = サーバーの基本時間 + お客様のタイムゾーン).

このポリシー設定を無効にするか、構成しなかった場合, クライアント コンピュータはタイム ゾーン情報をリダイレクトせず、セッションのタイム ゾーンはサーバーのタイム ゾーンと一致します.

で “機器のセットアップ” > “管理用テンプレート” > “Windows コンポーネント” > “ターミナルサービス” > “ターミナル サーバー” > “プリンターのリダイレクト” 次の構成があります:

– セッションでデフォルト・クライアント・プリンターをデフォルト・プリンターとして設定しない: このポリシー設定を使用すると、ターミナル サービス セッションで既定のクライアント プリンターを既定のプリンターとして自動的に構成するかどうかを指定できます.

デフォルトでは, ターミナル サービスは、既定のクライアント プリンタをターミナル サービス セッションの既定のプリンタとして自動的に指定します. このオプションを使用して、この動作を上書きできます.

このポリシー設定を有効にした場合, デフォルトのプリンターは、リモートコンピューターで指定されたプリンターになります.

このポリシー設定を無効にした場合, ターミナル サーバーは、接続時に既定のクライアント プリンターを自動的に割り当て、既定値として設定します.

このポリシー設定を設定しない場合, 既定のプリンターは、グループ ポリシー レベルでは指定されません. しかし, 管理者は、ターミナル サービス構成ツールを使用して、クライアント セッションの既定のプリンターを構成できます.

– クライアントプリンターのリダイレクトを許可しない: このポリシー設定を使用すると、ターミナル サービス セッションでクライアント プリンターの割り当てを防ぐかどうかを指定できます.

このポリシー設定を使用すると、ユーザーがリモート コンピューターからローカル コンピューターに接続されているプリンターに印刷ジョブをリダイレクトできないようにすることができます (顧客). デフォルトでは, ターミナル サービスでは、このクライアント プリンタ マッピングが許可されます.

このポリシー設定を有効にした場合, ユーザーは、ターミナル サービス セッションで、印刷ジョブをリモート コンピュータからローカル クライアント プリンタにリダイレクトできません.

このポリシー設定を無効にした場合, ユーザーは、クライアントプリンターマッピングを使用して印刷ジョブをリダイレクトできます.

このポリシー設定を設定しない場合, クライアント プリンターの割り当ては、グループ ポリシー レベルでは指定されません. しかし, 管理者は、ターミナル サービス構成ツールを使用してクライアント プリンターの割り当てを無効にすることができます.

– ターミナル サーバーのフォールバック プリンター ドライバーの動作の指定: このポリシー設定を使用すると、ターミナル サーバー フォールバック プリンター ドライバーの動作を指定できます.

デフォルトでは, ターミナル サーバー ロールバック プリンター ドライバーが無効になっています. ターミナル サーバーにクライアント プリンターと一致するプリンター ドライバーがない場合, ターミナル サーバー セッションで使用できるプリンターはありません.

このポリシー設定を有効にした場合, ロールバック プリンター ドライバーも有効になり、ターミナル サーバーの既定の動作は、適切なプリンター ドライバーを検索することです. 見つからない場合, お客様のプリンタはご利用いただけません. このデフォルトの動作を変更することを選択できます. 使用可能なオプションは次のとおりです:

“誰もそうでなければ何もしない”: 一致するプリンタードライバーがない場合, サーバーは適切なドライバーを見つけようとします. 見つからない場合, お客様のプリンタはご利用いただけません. これはデフォルトの動作です.

“何も見つからない場合は PCL を使用します”: 適切なプリンタードライバーが見つからない場合, プリンター制御言語バックホールプリンタードライバーが使用されます (PCLの) デフォルトとして.

“見つからない場合はPSを使用してください”: 適切なプリンタードライバーが見つからない場合, PostScript BackTrack プリンタードライバーが使用されます (追伸) デフォルトとして.

“PCL と PS が見つからない場合は表示します”: 適切なドライバーが見つからない場合, PSおよびPCLベースのバックホールプリンタードライバーが表示されます.

このポリシー設定を無効にした場合, ターミナル サーバーのフォールバック ハンドラーも無効になり、ターミナル サーバーは使用を試みません.

このポリシー設定が設定されていない場合, プリンター ドライバーの動作のロールバックは、既定では無効になっています.

– ターミナルサービスEasy Printプリンタードライバーを最初に使用する: このポリシー設定を使用すると、ターミナル サービス Easy Print プリンター ドライバーを最初に使用して、クライアント上のすべてのプリンターをインストールするかどうかを指定できます.

このポリシー設定を有効にするかどうか, ターミナル サーバーは、最初にターミナル サービスの Easy Print プリンター ドライバーを使用して、クライアント上のすべてのプリンターをインストールしようとします. はい, どうもですね, ターミナル サービス Easy Print プリンタ ドライバを使用できません, ターミナル サーバーでは、クライアント プリンターに一致するプリンター ドライバーが使用されます. ターミナル サーバーにクライアント プリンターと一致するプリンター ドライバーがない場合, ターミナル サービス セッションでは使用できません.

このポリシー設定を無効にした場合, ターミナル サーバーは、クライアント プリンターをインストールするのに適したプリンター ドライバーを見つけようとします. ターミナル サーバーにクライアント プリンターと一致するプリンター ドライバーがない場合, サーバーは、ターミナル サービスの Easy Print プリンター ドライバーを使用してクライアント プリンターをインストールしようとします. はい, どうもですね, ターミナル サービス Easy Print プリンタ ドライバを使用できません, お客様のプリンタはターミナルサービスセッションで使用できなくなります.

– クライアントのデフォルトプリンタのみをリダイレクトします: このポリシー設定を使用すると、ターミナル サービス セッションでリダイレクトされる唯一のプリンターをクライアントの既定のプリンターにするかどうかを指定できます.

このポリシー設定を有効にした場合, クライアントの既定のプリンターのみがターミナル サービス セッションでリダイレクトされます.

このポリシー設定を無効にするか、構成しなかった場合, すべての顧客プリンターは、ターミナル サービス セッションでリダイレクトされます.

で “機器のセットアップ” > “管理用テンプレート” > “Windows コンポーネント” > “ターミナルサービス” > “ターミナル サーバー” > “安全” 次の構成があります:

– サーバー認証証明書テンプレート: このポリシー設定を使用すると、ターミナル サーバーを認証するために自動的に選択される証明書を決定する証明書テンプレートの名前を指定できます.

SSL を使用する場合、ターミナル サーバーを認証するには証明書が必要です (TLSの 1.0) RDP 接続中にクライアントとターミナル サーバー間の通信をセキュリティで保護する.

このポリシー設定が有効になっている場合, 証明書テンプレート名を指定する必要があります. ターミナル サーバーの認証に証明書が自動的に選択される場合, 指定した証明書テンプレートを使用して作成された証明書のみが考慮されます. 証明書の自動選択は、特定の証明書が選択されていない場合にのみ行われます.

指定した証明書テンプレートで作成された証明書が見つからない場合, ターミナル サーバーは証明書登録要求を発行し、要求が完了するまで現在の証明書を使用します. 指定した証明書テンプレートで作成された証明書が複数見つかった場合, 有効期限が遅く、ターミナル サーバーの現在の名前と一致する証明書が選択されます.

このポリシー設定が無効になっているか、構成されていない場合, 既定では、ターミナル サーバーの認証に自己署名証明書が使用されます. ターミナル サーバーを認証するための特定の証明書は、ターミナル サービス設定ツールの [全般] タブで選択できます.

– クライアント接続の暗号化レベルの設定: RD プロトコル接続中にターミナル サーバーとクライアント間の通信をセキュリティで保護するために、特定のレベルの暗号化が必要かどうかを指定します (RDPの).

このオプションを有効にした場合, リモート接続中にクライアントとターミナル サーバー間で行われるすべての通信は、ここで指定されている暗号化方法を使用する必要があります. デフォルトでは, 暗号化レベルが [高] に設定されている. 使用可能な暗号化方式は次のとおりです:

* 高い: [高] オプションは、クライアントからサーバーへ、およびサーバーからクライアントへ送信されるデータを、次の高保証暗号化を使用して暗号化します。 128 ビット. このレベルの暗号化は、 128 ビット (例えば, リモート デスクトップ接続を実行しているクライアント). このレベルの暗号化をサポートしていないクライアントは、ターミナル サーバーに接続できません.

* サポートされているクライアント: 「サポートされているクライアント」オプションは、クライアントとサーバー間で送信されるデータを、クライアントがサポートする最大のキー・セキュリティで暗号化します. このレベルの暗号化は、暗号化をサポートしていないクライアントを含む環境で使用します 128 ビット.

* 低い: [低] オプションは、クライアントからサーバーに送信されるデータのみを暗号化し、次の暗号化を使用します。 56 ビット.

このオプションを無効にした場合、または設定しない場合, ターミナル サーバーへのリモート接続に使用される暗号化のレベルは、グループ ポリシーによって強制されません. しかし, これらの接続に必要な暗号化のレベルは、ターミナル サービス設定を使用して構成できます.

大事な:
FIPS サポートは、コマンドを使用して構成できます。 “システム暗号化: 暗号化に FIPS 準拠のアルゴリズムを使用する, 署名操作とハッシュ操作” in グループポリシー (コンピュータの設定でWindowsの設定セキュリティ設定ローカルポリシーセキュリティオプション) または “FIPS 準拠” ターミナルサーバー設定で. FIPS 準拠は、連邦情報処理標準の暗号化アルゴリズムを使用して、クライアントとサーバー間で送信されるデータを暗号化および復号化します (FIPS対応) 140-1, Microsoft 暗号化モジュールの使用. クライアントとターミナル サーバー間の通信に最高レベルの暗号化が必要な場合は、このレベルの暗号化を使用します. FIPS コンプライアンスがグループ ポリシー設定で既に有効になっている場合 “システム暗号化: 暗号化に FIPS 準拠のアルゴリズムを使用する, 署名操作とハッシュ操作”, このオプションは、このグループ ポリシー設定またはターミナル サービス設定で指定された暗号化レベルを上書きします.

– 接続するときは常にパスワードを要求します: ターミナル サービスが接続時に常にクライアントにパスワードの入力を求めるかどうかを指定します.

このオプションを使用すると、ターミナル サービスに接続するユーザーにパスワードの要求を要求できます, リモート デスクトップ接続クライアントで既にパスワードを提供している場合でも.

デフォルトでは, ターミナル サービスを使用すると、ユーザーはリモート デスクトップ接続クライアントにパスワードを入力して自動的にログインできます.

ステータスが [有効] に設定されている場合, ユーザーは、リモート デスクトップ接続クライアントにパスワードを入力するときに、ターミナル サービスに自動的にログインできません. ログインするためにパスワードの入力を求められます.

ステータスが [無効] に設定されている場合, ユーザーは、リモート デスクトップ接続クライアントにパスワードを入力することで、いつでもターミナル サービスに自動的にログインできます.

ステータスが [未設定] に設定されている場合, 自動サインインは、グループ ポリシー レベルでは指定されません. 其れでも, 管理者は、ターミナル サービス構成ツールを使用してパスワード プロンプトを引き続き適用できます.

– セキュリティで保護された RPC 通信が必要: ターミナル サーバーがすべてのクライアントとのセキュリティで保護された RPC 通信を必要とするか、セキュリティで保護されていない通信を許可するかを指定します.

このオプションを使用すると、認証および暗号化された要求のみを許可することで、クライアントとの RPC 通信のセキュリティを強化できます.

ステータスが [有効] に設定されている場合, ターミナル サーバーは、セキュリティで保護された要求をサポートする RPC クライアントからの要求を受け入れ、信頼されていないクライアントとの安全でない通信を許可しません.

ステータスが [無効] に設定されている場合, ターミナル サーバーは常にすべての RPC トラフィックのセキュリティを要求します. しかし, 要求に応答しない RPC クライアントに対して、セキュリティで保護されていない通信が許可されます.

ステータスが [未設定] に設定されている場合, セキュリティで保護されていない通信は許可されています.

– リモート接続に特定のセキュリティ・レベルの使用を必須にする (RDPの): RD プロトコル接続中にターミナル サーバー クライアントとサーバー間の通信を保護するために、特定のセキュリティ レベルが必要かどうかを指定します (RDPの).

このオプションを有効にした場合, リモート接続中にクライアントとターミナル サーバー間で行われるすべての通信は、ここで指定されているセキュリティ方法を使用する必要があります. 使用可能なセキュリティ方法は次のとおりです:

* 交渉する: ネゴシエート方式は、クライアントがサポートする最も安全な方式を適用します. バージョンがサポートされている場合 1.0 トランスポート層セキュリティ (TLSの), ターミナル サーバーの認証に使用されます. TLS がサポートされていない場合, リモートデスクトッププロトコル暗号化が使用されます (RDPの) 通信を保護するため, ただし、ターミナル サーバーは認証されません.

* RDPの: RDP 方式では、ネイティブ RDP 暗号化を使用して、クライアントとターミナル サーバー間の通信をセキュリティで保護します. このオプションを選択した場合, ターミナル サーバーが認証されていません.

* SSLについて (TLSの 1.0): SSL方式ではTLSを使用する必要があります 1.0 ターミナルサーバーを認証するには. TLS がサポートされていない場合, 接続が十分に確立されていません.

このオプションを無効にした場合、または設定しない場合, ターミナル サーバーへのリモート接続に使用されるセキュリティ方法は、グループ ポリシーによって強制されません. しかし, これらの接続に必要なセキュリティ方式は、ターミナル サービス構成を使用して構成できます.

– ローカル管理者にアクセス許可のカスタマイズを許可しない: ターミナル サービス設定ツールでセキュリティのアクセス許可をカスタマイズするための管理者権限を無効にするかどうかを指定します.

これらの設定を使用して、ターミナル サービス設定ツールの [アクセス許可] タブで管理者がユーザー グループを変更できないようにすることができます. デフォルトでは, 管理者はこのような変更を加えることができます.

ステータスが [有効] に設定されている場合, ターミナル サービス設定ツールの [アクセス許可] タブを使用して、接続ごとにセキュリティ記述子をカスタマイズしたり、既存のグループの既定のセキュリティ記述子を変更したりすることはできません. すべてのセキュリティ記述子は読み取り専用です.

ステータスが [無効] または [未設定] に設定されている場合, サーバー管理者は、ターミナル サービス構成ツールの [アクセス許可] タブでセキュリティ記述子に対する完全な読み取り/書き込み特権を持っています.

– ネットワークレベル認証を使用したリモート接続のユーザー認証の要求: このポリシー設定を使用すると、ネットワーク レベル認証を使用してターミナル サーバーへのリモート接続にユーザー認証が必要かどうかを指定できます. このポリシー設定により、セキュリティが向上します, リモート接続プロセスの早い段階でユーザー認証を行う必要があるためです.

このポリシー設定を有効にした場合, ネットワーク レベル認証をサポートするクライアント コンピュータのみがターミナル サーバーに接続できます.

クライアント コンピュータがネットワーク レベル認証をサポートしているかどうかを確認するには, クライアントコンピュータでリモートデスクトップ接続を開始する, [リモート デスクトップ接続] ダイアログ ボックスの左上隅にあるアイコンをクリックし、[バージョン情報] をクリックします. [リモート デスクトップ接続について] ダイアログ ボックス, フレーズを探します “ネットワークレベルの認証をサポート”.

このポリシー設定を無効にするか、構成しなかった場合, ターミナル サーバーへのリモート接続を許可する前に、ユーザー認証にネットワーク レベルの認証は必要ありません.

ユーザー認証にネットワーク レベルの認証が必要かどうかを指定するには、ターミナル サービスの設定またはシステムのプロパティの [リモート アクセス] タブを使用します.

大事な: このポリシー設定が無効になっているか、設定されていない場合, セキュリティが影響を受けます, ユーザー認証はリモート接続プロセスの後半で行われるため.

www.bujarra.com – エクトル・エレーロ – NH*****@bu*****.cオーム – v 1.0