[Network] | |||||||||||
グループ・ポリシーでリモート・デスクトップからのローカル・ドライブ利用を禁止する
|
|||||||||||
|
解説 |
|
あたかもローカル・コンピュータのようにリモート・コンピュータをGUIベースで操作できるリモート・デスクトップでは、ローカル・コンピュータのハードウェアのうち、デフォルトで画面表示とキーボード/マウスをリモート操作に使用できる。リモート・デスクトップ接続クライアント(RDC)の設定を変更すれば、ローカル・コンピュータのドライブ(ローカル・ドライブ)もリモート・デスクトップからアクセス可能になる(その方法については、関連記事を参照していただきたい)。これでローカル−リモート間のファイルのやりとりが可能になり、リモート・デスクトップの使い勝手が向上することは確かだ。
しかしその一方で、リモート・デスクトップからローカル・ドライブにアクセスできるようにすることは、いくつかのセキュリティ上の危険が生じる可能性が否めない。例えばどちらかのコンピュータにウイルスが感染していた場合、ローカル・ドライブを介して、もう一方のコンピュータに伝染してしまうおそれがある。また、ローカル−リモート間で簡単にファイルがコピーできることから、情報漏えいの危険性も高まる(ただし、リモート・デスクトップに接続されたローカル・ドライブには、リモート・コンピュータ上のほかのユーザーから直接アクセスできるわけではない)。
こういったリスクを低減するには、リモート・デスクトップのサーバ側サービス(ターミナル・サービス)でローカル・ドライブの利用を禁止すればよい。これにより、たとえエンド・ユーザーがRDC側で有効にしても、ローカル・ドライブは利用できなくなる。
ターミナル・サービス側でローカル・ドライブの利用を禁止する手段としては、グループ・ポリシー機能と、「ターミナル サービス構成」というWindows Server標準の管理ツールの2種類が挙げられる。ただし後者はWindows XP/Windows Vistaでは利用できず、また複数のコンピュータの一律設定もできないという欠点がある。そこで本稿ではグループ・ポリシーによる設定方法を解説する。
操作方法 |
|
グループ・ポリシーの設定変更の手段には、グループ・ポリシー・エディタやグループ・ポリシー管理コンソール(GPMC)などいくつかある。どれでも構わないが、本稿ではグループ・ポリシー・エディタの例を説明している。これらのツールの基本的な使い方については、関連記事を参照していただきたい。
さて、グループ・ポリシーによるリモート・デスクトップからのローカル・ドライブ利用の禁止/許可の設定は、リモート・デスクトップのサーバ側サービス(以後ターミナル・サービス)に関する設定に含まれる。その在りかは、次のようにグループ・ポリシー・エディタの起動元のOS(グループ・ポリシー・テンプレート)によって異なる。
- Windows XP/Windows Server 2003
コンピュータの構成\管理用テンプレート\Windows コンポーネント\ターミナル サービス\クライアント/サーバー データ リダイレクト フォルダ - Windows Vista
コンピュータの構成\管理用テンプレート\Windows コンポーネント\ターミナル サービス\ターミナル サーバー\デバイスとリソースのリダイレクト
以下ではWindows XPの例を説明しているので、Windows Vistaの場合は上記のようにパスを置き換えていただきたい。
次の画面は、グループ・ポリシー・エディタでローカル・ドライブの利用の設定(グループ・ポリシー・オブジェクト:GPO)を編集しようとしているところだ。
ターミナル・サービスのローカル・ドライブ利用に関する設定の在りか | ||||||
これはWindows XPの例。前述のようにWindows VistaではGPOの在りかが異なるので注意。またターミナル・サービスの設定は[ユーザーの構成]にも存在するので間違えないようにしたい。 | ||||||
|
右側のペインに表示された[ドライブのリダイレクトを許可しない]というGPOをダブル・クリックすると次の画面が表示される。
ターミナル・サービスの[ドライブのリダイレクトを許可しない]の設定 | ||||||||||||
デフォルトでは[未構成]になっている。 | ||||||||||||
|
[有効]を選べば、ターミナル・サービス側でローカル・ドライブの利用が禁止される。
|
設定後にグループ・ポリシーの伝達を確認したら、リモート・デスクトップ接続クライアント(RDC)でローカル・ドライブを利用するように設定してから、ターミナル・サービスに接続してみよう。前述の設定画面で[有効]を選んだ場合は、RDC側の設定に関係なく、リモート・デスクトップのWindowsエクスプローラにローカル・ドライブは現れないはずだ。
関連記事(Windows Server Insider) | ||
リモート デスクトップで遠隔操作する(Windows XPの正体) | ||
強化されたターミナル・サービス(Windows Server 2003完全ガイド) | ||
ターミナル・サービスによるクライアントの仮想化(Windows Server 2008の基礎知識) | ||
関連リンク | ||
ターミナル サービスのグループ ポリシー オブジェクト(マイクロソフト サポート技術情報) | ||
クライアント デバイスをマッピングするための設定を構成する(マイクロソフト TechNet) | ||
この記事と関連性の高い別の記事
- Windowsのリモートデスクトップからローカルコンピューターのドライブを利用する(RDC 6.x編)(TIPS)
- リモート・デスクトップでリモート・コンピュータからローカル・ドライブを利用する(RDC 5.x編)(TIPS)
- Windowsでリモートから「リモート デスクトップ」を許可する(TIPS)
- リモート・デスクトップ接続を無効にする(TIPS)
- リモート・デスクトップ接続でパスワード入力を強制する(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|