管理者以外のユーザーやパスワード未設定ユーザーを、リモートデスクトップでログインできるようにする方法

Windows PCを管理・使用している際に、こんなふうに思うことがあります。

管理者以外のユーザーやパスワード未設定ユーザーを、リモートデスクトップで接続(ログイン)できるようにしたい！

初期設定状態のWindows PCでは、管理者権限を持っていないユーザー(Administratorsグループに属していないユーザー)の資格情報を使ってリモートデスクトップ接続を行うと、以下のように『このユーザーアカウントはリモートログインを許可されていないため、接続は拒否されました。』というメッセージが表示され、リモートデスクトップ接続が失敗します。

これは、リモートデスクトップ接続を利用できるのが一部のユーザーに限定されており、初期設定状態で接続可能なユーザーは管理者権限を持っているユーザーのみであるからです。

しかし管理や運用の都合上、管理者以外のユーザーでリモートデスクトップ接続ができるようにしたい！
というケースもあるでしょう。

また初期設定状態では、パスワードが設定されていないユーザーはリモートデスクトップ接続を利用できません。

そのため、パスワードが設定されていないユーザーの資格情報を使ってリモートデスクトップ接続を実行すると、『ユーザーアカウントの制限(たとえば時間帯の制限)により、ログオンできません。サポートが必要な場合は、システム管理者かテクニカルサポートに問い合わせてください。』というメッセージが表示され、リモートデスクトップ接続が失敗します。

※上記画像ではメッセージ中の文言が『たとえば時間帯のの制限』となっていますが、これはWindowsの文言実装ミスと思います。(Windows 10 1903 18362.175で確認)

ですがパスワードが設定されていないユーザーの資格情報を使い、リモートデスクトップ接続を利用したい場合もあるでしょう。

そこで今回は、管理者以外のユーザーやパスワード未設定のユーザーを、リモートデスクトップ接続ができるようにする方法をご紹介します！

はじめに

これからご紹介する設定方法は、パスワードが設定されている管理者ユーザーの資格情報を使えば、リモートデスクトップ接続が可能な状態を前提としています。
そのため、パスワードが設定されている管理者ユーザーの資格情報を使ったリモートデスクトップ接続ができない場合には、まずは設定を確認※して接続できる状態としてください。

※リモートデスクトップ機能が有効化されていない、ファイアウォールの設定に問題があるなどの理由が考えられます。

管理者以外のユーザーを、リモートデスクトップ接続ができるようにする設定方法

管理者以外のユーザーを、リモートデスクトップ接続ができるようにしたい場合、以下のような設定を行うのが簡単でしょう。

管理者権限を与える(Administratorsグループのメンバーとする)

先ほど『初期設定状態で接続可能なユーザーは管理者権限を持っているユーザーのみである』というような旨、記述しています。

そのため管理者以外のユーザー(Administratorsグループに属していないユーザー = 管理者権限を持っていないユーザー)で、リモートデスクトップ接続ができるようにしたい場合は、管理者権限を与える方法が考えられます。

具体的には、リモートデスクトップ接続ができるようにしたいユーザーを、Administratorsグループのメンバーとするという方法です。

コンピューターのAdministratorsグループに属するユーザーは、そのコンピューターに対して管理者権限を持つため、リモートデスクトップ接続を利用できるようになる、というわけです。
ただしこの方法は、対象のユーザーに対して管理者権限を与えるものであり、管理者権限を与えたくない場合には使用できません。

Remote Desktop Usersグループのメンバーとする

実は初期設定状態のWindowsでは、Administratorsグループ(管理者権限を持つユーザーが属するグループ)だけではなく、Remote Desktop Usersというグループもリモートデスクトップ接続を利用できるグループとして定義、設定されています。

ただし初期設定状態では、Remote Desktop Usersグループに属するユーザーアカウントは一つもありません。
したがって実質的には、冒頭に書いた『初期設定状態で接続可能なユーザーは管理者権限を持っているユーザーのみ』という状態になっているのです。

そしてこういった初期設定の関係上、管理者以外のユーザーでリモートデスクトップ接続を利用できるようにしたい場合、Remote Desktop Usersグループのメンバーとすることでも対応可能です。

先にご紹介した管理者権限を与える(Administratorsグループのメンバーとする)方法は、対象のユーザーに対して管理者権限を与えてしまうため、管理者権限を与えたくないユーザーには使用できませんでした。

しかしRemote Desktop Usersグループのメンバーとする方法であれば、対象のユーザーに対して管理者権限を与えずにリモートデスクトップ接続を利用可能な状態とできます。

そのため、管理者以外のユーザーでリモートデスクトップ接続を利用できるように設定する際は、併せて管理者権限が必要な場合はAdministratorsグループのメンバーとする。
そして管理者権限が不要である場合には、Remote Desktop Usersグループのメンバーとする、というように設定方法を使い分けると良いでしょう。

パスワード未設定のユーザーでも、リモートデスクトップ接続ができるようにする設定方法

パスワードが設定されていないユーザーの資格情報を使用し、リモートデスクトップ接続を実行した際に接続が失敗するのは、ローカルグループポリシーによってローカルアカウントの空のパスワードの使用が制限されているからです。

そこで『ローカルグループポリシーエディター』を操作してローカルグループポリシーの設定を変更することで、パスワードが設定されていないユーザーの資格情報を使ったリモートデスクトップ接続が可能となります。

『ローカルグループポリシーエディター』は、デスクトップなど任意の画面を表示した状態で、『Windows』キーを押しながら『R』キーを押下し、『ファイル名を指定して実行』画面を表示。

そして表示された画面上で、『名前』のテキストボックスに『gpedit.msc』と入力してから『Enter』キーを押下することで起動できます。

『ローカルグループポリシーエディター』を起動したら、以下のようにポリシーを展開してください。

[コンピューターの構成] – [Windowsの設定] – [セキュリティの設定] – [ローカルポリシー] – [セキュリティオプション] – [アカウント：ローカルアカウントの空のパスワードの使用をコンソールログオンのみに制限する]

初期設定では、 [アカウント：ローカルアカウントの空のパスワードの使用をコンソールログオンのみに制限する]ポリシーは『有効』となっているはずです。
このポリシーを『無効』に変更することで、パスワードが設定されていないユーザーの資格情報を使ったリモートデスクトップ接続が可能となります。

以上、参考になさってくださーい！