管理者以外のユーザーやパスワード未設定ユーザーを、リモートデスクトップでログインできるようにする方法
本エントリーの目次
Windows PCを管理・使用している際に、こんなふうに思うことがあります。
管理者以外のユーザーやパスワード未設定ユーザーを、リモートデスクトップで接続(ログイン)できるようにしたい!
初期設定状態のWindows PCでは、管理者権限を持っていないユーザー(Administratorsグループに属していないユーザー)の資格情報を使ってリモートデスクトップ接続を行うと、以下のように『このユーザーアカウントはリモートログインを許可されていないため、接続は拒否されました。』というメッセージが表示され、リモートデスクトップ接続が失敗します。
これは、リモートデスクトップ接続を利用できるのが一部のユーザーに限定されており、初期設定状態で接続可能なユーザーは管理者権限を持っているユーザーのみであるからです。
しかし管理や運用の都合上、管理者以外のユーザーでリモートデスクトップ接続ができるようにしたい!
というケースもあるでしょう。
また初期設定状態では、パスワードが設定されていないユーザーはリモートデスクトップ接続を利用できません。
そのため、パスワードが設定されていないユーザーの資格情報を使ってリモートデスクトップ接続を実行すると、『ユーザーアカウントの制限(たとえば時間帯の制限)により、ログオンできません。サポートが必要な場合は、システム管理者かテクニカルサポートに問い合わせてください。』というメッセージが表示され、リモートデスクトップ接続が失敗します。
※上記画像ではメッセージ中の文言が『たとえば時間帯のの制限』となっていますが、これはWindowsの文言実装ミスと思います。(Windows 10 1903 18362.175で確認)
ですがパスワードが設定されていないユーザーの資格情報を使い、リモートデスクトップ接続を利用したい場合もあるでしょう。
そこで今回は、管理者以外のユーザーやパスワード未設定のユーザーを、リモートデスクトップ接続ができるようにする方法をご紹介します!
はじめに
これからご紹介する設定方法は、パスワードが設定されている管理者ユーザーの資格情報を使えば、リモートデスクトップ接続が可能な状態を前提としています。
そのため、パスワードが設定されている管理者ユーザーの資格情報を使ったリモートデスクトップ接続ができない場合には、まずは設定を確認※して接続できる状態としてください。
※リモートデスクトップ機能が有効化されていない、ファイアウォールの設定に問題があるなどの理由が考えられます。
管理者以外のユーザーを、リモートデスクトップ接続ができるようにする設定方法
管理者以外のユーザーを、リモートデスクトップ接続ができるようにしたい場合、以下のような設定を行うのが簡単でしょう。
管理者権限を与える(Administratorsグループのメンバーとする)
先ほど『初期設定状態で接続可能なユーザーは管理者権限を持っているユーザーのみである』というような旨、記述しています。
そのため管理者以外のユーザー(Administratorsグループに属していないユーザー = 管理者権限を持っていないユーザー)で、リモートデスクトップ接続ができるようにしたい場合は、管理者権限を与える方法が考えられます。
具体的には、リモートデスクトップ接続ができるようにしたいユーザーを、Administratorsグループのメンバーとするという方法です。
コンピューターのAdministratorsグループに属するユーザーは、そのコンピューターに対して管理者権限を持つため、リモートデスクトップ接続を利用できるようになる、というわけです。
ただしこの方法は、対象のユーザーに対して管理者権限を与えるものであり、管理者権限を与えたくない場合には使用できません。
Remote Desktop Usersグループのメンバーとする
実は初期設定状態のWindowsでは、Administratorsグループ(管理者権限を持つユーザーが属するグループ)だけではなく、Remote Desktop Usersというグループもリモートデスクトップ接続を利用できるグループとして定義、設定されています。
ただし初期設定状態では、Remote Desktop Usersグループに属するユーザーアカウントは一つもありません。
したがって実質的には、冒頭に書いた『初期設定状態で接続可能なユーザーは管理者権限を持っているユーザーのみ』という状態になっているのです。
そしてこういった初期設定の関係上、管理者以外のユーザーでリモートデスクトップ接続を利用できるようにしたい場合、Remote Desktop Usersグループのメンバーとすることでも対応可能です。
先にご紹介した管理者権限を与える(Administratorsグループのメンバーとする)方法は、対象のユーザーに対して管理者権限を与えてしまうため、管理者権限を与えたくないユーザーには使用できませんでした。
しかしRemote Desktop Usersグループのメンバーとする方法であれば、対象のユーザーに対して管理者権限を与えずにリモートデスクトップ接続を利用可能な状態とできます。
そのため、管理者以外のユーザーでリモートデスクトップ接続を利用できるように設定する際は、併せて管理者権限が必要な場合はAdministratorsグループのメンバーとする。
そして管理者権限が不要である場合には、Remote Desktop Usersグループのメンバーとする、というように設定方法を使い分けると良いでしょう。
パスワード未設定のユーザーでも、リモートデスクトップ接続ができるようにする設定方法
パスワードが設定されていないユーザーの資格情報を使用し、リモートデスクトップ接続を実行した際に接続が失敗するのは、ローカルグループポリシーによってローカルアカウントの空のパスワードの使用が制限されているからです。
そこで『ローカルグループポリシーエディター』を操作してローカルグループポリシーの設定を変更することで、パスワードが設定されていないユーザーの資格情報を使ったリモートデスクトップ接続が可能となります。
『ローカルグループポリシーエディター』は、デスクトップなど任意の画面を表示した状態で、『Windows』キーを押しながら『R』キーを押下し、『ファイル名を指定して実行』画面を表示。
そして表示された画面上で、『名前』のテキストボックスに『gpedit.msc』と入力してから『Enter』キーを押下することで起動できます。
『ローカルグループポリシーエディター』を起動したら、以下のようにポリシーを展開してください。
[コンピューターの構成] – [Windowsの設定] – [セキュリティの設定] – [ローカルポリシー] – [セキュリティオプション] – [アカウント:ローカルアカウントの空のパスワードの使用をコンソールログオンのみに制限する]
初期設定では、 [アカウント:ローカルアカウントの空のパスワードの使用をコンソールログオンのみに制限する]ポリシーは『有効』となっているはずです。
このポリシーを『無効』に変更することで、パスワードが設定されていないユーザーの資格情報を使ったリモートデスクトップ接続が可能となります。
以上、参考になさってくださーい!