MENU
  1. ホーム
  2. Windows Server
  3. RDS設定で「Add User or Group」がグレーアウトする原因と解決策を徹底解説

RDS設定で「Add User or Group」がグレーアウトする原因と解決策を徹底解説

Windows Server

リモート デスクトップによる管理や操作は、多くの企業で業務効率を高める手段として活用されています。しかし、設定やグループ ポリシーの制約によって、思うようにユーザーやグループを追加できないケースがあるのも事実です。本記事では、その原因や対処法を分かりやすく解説し、トラブルをスムーズに解決する手順をご紹介します。

目次
  1. 「Add User or Group」ボタンがグレーアウトする原因とは?
    1. ドメインGPOによる上書き
    2. 権限不足
    3. セキュリティ設定の拒否 (Deny設定)
  2. グレーアウト解除・解決のための具体的な手順
    1. 1. ドメインGPOの確認と編集
    2. 2. Remote Desktop Users グループにユーザーを追加する
    3. 3. Deny設定が含まれていないかのチェック
  3. gpresultコマンドによるポリシー適用状況の確認
    1. gpresultコマンドの基本的な使い方
    2. レポートで注目すべきポイント
  4. 具体的なGPO項目の例
  5. ドメイン ポリシーとローカル ポリシーの優先度に関する注意点
  6. その他のトラブルシューティング方法
    1. サードパーティ製ツール・セキュリティソフトの影響
    2. イベント ビューアの活用
    3. 複数台のサーバーがある場合の横展開
  7. 権限を持つアカウントを使用して操作する重要性
  8. まとめとベストプラクティス
  9. 本記事の総括

「Add User or Group」ボタンがグレーアウトする原因とは?

「Allow log on through Remote Desktop Services (リモート デスクトップ サービスを介したログオンを許可する)」のプロパティで
「ユーザーまたはグループの追加(Add User or Group)」ボタンがグレーアウトし、クリックできない状態になる主な理由としては、以下が挙げられます。

ドメインGPOによる上書き

Active Directory環境下では、ドメイン レベルのグループ ポリシー (Domain Group Policy) がローカルのグループ ポリシー (Local Group Policy) を上書きすることがよくあります。特に「Allow log on through Remote Desktop Services」のようなセキュリティ関連の設定は、企業のセキュリティ ポリシーに基づいてドメイン側で一元管理されている可能性が高いです。
この場合、ローカル セキュリティ ポリシーの画面では、設定項目が編集不可 (グレーアウト) になってしまい、ローカルで追加や変更が行えません。

権限不足

「Add User or Group」ボタンを押して新たにユーザーを追加する操作は、管理者権限 (Administrator 権限) を必要とすることが一般的です。権限の低いアカウントで操作している場合は、グレーアウトしてしまい編集が不可能な状態になります。
ただし、たとえ管理者権限を持つアカウントであっても、ドメイン側のグループ ポリシーによる制限が強い場合は、ローカル側での操作がブロックされるケースもあります。

セキュリティ設定の拒否 (Deny設定)

「Allow log on through Remote Desktop Services (RDSを介したログオンを許可)」の対になる設定として、「Deny log on through Remote Desktop Services (RDSを介したログオンを拒否)」 が存在します。
ユーザーやグループが誤ってこちらに追加されている場合、許可設定を変更しても実質的にログオンできない状態が続きます。Deny設定に該当ユーザーが入っているかどうか、最優先でチェックすべきポイントの1つです。

グレーアウト解除・解決のための具体的な手順

1. ドメインGPOの確認と編集

ドメイン環境下にあるコンピューターの場合、Group Policy Management Console (gpmc.msc) を使用して、ドメイン レベルのグループ ポリシーを編集することが基本的なアプローチです。
下記の手順で、ドメインGPOの設定を確認および編集してみましょう。

  1. ドメイン管理者権限を持つアカウントで、ドメイン コントローラーにログオンまたはリモート接続を行います。
  2. 「サーバー マネージャー」などから Group Policy Management (グループ ポリシー管理) を開きます。
  3. 左ペインから対象ドメインを展開し、Default Domain Policy または該当するポリシー (カスタムGPOなど) を右クリックして「Edit」を選択します。
  4. GPOエディターが開いたら、以下のパスを探します。
   コンピューターの構成
     └ Windowsの設定
         └ セキュリティの設定
             └ ローカル ポリシー
                 └ ユーザー権利の割り当て
  1. 「Allow log on through Remote Desktop Services」のプロパティをダブルクリックし、必要なユーザーやグループを追加してOKで保存します。
  2. ポリシーの更新を待つか、下記コマンドで強制更新します。
   gpupdate /force

これにより、ローカル セキュリティ ポリシーを通じてではなく、ドメインGPO によってリモート デスクトップ サービスのログオンを許可する権限が付与されることになります。グレーアウトしていた「Add User or Group」ボタンは、ローカル ポリシー上では引き続き編集できない可能性はありますが、実際にはドメイン ポリシーの設定が優先されます。

2. Remote Desktop Users グループにユーザーを追加する

Windows環境では、リモート デスクトップへのアクセスが必要なユーザーは、「Remote Desktop Users」 グループへ追加するのが基本的な方法です。
以下の方法で確認・追加を行います。

  1. ローカル コンピューター上で、「コンピューターの管理」 → 「ローカル ユーザーとグループ」 → 「グループ」 を開きます。
  2. 「Remote Desktop Users」をダブルクリックし、メンバー一覧に該当ユーザーやグループが含まれているか確認します。
  3. いない場合は「追加(Add)」ボタンを押してユーザーを追加します。
  4. ドメイン環境では、ユーザー名の入力欄に「domain\user」のようにドメインを明示して追加する必要がある場合があります。

もしドメイン全体で共通の運用ルールを設けている場合は、ドメイン レベルで「Remote Desktop Users」グループを作成し、そこにユーザーを追加 する運用を行うことも有効です。複数のリモート接続先に対し、一括して権限を管理できるメリットがあります。

3. Deny設定が含まれていないかのチェック

「Allow log on through Remote Desktop Services」の設定とセットで確認すべきなのが、「Deny log on through Remote Desktop Services」 の項目です。
もしここに対象ユーザーやグループが含まれている場合、明示的にリモート ログオンを拒否されてしまいます。対策としては次のステップを行います。

  1. 同じくGPOエディターまたはローカル セキュリティ ポリシーから、「Deny log on through Remote Desktop Services」を開きます。
  2. 対象ユーザーやグループが追加されていないか確認します。
  3. もし追加されている場合は削除し、gpupdate /force などでポリシーを更新します。
  4. 再度リモート デスクトップ接続を試行して、問題が解消されたかを確認します。

gpresultコマンドによるポリシー適用状況の確認

ドメインおよびローカル両方のGPOがどのように適用されているのかを知るには、gpresult コマンドが非常に有用です。とくにどのグループ ポリシーが優先されているのかを可視化し、トラブルシューティングの大きな手がかりになります。

gpresultコマンドの基本的な使い方

以下は、HTML形式のレポートを出力する例です。

gpresult /h C:\gpo.html

上記コマンドを実行すると、Cドライブ直下に gpo.html が生成されます。これはWebブラウザで開けるファイルで、コンピューターとユーザーの両方に適用されているグループ ポリシーの詳細を確認できます。

レポートで注目すべきポイント

  1. Computer Details セクション:
  • コンピューターに適用されているGPO一覧が表示されます。ここで、Allow log on through Remote Desktop Services の項目を管理しているポリシーを特定します。
  1. User Details セクション:
  • ユーザーに対して適用されているGPOが表示されます。ユーザーに関連するローカル ポリシーやドメイン ポリシーがあれば、そこもチェックしてください。
  1. Deny系の設定 がどのポリシーで設定されているかを確認し、不要な拒否設定が含まれていないかを見極めます。

具体的なGPO項目の例

以下のような表にまとめておくと、どのGPOで何を設定しているかが整理しやすくなります。

項目名設定が行われているGPOAllow / Deny対象ユーザー / グループ
Allow log on through Remote Desktop ServicesCustom RDS PolicyAllowDomain Users, Remote Desktop Users
Deny log on through Remote Desktop ServicesDefault Domain PolicyDenyGuest, Anonymous

上記のように表を作成して、問題のユーザーやグループがどこに設定されているかを洗い出すと、特に複雑なポリシー環境下では混乱を防げます。

ドメイン ポリシーとローカル ポリシーの優先度に関する注意点

Windows OSでは、ローカル ポリシー よりも ドメイン ポリシー が優先されます。そのため、以下の状況に注意してください。

  • ドメイン ポリシーが特定の設定を強制している場合、ローカル セキュリティ ポリシーは編集不可 (グレーアウト) になる。
  • 一部、上位のオーガニゼーショナル ユニット (OU) レベルのポリシーがさらに上書きしている可能性もある。
  • ポリシー編集が可能なのは、当該ポリシーがリンクされているOUの管理権限、またはドメイン管理者権限を持つアカウントのみ。

こうした理由から、「なぜローカル ポリシーでボタンがグレーアウトしているのか?」 を考える際には、まずドメイン レベルの設定を疑うのが鉄則です。

その他のトラブルシューティング方法

サードパーティ製ツール・セキュリティソフトの影響

まれに、サードパーティ製のセキュリティ ツールやウイルス対策ソフトウェアがリモート接続に関するポリシーを制限していることがあります。各種監査ログやイベント ビューアを確認し、ツールの影響がないかをチェックするとよいでしょう。

イベント ビューアの活用

Windowsのイベント ビューア (Event Viewer) で、リモート デスクトップ サービスに関連するログやセキュリティ ログを調べることで、失敗したログオンや権限不備に関する具体的なエラー メッセージが確認できる場合があります。
特に「Windows ログ」 → 「セキュリティ」や「アプリケーションとサービス ログ」 → 「Microsoft」 → 「Windows」 → 「TerminalServices-LocalSessionManager」などが参考になります。

複数台のサーバーがある場合の横展開

同じADドメイン内で複数のリモート デスクトップ サーバー (RDSホスト) が運用されている場合、1台だけでなく他のサーバーとの設定の比較 も有効です。
・問題が発生しているサーバーと正常に稼働しているサーバーで、グループ ポリシーの適用状況 (gpresult /h レポートなど) を比較する。
・Remote Desktop Users グループに追加されているユーザー一覧を比較し、差異をチェックする。
こうしたアプローチにより、ポリシーの差分が明確に分かります。

権限を持つアカウントを使用して操作する重要性

既に述べたように、ドメイン管理者またはローカル管理者の権限を持つアカウントで操作しなければ、「Add User or Group」ボタンはそもそも操作不可になる可能性があります。
企業のセキュリティルール上、日常業務では権限の低いアカウントを使用し、管理作業時のみ特権アカウントに昇格する運用が一般的です。手間はかかりますが、セキュリティ上のリスクを減らすために欠かせないプロセスですので、この点を遵守して手順を踏む必要があります。

まとめとベストプラクティス

リモート デスクトップ サービスを介したログオン権限の設定は、Windows サーバーやクライアントを遠隔で管理するうえで非常に重要です。ここまでの内容を簡潔に整理すると、以下のステップがベストプラクティスとなります。

  1. ドメイン ポリシーの確認・編集
  • Group Policy Management Console (gpmc.msc) で対象のGPOを特定・編集する。
  • Default Domain Policy か、OU単位で適用されているカスタムGPOかを確認する。
  1. ローカル「Remote Desktop Users」グループへの追加
  • リモートアクセスを許可したいユーザーやグループを「Remote Desktop Users」に含める。
  • ドメイン環境の場合は、ドメイン レベルでグループを管理し、必要に応じて個々のコンピューターに適用する。
  1. 拒否設定 (Deny) の確認・削除
  • Deny log on through Remote Desktop Services に対象ユーザーやグループが含まれていないか要チェック。
  • 誤って含まれていれば削除し、gpupdate /force でポリシーを更新後に動作確認する。
  1. gpresult /h コマンドの活用
  • どのポリシーが適用されているかを確実に把握する。
  • Computer Details / User Details セクションでポリシーの優先度や適用状況を総合的に確認する。
  1. 権限の適切な利用
  • 作業は管理者権限 (ローカル管理者やドメイン管理者) を持つアカウントで行う。
  • ADサーバーの場合は、OUやドメイン管理の知識を持った管理者が設定を行うのが望ましい。

これらのポイントを押さえておくことで、リモート デスクトップ接続時のユーザー権限トラブルは大幅に減らすことができます。企業環境では、ポリシー管理が複雑化しがちですが、今回のように問題が発生している場合は、ドメイン ポリシーローカル ポリシー の関係を正しく理解し、gpresultで適用状況を可視化したうえで対処するのが基本の流れです。最終的には、リモート デスクトップ サーバーの役割やセキュリティ要件を踏まえながら、誰が何をできるのか を明確に定義し、運用ルールを徹底していくことが重要でしょう。

本記事の総括

今回のテーマである「RDSの『Allow log on through Remote Desktop Services』設定において、『Add User or Group』ボタンがグレーアウトして追加できない」問題は、ドメインGPOによる上書き設定が原因であることがほとんどです。対処には、Group Policy Management Console を活用したドメイン ポリシーの編集や、Remote Desktop Users グループ へのユーザー追加、Deny設定 の見直しなどが必要です。
さらに、gpresultコマンド でポリシーの適用状況をレポートとして確認し、どのポリシーがどの権限を上書きしているかを把握することが肝心です。こうした手順を踏むことで、トラブルシューティングがスピーディーかつ確実になります。
今後も、WindowsやActive Directoryを活用したシステム管理においては、グループ ポリシーがカギを握る場面が多々あります。定期的にポリシーの適用状況を見直し、必要に応じてドキュメント化しておくことで、社内外への対応もスムーズになるでしょう。

Windows Server
GPO Windows Server RDS Remote Desktop

コメント

コメントする

目次
  1. 「Add User or Group」ボタンがグレーアウトする原因とは?
    1. ドメインGPOによる上書き
    2. 権限不足
    3. セキュリティ設定の拒否 (Deny設定)
  2. グレーアウト解除・解決のための具体的な手順
    1. 1. ドメインGPOの確認と編集
    2. 2. Remote Desktop Users グループにユーザーを追加する
    3. 3. Deny設定が含まれていないかのチェック
  3. gpresultコマンドによるポリシー適用状況の確認
    1. gpresultコマンドの基本的な使い方
    2. レポートで注目すべきポイント
  4. 具体的なGPO項目の例
  5. ドメイン ポリシーとローカル ポリシーの優先度に関する注意点
  6. その他のトラブルシューティング方法
    1. サードパーティ製ツール・セキュリティソフトの影響
    2. イベント ビューアの活用
    3. 複数台のサーバーがある場合の横展開
  7. 権限を持つアカウントを使用して操作する重要性
  8. まとめとベストプラクティス
  9. 本記事の総括