NLAを完全無効化しRDPセッション確立前に資格情報を要求しないようにする

前回、ネットワークレベル認証を強制していない場合でも、パスワード変更が必要な場合にリモートデスクトップ接続に失敗する可能性があることをお伝えしました。その場合の解決策の一つとして、「NLAを完全無効化しRDPセッション確立前に資格情報を要求しないようにする」方法があります。今回の記事ではその方法を説明したいと思います。

1.「ファイル名を指定して実行」より、「gpedit.msc」を起動

2.以下のとおりポリシーを展開し、[セキュリティ]フォルダを開く
[コンピューターの構成]
[管理用テンプレート]
[Windows コンポーネント]
[リモート デスクトップ サービス]
[リモート デスクトップ セッション ホスト]
[セキュリティ]

3. 下図のとおり、3つのポリシーのうち、2つを有効にします

[必須]
①「リモート接続にネットワークレベル認証を使用したユーザ認証を必要とする」を有効にする

[どちらか一つでよい(両方設定しても問題なし)]
②[クライアント接続の暗号化レベルを設定する] を[有効]にし、[暗号化レベル] を[低レベル]にする。

クライアント接続の暗号化レベルを設定する

③ [リモート (RDP) 接続に特定のセキュリティ レイヤーの使用を必要とする]を[有効]にし、[セキュリティレイヤー]を[RDP]にします。

リモート (RDP) 接続に特定のセキュリティ レイヤーの使用を必要とする

4.コマンド プロンプトにて「gpupdate /force」コマンド を実行し、ポリシーを適用する。

gpupdate /force

手順は以上です。これで、NLAが完全に無効になるので、 パスワード変更が必要な場合にリモートデスクトップ接続できるようになります。

ちなみに、上記の設定をしてRDP接続すると、接続時の画面が以下のようになります。

このコンピュータのIDを識別できません。接続しますか?

パスワード変更も行えるようになりました。

以上。

コメント