2012年10月22日月曜日

ターミナルサービスのシングルサインオン

あまり知られていないようなので、再掲載します。

Windows Server 2008では、Active Directoryドメインにログオンしたユーザーは、ターミナルサービスに対してシングルサインオン、つまりユーザー名とパスワードを省略し、現在のユーザーアカウントでてログオンできます。

これにはサーバーとクライアントの両方の設定が必要です。
ただし、サーバーの構成は既定値でシングルサインオンが可能ですので、実際に必要なのはクライアントの設定だけです。

グループポリシーで以下の値を設定してください。

[コンピュータの構成]-[ポリシー]-[管理テンプレート]-[システム]-[資格情報の委任]を開く

  • [既定の資格情報の委任を許可する]を[有効]に設定
  • サーバ一覧に「termsrv/ターミナルサーバのホスト名」を追加

ホスト名は、実際にアクセスするときの名前に一致している必要があります。

クライアントでドメインサフィックスまで含めて指定する場合は、ホスト名もFQDNでなければいけません。

グループポリシーで登録した名前と、クライアントで接続時に指定したホスト名が違う場合はシングルサインオンが機能しません。

詳しくは@ITの記事「Windows Server 2008の基礎知識」第10回ターミナル・サービスによるクライアントの仮想化(後編)へどうぞ。

この機能は、RemoteAppを使う時に特に重要です。アプリケーションを使うたびにアカウント情報を入力するのは面倒ですからね。

なお、Windows Server 2012でも基本は同じですが、VDI環境やRemoteAppなどでは自動的に委任が行われるようで、特別な設定は必要ありません。