Windowsサーバーで、外注を使ってブラウザ操作だけしてもらいたい。最低限のユーザーの権限で良いのだが、どう設定したらいいかな

2024年6月25日

外注スタッフに最低限の権限でWindowsサーバーにアクセスさせ、ブラウザ操作のみを行わせるためには、以下の手順を実行します。この手順では、ユーザーの作成、ユーザー権限の制限、リモートデスクトップアクセスの設定について説明します。

1. ユーザーの作成

まず、外注スタッフ用のユーザーアカウントを作成します。

サーバーマネージャーを使用する方法

1. サーバーマネージャーを開きます。
2. **「ツール」をクリックし、「コンピュータの管理」**を選択します。
3. 左側のペインで**「ローカルユーザーとグループ」を展開し、「ユーザー」**を選択します。
4. 右クリックし、**「新しいユーザー」**を選択します。
5. 新しいユーザーウィンドウで、以下の情報を入力します：
   • ユーザー名: 外注スタッフのユーザー名
   • フルネーム: フルネーム（オプション）
   • 説明: 説明（オプション）
   • パスワード: ユーザーのパスワード
   • パスワードの確認: パスワードの確認入力
6. 必要に応じて以下のオプションを選択します：
   • 「ユーザーは次回ログオン時にパスワードを変更する必要があります」: 初回ログイン時にパスワード変更を要求
   • 「ユーザーはパスワードを変更できません」: ユーザーがパスワードを変更できないようにする
   • 「パスワードの有効期限が切れません」: パスワードが有効期限切れにならないようにする
   • 「アカウントを無効にする」: アカウントを無効にする
7. **「作成」ボタンをクリックして新しいユーザーを作成し、「閉じる」**をクリックします。

2. ユーザー権限の制限

リモートデスクトップユーザーグループに追加

1. **「コンピュータの管理」ウィンドウで、左側のペインから「ローカルユーザーとグループ」の「グループ」**を選択します。
2. **「Remote Desktop Users」**グループをダブルクリックします。
3. **「追加」**ボタンをクリックします。
4. 作成したユーザー名を入力し、**「OK」**をクリックします。

ローカルポリシーの設定

1. サーバーマネージャーの**「ツール」をクリックし、「ローカルセキュリティポリシー」**を選択します。
2. 左側のペインで**「ローカルポリシー」を展開し、「ユーザー権利の割り当て」**をクリックします。
3. **「リモートデスクトップサービスを介したログオンを許可」**をダブルクリックします。
4. **「ユーザーまたはグループの追加」**をクリックし、先ほど作成したユーザーを追加します。

3. ブラウザの制限設定

外注スタッフがブラウザ操作のみを行えるように、ユーザーの環境を設定します。

グループポリシーを使用して設定を制限

1. サーバーマネージャーの**「ツール」をクリックし、「グループポリシーの管理」**を選択します。
2. 左側のペインで**「ドメイン」を展開し、適用するOUまたはドメインを右クリックして「新規作成」**を選択し、新しいグループポリシーオブジェクト（GPO）を作成します。
3. 作成したGPOを右クリックして**「編集」**を選択します。
4. 「ユーザーの構成」 -> 「ポリシー」 -> 「管理用テンプレート」 -> 「システム」 -> 「Ctrl+Alt+Delオプション」 -> **「タスク マネージャーの削除」**を有効にします。
5. 必要に応じて、他の不要な機能やアプリケーションのアクセスを制限するための設定を行います。

ユーザープロファイルの設定

1. ユーザープロファイルの制限を設定して、ユーザーが特定のアプリケーション（ブラウザ）のみを使用できるようにします。
2. 「gpedit.msc」を実行し、「ユーザーの構成」 -> 「管理用テンプレート」 -> 「システム」 -> 「ログオン」 -> **「指定されたプログラムを起動する」**を有効にし、ブラウザのパスを設定します。

4. 接続テスト

外注スタッフに、リモートデスクトップクライアントを使用してサーバーに接続するように指示します。接続先のIPアドレス、ユーザー名、およびパスワードを提供します。

まとめ

これらの手順により、外注スタッフが最低限の権限でWindowsサーバーにリモートデスクトップ接続し、ブラウザ操作のみを行えるようになります。セキュリティを強化し、必要なアクセス制御を行ってください。