2015/01/23

リモートデスクトップ接続の Public モードについて

昨日の投稿に引き続き、リモートデスクトップ接続 (mstsc.exe) のあまり知られていないオプションの話。昨日は新しい /RestrictedAdmin オプションの話でしたが、今日は古くからある /Public オプションについて。拙著『Windows Server 2012 R2 テクノロジ入門 (p.574)』『Windows Server 2012 テクノロジ入門 (p.464)』のフォローアップを兼ねて...


Windows Server のリモート デスクトップ サービス (RDS) に接続するための Web ポータルである RD Web アクセスでは、サインイン フォームのページに[公共または共有のコンピューター (This is a public or shared computer)][個人のコンピューター (This is a private computer)]の 2 つのオプションがあります。

[公共または共有のコンピューター]を選択してサインインした場合は 20 分のセッション タイムアウト、[個人のコンピューター]を選択してサインインした場合は 240 分 (4時間) のタイムアウトが適用され、タイムアウト内にページのリフレッシュが無いとセッションを強制的に終了します。このタイムアウト値 (Public/Private Mode Timeout for FBA) は、 RD Web アクセスのサーバーの %Windir%\Web\RDWeb\Pages\web.config の PublicModeSessionTimeoutInMinutes および PrivateModeSessionTimeoutInMinutes キーで調整できます。

拙著『Windows Server 2012 R2 テクノロジ入門 (p.574)』『Windows Server 2012 テクノロジ入門 (p.464)』 では、そこまでしか説明していませんでしたが、実は、[公共または共有のコンピューター]を選択してサインインした場合は、リモートデスクトップ接続クライアント (Mstsc.exe) が /Public オプション付きで実行されるという違いもあります。

以下の画面は Windows Server Technical Preview の RD Web Access の場合ですが、以前のバージョンでも同じだと思います。 [公共または共有のコンピューター (This is a public or shared computer)]を選択してサインインし、[リモート PC (Remote PC)]タブを使用してリモートデスクトップ接続を開始したところです。

Windows Sysinternals の Process Explorer (Procexp) で mstsc プロセスの詳細を参照してみると、mstsc.exe のコマンドラインで /Public オプションが使用されていることがわかります。[個人のコンピューター (This is a private computer)]でサインインした場合は、/Public オプションは付きません。
mstsc.exe /? のヘルプには、/Public は“リモート デスクトップをパブリックモードで実行します”としか書かれていませんが、RDP 6.0 (Windows Vista 標準) からある比較的古いオプションです。

デスクトップ ファイル: RDP について理解する
[URL] http://technet.microsoft.com/ja-jp/magazine/2007.08.desktopfiles.aspx
 
Windows Server 2008 の TS Web アクセスでは、[自社のセキュリティ ポリシーに準拠した個人のコンピュータを使用しています。]のチェックをオフにすることで、パブリック モードで TS RemoteApp 接続を開始できたそうです。よく覚えていませんが、当時のポータルはフォーム ベース認証 (FBA) ではなく、Windows 統合認証だったような記憶があります。

TS RemoteApp のステップ バイ ステップ ガイド
[URL] https://technet.microsoft.com/ja-jp/library/cc730673(v=ws.10).aspx


・・・

パブリック モードでは、資格情報(ユーザー名、パスワード) や接続先のコンピューター、ビットマップ キャッシュをローカル コンピューターに保存しません。

以下は、/Public オプションなしの場合。

以下は、/Public オプション付きの場合。

/Public オプション付きで実行したときの接続情報は、 レジストリの HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default\MR0~MR9 に保存されないため、次回、mstsc.exe を起動したときに[コンピューター]のリスト ボックスに表示されなくなります。

RD Web アクセスの環境が無い場合でも、第三者の Windows PC で mstsc.exe を使う場合は、mstsc.exe /Public で開始しましょう。できるヤツに見えるかも。

・・・

これで、mstsc.exe のオプションは制覇できたかな (個人的に)。

/RestrictedAdmin ・・・ リモートデスクトップ接続の RestrictedAdmin モードが既定で無効に変わってた (2015/01/22)
/Shadow ・・・ Windows Server 2012 R2 Preview > 帰ってきたシャドウ (2013/07/11)
CW アーカイブ > 管理者悲痛? 人知れず削除されたRDPのシャドウ機能 (そして復活の予定) (2013/06/21)

/RemoteFile ・・・ RemoteApp プログラムの「ファイルの種類の関連付け」ができない件 (2015/01/26)





3 件のコメント:

匿名 さんのコメント...

白川申します。
おそらく隠しオプションである /Remotefile は知ってますか。
会社での RemoteApp運用でこのオプションを活用しています。

ついでに RemoteAppの運用では、rdp fileの
remoteapplicationcmdline:s:
も併用しています。

山市さんの記事はいつも参考にしており、大変ありがたく感じています。
会社では Thin PCをたくさん運用していますが、山市さんの記事を参考にデスクトップ上に配置した rdp fileで運用しています。IEはセキュリティ強化のため AppLockerで無効にしているため RD Web運用はしていませんが /publicの動きは参考になりました。ありがとうございます。

山市 良 さんのコメント...

/remotefile は直接指定して使ったことはないのですが、確か、RemoteApp プログラムで開くファイルを指定するオプションでしたね。ファイルの種類の関連付けにも使われていたはずと思い、確認しようとしたら別の問題に遭遇したので次の投稿で取り上げます。

山市 良 さんのコメント...

/REMOTEFILE オプションに関して感®年情報を書きました。

RemoteApp プログラムの「ファイルの種類の関連付け」ができない件
http://yamanxworld.blogspot.jp/2015/01/remoteapp.html