自分が今更ながら知ったリモートデスクトップ接続の小技についてです。
試すためのコマンドについては何も作っていないので情報だけ。
REMOTE INTERACTIVE LOGON
INTERACTIVE LOGONは元々理解していたのですが、REMOTE INTERACTIVE LOGONがWindows XPにも搭載されていたのは知りませんでした。
REMOTE INTERACTIVE LOGONはリモートデスクトップを利用した対話的ログオンに対して自動的に割当たるグループという事です。
要するにリモート接続した場合だけアクセス拒否にしたいファイルやフォルダを指定しておけば、対話的なコンソールログオン時のみアクセス可能でリモートアクセス時に拒否出来るフォルダが作れるという事です。
ただし、あまり利用出来なそうな点として、コンソールセッションをリモートデスクトップで奪ったり、その逆を行った場合には前回ログオン時の状態が継承されてしまうのと、そもそもリモートデスクトップを利用するサーバには多くの確立でadministratorsグループに所属しているアカウントでログインする事になると思うので、実際のところとしてはサーバルームにしっかり保管されているサーバに対してターミナルサービス経由でログインしてくる利用者にローカルリソースの利用制限をかけたい時くらいにしか適用出来ないかなと思います。
Windows XP上でREMOTE INTERACTIVE LOGON権限を付与する場合にはGUIからではなくCACLS等のコマンドで登録しなければならないようですが、まあWindows XPで利用する場合は仮想クライアントとしてXPを利用する時くらいしか利用用途は無いかなと思います。
うーん、いまいちREMOTE INTERACTIVE LOGONの上手い使い方が思い浮かびません。
REMOTE INTERACTIVE LOGONがドメイン全体に対して有効でさらにWindows共有に対して利用出来るならかなり使えるグループになるのですが、確認した中ではローカルコンピュータ内にしかこの権限は適用出来ないようでした。
特定のIPアドレスからアクセスした時だけに付与される制限されたグループとかあると便利なのになと思うのですが、ちょっと実用は難しそうです。
RDCManツール
おまけで便利そうだなと思ったので記載しておきます。
これもかなり昔に使ってみた気がするのですが、リモートデスクトップに複数アクセス用のウィンドウを装備したようなGUIのアプリケーションです。
名前を失念してしまいましたが、Windows Server系のリモート接続ツールのクライアントPC版のようなイメージでしょうか。
参考URL
RDCManツールで複数のリモート・デスクトップ接続を管理する
http://www.atmarkit.co.jp/fwin2k/win2ktips/1309rdcman/rdcman.html
リモート・ログオン・ユーザーからのファイル・アクセスを制限する
http://www.atmarkit.co.jp/fwin2k/win2ktips/702rdac/rdac.html