Windows 端末的利用 – テックメモ

人に操作してもらう端末として利用する場合。

リモート設定①

sysdm.cpl＞リモート
このコンピュータへのリモート接続を許可する
あるいは、
ms-settings:remotedesktop
でリモート接続を有効にし、
cmd＞whoami
cmd＞ipconfig
でユーザー名、IPアドレスを確認する。

追記
Windows Updateで別セグメントからのリモートが弾かれる場合がある。

netsh advfirewall firewall add rule name="MyRDP" dir=in action=allow protocol=tcp localport=3389 profile=private,public remoteip=192.168.0.0/16

1	netsh advfirewall firewall add rule name="MyRDP" dir=in action=allow protocol=tcp localport=3389 profile=private,public remoteip=192.168.0.0/16

リモート設定②

だいたい①で接続できるが、色々やってみて接続できない場合、バッチを管理者で実行してもらいTempUser/1234で接続する。

net user TempUser /add
net user TempUser 1234
net localgroup administrators TempUser /add

REM リモート接続の許可(sysdm.cpl＞リモートが有効になる) + ネットワークレベル認証の解除

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d "0" /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d "0" /f

REM (File and Printer Sharing)
REM ファイアウォールだけではなく、共有の詳細設定の2箇所も有効になる
netsh advfirewall firewall set rule group="ファイルとプリンターの共有" new enable=Yes

REM (remote desktop)
REM sysdm.cpl＞リモートは有効にならない
netsh advfirewall firewall set rule group="リモート デスクトップ" new enable=yes

REM (Netlogon Service)
netsh advfirewall firewall set rule group="Netlogon サービス" new enable=yes

REM 別セグメント許可
netsh advfirewall firewall add rule name="MyRDP" dir=in action=allow protocol=tcp localport=3389 profile=private,public remoteip=192.168.0.0/16

REM 電源
powercfg /change disk-timeout-ac 0
powercfg /change standby-timeout-ac 0
powercfg /change monitor-timeout-ac 0
powercfg /h off

net user TempUser /add

net user TempUser 1234

net localgroup administrators TempUser /add

REM リモート接続の許可(sysdm.cpl＞リモートが有効になる) + ネットワークレベル認証の解除

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d "0" /f

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d "0" /f

REM (File and Printer Sharing)

REM ファイアウォールだけではなく、共有の詳細設定の2箇所も有効になる

netsh advfirewall firewall set rule group="ファイルとプリンターの共有" new enable=Yes

REM (remote desktop)

REM sysdm.cpl＞リモートは有効にならない

netsh advfirewall firewall set rule group="リモートデスクトップ" new enable=yes

REM (Netlogon Service)

netsh advfirewall firewall set rule group="Netlogon サービス" new enable=yes

REM 別セグメント許可

netsh advfirewall firewall add rule name="MyRDP" dir=in action=allow protocol=tcp localport=3389 profile=private,public remoteip=192.168.0.0/16

REM 電源

powercfg /change disk-timeout-ac 0

powercfg /change standby-timeout-ac 0

powercfg /change monitor-timeout-ac 0

powercfg /h off

自動実行(管理者権限)する場合、
上記バッチを例えばUserAdd.batとして保存し、同じ場所で、
schtasks /create /ru administrators /tn “UserAdd” /tr “%~dp0UserAdd.bat” /sc onlogon /rl highest
を実行すれば、登録される。
(同じ場所にあるUserAdd.batを管理者権限でスタートアップで実行する)

Windows タスクスケジューラ

PowerShell リモート許可設定

Windows Update停止

以前はWindowsUpdateを停止したりしていたけど、無理やり停止すると面倒なので今はだいたいそのまま。

gpedit.msc＞ローカルコンピューターポリシー＞コンピューターの構成＞管理用テンプレート＞Windowsコンポーネント＞Windows Update
・自動更新を構成する＞有効
・自動ダウンロードしインストールを通知
に変更。

gpedit.msc … Windows Update＞エンドユーザーエクスペリエンスの管理
の場合もある。

タスクスケジューラ

アプリの更新チェック類の停止。

通知停止

Win10設定＞システム＞通知と操作＞通知
から全て無効。

UAC停止

Win+SからUACと検索して無効。

パスワード無しサインイン

最初にPINを削除

Win10設定＞アカウント＞サインインオプション
～WindowsHello サインインのみ許可する
オフにする。
WindowsHello 暗証番号(PIN)
削除する。

netplwiz
ユーザーが … パスワードの入力が必要
オフにする。
自動サインイン用の情報を入力してOKをクリック。

Microsoftアカウントの情報を更新すると、自動サインインできなくなるので、チェックボックスをオンオフする。

VPN

必要ならSoftEther等。

NICの操作などで切断の恐れがあるとき。

shutdown /r /t 600
など実行しておいて、処理が終了したら、
shutdown /a
で停止する。

@echo off

set /p x="1,2="

if %x% == 1 (
  shutdown.exe /r /t 300
)

if %x% == 2 (
  shutdown.exe /a
)

@echo off

set /p x="1,2="

if %x% == 1 (

shutdown.exe /r /t 300

)

if %x% == 2 (

shutdown.exe /a

)

リモートデスクトップ

(些細なことだけど)リモートからリモートすると、上に表示されるメニューが重なってしまうのだけど、横にドラッグすれば見えるようになる。

・ショートカット

mstsc -v:xxxショートカットや、rdpファイルの接続情報がおかしくなった場合、
control＞資格情報マネージャ＞Windows資格情報
TERMSRV～から修正するか。
mstsc
から修正する。(-v:～を付けずに実行)

・Ctrl + Alt + Delete
Ctrl + Alt + Endで送信できる

・パスワード空白許可

secpol.msc＞ローカルポリシー＞セキュリティオプション
アカウント:ローカルアカウントの空のパスワード…
を開き、無効にする。
あるいは、
gpedit.msc＞Windowsの設定＞セキュリティの設定＞ローカルポリシー＞
セキュリティオプション
から同じように設定

RDPファルイル作成

mstsc＞オプションの表示＞名前を付けて保存
保存したファイルを開いて編集し、保存をクリック。

Guestアカウント

基本有効化するべきではない。

net user guest
で確認、
net user guest /active:yes
にて設定できる。

その他にも、
lusrmgr.msc＞ユーザー＞Guest
または、
compmgmt.msc＞ユーザー＞Guest
または、
secpol.msc＞セキュリティの設定＞ローカルポリシー＞セキュリティオプション＞アカウント：ゲストアカウントの状態
などから設定する。

その他にも、
secpol.msc＞セキュリティの設定＞ローカルポリシー＞セキュリティオプション
＞アカウント：ローカルアカウントの空のパスワードの使用をコンソールログオンのみに規制する
または、
gpedit.msc＞コンピュータの構成＞Windowsの設定＞管理用テンプレート＞ネットワーク＞Lanmanワークステーション＞安全でないゲストログオンを有効にする
などを設定する。

共有フォルダの設定

(前述のバッチ実行済みとして)アクセスの組み合わせ。

Guestアカウント：有効化
共有の詳細設定＞パスワード保護共有：無効化
フォルダ共有：Everyone/Guest
フォルダセキュリティ：Everyone/Guest
共有にアクセスするユーザー：Guest

※Guestアカウントでのアクセスは、そもそもパスワード保護共有を無効化しないとアクセスできない。(パスワード保護共有は自動で有効になるときがある)

Guestアカウント：関係無し
共有の詳細設定＞パスワード保護共有：有効化
フォルダ共有：Everyone
フォルダセキュリティ：Everyone
共有にアクセスするユーザー：TempUserアクセス(ログイン可能ユーザー)

※パスワード保護共有を有効化した場合、ログイン可能ユーザーのいずれかでしかアクセスできない。さらに特定のユーザーのみのアクセスにしたい場合はEveryoneの部分を特定のユーザーに変更する。

認証情報クリア

共有フォルダへのパスワードのキャッシュをクリアする方法。

taskkill /f /im explorer.exe

net use * /delete
klist purge

start explorer.exe

pause

taskkill /f /im explorer.exe

net use * /delete

klist purge

start explorer.exe

pause

さらに、登録済みの資格情報も削除しておく。

ちなみに、手動で登録する場合、
cmdkey /add 192.168.11.106 /user:TempUser /pass:1234

資格情報の機能を無効にしたい場合

gpedit.msc＞コンピューターの構成＞Windowsの設定＞セキュリティの設定＞ローカルポリシー＞セキュリティオプション
ネットワークアクセス：ネットワーク認証のためにパスワードおよび資格情報を保存することを許可しない