リモートデスクトップ・ホストの設定は、セキュリティーを守るためにも重要です。
ホスト側のオプションで設定できるのは、以下のものです。
- セキュリティー面の制限
- 接続を許す時間の制限
- ローカルホストと共有できるディスクやクリップボードの制限
- ローカルのプリンターを使う場合の制限
- 壁紙や色数などのエクスペリエンスの制限
- 接続についての制限
クライアントのリモートデスクトップ接続オプションは、ホスト側の許可する範囲内でしか機能しません。
ホスト側のリモートデスクトップの有効化はwindows10の「システム」設定からもできますが、詳細なオプション設定は、Windowsの管理機構であるグループポリシーで行います。
グループポリシーのリモートデスクトップ・セッションホストについての設定は、ActiveDirectoryを構成して、複数のユーザーにリモートデスクトップを配信する場合にしか使わない、あるいはActiveDirectoryでしか機能しない項目も含まれています。
これは、管理者権限でリモートデスクトップ接続される、Windows10リモートデスクトップ・ホストを設定するための解説です。
管理者権限でホストに接続するので、一度接続してしまえば、クライアントから設定変更が可能だということを念頭に入れておいてください。
もしセキュリティー上好ましくない場合は、RD CALを購入して、クライアントはユーザー権限でリモートデスクトップ接続する構成を検討するのが良いかもしれません。
設定準備
リモートデスクトップ・ホストのオプションはグループポリシーで設定します。
グループポリシーを設定するために、グループポリシーエディターを開きます。
スタートボタンの右側「ここに入力して検索」欄に「gpedit」と入力します。
「グループポリシーの編集」を起動します。
既定の「拡張」表示では、設定項目を選択するとその説明が中央に簡易表示されます。
「標準」タブをクリックすると、説明欄は表示されなくなります。
グループポリシーでリモートデスクトップ・ホストの設定
グループポリシーエディターを開き、「コンピューターの構成」>>「管理テンプレート」>>「Windows コンポーネント」>>「リモートデスクトップ サービス」と階層を降りていきます。
その中の「リモートデスクトップセッションホスト」項目を設定します。
セキュリティ
初期状態で問題はないのですが、インターネットに公開する場合などは、セキュリティーを厳格に設定しておいたほうがいいかもしれません。
ActiveDirectoryを構成していない場合の設定項目は次のようなものです。
- クライアント接続の暗号化レベルを設定する
- 接続するたびにパスワードを要求する
- セキュリティーで保護されたRPC通信を要求する
- リモート(RDP)接続に特定のセキュリティーレイヤーの使用を必要とする
- リモート接続にネットワークレベル認証を使用したユーザー認証を必要とする
クライアント接続の暗号化レベルを設定する
このポリシーは、ネイティブの RDP 暗号化を使用しているときにのみ適用されます。
「リモート(RDP)接続に特定のセキュリティーレイヤーの使用を必要とする」でSSLに設定する場合は、この設定は効果がありません。
特別の理由がない限り「高レベル」にしておいて問題はないでしょう。
リモート(RDP)接続に特定のセキュリティーレイヤーの使用を必要とする
XP以前の古いWindowsを使ってリモートアクセスする場合や、Windows以外のSSLに対応しないシンクライアントを使うような場合を除いて、SSLにしておくべきでしょう。
インターネットを介して接続するような場合は「SSL」にするか、VPNなど別のセキュリティーレイヤーを構成するべきでしょう。
SSL/TLSを使わずにネイティブRDPを使う場合は、FIPSを有効にしてWindows全般の通信セキュリティーを設定する方法もありますが、ここでは触れません。
SSL メソッドでは、TLS 1.0 を使用して RD セッション ホスト サーバーを認証する必要があります。TLS がサポートされていない場合は、接続できません。このメソッドがこのポリシーの推奨設定です。
リモート接続にネットワークレベル認証を使用したユーザー認証を必要とする
この設定が無効の場合は、接続完了後にWindowsのサインイン画面が現れます。
「リモート接続にネットワークレベル認証を使用したユーザー認証を必要とする」を有効にした場合は、接続前にユーザー認証が行われ、安全性が高まるとされています。
サインイン画面ではなく、次のような資格情報を入力するダイアログが現れます。
「リモート接続にネットワークレベル認証を使用したユーザー認証を必要とする」と安全性は高まりますが、サインイン画面を使わないので、期限切れのパスワードをリモートから変更することができなくなります。
「リモート(RDP)接続に特定のセキュリティーレイヤーの使用を必要とする」をSSLに設定した場合、同時にネットワーク レベル認証は有効になるようです。
クライアント コンピューターでネットワーク レベル認証がサポートされるかどうかを確認するには、クライアント コンピューターでリモート デスクトップ接続を起動し、[リモート デスクトップ接続] ダイアログ ボックスの左上のアイコンをクリックして、[バージョン情報] をクリックします。
[リモート デスクトップ接続] ダイアログ ボックスで、”ネットワーク レベル認証はサポートされています。” というテキストを探します。
Linuxで使われているRemminaやxfreerdpコマンドでもネットワークレベル認証をサポートするようになています。
セキュリティーで保護されたRPC通信を要求する
RPC インターフェイスがリモート デスクトップ サービスの管理または構成に使用されているのであれば、セキュリティーを高く保っておくべきでしょう。
接続するたびにパスワードを要求する
この設定を「無効」にした場合、クライアントはリモートデスクトップ接続にパスワードを記憶させておいて、接続に際してパスワード入力をスキップすることができます。
既定値は「無効」です。
この設定を有効にした場合、クライアントはリモートデスクトップ接続にパスワードを記憶させていたとしても、資格情報の入力を求められるようになります。
インターネットから接続するような場合は、「接続するたびにパスワードを要求する」を有効にしておいたほうがいいでしょう。
接続を許す時間の制限
「接続を許す時間の制限」で設定するのは次のものです。
- 切断されたセッションの制限時間を設定する
- アクティブでアイドル状態になっているリモートデスクトップサービスセッションの制限時間を設定する
- アクティブなリモートデスクトップサービスセッションの制限時間を設定する
- 制限時間に達したらセッションを終了する
切断されたセッションの制限時間を設定する
リモートホストをサインアウトしない状態で、接続を切ってから指定の時間が経過したのち、強制的にサインアウトされます。
既定の「未構成」では強制サインアウトされません。
このポリシー設定は、[コンピューターの構成] および [ユーザーの構成] の両方にあります。両方のポリシー設定が構成されている場合は、[コンピューターの構成] のポリシー設定が優先されます。
アクティブでアイドル状態になっているリモートデスクトップサービスセッションの制限時間を設定する
操作せずにしばらくするとパソコンのディスプレイがスリープします。それと同じように、リモートのデスクトップで操作せずに、指定の時間が経過すると、リモートデスクトップ接続が切断されます。
切断されるだけで、サインアウトされませんので、再接続すれば、切断前に行っていた作業を継続できます。
既定の「未構成」では、接続は切断されません。
このポリシー設定は、[コンピューターの構成] および [ユーザーの構成] の両方にあります。両方のポリシー設定が構成されている場合は、[コンピューターの構成] のポリシー設定が優先されます。
アクティブなリモートデスクトップサービスセッションの制限時間を設定する
デスクトップ作業をしていても、指定の時間経過後に接続が切断されます。切断されるだけなので、再接続すれば作業を引き継ぐことができます。
このポリシー設定は、[コンピューターの構成] および [ユーザーの構成] の両方にあります。両方のポリシー設定が構成されている場合は、[コンピューターの構成] のポリシー設定が優先されます。
制限時間に達したらセッションを終了する
「アクティブでアイドル状態になっているリモートデスクトップサービスセッションの制限時間を設定する」と「アクティブなリモートデスクトップサービスセッションの制限時間を設定する」での設定時間経過後の「接続の切断」が「サインアウト」に変更されます。
この設定は、[コンピューターの構成] および [ユーザーの構成] の両方に表示されます。両方の設定が構成されている場合は、[コンピューターの構成] の設定が優先されます。
デバイスとリソースのリダイレクト
ここで設定するのは、手元のパソコンのプリンターやドライブをリモートで共有できないようにすることです。
Windows10の既定ではタイムゾーン以外のすべてのリダイレクトが許可されています。
セキュリティーや情報漏洩のことを考えると、インターネットを介してする接続には、スマートカードを除く、すべてのリダイレクトを禁止すべきかもしれません。
特にHDDやUSBメモリーなどのストレージをリダイレクトすると、リモートデスクトップ接続が、ウイルスなどの侵入や情報漏洩の経路になる可能性が著しく高くなります。
設定項目は以下になります。
- ビデオキャプチャのリダイレクトを許可しない
- オーディオおよびビデオ再生リダイレクトを許可する
- オーディオ録音リダイレクトを許可する
- オーディオ再生の品質を制限する
- クリップボードのリダイレクトを許可しない
- COMポートのリダイレクトを許可しない
- ドライブのリダイレクトを許可しない
- LPTポートのリダイレクトを許可しない
- サポートされているプラグアンドプレイデバイスのリダイレクトを許可しない
- スマートカードデバイスのリダイレクトを許可しない
- タイムゾーンリダイレクトを許可する
オーディオ再生の品質を制限する
設定内容は、項目通りのものが多いのですが、「オーディオ再生の品質を制限する」は初期状態でネットワークの品質に応じて「動的」に音声品質を自動設定します。
ネットワークが不安定な場合は、音質を手動で「中」に設定したほうが安定する場合があります。
ドライブのリダイレクトを許可しない
ローカルネットワークでメンテナンスをする場合や、利便性を重視する個人的な使用目的以外は、「ドライブのリダイレクトを許可しない」を有効にして、リダイレクトできないようにしておくべきでしょう。
既定値では、クライアントが「リモートデスクトップ接続」アプリで指定したローカルリソースが、リモートホストから使えるようになります。
例えば、次のように「C:」ドライブをリダイレクトするように指定して、リモートデスクトップ接続を開始したとします。
データ転送可能なローカルリソースのリダイレクトを有効にすると、接続時に「このリモート接続を信頼しますか?」と警告が表示されます。
警告の左下「詳細の表示」をクリックすると、リダイレクトされるデバイスが表示されます。
リモートホストでリダイレクトされた「C:」ドライブが確認でき、リモートホストで読み書きができます。
LPTポートのリダイレクトを許可しない
このポリシー設定は、リモート デスクトップ サービス セッションで、クライアントの LPT ポートへデータをリダイレクトできないようにするかどうかを指定します。
スマートカードデバイスのリダイレクトを許可しない
この設定を有効にした場合、リモート デスクトップ サービス ユーザーは、スマート カードを使ってリモート デスクトップ サービス セッションにログオンすることはできません。
ユーザー認証にスマートカードを使っている場合は、既定「未設定」か「無効」にして、リダイレクトを許可しておきます。
タイムゾーンリダイレクトを許可する
ほかの項目と異なり、タイムゾーンは既定「未設定」でリダイレクトされません。
タイムゾーンが異なる国外からアクセスする場合は、必要に応じてリダイレクトを許可してください。
プリンターのリダイレクト
「プリンターのリダイレクト」では、リモートホストから、ローカルホストに設定しているプリンターに印刷出力する設定です。
- クライアントの通常使うプリンターをセッションで通常使うプリンターに設定しない
- クライアントプリンターのリダイレクトを許可しない
- リモートデスクトップEasy Print プリンタードライバーを最初に使う
- RDセッションホストサーバーのフォールバックプリンタードライバーの動作を指定する
クライアントの通常使うプリンターをセッションで通常使うプリンターに設定しない
既定では、リモート デスクトップ サービスによりクライアントの通常使うプリンターが、自動的にリモートデスクトップ セッションで「通常使うプリンター」になります。
リモートデスクトップ接続時にはリダイレクトされたローカルプリンターが優先されます。
「有効」にすると、リモートホストのプリンターが優先されます。
機密文書をリモートホストから出力して、それに気が付かないということがないよう、気をつけましょう。
クライアントプリンターのリダイレクトを許可しない
リモートワークで紙媒体が必要かどうかで、プリンターをリダイレクトする可否を決めます。
事務職のリモートワークならリダイレクトは禁止したほうがよいかもいれません。
営業職で紙の見積書や契約書が必要なら、リダイレクトの許可はやむを得ません。
リダイレクトを許可する場合は、リモートデスクトップ接続でアクセスできる文書の範囲を、厳格にコントロールする必要があります。
リモートデスクトップEasy Print プリンタードライバーを最初に使う
リモートデスクトップでプリンターを使う場合は、Easy Print が最適です。
「リモートデスクトップEasy Print プリンタードライバーを最初に使う」を「未構成」あるいは「有効」にすることで、Easy Print が有効になります。
Easy Print ドライバーを使えば、リモートホストにプリンタードライバーをインストールする必要がありません。
もう一つのEasy Print ドライバーを使うメリットは、リモートホストのWindowsバージョン用プリンタードライバーがなくても、ローカルホストのプリンターにリダイレクト印刷できます。
RDセッションホストサーバーのフォールバックプリンタードライバーの動作を指定する
プリンタードライバーが見つからない場合の設定です。
安全のためにも、この設定は無効にしておくほうが良いかもしれません。
一般的な使用では「未構成」か「無効」でよいでしょう。
リモートセッション環境
ここでの設定項目の目的は二つです。
- リモートデスクトップで2D/3Dのグラフィックを使う場合のパフォーマンス設定
- リモートデスクトップホストのリソースを節約するための制限
リモートデスクトップでグラフィック処理をする場合の設定については稿を改めます。
色の解像度を制限する
デスクトップの色数を制限することで、ホストのリソースを節約するとともに、ネットワーク負荷も改善できます。
しかしWindows10はこのポリシーで制限できません。常に32ビットが使われます。
クライアントのリモートデスクトップ接続設定で制限するようになっています。
リモート デスクトップ プロトコル 7.1 以前のバージョンを使用しているクライアント コンピューターから Windows10に接続する場合は、次の値の最小値が色深度形式として使用されます。
- ここで指定された値
- クライアントがサポートする最大の色深度
- クライアントから要求された値
リモートデスクトップ壁紙を強制的に削除する
リモートデスクトップでは壁紙を表示せず、単色にすることで、ホストとネットワークの負荷を軽減できます。
Windows10の既定ではリモート デスクトップ サービス セッションで壁紙を表示しません。
クライアントのリモートデスクトップ接続設定で制限できます。
最高解像度を制限する
ホスト側で最大の解像度を制限します。
リモート セッションの表示に使用される解像度を制限すると、(特に低速リンクの) 接続のパフォーマンスが向上し、サーバーの負荷が軽減されます。
モニターの数を制限する
このポリシー設定を使用すると、リモート デスクトップ サービス セッションの表示に使用できるモニターの数を制限することができます。
[シャットダウン]ダイアログから[切断]オプションを削除する
このポリシー設定を使用すると、リモート デスクトップ サービス セッションの [Windows のシャットダウン] ダイアログ ボックスから [切断] オプションを削除するかどうかを指定できます。
[スタート]メニューから Windows セキュリティ項目を削除する
リモート デスクトップ クライアントの [設定] メニューから Windows のセキュリティ項目を削除するかどうか指定します。この設定を使って、あまり経験のないユーザーが誤ってリモート デスクトップ サービスからログオフしてしまうことを防ぐことができます。
リモートデスクトップ接続にWDDMグラフィックディスプレイドライバーを使用する
このポリシー設定を有効にした場合、または構成しなかった場合、リモート デスクトップ接続で WDDM グラフィック ディスプレイ ドライバーが使用されます。
接続時にプログラムを起動する
指定されたプログラムを接続時に自動的に実行するようにリモート デスクトップ サービスを構成します。
この設定を使って、ユーザーがリモート コンピューターにログオンしたときに自動的に実行されるファイルを指定できます。
既定では、この設定、サーバー管理者、またはクライアント接続を構成しているユーザーによって指定されない限り、リモート デスクトップ サービスのセッションによってユーザーに Windows デスクトップへのフル アクセスが提供されます。この設定を有効にすると、サーバー管理者またはユーザーが設定した [スタートアップ プログラム] 設定よりも優先されます。[スタート] メニューと Windows デスクトップは表示されません。
ユーザーがプログラムを終了すると、セッションは自動的にログオフされます。この設定を使うには、[プログラムのパスとファイル名] にユーザーのログオン時に実行する実行可能ファイルへの完全修飾パスとファイル名を指定します。必要であれば、作業ディレクトリの欄にプログラムの開始ディレクトリの完全修飾パスを入力してください。作業ディレクトリを空欄のままにすると、プログラムはその既定の作業ディレクトリで実行されます。
指定されたプログラム パス、ファイル名、作業ディレクトリが有効なディレクトリ名でない場合は、RD セッション ホスト サーバー接続は失敗し、エラー メッセージが表示されます。
状態が有効に設定されている場合、リモート デスクトップ サービス セッションは指定されたプログラムを自動的に実行し、指定された作業ディレクトリ (作業ディレクトリが指定されていない場合はプログラムの既定ディレクトリ) をプログラムの作業ディレクトリとして使います。状態が無効または未構成に設定されている場合は、サーバー管理者またはユーザーが指定しない限り、リモート デスクトップ サービス セッションでデスクトップが完全に表示されます。
(「コンピューターの構成\管理用テンプレート\システム\ログオン\ユーザーのログオン時に実行するプログラムを指定する」設定を参照してください)
注: この設定は [コンピューターの構成] および [ユーザーの構成] の両方に表示されます。両方の設定が構成されている場合は、[コンピューターの構成] の設定が優先されます。
接続時に常にデスクトップを表示する
このポリシー設定により、クライアントがリモート コンピューターに接続した後、常にデスクトップを表示するか、または初期プログラムを実行可能にするかを決定します。既定のユーザー プロファイル、リモート デスクトップ接続、リモート デスクトップ サービス クライアント、またはグループ ポリシーで既に初期プログラムが指定されていても、クライアントがリモート コンピューターに接続した後にデスクトップを表示するようにできます。
このポリシーを有効にすると、クライアントがリモート コンピューターに接続した後に常にデスクトップが表示されます。初期プログラムのポリシー設定よりもこのポリシー設定が優先されます。
このポリシーを無効にするか、または構成しない場合は、クライアントがリモート コンピューターに接続した後にリモート コンピューター上で実行する初期プログラムを指定できます。初期プログラムが指定されない場合は、クライアントがリモート コンピューターに接続した後に常にデスクトップが表示されます。
注: このポリシー設定を有効にすると、[接続時にプログラムを起動する] ポリシー設定は無視されます。
接続
リモートデスクトップ接続につての制限をサーバー側で設定します。
リモートデスクトップ・クライアント側で設定できるのは、ここで設定するものが上限になります。
自動再接続
ネットワーク リンクが一時的に失われた場合に、リモート デスクトップ接続のクライアントが RD セッション ホスト サーバーのセッションに自動的に再接続するかどうかを指定します。既定では、5 秒間隔で最高 20 回再接続しようとします。
状態が有効に設定されている場合、リモート デスクトップ接続を実行しているクライアントの接続が失われた場合は、常にそれらのクライアントすべてに自動再接続が試みられます。
状態が無効に設定されている場合、クライアントの自動再接続は禁止されています。
状態が未構成に設定されている場合は、自動再接続はグループ ポリシー レベルでは指定されません。ただし、リモート デスクトップ接続の [エクスペリエンス] タブにある [接続が切断された場合は再接続する] チェック ボックスを使って自動再接続を構成できます。
ユーザーがリモートデスクトップサービスを使ってリモート接続することを許可する
このポリシー設定を有効にした場合、ターゲット コンピューターの Remote Desktop Users グループのメンバーであるユーザーは、リモート デスクトップ サービスを使用してターゲット コンピューターにリモート接続できます。
このポリシー設定を無効にした場合、ユーザーはリモート デスクトップ サービスを使用してターゲット コンピューターにリモート接続できません。ターゲット コンピューターは現在の接続は継続しますが、新しい着信接続は受け付けなくなります。
このポリシー設定を構成しなかった場合、リモート デスクトップ サービスでは、ターゲット コンピューター上のリモート デスクトップ設定に基づいてリモート接続を許可するかどうかが判断されます。この設定はシステム プロパティ シートの [リモート] タブにあります。既定では、リモート接続は許可されていません。
キープアライブ接続間隔を構成する
RD セッション ホスト サーバー クライアントが RD セッション ホスト サーバーへの接続を失った後も、クライアントが物理的に RD セッション ホスト サーバーから切断されたにもかかわらず、RD セッション ホスト サーバー上のセッションは切断状態にはならず引き続きアクティブなままである可能性があります。クライアントが再び同じ RD セッション ホスト サーバーにログオンすると、新しいセッションが確立され (RD セッション ホスト サーバーが複数のセッションを許可している場合)、元のセッションがアクティブなまま放置される可能性があります。
接続数を制限する
この設定を使ってサーバーでアクティブでいられるリモート デスクトップ サービス セッションの数を制限できます。この数値を超過した場合、追加のユーザーが接続しようとするとサーバーがビジー状態のため後でもう一度やり直すように指示するエラー メッセージが表示されます。セッション数を制限すると、システム リソースを使用するセッションが減るため、パフォーマンスが向上します。既定では、RD セッション ホスト サーバーには無制限の数のリモート デスクトップ サービス セッション、管理用リモート デスクトップには 2 つのリモート デスクトップ サービス セッションが許可されています。
この設定は RD セッション ホスト サーバー (リモート デスクトップ セッション ホスト役割サービスがインストールされた Windows を実行しているサーバー) で使用されるように設計されています。
アプリの登録が完了するまでユーザーのサインインを中断する
既定では、コンピューターに新しいユーザーがサインインするときは、スタート画面が表示され、バックグラウンドでアプリが登録されます。しかし、アプリによっては、アプリの登録が完了するまで機能しない場合があります。
このポリシー設定を有効にした場合、アプリの登録を完了するために最大 6 分間ユーザーのサインインがブロックされます。
サーバーのネットワーク検出を選択する
このポリシー設定では、リモート デスクトップ プロトコルでネットワーク品質 (帯域幅と待ち時間) の検出を試行する方法を指定できます。
接続時検出の無効化、継続的ネットワーク検出の無効化、または接続時検出と継続的ネットワーク検出の両方の無効化を選択できます。
接続時検出を無効にした場合、リモート デスクトップ プロトコルでは接続時にネットワーク品質が特定されず、このサーバーへのすべてのトラフィックは低速の接続から来ていると見なされます。
継続的ネットワーク検出を無効にした場合、リモート デスクトップ プロトコルではネットワーク品質の変動に合わせたリモート ユーザー エクスペリエンスの調整が行われなくなります。
接続時検出と継続的ネットワーク検出を無効にした場合、リモート デスクトップ プロトコルでは接続時にネットワーク品質の特定が行われず、このサーバーへのすべてのトラフィックは低速の接続から来ていると見なされ、ネットワーク品質の変動に合わせたユーザー エクスペリエンスの調整が行われなくなります。
このポリシー設定を無効にした場合、または構成しなかった場合、リモート デスクトップ プロトコルでは、接続の前に数秒間を費やしてネットワーク品質の特定が行われ、ネットワーク品質の変動に合わせたユーザー エクスペリエンスの調整が継続して行われます。
RDPトランスポートプロトコルの選択
このポリシー設定では、このサーバーへのリモート デスクトップ プロトコル (RDP) アクセスに使用可能なプロトコルを指定できます。
このポリシー設定を有効にした場合、RDP に UDP を使用するかどうかを指定する必要があります。
[UDP と TCP の両方を使用]、[TCP のみを使用]、[UDP と TCP のいずれかを使用]のいずれかのオプションを選択できます。
[UDP と TCP のいずれかを使用] を選択して、UDP 接続に成功した場合は、ほとんどの RDP トラフィックで UDP が使用されます。
UDP 接続に成功しなかった場合、または [TCP のみを使用] を選択し場合は、すべての RDP トラフィックで TCP が使用されます。
このポリシー設定を無効にした場合、または構成しなかった場合、最適なユーザー エクスペリエンスを提供するための最適なプロトコルが RDP で選択されます。
ただし、「リモート(RDP)接続に特定のセキュリティーレイヤーの使用を必要とする」項目で、SSLを設定した場合、TCPのみを使うはずです。
リモートデスクトップサービスユーザーに対してリモートデスクトップサービスセッションを1つに制限する
このポリシー設定を使うと、ユーザーが使用できるリモート デスクトップ サービス セッションを 1 つに制限できます。
このポリシー設定を有効にした場合、リモート デスクトップ サービスを使用してリモートでログオンするユーザーは、そのサーバー上で (アクティブまたは切断された) 1 つのセッションのみを使用できます。ユーザーが切断状態でセッションを離れた場合、次のログオン時に同じセッションに自動的に接続されます。
このポリシー設定を無効にした場合、ユーザーはリモート デスクトップ サービスを使用して無制限の数の同時リモート接続を確立できます。
そのほかの設定項目
「RD接続ブローカー」「プロファイル」「ライセンス」などは、管理リモート接続では設定しません。これらは、ActiveDirectoryの管理下で本格的にリモートデスクトップサービスを展開する場合に使用しますが、Windows10単体でリモートデスクトップを使う場合には必要ありません。
「リモートセッション環境」や「一時フォルダ」もActiveDirectoryを構成しなければ機能しないものが少なくありません。
まとめ
グループポリシーによるホスト側の設定は、本来ActiveDirectory下での使用を目的としています。
パソコン単体で構成する場合には、機能しないものもあります。
管理者権限でホストを使うので、ホスト側に制限を設けても、リモートデスクトップ接続クライアント側で制限しても、結果は変わらないということになります。
グループポリシーで機能しない設定は、クライアントで行えば良いでしょう。
この解説がActiveDirectory導入以前に、1台のWindows10パソコンでリモートデスクトップを使って、どんなことができるのか、知るための一助となれば幸いです。