RemoteApp .rdp nhúng tín dụng?


11

Máy chủ Windows 2008 R2 chạy Remote Desktop Services (những gì chúng ta đã sử dụng để gọi Terminal Services trở lại trong thời xa xưa) . Máy chủ này là điểm truy cập vào một ứng dụng được lưu trữ - bạn có thể gọi nó là Phần mềm như một Dịch vụ mà tôi cho là. Chúng tôi có khách hàng bên thứ 3 kết nối để sử dụng nó.

Sử dụng RemoteApp Manager để xây dựng các phím tắt .rdp của RemoteApp để phân phối cho các máy trạm của khách hàng. Các máy trạm này không cùng tên miền với máy chủ RDS. Không có mối quan hệ tin cậy giữa các tên miền (cũng sẽ không có). Có một trang web được kiểm soát chặt chẽ VPN giữa các máy trạm và máy chủ RDS, chúng tôi khá tự tin rằng chúng tôi có quyền truy cập vào máy chủ bị khóa.

RemoteApp đang được chạy là một ứng dụng ERP với sơ đồ xác thực riêng.

Vấn đề? Tôi đang cố gắng tránh sự cần thiết phải tạo thông tin đăng nhập AD cho mọi người dùng cuối khi kết nối với máy chủ RemoteApp. Trên thực tế, vì chúng tôi đang làm một ứng dụng từ xa và họ phải xác thực với ứng dụng đó , tôi chỉ không muốn nhắc họ về các khoản tín dụng AD. Tôi chắc chắn không muốn họ bị cuốn vào việc quản lý mật khẩu AD (và hết hạn định kỳ) cho các tài khoản họ chỉ sử dụng để đăng nhập ERP.

Tuy nhiên, tôi không thể tìm ra cách nhúng tín dụng AD trong tệp RemoteApp .rdp. Tôi thực sự không muốn tắt tất cả xác thực trên máy chủ RDS ở cấp đó.

Bất kỳ lựa chọn tốt? Mục tiêu của tôi là làm cho điều này trở nên liền mạch nhất có thể cho người dùng cuối.

Làm rõ câu hỏi được chào đón.

Câu trả lời:


10

Có thể nhúng mật khẩu vào tệp .rdp, nhưng mật khẩu được mã hóa bằng SID của tài khoản người dùng cục bộ của bạn theo cách mà tệp .rdp không thể hoán đổi giữa người dùng hoặc máy tính. Hành vi này là do thiết kế: Microsoft không muốn kẻ xâm nhập có thể lấy khóa cho máy chủ đầu cuối chỉ bằng cách đánh cắp tệp .rdp từ máy tính để bàn của ai đó.

May mắn thay, có một cách giải quyết hợp lý được ghi chép lại. Về cơ bản, bạn cần tạo tệp .rdp "nhanh chóng" thông qua tệp bó hoặc tập lệnh mà người dùng chạy thay vì gọi mstsc.exetrực tiếp. Tập lệnh của bạn tạo tệp .rdp thích hợp và khi làm như vậy, nó mã hóa mật khẩu theo cách mstsc.exesẽ chấp nhận nó trong ngữ cảnh của người dùng hiện tại.

Tài nguyên:

Mỗi bài viết trên bao gồm một liên kết đến một công cụ có thể được sử dụng để mã hóa mật khẩu RDP và / hoặc mã nguồn. Tôi sẽ đề nghị làm việc từ mã nguồn nếu khả thi. (Như mọi khi, sử dụng nhị phân được biên soạn bởi những người lạ trên internet có nguy cơ của riêng bạn.)


Điều này trông giống như cách để đi và cảm ơn bạn cho các liên kết! Thật thú vị (OK, không thực sự) "nhu cầu kinh doanh" lâu dài cho việc này đã biến mất ngày hôm nay nhưng tôi nghĩ rằng đây sẽ là câu trả lời.
Chris_K

1

Giấy chứng nhận! Vâng, đó là giá trị nhìn vào. Tôi không có máy chủ cổng kết hợp, nhưng có lẽ việc đẩy các máy khách có thể là một lựa chọn? Cảm ơn.
Chris_K

Tìm kiếm của tôi có thể yếu, nhưng tôi không thấy tùy chọn thay thế người dùng / vượt qua bằng chứng chỉ cho khách hàng.
Chris_K

Sẵn sàng cho sự phức tạp? Cũng nghĩ vậy! technet.microsoft.com/en-us/l
Library / ff404286 (WS.10

... Ôi trời ơi!
Chris_K
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.