RemoteApp .rdp gömme kredileri?

Uzak Masaüstü Hizmetleri çalıştıran Windows 2008 R2 sunucusu (eski günlerde Terminal Hizmetleri olarak adlandırdığımız şey) . Bu sunucu, barındırılan bir uygulamaya giriş noktasıdır - buna Yazılım olarak Sanırım Hizmet diyebilirsiniz. Kullanmak için bağlanan 3. taraf müşterilerimiz var.

İstemci iş istasyonlarına dağıtılmak üzere RemoteApp .rdp kısayolları oluşturmak için RemoteApp Yöneticisi'ni kullanma. Bu iş istasyonları RDS sunucusuyla aynı etki alanında değil. Etki alanları arasında güven ilişkisi yoktur (veya olmayacaktır). İş istasyonları ve RDS sunucusu arasında sıkı bir şekilde denetlenen bir site VPN'si var, kilitli sunucuya erişebileceğimizden eminiz.

Çalıştırılan remoteApp, kendi kimlik doğrulama şemasına sahip bir ERP uygulamasıdır.

Sorun? RemoteApp sunucusuna bağlanırken her son kullanıcı için AD girişleri oluşturma ihtiyacından kaçınmaya çalışıyorum. Aslında, bir remoteApp yaptığımız ve bu uygulamanın kimliğini doğrulamaları gerektiğinden , onları AD kredileri için hiç istememeyi tercih ederim. Kesinlikle sadece ERP giriş almak için kullandıkları hesaplar için AD şifreleri (ve periyodik sona erme) yönetmek yakalanmış istemiyorum.

Ancak, bir RemoteApp .rdp dosyasına AD kredilerini nasıl ekleyeceğimi bulamıyorum. Gerçekten o düzeyde RDS sunucusundaki tüm kimlik doğrulamasını kapatmak istemiyorum.

İyi bir seçenek var mı? Amacım bunu son kullanıcılar için olabildiğince kesintisiz hale getirmektir.

Açıklayıcı sorular açıktır.

Parolayı bir .rdp dosyasına gömmek mümkündür, ancak parola .rdp dosyası kullanıcılar veya bilgisayarlar arasında değiştirilemeyecek şekilde yerel kullanıcı hesabınızın SID'si ile şifrelenir. Bu davranış tasarım gereğidir: Microsoft bir davetsiz misafirin birisinin masaüstünden bir .rdp dosyasını çalarak bir terminal sunucusunun anahtarlarını almasını istemiyordu.

Neyse ki, oldukça iyi belgelenmiş bir geçici çözüm var. Temel olarak, mstsc.exedoğrudan çağırmak yerine kullanıcının çalıştırdığı bir toplu iş dosyası veya komut dosyası aracılığıyla .rdp dosyasını "anında" oluşturmanız gerekir . Betiğiniz uygun .rdp dosyasını oluşturur ve bunu yaparken parolayı mstsc.exegeçerli kullanıcı bağlamında kabul edecek şekilde şifreler .

Kaynaklar:

• RDP şifreleri nasıl şifrelenir (kaynak ve ikili dosyaları içerir)
• Otomatik olarak şifre ile RDP dosyası oluşturun (ikili dosyaları içerir)
• Python'da RDP parolasını şifrele (kaynak dahil)

Yukarıdaki makalelerin her biri, RDP şifrelerini ve / veya kaynak kodunu şifrelemek için kullanılabilecek bir araca bağlantı içerir. Mümkünse kaynak kodundan çalışmayı öneririm. (Her zaman olduğu gibi, Internet yabancıları tarafından derlenen ikili dosyaları kullanmak kendi sorumluluğunuzdadır.)

Hmm, ilginç. Akla ilk gelen anahtar / sertifika (ssh gibi) kullanmaktır:

• http://blogs.msdn.com/b/rds/archive/2008/12/04/introduction-to-ts-gateway-certificates.aspx
• http://blogs.msdn.com/b/rds/archive/2008/12/18/ts-gateway-certificates-part-ii-how-to-deploy-a-certificate-on-ts-gateway.aspx
• http://blogs.msdn.com/b/rds/archive/2008/12/18/ts-gateway-certificates-part-iii-connection-time-issues-related-to-ts-gateway-certificates.aspx

Bu yardımcı olur mu?