RemoteApp .rdp вставляє кредити?

Сервер Windows 2008 R2, на якому функціонують сервіси віддаленого робочого столу (те, що ми раніше називали службами терміналів) . Цей сервер є точкою входу до розміщеної програми - ви можете назвати це Програмне забезпечення як Сервіс, який я думаю. У нас є сторонні клієнти, які підключаються для його використання.

Використання RemoteApp Manager для створення віддалених ярликів .rdp для віддалення на робочі станції клієнта. Ці робочі станції не в тому ж домені, що і RDS-сервер. Не існує довірчих відносин між доменами (і не буде). Існує чітко контрольований сайт для VPN сайту між робочими станціями та сервером RDS, ми впевнені, що у нас доступ до сервера заблокований.

Запущений remoteApp - це програма ERP із власною схемою аутентифікації.

Питання? Я намагаюся уникати необхідності створювати реєстраційні дані для кожного кінцевого користувача під час підключення до сервера RemoteApp. Насправді, оскільки ми робимо remoteApp і їм належить пройти автентифікацію на цей додаток, я б краще просто взагалі не підказував їх для отримання кредитів AD. Я, звичайно, не хочу, щоб вони потрапляли в керування паролями AD (і періодичними термінами дії) для облікових записів, якими вони користуються лише для доступу до ERP-реєстрації.

Однак я не можу зрозуміти, як вставити записи AD у файл RemoteApp .rdp. Я не хочу дуже вимикати всю аутентифікацію на сервері RDS на цьому рівні.

Якісь хороші варіанти? Моя мета - зробити це максимально безпроблемним для кінцевих споживачів.

Уточнювальні запитання вітаються.

Можна вбудувати пароль у файл .rdp, але пароль зашифрований з SID вашого облікового запису локального користувача таким чином, щоб файл .rdp не мінявся між користувачами чи комп’ютерами. Така поведінка є задумом: Microsoft не хотіла, щоб зловмисник мав змогу отримати ключі до термінального сервера, просто викравши файл .rdp з чийогось робочого столу.

На щастя, існує досить добре задокументоване рішення. В основному, вам потрібно створити .rdp файл "на льоту" через пакетний файл або сценарій, який користувач запускає замість mstsc.exeпрямого виклику . Ваш сценарій створює відповідний .rdp-файл і, роблячи це, зашифровує пароль таким чином, щоб mstsc.exeприйняти його в контексті поточного користувача.

Ресурси:

• Як шифруються паролі RDP (включає джерело та двійкові)
• Автоматично створювати RDP-файл із паролем (включає двійковий)
• Шифруйте пароль RDP в Python (включає джерело)

Кожна з вищезазначених статей містить або посилання на інструмент, який можна використовувати для шифрування паролів RDP та / або вихідного коду. Я б запропонував працювати з вихідним кодом, якщо це можливо. (Як завжди, використовуйте двійкові файли, складені Інтернет-незнайомцями на свій страх і ризик.)

Хм ... цікаво. Перше, що спадає на думку - це використання ключа / сертифіката (наприклад, ssh):

• http://blogs.msdn.com/b/rds/archive/2008/12/04/introduction-to-ts-gateway-certificates.aspx
• http://blogs.msdn.com/b/rds/archive/2008/12/18/ts-gateway-certificates-part-ii-how-to-deploy-a-certificate-on-ts-gateway.aspx
• http://blogs.msdn.com/b/rds/archive/2008/12/18/ts-gateway-certificates-part-iii-connection-time-isissue-related-to-ts-gateway-certificates.aspx

Чи допомагає це?