RemoteApp .rdp osadzić poświadczenia?

Serwer Windows 2008 R2 z uruchomionymi usługami pulpitu zdalnego (wcześniej nazywaliśmy je usługami terminalowymi) . Ten serwer jest punktem wejścia do hostowanej aplikacji - można by to nazwać oprogramowaniem jako usługą. Mamy klientów zewnętrznych łączących się, aby z nich korzystać.

Korzystanie z RemoteApp Manager do budowania skrótów .rdp RemoteApp do dystrybucji na stacjach roboczych klienta. Te stacje robocze nie są w tej samej domenie co serwer RDS. Nie ma relacji zaufania między domenami (i nie będzie). Pomiędzy stacjami roboczymi a serwerem RDS znajduje się ściśle kontrolowana witryna do lokalizacji VPN, jesteśmy przekonani, że mamy zablokowany dostęp do serwera.

Uruchamiana aplikacja RemoteApp to aplikacja ERP z własnym schematem uwierzytelniania.

Problem? Staram się unikać konieczności tworzenia loginów AD dla każdego użytkownika końcowego podczas łączenia się z serwerem RemoteApp. W rzeczywistości, ponieważ robimy aplikację zdalną i muszą oni uwierzytelnić się w tej aplikacji, wolałbym nie pytać ich wcale o AD. Z pewnością nie chcę, aby zajmowali się zarządzaniem hasłami AD (i okresowymi wygaśnięciami) dla kont, których używają tylko do uzyskania dostępu do loginu ERP.

Nie mogę jednak dowiedzieć się, jak osadzić poświadczenia AD w pliku rdp RemoteApp. Tak naprawdę nie chcę wyłączać całego uwierzytelniania na serwerze RDS na tym poziomie.

Jakieś dobre opcje? Moim celem jest, aby użytkownicy końcowi działali tak płynnie, jak to możliwe.

Pytania wyjaśniające są mile widziane.

Możliwe jest osadzenie hasła w pliku .rdp, ale hasło jest szyfrowane za pomocą identyfikatora SID lokalnego konta użytkownika w taki sposób, że pliku .rdp nie można zamieniać między użytkownikami lub komputerami. Takie zachowanie jest zgodne z projektem: Microsoft nie chciał, aby intruz mógł uzyskać klucze do serwera terminali tylko poprzez kradzież pliku .rdp z czyjegoś pulpitu.

Na szczęście istnieje dość dobrze udokumentowane obejście. Zasadniczo musisz utworzyć plik .rdp „w locie” za pomocą pliku wsadowego lub skryptu uruchamianego przez użytkownika zamiast mstsc.exebezpośredniego wywoływania . Twój skrypt tworzy odpowiedni plik .rdp, a tym samym szyfruje hasło w taki sposób, mstsc.exeaby zaakceptowało je w kontekście bieżącego użytkownika.

Zasoby:

• Jak hasła RDP są szyfrowane (obejmuje źródła i pliki binarne)
• Automatycznie utwórz plik RDP z hasłem (zawiera plik binarny)
• Szyfruj hasło RDP w Pythonie (obejmuje źródło)

Każdy z powyższych artykułów zawiera łącze do narzędzia, którego można użyć do szyfrowania haseł RDP i / lub kodu źródłowego. Jeśli to możliwe, sugerowałbym pracę z kodu źródłowego. (Jak zawsze używaj plików binarnych skompilowanych przez obcych użytkowników na własne ryzyko).

Hmm interesujące. Pierwszą rzeczą, która przychodzi na myśl, jest użycie klucza / certyfikatu (takiego jak ssh):

• http://blogs.msdn.com/b/rds/archive/2008/12/04/introduction-to-ts-gateway-certificates.aspx
• http://blogs.msdn.com/b/rds/archive/2008/12/18/ts-gateway-certificates-part-ii-how-to-deploy-a-certificate-on-ts-gateway.aspx
• http://blogs.msdn.com/b/rds/archive/2008/12/18/ts-gateway-certificates-part-iii-connection-time-issues-related-to-ts-gateway-certificates.aspx

czy to pomaga?