RemoteApp .rdp menanamkan kredibilitas?

Server Windows 2008 R2 menjalankan Layanan Desktop Jarak Jauh (apa yang kami sebut Layanan Terminal kembali di masa lalu) . Server ini adalah titik masuk ke aplikasi yang dihosting - Anda dapat menyebutnya Perangkat Lunak sebagai Layanan. Kami memiliki klien pihak ke-3 yang terhubung untuk menggunakannya.

Menggunakan RemoteApp Manager untuk membuat pintasan RemoteApp .rdp untuk didistribusikan ke workstation klien. Workstation ini tidak dalam domain yang sama dengan server RDS. Tidak ada hubungan saling percaya antara domain (juga tidak akan ada). Ada situs yang dikontrol ketat ke VPN situs antara workstation dan server RDS, kami cukup yakin kami memiliki akses ke server terkunci.

RemoteApp yang dijalankan adalah aplikasi ERP dengan skema otentikasi sendiri.

Masalah? Saya mencoba menghindari kebutuhan untuk membuat login AD untuk setiap pengguna akhir saat menghubungkan ke server RemoteApp. Bahkan, karena kita sedang melakukan RemoteApp dan mereka harus mengotentikasi untuk itu aplikasi, saya lebih suka tidak cepat mereka sama sekali untuk creds AD. Saya tentu tidak ingin mereka terjebak dalam mengelola kata sandi AD (dan kedaluwarsa berkala) untuk akun yang hanya mereka gunakan untuk masuk ke login ERP mereka.

Namun, saya tidak tahu bagaimana cara menanamkan kredit AD dalam file .rdp RemoteApp. Saya tidak benar-benar ingin mematikan semua otentikasi pada server RDS di tingkat itu.

Ada pilihan bagus? Tujuan saya adalah membuat ini semulus mungkin bagi pengguna akhir.

Pertanyaan klarifikasi dipersilakan.

Dimungkinkan untuk menanamkan kata sandi dalam file .rdp, tetapi kata sandi dienkripsi dengan SID akun pengguna lokal Anda sedemikian rupa sehingga file .rdp tidak dapat dipertukarkan antara pengguna atau komputer. Perilaku ini dirancang: Microsoft tidak ingin penyusup bisa mendapatkan kunci ke server terminal hanya dengan mencuri file .rdp dari desktop seseorang.

Untungnya, ada solusi yang cukup terdokumentasi. Pada dasarnya, Anda perlu membuat file .rdp "on the fly" melalui file batch atau skrip yang dijalankan pengguna alih-alih memohon mstsc.exesecara langsung. Skrip Anda membuat file .rdp yang sesuai dan, dengan melakukan hal itu, ia mengenkripsi kata sandi sedemikian rupa sehingga mstsc.exeakan menerimanya dalam konteks pengguna saat ini.

Sumber:

• Bagaimana kata sandi RDP dienkripsi (termasuk sumber & biner)
• Secara otomatis membuat file RDP dengan kata sandi (termasuk biner)
• Enkripsi kata sandi RDP dengan Python (termasuk sumber)

Setiap artikel di atas termasuk tautan ke alat yang dapat digunakan untuk mengenkripsi kata sandi RDP dan / atau kode sumber. Saya akan menyarankan bekerja dari kode sumber jika layak. (Seperti biasa, gunakan binari yang dikompilasi oleh orang asing internet dengan risiko Anda sendiri.)

Hmm menarik. Hal pertama yang terlintas dalam pikiran adalah menggunakan kunci / sertifikat (seperti ssh):

• http://blogs.msdn.com/b/rds/archive/2008/12/04/introduction-to-ts-gateway-certificates.aspx
• http://blogs.msdn.com/b/rds/archive/2008/12/18/ts-gateway-certificates-part-ii-how-to-deploy-a-certificate-on-ts-gateway.aspx
• http://blogs.msdn.com/b/rds/archive/2008/12/18/ts-gateway-certificates-part-ii-connection-time-issues-related-to-ts-gateway-certificates.aspx

Apakah ini membantu?