RemoteApp .rdp incorpora i crediti?

Server Windows 2008 R2 che esegue Servizi Desktop remoto (ciò che un tempo chiamavamo Servizi terminal ai vecchi tempi) . Questo server è il punto di ingresso in un'applicazione ospitata - suppongo che lo si possa chiamare Software as a Service. Abbiamo client di terze parti che si connettono per usarlo.

Utilizzo di RemoteApp Manager per creare collegamenti .rdp RemoteApp da distribuire alle workstation client. Queste workstation non si trovano nello stesso dominio del server RDS. Non esiste una relazione di fiducia tra i domini (né ci sarà). Esiste un sito strettamente controllato sul sito VPN tra le stazioni di lavoro e il server RDS, siamo abbastanza sicuri di avere accesso al server bloccato.

RemoteApp in esecuzione è un'applicazione ERP con il proprio schema di autenticazione.

Il problema? Sto cercando di evitare la necessità di creare accessi AD per ogni utente finale durante la connessione al server RemoteApp. Infatti, dal momento che stiamo facendo un RemoteApp e hanno per l'autenticazione che app, preferirei non li solo pronta a tutti per creds AD. Non voglio certo che vengano coinvolti nella gestione delle password di AD (e scadenze periodiche) per gli account che usano solo per accedere al loro login ERP.

Tuttavia, non riesco a capire come incorporare i crediti AD in un file .rdp di RemoteApp. Non voglio davvero disattivare tutta l'autenticazione sul server RDS a quel livello.

Qualche buona opzione? Il mio obiettivo è renderlo il più fluido possibile per gli utenti finali.

Le domande di chiarimento sono benvenute.

È possibile incorporare una password in un file .rdp, ma la password viene crittografata con il SID dell'account utente locale in modo tale che il file .rdp non sia intercambiabile tra utenti o computer. Questo comportamento è in base alla progettazione: Microsoft non voleva che un intruso fosse in grado di ottenere le chiavi di un server terminal semplicemente rubando un file .rdp dal desktop di qualcuno.

Fortunatamente, esiste una soluzione ragionevolmente ben documentata. Fondamentalmente, è necessario creare il file .rdp "al volo" tramite un file batch o uno script che l'utente esegue invece di invocare mstsc.exedirettamente. Lo script crea il file .rdp appropriato e, nel fare ciò, crittografa la password in modo tale mstsc.exeda accettarla nel contesto dell'utente corrente.

risorse:

• Come vengono crittografate le password RDP (include sorgente e binario)
• Crea automaticamente file RDP con password (include binario)
• Crittografa password RDP in Python (include sorgente)

Ciascuno degli articoli precedenti include un collegamento a uno strumento che può essere utilizzato per crittografare le password RDP e / o il codice sorgente. Suggerirei di lavorare dal codice sorgente se possibile. (Come sempre, utilizzare i binari compilati da estranei di Internet a proprio rischio.)

Hmm ... interessante. La prima cosa che mi viene in mente è l'uso della chiave / certificato (come ssh):

• http://blogs.msdn.com/b/rds/archive/2008/12/04/introduction-to-ts-gateway-certificates.aspx
• http://blogs.msdn.com/b/rds/archive/2008/12/18/ts-gateway-certificates-part-ii-how-to-deploy-a-certificate-on-ts-gateway.aspx
• http://blogs.msdn.com/b/rds/archive/2008/12/18/ts-gateway-certificates-part-iii-connection-time-issues-related-to-ts-gateway-certificates.aspx

questo aiuta?