Прозрачная авторизация на терминальных серверах.

Posted by

Цель этой заметки, разобрать,  как используя домен (polygon.local) производить авторизацию на терминальном сервере без ввода своих учётных данных.  Для исполнения нам понадобится проверить следующие требования, такие как:

  • Рабочая станция должна быть зарегистрирована в домене
  • Терминальный сервер должен быть в домене.

Учётная запись должна обладать правом авторизации на терминальном сервер. (Login: rtest.polygon.local состоит в группе “Remote Desktop Users”)

В роли рабочих станций могут выступать Windows XP SP3, Windows , Windows 7 или Windows Server 2008 R2

В организационном подразделении IT находится собственно рабочая станция, в моём случаем это:

W7x64. – Windows 7 x64 Rus

На домен контроллер (dc1.polygon.local) на подразделении IT создадим групповую политику, применятся, она будет на компьютеры пользователей (добавляем компьютеры, либо на всех прошедший проверку “Authenticated Users”) и назовём её: _CredSSP_Terminal.

Создаём групповую политику и привязываем её к контейнеру IT.

 

Открываем политику:

  • GPO_CredSSP_TerminalComputer ConfigurationPoliciesAdministrative TemplatesSystemCredentials Delegation

||

  • GPO_CredSSP_TerminalКонфигурация компьютераПолитикиАдминистративные шаблоныСистемаПередача учётных данных

 

Включаем пункты и производим их настройку согласно приведённым ниже скриншотам:

Включаем опцию: Credentials Delegation

 

Разрешаем прозрачное подключение ко всем серверам, ограничиваем только средствами групповой политики.

  • Allow Delegating Default Credentials (Разрешить передачу учётных данных, настроенных по умолчанию )Enabled

Включаем опцию: Allow Delegating Default Credentials.

 

  • Allow Delegating Fresh Credentials (Связать настройки системы по умолчанию с введёнными ранее)Enabled

Включаем опцию: Allow Delegating Fresh Credentials

 

  • Allow Delegating Fresh Credentials with NTLM-only Server Authentication (Разрешить сохранённые учётные данные с проверкой подлинности сервера «только NTLM»)Enabled

Включаем опцию: Allow Delegating Fresh Credentials with NTLM-only Server Authentication

 

Политика готова. Для пояснения

TERMSRV/*  (разрешена передача учётных данных любым терминальным серверам)
или
TERMSRV/*.polygon.local (разрешена передача учётных данных только к терминальным серверам домена polygon.local)

Активизируем необходимые настройки для использования технологии Single Sign-On на терминальном сервере (fileserv.polygon.local),

 для этого необходимо выполнить следующие действия. Заходим на сервер из под учётной записи обладающей административными правами (в данном случаем это Login: ekzorchik).

Открываем консоль настройки службы терминалов: StartControl PanelAdministrative ToolsRemote Desktop ServicesRemote Desktop Session Host Configuration – правой кнопкой мыши на выделенном открываем свойства (Properties)

Открываем консоль настройки службы терминалов.

 

На вкладке General (Общие) следует установить уровень безопасности “Negotiate” (Согласование)

Выставляем уровень безопасности "Negatiate" (Согласование).

 

 

 

 

 

 

Теперь настал момент демонстрации, зайдём на рабочую станцию

под управление Windows 7 x64 Rus под учётной запись rtest.polygon.local (пароль Aa1234567)

Заходим на рабочую станцию под управление Windows 7 x64.

и произведем подключение к терминальному серверу fileserv.polygon.local , для этого откроем оснастку ответственную за подключение: «Старт» – «Все программы» – «Подключение к удалённому рабочему столу» либо “Win+R” и набрать mstsc

Запускаем оснастку подключения к удаленному рабочему столу.

 

Вбиваем в поле «Компьютер» — имя терминального сервера полностью – fileserv.polygon.local, после в Поле «Пользователь», как на скриншоте ниже имя пользователя автоматически само подставит учётные данные в виде user@domain (rtest@polygon.local)

Нажимаем «Подключить».

Вводим в поле "Компьютер" - имя терминального сервера.

 

 

 

 

 

 

Ожидаем подключение:

Ожидаем подключение к терминальному серверу.

 

 

 

 

В итоге перед нами предстанет окно с удалённым подключение.

Всё прошло успешно, без запроса учётных данных со стороны клиента. Работает!!!

Вот так значительно удобнее благодаря технологии прозрачной авторизации пользователь при входе на терминальный сервер может использовать свои учётные данные при входе на локальный компьютер. Для пользователя всё должно быть прозрачно, ему не нужно беспокоиться о паролях при подключении. На этом всё, удачи.

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

два + 1 =