Прозрачная авторизация на терминальных серверах с Windows XP SP3

Posted by

В предыдущей заметке я показал, как настроить прозрачную авторизацию и как произвести подключение с рабочей станции под управлением Windows 7 x64, но всё это, в конечном счёте хорошо, но как быть с рабочими станциями под управлением . Этому и посвящена данная заметка.

В роли тестовой, будет выступать рабочая станция под управлением Windows XP SP3 Rus.

На OS Windows XP SP2 и более ранних данная технология поддерживающая прозрачное аутентификацию не работает. Поэтому, если вы собираетесь внедрять SSO, вам следует обновить ваши клиентские операционные системы хотя бы до SP3.

Попытка подключения рабочей станции под управлением Windows XP SP3 RUS через mstsc к терминальному серверу fileserv.polygon.local завершилась неудачей.

Отсутствие необходимых разрешений при подключении с рабочей станции Windows XP SP3.

 

 

 

 

Т.к. в системе Windows XP SP3 возможность CredSSP по умолчанию ВЫКЛЮЧЕНА, включим, для этого откроем уже существующую групповую политику _CredSSP_Terminal и перейдем в следующие пункты:

«Computer Configuration» – «Preferences» – «Windows Settings» – «Registry»

 

Следует создать ключи реестра с действием – обновить (Update)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
В значении “Security Packages” типа REG_MULTI_SZ дописать “tspkg” к уже существующим данным, см. скриншот для наглядного понимания.

Дописать “tspkg” к уже существующим данным

 

 

 

 

 

 

 

 

 

 

Следует создать ключи реестра с действием – обновить (Update)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]

В значении “Security Packages” типа REG_MULTI_SZ  credssp.dll дописать к уже существующим данным, указанным для SSP, см. скриншот для наглядного понимания.

 

 

 

 

 

 

 

 

 

 

У Вас должно получиться вот так:

Результат дописывания при обновлении ключей реестра.

 

Открываем свойства на каждом ключе реестра, щёлкнув правой кнопкой мыши.

См. скриншот для наглядного понимания.

Открываем свойства ключей реестра.

 

 

 

 

 

Далее Common – ставим галочку напротив пункта Item-level targeting, щёлкаем на Targeding… New Item (Operating System) и приводим к виду, как у меня на скриншоте:

Привязываем применение ключей реестра применительно к рабочим станциям под управлением Windows XP SP3.

Также нужно будет по аналогии выше сделать для ключей, но сперва выполнить их на машине на которой настраиваем групповую политику, в данном случаем это dc1.polygon.local

Запускаем командную строку с правами Администратора и выполняем следующие строчки.

reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation /v AllowDefaultCredentials /t REG_DWORD /d 00000001 /f

reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation /v ConcatenateDefaults_AllowDefault /t REG_DWORD /d 00000001 /f

reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials /v 1 /t REG_SZ /d TERMSRV/* /f

, после их можно будет удалить, т.к. здесь они уже больше не понадобятся.

Отлично, с этим справились. Теперь, чтобы Windows XP SP3 смогла работать с этой групповой политикой нужно на рабочие станции распространить следующий KB943729 файл. В прошлой статье я рассказал, для чего он нужен. После этого произвести подключение к терминальному серверу mstsc /v:fileserv.polygon.local и произойдёт  прозрачная аутентификация. На этом всё, удачи!!!

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

один × 3 =