RemoteApp .rdp ฝังเครดิตหรือไม่


11

Windows Server 2008 R2 ทำงาน Remote Desktop บริการ(สิ่งที่เราใช้ในการเรียกใช้บริการเทอร์มิย้อนกลับไปในสมัยก่อน) เซิร์ฟเวอร์นี้เป็นจุดเริ่มต้นในแอปพลิเคชันที่โฮสต์ - คุณสามารถเรียกว่าซอฟต์แวร์เป็นบริการที่ฉันคิดว่า เรามีลูกค้าบุคคลที่สามเชื่อมต่อเพื่อใช้งาน

ใช้ RemoteApp Manager เพื่อสร้างทางลัด. rdp ของ RemoteApp เพื่อแจกจ่ายไปยังเวิร์กสเตชันของลูกค้า เวิร์กสเตชันเหล่านี้ไม่ได้อยู่ในโดเมนเดียวกับเซิร์ฟเวอร์ RDS ไม่มีความสัมพันธ์แบบเชื่อถือได้ระหว่างโดเมน (และจะไม่มี) มี VPN ที่ควบคุมไซต์ได้แน่นหนาระหว่างเวิร์คสเตชั่นและเซิร์ฟเวอร์ RDS เราค่อนข้างมั่นใจว่าเราสามารถเข้าถึงเซิร์ฟเวอร์ที่ล็อคไว้

remoteApp ที่กำลังเรียกใช้เป็นแอปพลิเคชัน ERP ที่มีรูปแบบการตรวจสอบสิทธิ์ของตัวเอง

ปัญหา? ฉันพยายามหลีกเลี่ยงความจำเป็นในการสร้างการเข้าสู่ระบบโฆษณาสำหรับผู้ใช้ทุกคนเมื่อเชื่อมต่อกับเซิร์ฟเวอร์ RemoteApp ในความเป็นจริงนับตั้งแต่ที่เรากำลังทำ RemoteApp และพวกเขามีการตรวจสอบไปที่แอปพลิเคฉันต้องการ แต่เพียงแค่ไม่ให้พวกเขาเลยสำหรับ creds AD แน่นอนว่าฉันไม่ต้องการให้พวกเขาติดตามการจัดการรหัสผ่านโฆษณา (และการหมดอายุเป็นระยะ) สำหรับบัญชีที่พวกเขาใช้เพื่อเข้าสู่ระบบ ERP เท่านั้น

อย่างไรก็ตามฉันไม่สามารถหาวิธีฝังเครดิตโฆษณาในไฟล์. rdp ของ RemoteApp ได้ ฉันไม่ต้องการปิดการรับรองความถูกต้องทั้งหมดบนเซิร์ฟเวอร์ RDS ในระดับนั้น

ตัวเลือกที่ดี? เป้าหมายของฉันคือทำให้สิ่งนี้ราบรื่นที่สุดสำหรับผู้ใช้ปลายทาง

ยินดีตอบคำถาม

คำตอบ:


10

เป็นไปได้ที่จะฝังรหัสผ่านในไฟล์. rdp แต่รหัสผ่านนั้นจะถูกเข้ารหัสด้วย SID ของบัญชีผู้ใช้ท้องถิ่นของคุณในลักษณะที่ไฟล์. rdp นั้นไม่สามารถใช้แทนกันระหว่างผู้ใช้หรือคอมพิวเตอร์ ลักษณะการทำงานนี้เกิดจากการออกแบบ: Microsoft ไม่ต้องการให้ผู้บุกรุกสามารถรับกุญแจไปยังเซิร์ฟเวอร์เทอร์มินัลเพียงแค่ขโมยไฟล์. rdp จากเดสก์ท็อปของใครบางคน

โชคดีที่มีวิธีแก้ไขปัญหาที่มีเอกสารที่มีเหตุผลพอสมควร โดยทั่วไปคุณจะต้องสร้างไฟล์. rdp "ทันที" ผ่านไฟล์แบตช์หรือสคริปต์ที่ผู้ใช้รันแทนการเรียกใช้mstsc.exeโดยตรง สคริปต์ของคุณสร้างไฟล์. rdp ที่เหมาะสมและในการทำเช่นนั้นจะเข้ารหัสรหัสผ่านในลักษณะที่mstsc.exeจะยอมรับมันในบริบทของผู้ใช้ปัจจุบัน

แหล่งข้อมูล:

บทความข้างต้นแต่ละบทความมีลิงก์ไปยังเครื่องมือที่สามารถใช้เข้ารหัสรหัสผ่าน RDP และ / หรือซอร์สโค้ด ฉันขอแนะนำให้ทำงานจากซอร์สโค้ดหากทำได้ (เช่นเคยใช้ไบนารีรวบรวมโดยคนแปลกหน้าอินเทอร์เน็ตที่มีความเสี่ยงของคุณเอง)


ดูเหมือนว่าจะเป็นวิธีไปและขอบคุณสำหรับลิงค์! น่าขบขัน (โอเคไม่ใช่จริง ๆ ) "ความต้องการทางธุรกิจ" ที่ยืนยาวสำหรับสิ่งนี้หายไปในวันนี้ แต่ฉันคิดว่านี่จะเป็นคำตอบ
Chris_K

1

อืม ... น่าสนใจ สิ่งแรกที่ควรคำนึงถึงคือการใช้คีย์ / ใบรับรอง (เช่น ssh):

สิ่งนี้ช่วยได้ไหม?


ใบรับรอง! ใช่มันคุ้มค่าที่จะดู ฉันไม่มีเซิร์ฟเวอร์เกตเวย์ในการผสมผสาน แต่บางทีการพุชไคลเอ็นต์ certs อาจเป็นตัวเลือกใช่ไหม ขอบคุณ
Chris_K

search-fu ของฉันอาจอ่อนแอ แต่ฉันไม่เห็นตัวเลือกเพื่อแทนที่ผู้ใช้ / ส่งด้วยใบรับรองสำหรับลูกค้า
Chris_K

พร้อมสำหรับความซับซ้อนหรือยัง คิดอย่างนั้น! technet.microsoft.com/en-us/library/ff404286(WS.10).aspx (หมายเหตุ: การเปลี่ยนเส้นทางสมาร์ทการ์ดสามารถเกิดขึ้นได้ในไคลเอนต์ RDP 6.0 + ... และฉันไม่ได้ใช้สิ่งนี้)
mbrownnyc

... โอ้ fer yuck!
Chris_K
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.