RemoteApp .rdp intégrer des crédits?

Serveur Windows 2008 R2 exécutant les services Bureau à distance (ce que nous appelions les services Terminal Server dans le passé) . Ce serveur est le point d'entrée dans une application hébergée - vous pouvez l'appeler Software as a Service je suppose. Nous avons des clients tiers qui se connectent pour l'utiliser.

Utilisation de RemoteApp Manager pour créer des raccourcis RemoteApp .rdp à distribuer aux postes de travail clients. Ces postes de travail ne sont pas dans le même domaine que le serveur RDS. Il n'y a pas de relation de confiance entre les domaines (et il n'y en aura pas). Il y a un VPN de site à site étroitement contrôlé entre les postes de travail et le serveur RDS, nous sommes tout à fait confiants d'avoir accès au serveur verrouillé.

La remoteApp en cours d'exécution est une application ERP avec son propre schéma d'authentification.

Le problème? J'essaie d'éviter de créer des connexions AD pour chaque utilisateur final lors de la connexion au serveur RemoteApp. En fait, puisque nous faisons une remoteApp et qu'ils doivent s'authentifier auprès de cette application, je préfère simplement ne pas leur demander du tout de créer des crédits AD. Je ne veux certainement pas qu'ils se retrouvent dans la gestion des mots de passe AD (et des expirations périodiques) pour les comptes qu'ils utilisent uniquement pour accéder à leur connexion ERP.

Cependant, je ne peux pas comprendre comment incorporer des crédits AD dans un fichier RemoteApp .rdp. Je ne veux pas vraiment désactiver toute l'authentification sur le serveur RDS à ce niveau.

Des bonnes options? Mon objectif est de rendre cela aussi transparent que possible pour les utilisateurs finaux.

Les questions de clarification sont les bienvenues.

Il est possible d'incorporer un mot de passe dans un fichier .rdp, mais le mot de passe est crypté avec le SID de votre compte d'utilisateur local de telle manière que le fichier .rdp n'est pas interchangeable entre les utilisateurs ou les ordinateurs. Ce comportement est inhérent à la conception: Microsoft ne voulait pas qu'un intrus puisse obtenir les clés d'un serveur Terminal Server simplement en volant un fichier .rdp sur le bureau de quelqu'un.

Heureusement, il existe une solution de contournement raisonnablement bien documentée. Fondamentalement, vous devez créer le fichier .rdp "à la volée" via un fichier batch ou un script que l'utilisateur exécute au lieu d'invoquer mstsc.exedirectement. Votre script crée le fichier .rdp approprié et, ce faisant, il crypte le mot de passe d'une manière qui mstsc.exel'acceptera dans le contexte de l'utilisateur actuel.

Ressources:

• Comment les mots de passe RDP sont cryptés (inclut la source et le binaire)
• Créer automatiquement un fichier RDP avec mot de passe (inclut le binaire)
• Crypter le mot de passe RDP en Python (inclut la source)

Chacun des articles ci-dessus comprend soit un lien vers un outil qui peut être utilisé pour crypter les mots de passe RDP et / ou le code source. Je suggère de travailler à partir du code source si possible. (Comme toujours, utilisez les binaires compilés par des inconnus d'Internet à vos risques et périls.)

Hum ... intéressant. La première chose qui me vient à l'esprit est d'utiliser la clé / le certificat (comme ssh):

• http://blogs.msdn.com/b/rds/archive/2008/12/04/introduction-to-ts-gateway-certificates.aspx
• http://blogs.msdn.com/b/rds/archive/2008/12/18/ts-gateway-certificates-part-ii-how-to-deploy-a-certificate-on-ts-gateway.aspx
• http://blogs.msdn.com/b/rds/archive/2008/12/18/ts-gateway-certificates-part-iii-connection-time-issues-related-to-ts-gateway-certificates.aspx

est-ce que cela aide?