RemoteApp & Remote Desktop вхід на термінальний сервер без введення логіна і пароля

У серверних версіях ОС Windows є чудова можливість використовувати для підключень облікові дані, введені користувачем раніше, при логін на свій комп’ютер. Таким чином їм не доводиться кожен раз вводити логін і пароль при запуску опублікованого додатка або ж просто віддаленого робочого столу. Називається ця штука Single Sign On з використанням технології CredSSP (Credential Security Service Provider).

опис

Для того, щоб це працювало, повинні бути дотримані наступні умови:

  • Термінальний сервер і клієнт, який до нього підключається, повинні знаходиться в домені.
  • Термінальний сервер повинен бути налаштований на ОС Windows Server 2008Windows Server 2008 R2 або більш старшої версії.
  • На клієнтському комп’ютері повинна бути встановлена ​​ОС: Windows XP SP3, Windows Vista, Windows Server 2008, Windows 7, Windows 8 або Windows Server 2008 R2.

для Windows XP SP3, будуть потрібні додаткові рухи тіла. Необхідно встановити фікс, який дозволить через групові політики налаштовувати параметри і для Windows XP SP3.
Цей фікс (MicrosoftFixit50588.msi) можна завантажити, як з офіційного сайту, так і з нашого сайту:

MicrosoftFixit50588

Спочатку налаштовуємо на сервері терміналів рівень безпеки в режим “Узгодження”:

Далі налаштовуємо політику: “Конфігурація Комп’ютера” – “Адміністративні шаблони” – “Система” – “Передача облікових даних”

У ній налаштовуємо 2 параметра: Дозволити передачу облікових даних, встановлених за замовчуванням і Дозволити делегування облікових даних, встановлених за замовчуванням, з перевіркою достовірності сервера “тільки NTLM”

Дозволити делегування облікових даних, встановлених за замовчуванням, з перевіркою достовірності сервера “тільки NTLM” – налаштовувати потрібно тільки в тому випадку, якщо аутентифікація на термінальному сервері не відбувається за допомогою Kerberos або SSL-сертифіката.

Вписуємо туди сервер (сервери), на які ми хочемо пускати користувачів без повторного введення логіна і пароля. Вписувати можна по масці, а можна і окремо. У довідці докладно написано.

Після цього, застосовуємо політику на потрібному комп’ютері (-ах) і перевіряємо, щоб користувачів пускало без введення логіна і пароля на зазначені в політиках вище термінальні сервери.

Ссылка на основную публикацию