Прозрачная авторизация на RDS с помощью SSO (Single Sign-On)

Single Sign-On (SSO — технология единого входа) это технология, позволяющая уже аутентифицированному (вошедшему в систему) пользователю получать доступ к другим сервисам без повторной аутентификации. Применительно к технологии терминальных серверов Remote Desktop Services, SSO позволяет избавить пользователя, выполнившего вход на доменном компьютере, от многократного ввода имени и пароля своей учетной записи в окне RDP клиента при подключении к RDS серверам или запуске опубликованных приложений RemoteApp.

В этой статье мы опишем особенности настройки прозрачной авторизации (Single Sign-On) пользователей на серверах RDS под управлением Windows Server 2016 и 2012 R2.

Требования к окружению:

• Сервер Connection Broker и все RDS сервера должны работать под управлением Windows Server 2012 или выше;
• SSO работает только в доменном окружении: должны использоваться учетные записи пользователей Active Directory, а RDS сервера и рабочие станции пользователей должны быть включены в домен;
• На RDP клиентах должна использоваться версия клиента RDP 8.0 и выше (не получится установить эту версию RDP клиента в Windows XP);
• На стороне клиента поддерживаются следующие версии Windows 10 / 8.1 / 7;
• SSO работает с парольной аутентификацией (смарт карты не поддерживаются);
• Уровень безопасности RDP (Security Layer) в настройках подключения должен быть установлен в Negotiate или SSL (TLS 1.0), а шифрование High или FIPS Compliant.

Процедура настройки Single Sign-On состоит из следующих этапов:

• Необходимо выпустить и назначить SSL сертификат на серверах RD Gateway, RD Web и RD Connection Broker;
• Включить Web SSO на сервере RDWeb;
• Настроить групповую политику делегирования учетных данных;
• Через GPO добавить отпечаток сертификата в доверенные издатели .rdp.

Итак, в первую очередь нужно выпустить и назначить SSL сертификат. В EKU (Enhanced Key Usage) сертификата должно обязательно присутствовать идентификатор Server Authentication. Мы опускаем процедуру получения сертификата, т.к. это она выходит за рамки статьи (можно сгенерировать самоподписанный SSL сертификат, но его придется добавлять в доверенные на всех клиентах через GPO).

SSL сертификат привязывается в свойствах RDS Deployment в подразделе Certificates.

Далее на всех серверах c ролью Web Access для каталога IIS RDWeb нужно включать “Windows Authentication” и отключить анонимную проверку подлинности (Anonymous Authentication).

После сохранения изменений, IIS нужно перезапустить: iisreset /noforce

Если используется шлюз RD Gateway, убедитесь, что он не используется для подключения внутренних клиентов (должна стоять галка Bypass RD Gateway server for local address).

Следующий этап – настройка политики делегирования учетных данных. Создайте новую доменную GPO и привяжите ее к OU с пользователями (компьютерами), которым нужно разрешить SSO доступ на RDS сервера. Если вы хотите разрешить SSO для всех пользователей домена, допустимо редактировать Default Domain Policy.

Эта политика находится в разделе GPO Computer Configuration -> Administrative Templates -> System -> Credential Delegation -> Allow delegation defaults credential (Конфигурация компьютера -> Административные шаблоны -> Передача учетных данных -> Разрешить передачу учетных данных, установленных по-умолчанию). Политика разрешает определенным серверам доступ к учетным данным пользователей Windows.

• Включите политику (Enabled);
• В список серверов нужно добавить имена RDS серверов, на которые клиент может автоматически отправлять учетные данные пользователя для выполнения SSO авторизации. Формат добавления сервера: TERMSRV/rd.contoso.com. (обратите внимание, что все символы TERMSRV должны быть в верхнем регистре). Если нужно предоставить такое право всем терминальным системам домена (менее безопасно), можно воспользоваться такой конструкцией: TERMSRV/*.contoso.com .

Далее, чтобы избежать появления окна с предупреждением о надежности издателя удаленного приложения, нужно с помощью GPO на клиентских компьютерах добавить адрес сервера с ролью Connection Broker в доверенную зону с помощью политики «Список назначений зоны безопасности для веб-сайтов» (по аналогии со статьей Как убрать предупреждение системы безопасности при открытии файла в Windows):

User/Computer Configuration -> Administrative Tools -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page-> Site to Zone assignment list (Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером -> Вкладка безопасность)

Укажите FQDN имя сервера RDCB и зону 2 (Trusted sites).

Далее нужно включить политику Logon options (Параметры входа) в разделе User/Computer Configuration -> Administrative Tools -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security -> Trusted Sites Zone (Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером -> Вкладка безопасность -> Зона надежных сайтов) и в выпадающем списке выбрать ‘Automatic logon with current username and password‘ (Автоматический вход в сеть с текущим именем пользователя и паролем).

После обновления политик на клиенте, при попытке запустить RemoteApp приложение, запрос пароля не появится, но появится окно с предупреждением о доверии к издателю данной программы RemoteApp:

Do you trust the publisher of this RemoteApp program?

Чтобы это сообщение не выводилось каждый раз при подключении пользователя, вам нужно получить отпечаток SSL сертификата (certificate thumbprint) RD Connection Broker и добавить его в список доверенных издателей rdp. Для этого на сервере RDS Connection Broker выполните команду PowerShell:

Скопируйте значение отпечатка сертификата и добавьте его в список отпечатков политики Specify SHA1 thumbprints of certificates representing RDP publishers (Указать отпечатки SHA1 сертификатов, представляющих доверенных издателей RDP) в секции Computer Configuration -> Administrative Templates -> Windows Components -> Windows Desktop Services -> Remote Desktop Connection Client (Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Клиент подключения к удаленному рабочему столу).

На этом настройка SSO закончена, и после применения политик, пользователь должен подключатся к ферме RDS по протоколу RDP без повторного ввода пароля.

Теперь при запуске клиента mstsc.exe (Remote Desktop Connection), если вы укажете имя RDS сервера, в поле UserName автоматически подставится имя пользователя в формате (user@domain.com).

Your Windows logon credentials will be used to connect.

Чтобы использовать RD Gateway с SSO нужно для пользователей включить политику Set RD Gateway Authentication Method (User Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> RD Gateway) и установить ее значение на Use Locally Logged-On Credentials.

Для использования Web SSO на RD Web Access, обратите внимание, что рекомендуется использовать Internet Explorer с включенным Active X компонентом MsRdpClientShell (Microsoft Remote Desktop Services Web Access Control).

Для чего нужен пользователь SSO_POP_Device?

Найдите его под:
«Панель управления \ Учетные записи пользователей \ Управление учетными данными»
две данные входа в систему, которые ее автоматически настраивают? Что они могут удалить? Л.Г.

Неделя Windows 10 установлена.

Я также наткнулся на этот новый выпуск! ? —
Класс товаров, если был дан ответ. Как я мог быть:
Общая информация для входа:

virtualapp \ didlogical
Другие элементы

SSO_POP_Device
Были ли эти учетные записи установлены Windows? спасибо

Я рекомендую загрузить Reimage. Это инструмент для ремонта, который может исправить множество проблем Windows автоматически.

Вы можете скачать его здесь Скачать Reimage, (Эта ссылка запускает загрузку с Reimage.)

В файле NTuser.dat система становится пользовательской областью реестра (то есть файлы должны быть предоставлены каждому пользователю,
Например, фон экрана, вид в проводнике Windows и т. Д. Нельзя трогать, изменять или удалять.

HKEY_CURRENT_USER) в файле защищенной файловой системы).

Когда пользователь выходит из компьютера,
выгружает реестр профиля пользователя. час Windows хранит всю конкретную информацию и конфигурацию файла в файле

Видно только, если (NTuser.dat и обновляет его.

Это вы удаляете? Я искал и ничего не сделал Z0Ink
быть вполне нормальным. Мойн,
Wowexec / wowexec.exe — это поддержка, которую я также могу прекратить, но все работает нормально.

Пока интересуется процессом из Windows. Теперь я замечаю файл wowexec.exe, вирус или троян? Могу ли я использовать 16-битные программы в среде 32-бит Windows. Возможно, даже нашел один, для чего он нужен?

Поэтому я должен пересмотреть процессы, которые происходят со мной.

Сегодня я купил «Windows 7 Professional OEM» как версию для сборщика систем. Операционная система предустановлена ​​с компакт-диска
Вам здесь нужен этот компакт-диск. Что случилось с этим компакт-диском? Что предварительно установлено с этим компакт-диском?

Кроме того, см. Раздел «Ключ» и найдите компакт-диск Microsoft для предварительной установки. Хотя это уже довольно старо, но все же так.
В оригинальной коробке находится Windows 7 DVD, но не обращать внимания, потому что вы хотели бы полностью разместить свою систему.

Я уже нашел некоторые предложения по решению, но либо он не работал

Привет благодарен за советы! Я тоже был бы

дорогая община! или вы можете подключиться, а затем не получить подключение к Интернету.

Итак, у меня есть второй раздел IO. Кто-нибудь из вас уже знает эту проблему?

Возможно ли использование раздела администратора. Во второй системе я всегда получаю сообщение, интернет-сессия вызывает сбой ПК. Утилита запуска Windows 7 и Active Partition администратора больше не существует.

Доброе утро уже не существует — или пользователь по умолчанию больше не существует? Таким образом, учетная запись будет затем определена, что администратор, активный в сбое, больше не существует в качестве пользователя в C: \ User. Лодка от вас всех! Перезагрузите это раньше, это означает, что любая активированная учетная запись администратора будет снова неактивна.

Восстановление возвращает операционную систему к состоянию поставки, восстановление говорит, что раздел является IO. Вчера 20: 52, в то время как у меня нет прав доступа (работал до сбоя). С программным обеспечением для восстановления файлов (это может сделать данные хотя бы видимыми) я представил очень большую проблему!

Алло,
У меня есть локальный пользователь, и я не связываю домен. Я не могу лгать пользователю об этом описании ошибки? Когда местному пользователю приходит сообщение о том, что пользователь AD с сервера работает, но пароль или имя пользователя неверны.

С наилучшими пожеланиями
Крис

войдите в систему, которая была создана на сервере. После подключения ноутбука к домену подключен другой ноутбук, подключенный к домену. Оба работали до тех пор, пока подключен только пользователь Microsoft. Что могли сделать пользователи Microsoft на моем ноутбуке Win 10 Pro?

Если я сейчас вхожу в систему с администратором, как может 1 Admin и 1 User Account. На некоторых компьютерах есть учетные записи 2: введите? Пароль для пользователя
Привет. Я блокирую компьютер, чтобы пользователь не мог войти в систему?

@Mark Hachmann написал статью на «PCWorld.com», которую стоит прочитать: Windows 10, список желаний: 10 вещей, о которых пользователи все еще просят | PCWorld

Сохраняет данные, хранящиеся на рабочем столе, или восстанавливает?

Начало: всегда регистрирует пользователя как временного пользователя,

больше не могут обращаться к данным (рабочий стол) или

Но он снова попытался с помощью настроек мыши, чтобы изменить это. Подключенный персональный пользователь к настройкам ничего (больше) для изменения. Это напугало меня, почему я попробовал администратора. Но я уже не могу с тачпада.

Там сказано (что-то я не открываю, но удаляю сразу). Затем мышь работала. Тот факт, что тачпад управляет независимо моей личной копией пользователя и как?

Я также поступил странно вначале.

Можете ли вы изменить настройки от администратора до нуля. Admin: Мышь и тачпад прекрасно работают, если команды выполняются автоматически, есть другие настройки. Хотя я знаю только при открытии электронной почты (не нажимая на нее в другом месте), вы можете поймать что угодно, у меня есть сканирование Avira.

Если бы адрес электронной почты, чей отправитель ничего мне не сделал, я еще не проверил с администратором.

Найден найденный (курсор был на нем), открыл почту.

Я советую вам не использовать инструменты от авторов NoName

С активным каталогом вы уже можете изучать только годы 3

И что делает, например, FTP-сервер или даже активный набор каталогов и использует. Есть ли там

инструмент или что-то еще? Поскольку я рекомендую вам посмотреть несколько руководств, как

Благодарю! Итак, теперь мне интересно, как я получаю от C: \ User \ username до E: \ User: /
У кого-то есть идея? Пользователь должен быть уже на C: lie

Однако только документы и т. Д.

Поскольку у вас будут свои собственные общие папки и т. Д. Потому что одна и та же папка есть, потому что что-то не так. Или я все еще синонимичен на дисках C и E.

Алло,
У меня есть сетевая папка с общими вложенными папками, и я не подключен к сети на другом ПК.

Могу ли я удалить это, не делая что-то неправильно, что-то бессмысленное? Есть ли у меня что-то, что папка полностью исчезает с ПК? PC Win7 Professional 32 бит

На «е» и «Все» я не знаю, откуда это и нужно ли мне это.

У меня только один компьютер, я не могу получить к нему доступ.

Что относительно Windows 8) . к сожалению . какая таблетка лучше. Am Appel Lovers (сотовые телефоны, видя, что произойдет.) Планшетный ПК имеет функции, которые являются лучшими.

Какая операционная система в порядке, но какой микрокарм карты? Все говорят Хорошо на этом планшете . все программы в бегах? Нужна ли мне дополнительная карта для вещи . квартира, которая должна быть?

Планшетные компьютеры состоят из комбинации excel . Word . или что-то еще? Лидер рынка — Apple iPad

И если без . С помощью пера вы можете управлять закрытой аппаратной архитектурой планшета и настраиваемой встроенной операционной системой.

Ни один из приложений . таких как распознавание рукописного ввода, голосовые ввод и применение жестов. и делать записи на экране компьютера.

Зачем использовать что-либо в мире универсально с использованием HTPC. Что еще есть для 5000 +
об этом [только авторизированные пользователи могут видеть ссылки] «думали вместе». В PCI-E x1 — полезные карты, которыми можно оборудовать эти слоты? абсолютно есть SPDIF.

Предполагалось, что слот подключен к моей ТВ-карте. Я только что получил футуристическую компиляцию системы с Athlon64 X2. Поэтому я также хочу четыре таких слота?

Настольные ПК показывают мне

— Раздел восстановления 1 GB
— системный раздел 260 MB EFI
— 500 MB OEM-раздел
— 905, что: Windows 8 UEFI / GPT Разделение нецентрировано? IT и Windows блог

Здесь Microsoft пояснила: https://msdn.microsoft.com/de-de/library/hh824839.aspx
И часть I | Родился в GB W8.1 разделе
— Раздел восстановления 24,41 GB

Может ли кто-нибудь сказать мне, почему существуют разделы восстановления 2?

один для разъема AM + 2 и AM3 на моей плате, оба подходят для него. или

Для чего нужен Lv 3 Chache? Woltt me NEN Quadcore AMD Phenon выглядели и колеблются между более медленными, но намного большими — память и жесткий диск.
Более быстрая (но меньшая) только кеш уровня 1 и 2 и важна?

Кэш уровня 3 является третьим самым быстрым кешем на ПК.

Почему это так в разделе «Дополнительно» / «Свойства обозревателя Интернета» / «Контент» так называемые. В Opera я там когда-то рассматривал. Например, сертификаты не стали звуковыми. Википедия

Смотрите здесь: цифровой сертификат?

Промежуточные органы по сертификации)! Совсем не может. Что не работает, если я — насколько это возможно — плохо говорит о моей системе?

Хороший сертификат на IE8?

Может кто-то удалить такой сертификат (за исключением так называемого.