База знаний:
Прозрачная аутентификация пользователя на сервере доступа
Автор Pavel Golubnichiy, Last modified by Pavel Golubnichiy на 14 сентября 2022 02:52 PM

Для удобства работы пользователей в PAM можно отключить запрос пароля при RDP подключении к серверу доступа.

Настройка политик для автоматической подстановки имени и пароля в RDP файл и при подключении через пользовательскую учетную запись:

Для пользовательских машин: (сервер доступа указан через FQDN)

  1. Computer Configuration -> Administrative Templates -> System -> Credential Delegation -> Allow delegating default credentials
    (Конфигурация компьютера -> Административные шаблоны -> Система ->  Передача учетных данных -> Разрешить передачу учетных данных, установленных по умолчанию)
    1. Включите политику (Enabled);
    2. Указать сервер RDS - TERMSRV/* (см. описание политики)
  2. Computer Configuration -> Administrative Templates -> System -> Credential Delegation -> Allow delegating default credentials with NTLM-only server authentication
    (Конфигурация компьютера -> Административные шаблоны -> Система ->  Передача учетных данных -> Разрешить делегирование сохраненных учетных данных с проверкой подлинности сервера «только NTLM»)
    1. Включите политику (Enabled);
    2. Указать пул для подключений - TERMSRV/* (см. описание политики)
  3. User/Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page-> Site to Zone assignment list
    (Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером -> Вкладка безопасность - Список назначений зоны для веб-сайтов)
    1. Укажите FQDN имя сервера RDS
    2. Установить зону - 2
  4. User/Computer Configuration -> Administrative Tools -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security -> Trusted Sites Zone -> Logon options
    (Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером  -> Вкладка безопасность -> Зона надежных сайтов -> Параметры входа)
    1. В выпадающем списке выбрать Automatic logon with current username and password (Автоматический вход в сеть с текущим именем пользователя и паролем).

Для Сервера Доступа (RDS сервера):

  1. Computer Configuration -> Administrative Templates -> System -> Credential Delegation -> Allow delegating default credentials
    (Конфигурация компьютера -> Административные шаблоны -> Система ->  Передача учетных данных -> Разрешить передачу учетных данных, установленных по умолчанию)
    1. Включите политику (Enabled);
    2. Указать пул для подключений - TERMSRV/* (см. описание политики)
  2. User/Computer Configuration -> Administrative Tools -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security -> Trusted Sites Zone -> Logon options
    (Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером  -> Вкладка безопасность -> Зона надежных сайтов -> Параметры входа )
    1. В выпадающем списке выбрать Automatic logon with current username and password (Автоматический вход в сеть с текущим именем пользователя и паролем).

ВНИМАНИЕ!

Не сработает для пользователей со смарт-картами.

На сервер доступа не нужно настраивать Site to Zone assignment list/Список назначений зоны для веб-сайтов - может возникнуть ошибка.

(0 голос(а))
Эта статья полезна
Эта статья бесполезна