Единая регистрация для Служб Терминалов

11 марта 2010 г.
Comments

CredSSP (Credential Security Service Provider) — это новый поставщик услуг безопасности (SSP) благодаря которому пользователи у которых есть учетная запись домена, зарегистрировавшись один раз, получают доступ к удаленным серверам без повторного предоставления своих учетных данных. Для реализации единой регистрации в службах терминалов, необходимо выполнить следующие требования:


  • Учетные записи пользователей должны обладать соответствующими правами для регистрации на сервере терминалов
  • Клиентский компьютер и сервер терминалов должны быть присоединены к домену
  • Сервер терминалов должен работать под управлением Windows Server 2008 или  Windows Server 2008 R2
  • Пользователей должен регистрироваться  на сервере терминалов с компьютера под управлением Windows XP SP3, Windows Vista, Windows Server 2008, Windows 7 или Windows Server 2008 R2.
Для всех операционных систем, за исключением Windows XP SP3, настройку CredSSP можно произвести используя групповую политику: “Конфигурация Компьютера” -“Административные шаблоны” - “Система” - “Передача учетных данных”.
CredSSP Policy1
Указав в параметрах каким терминальным серверам будут переданы учетные данные пользователя.
image
В Windows XP SP3 возможность CredSSP по умолчанию ВЫКЛЮЧЕНА. Настройки  CredSSP для Windows XP SP3 описаны в kb951608
Чтобы включить CredSSP нужно изменить следующие разделы реестра:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
В значении “Security Packages” типа REG_MULTI_SZ добавите “tspkg” к уже существующим данным, указанным для SSP.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders] В значении “Security Packages” типа REG_MULTI_SZ “credssp.dll” добавить к уже существующим данным, указанным для SSP. А также указать каким терминальным серверам будут переданы учетные данные пользователя. Вот пример:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation]
"AllowDefaultCredentials"=dword:00000001
"ConcatenateDefaults_AllowDefault"=dword:00000001
"AllowDefCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials]
"1"="TERMSRV/TS-Server"
"2"="TERMSRV/*.local.domain"
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly]
"1"="TERMSRV/TS-Server"
"2"="TERMSRV/*.local.domain"

Зададим необходимые ключи реестра в Windows XP SP3 для включения и настройки CredSSP,  воспользовавшись “Group Policy Preferences”.

CredSSP Policy2

И задаем  -  применять значения только для Windows XP SP3
image
Теперь пользователи при регистрации на сервере терминалов не вводят учетные данные.

P.S. Хочется добавить, что я подготовил файл Registry.xml для групповой политики. Вам только нужно скопировать его в:

\\you.domain\SYSVOL\you.domain\Policies{ID Policy}\Machine\Preferences\Registry

и исправить значения в ключах

  • SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly
  • SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials