RemoteApp .rdp incorporar creds?

Servidor Windows 2008 R2 executando os Serviços de Área de Trabalho Remota (o que costumávamos chamar de Serviços de Terminal nos velhos tempos) . Este servidor é o ponto de entrada em um aplicativo hospedado - você poderia chamá-lo de Software como Serviço, suponho. Temos clientes de terceiros conectados para usá-lo.

Usando o RemoteApp Manager para criar atalhos .rdp do RemoteApp para distribuir nas estações de trabalho clientes. Essas estações de trabalho não estão no mesmo domínio que o servidor RDS. Não há relação de confiança entre domínios (nem haverá). Há um site a site fortemente controlado VPN entre estações de trabalho e o servidor RDS, estamos bastante confiantes de que temos acesso ao servidor bloqueado.

O remoteApp em execução é um aplicativo ERP com seu próprio esquema de autenticação.

O problema? Estou tentando evitar a necessidade de criar logins do AD para cada usuário final ao conectar-me ao servidor RemoteApp. De fato, uma vez que estamos fazendo um remoteApp e eles precisam se autenticar nesse aplicativo, prefiro simplesmente não pedir a eles por creds do AD. Eu certamente não os quero envolvidos no gerenciamento de senhas do AD (e expirações periódicas) para contas que eles usam apenas para acessar o login no ERP.

No entanto, não consigo descobrir como incorporar creds do AD em um arquivo .rdp do RemoteApp. Eu realmente não quero desativar toda a autenticação no servidor RDS nesse nível.

Alguma boa opção? Meu objetivo é tornar isso o mais transparente possível para os usuários finais.

Perguntas esclarecedoras são bem-vindas.

É possível incorporar uma senha em um arquivo .rdp, mas a senha é criptografada com o SID da sua conta de usuário local de forma que o arquivo .rdp não seja intercambiável entre usuários ou computadores. Esse comportamento é específico: a Microsoft não queria que um invasor pudesse obter as chaves de um servidor de terminal apenas roubando um arquivo .rdp da área de trabalho de alguém.

Felizmente, há uma solução razoavelmente bem documentada. Basicamente, você precisa criar o arquivo .rdp "on the fly" por meio de um arquivo em lotes ou script que o usuário executa em vez de chamar mstsc.exediretamente. Seu script cria o arquivo .rdp apropriado e, ao fazer isso, criptografa a senha de forma que mstsc.exea aceite no contexto do usuário atual.

Recursos:

• Como as senhas RDP são criptografadas (inclui código fonte e binário)
• Criar arquivo RDP automaticamente com senha (inclui binário)
• Criptografar senha RDP em Python (inclui fonte)

Cada um dos artigos acima inclui um link para uma ferramenta que pode ser usada para criptografar senhas RDP e / ou código-fonte. Eu sugeriria trabalhar a partir do código fonte, se possível. (Como sempre, use binários compilados por estranhos da Internet por seu próprio risco.)

Hmm interessante. A primeira coisa que vem à mente é usar chave / certificado (como ssh):

• http://blogs.msdn.com/b/rds/archive/2008/12/04/introduction-to-ts-gateway-certificates.aspx
• http://blogs.msdn.com/b/rds/archive/2008/12/18/ts-gateway-certificates-part-ii-how-to-deploy-a-certificate-on-ts-gateway.aspx
• http://blogs.msdn.com/b/rds/archive/2008/12/18/ts-gateway-certificates-part-iii-connection-time-issues-related-to-ts-gateway-certificates.aspx

Isso ajuda?