понедельник, 3 октября 2011 г.

Конфигурирование single sign-on для RD Services

Итак. Задача, сделать так, чтобы при запуске клиентского подключения система не спрашивала имя и пароль. Для этого нужно создать GPO, с соответствующими настройками. Основная настройка:

Computer configuration\Policies\Administrative Templates\System\Credentials Delegation\Allow Delegating Default Credentials

Самый главный вопрос, что писать в настройках политики. Если внимательно изучить пояснение, то структура записи должна быть ясна. По сути вы должны указать SPN того сервера, которому вы собираетесь делегировать свои Credentials. Узнать этот самый SPN, можно командой setspn:


где, nyc-ts - это имя сервера терминалов, SPN которого необходимо узнать. Помеченные желтым записи - это SPN связанные со службой терминального сервера, то есть как раз те, которые нас интересуют. При этом нужно иметь ввиду, что, для корректной работы, при указании имени сервера в командной строке mstsc или в его окне, нужно писать имя так, как оно написано после слэша в строке SPN.
Как водится после создания готовую политику нужно назначить на соответствующие OU, для ускорения применения выполнить gpupdate /force. Кроме того в этой же политике можно сконфигурировать и дополнительные параметры для подключающихся клиентов.
Отправить комментарий