Секреты Remote Desktop Services: Single Sign-On

        Сегодня работа в терминальном сервере является стандартным решением для многих компаний, равно как и удалённое управление компьютерами с помощью Remote Desktop. Одна только вещь постоянно раздражает — нужно дважды вводить своё имя и пароль, один раз при входе в свой компьютер, второй — устанавливая RDP-соединение. Где же пресловутый Single Sign-On, являющийся известным свойством NT-доменов? Оказывается, для Remote Desktop он тоже существует, просто нужно выполнить ряд настроек.

        На самом терминальном сервере нужно указать уровень безопасности и отказ от принудительного запроса пароля при установлении нового соединения. Для этого запустите программу Remote Desktop Session Host Configuration из папки Remote Desktop Services, Administrative Tools. Вызовите свойства соединения RDP-Tcp и на закладке General укажите Security Layer: Negotiate или SSL (TLS 1.0). На закладке Log on Settings снимите галочку Always Prompt for Password:

        Эти же параметры можно настроить сразу для всех компьютеров с помощью доменной групповой политики. Откройте требуемый объект GPO и перейдите в контейнер Computer Configuration -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security. Сконфигурируйте параметры Always prompt for password upon connection и Require use of specific security layer..:

         Второе, что требуется сделать — на клиентских машинах указать список целевых Remote Desktop-компьютеров, к которым будет применим Single Sign-On. Для этого вы можете сконфигурировать как локальную групповую политику, так и доменную. Откройте требуемый объект GPO, затем в контейнере Computer Configuration -> System -> Credentials Delegation установите параметр Allow Delegating Default Credentials в положение Enabled и кнопкой Show… перечислите имена целевых RDP-серверов, используя синтаксис вида TERMSRV/*.domain.local:

        А что делать, если нужно подключиться к RDP-серверу, используя реквизиты другого пользователя? Для этого достаточно написать имя целевого компьютера иначе, чем указано в групповой политике. Например, просто MyServer без доменного суффикса. Или соединяться по IP-адресу. В остальных ситуациях описанная выше несложная настройка позволяет облегчить жизнь себе и своим пользователям, избавив их от необходимости несколько раз вводить одни и те же реквизиты.

        RDP SSO работает в доменной среде на операционных системах Windows Server 2008 / Windows Vista и выше. RDP-клиентами также могут быть и Windows XP, но это потребует чуть больше конфигурации, подробную информацию о которой вы сможете найти по следующему адресу: http://blogs.technet.com/b/mhass/archive/2009/04/16/windows-xp-xpe-and-remote-desktop-services-single-sign-on.aspx