Wer die Windows Remote Desktop Services (vormals Terminal Services) aus Windows Server 2008 R2 einsetzt wird von der Leistungsfähigkeit überrascht sein. Viele Dinge die bisher nur mit Zusatz Produkten wie Citrix Presentationserver möglich waren sind jetzt in dem Produkt enthalten. Es ist unteranderem möglich die Anmeldeinformationen von einem Arbeitsplatzrechner direkt in die RemoteDesktop Session durchzureichen (Single Sign-On). Microsoft hatte dieses Feature zuerst nur für die neueren Betriebssysteme vorgesehen (Vista, Windows 7 und Windows Server 2008) sich allerdings nachträglich für die Unterstützung von Windows XP allerdings nur ab Services Pack 3 entschieden.
Im folgenden beschreibe ich wie man den dafür notwendigen Credential Security Support Provider (CredSSP) manuell in der Registry installieren.
- Aufruf von Regedit
- Öffnet des REG_SZ_MULTI Keys “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages” und ergänzen dort “tspkg”
- Öffnet des REG_SZ_MULTI Keys “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders” und ergänzen dort “credssp.dll”
- Öffnen Sie “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows”. Hier erzeugen Sie den Schlüssel “CredentialsDelegation”.
- Dann erzeugen Sie hier das REG_DWORD “AllowDefaultCredentials” mit dem Wert 1
- Am gleicher Platz erzeugen Sie das REG_DWORD “ConcatenateDefaults_AllowDefault” ebenfalls mit dem Wert 1
- Erzeugen Sie hier den Schlüssel “AllowDefaultCredentials” und darin den REG_SZ Key “1” mit dem Wert „TERMSRV/*“
- Regedit schließen und System booten
P.S.: Damit Single Sign-On funktioniert sind noch einige andere Dinge erforderlich: alle beteiligten Systeme und Benutzer müssen über gültige Zertifikate verfügen. Am besten installieren Sie dazu eine Microsoft PKI.
Quellen: Description of the Credential Security Support Provider (CredSSP) in Windows XP Service Pack 3
Für ein so kompliziertes Thema wirklich wunderbar erklärt.
Pingback:Einrichten einer Microsoft PKI mit Windows Server 2008 (R2) « Technikblog