locked
проверка подлинности на уровне сети- не работает RRS feed

  • Вопрос

  • Всем доброго времени суток!
    Не уверен, что правильно выбрал форум, но всё же задам свой вопрос- имеется домен  2003Native,  в нём есть терминальный сервер 2008Std  SP2 Rus (не контроллер домена). До недавнего времени клиенты были только XP SP3, но стараемся шагать в ногу со временем- обзавелись несколькими Win7. На XP была настроена авторизация на уровне сети путём правки реестра и добавления некоторых файликов, а на Win7 и Vista, где эта авторизация должна работать из коробки, каждый раз выскакивает запрос пароля. Статью http://technet.microsoft.com/ru-ru/library/cc742818(WS.10).aspx читал, групповую политику настроил, а эффекта никакого. Что не так?
    1 марта 2010 г. 16:34

Ответы

  • Для того, чтобы прозрачная авторизация (SSO) заработала на Windows 7 необходимо предварительно настроить это с помощью групповых политик или реестра. Посмотрите статью:
    http://technet.microsoft.com/en-us/library/cc772108%28WS.10%29.aspx

    • Помечено в качестве ответа ВСН 2 марта 2010 г. 10:24
    2 марта 2010 г. 8:20

Все ответы

  • Вот тот же вопрос - что не так? Что не получается? Поподробнее, если можно.
    Для сравнения, приведите что правили в реестре в XP.

     

    1 марта 2010 г. 21:24
  • Хорошо, изложу подробнее. В терминальных службах Server2008 появилась вот эта самая проверка подлинности на уровне сети- клиенту не нужно вводить имя/пароль. Изначально эта возможность поддерживала только Vista. В SP3 для XP эта возможность тоже появилась, но по каким-то причинам была отключена по умолчанию. Для её включения нужно было немного подправить реестр. Сейчас неохота искать эту статью KB, где описывается, как и что надо делать. В итоге у меня получился вот такой файл реестра
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation]
    "AllowDefaultCredentials"=dword:00000001
    "ConcatenateDefaults_AllowDefault"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials]
    "1"="TERMSRV/*.domain.my"
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]
    "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll"
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SaslProfiles]
    "GSSAPI"="Kerberos"
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL]
    "EventLogging"=dword:00000001
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168/168]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Client]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Client]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest]
    "Lifetime"=dword:00008ca0
    "Negotiate"=dword:00000000
    "UTF8HTTP"=dword:00000001
    "UTF8SASL"=dword:00000001
    
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
    "Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\
      00
    "Bounds"=hex:00,30,00,00,00,20,00,00
    "Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\
      00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\
      6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74,\
      00,73,00,70,00,6b,00,67,00,00,00,00,00
    "ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001
    "LsaPid"=dword:00000234
    "SecureBoot"=dword:00000001
    "auditbaseobjects"=dword:00000000
    "crashonauditfail"=dword:00000000
    "disabledomaincreds"=dword:00000000
    "everyoneincludesanonymous"=dword:00000000
    "fipsalgorithmpolicy"=dword:00000000
    "forceguest"=dword:00000001
    "fullprivilegeauditing"=hex:00
    "limitblankpassworduse"=dword:00000001
    "lmcompatibilitylevel"=dword:00000000
    "nodefaultadminowner"=dword:00000001
    "nolmhash"=dword:00000000
    "restrictanonymous"=dword:00000000
    "restrictanonymoussam"=dword:00000001
    "Notification Packages"=hex(7):73,00,63,00,65,00,63,00,6c,00,69,00,00,00,00,00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders]
    "ProviderOrder"=hex(7):57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,4e,00,\
      54,00,20,00,41,00,63,00,63,00,65,00,73,00,73,00,20,00,50,00,72,00,6f,00,76,\
      00,69,00,64,00,65,00,72,00,00,00,00,00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider]
    "ProviderPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
      00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
      6e,00,74,00,6d,00,61,00,72,00,74,00,61,00,2e,00,64,00,6c,00,6c,00,00,00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing\System]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data]
    "Pattern"=hex:53,59,1f,41,c7,49,4c,58,d8,12,6f,21,49,48,e8,96,64,62,63,61,63,\
      62,36,30,00,fd,07,00,29,7c,00,00,34,fa,07,00,56,82,4a,75,20,fa,07,00,40,fd,\
      07,00,4c,fd,07,00,62,e1,fc,37,20,80,ca,22,72,8a,d4,db
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG]
    "GrafBlumGroup"=hex:88,fd,5d,72,09,fc,71,65,82
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD]
    "Lookup"=hex:67,f1,3b,cc,44,19
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache]
    "MachineSid"=hex:01,05,00,00,00,00,00,05,15,00,00,00,58,f4,19,00,91,93,41,73,\
      c1,3a,8e,b2,4a,0a,00,00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
    "Auth132"="IISSUBA"
    "ntlmminclientsec"=dword:00000000
    "ntlmminserversec"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1]
    "SkewMatrix"=hex:34,0e,07,a9,a7,c0,18,ba,d1,8d,de,19,d7,5b,79,3b
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4]
    "SSOURL"="http://www.passport.com"
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache]
    "Time"=hex:70,bb,9b,4e,46,ba,c8,01
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll]
    "Name"="Digest"
    "Comment"="Digest SSPI Authentication Package"
    "Capabilities"=dword:00004050
    "RpcId"=dword:0000ffff
    "Version"=dword:00000001
    "TokenSize"=dword:0000ffff
    "Time"=hex:00,c2,6f,a5,56,9e,c8,01
    "Type"=dword:00000031
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll]
    "Name"="DPA"
    "Comment"="DPA Security Package"
    "Capabilities"=dword:00000037
    "RpcId"=dword:00000011
    "Version"=dword:00000001
    "TokenSize"=dword:00000300
    "Time"=hex:00,1c,d2,a7,56,9e,c8,01
    "Type"=dword:00000031
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll]
    "Name"="MSN"
    "Comment"="MSN Security Package"
    "Capabilities"=dword:00000037
    "RpcId"=dword:00000012
    "Version"=dword:00000001
    "TokenSize"=dword:00000300
    "Time"=hex:00,49,03,a9,56,9e,c8,01
    "Type"=dword:00000031
    

    Дальнейшие действия выглядят так- ставится SP3, запускается вышеприведённый файл, компьютер перезагружается- и вуаля: когда я в Подключении к удалённому рабочему столу пишу FQDN моего терминального сервер, то в  строке Пользователь автоматически появляются мои учётные данные, я подключаюсь к серверу, никаких паролей у меня никто не спрашивает.
    Теперь о главном. В Vist'е и Win7 эта возможность должна быть  доступна без всякого шаманства, но почему-то не работает- т.е. я пишу имя сервера, но в строке Пользователь ничего не появляется и при подключении спрашивает пароль. Вот и спрашивается, что и где надо обработать напильником, чтобы эта возможность заработала?
    2 марта 2010 г. 5:42
  • Для того, чтобы прозрачная авторизация (SSO) заработала на Windows 7 необходимо предварительно настроить это с помощью групповых политик или реестра. Посмотрите статью:
    http://technet.microsoft.com/en-us/library/cc772108%28WS.10%29.aspx

    • Помечено в качестве ответа ВСН 2 марта 2010 г. 10:24
    2 марта 2010 г. 8:20
  • Спасибо большое!
    2 марта 2010 г. 10:25