2010-01-28 07:58

Single Sign On (SSO) och Remoteapps

Guide för Windows Vista och Windows XP.

Windows Vista och Windows 7
För Windows Vista och Windows 7 fungerar det utmärkt att konfigurera en Group Policy (GPO) för att slå på detta.

Applicera följande inställningar på Workstation OU:
Sökväg:
"Computer Configuration\Administrative Templates\System\Credentials Delegation"

Slå på denna policy
"Allow Delegating Default Credentials"

Lägg med din server i "Add servers to the list"
TERMSRV/serverx

Det går bra med att använda wildcards (tex TERMSRV/*.domainx.local)

Om man av någon anledning inte kan autentisera med kerberos behöver man slå på denna också:
"Allow Default Credentials with NTLM-only Server Authentication"

Windows XP
För att få SSO att fungera med Windows XP behöver man ha minst Servicepack 3. CredSSP är avstängt och kan inte slås på med hjälp av native GPO:er.

Man behöver göra följande registerförändring: (Tips: Ta backup på nycklarna innan)
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Security packages" /t REG_MULTI_SZ /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg" /f
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders /v "SecurityProviders" /t REG_SZ /d "msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll" /f

Utöver detta behöver man göra samma GPO inställningar som för Windows Vista och Windows 7.

Lycka till.

Anders Månsson
Seniorkonsult / IT-strateg