Guten Morgen!

Vielleicht könnt ihr mir ja hier helfen...
Gegeben ist folgendes:
Domäne A
Domäne B
Diese beiden Domönen haben keine Vertrauensstellung.

In Domäne B gibt es einen IIS-Webserver mit NTLM-Authentifizierung.
Dieser Webserver soll für ein paar Benutzern aus Domäne A erreichbar sein. Also habe ich die Benutzer identisch in Domäne B angelegt (Benutzername und Passwort gleich). Das klappt tatsächlich, die Benutzer können sich mit den Credentials aus Domäne A am IIS bei Domäne B anmelden.

Jetzt wollte ich genauso bei RDP vorgehen, allerdings klappt das nicht so einfach wie beim IIS.
Ich bekam zuerst immer die Aufforderung nach Benutzer / Passwort, was aber wohl Standard bei RDP ist, wenn man sich mit einer fremden Domäne verbindet. Dieses Phänomen kann man per GPO "Computer > Administrative Vorlagen > System > Delegierung von Anmeldeinformationen > Delegierung von <Anmeldeinformation> zulassen" beheben, in dem man Windows mitteilt für welchen RDP-Host er die Standardanmeldeinformationen usw. verwenden soll.
Allerdings schluckt RDP meine Anmeldeinformation USER@DomainA für Domäne B nicht. (ist ja auch irgendwie nachvollziehbar)

Gibt es eventuell irgendeinen Trick, mit dem man das Verhalten vom IIS auch auf RDP anwenden kann?


edit: Wenn ich auf dem RDP-Host die Benutzer lokal anlege, komme ich ohne Eingabe von Benutzer / Passwort rauf. Das ist allerdings doof, da es dann ja keine Domänen-Benutzer sind und die GPOs nicht ziehen...


Gruß,
Morphie

Moin Morphie,

wie soll denn bitte ein Rechner, der keinen Zugriff auf des entsprechende AD hat die zugehörigen GPOs ziehen können?
Dann bräuchtest Du auch keine lokalen Accounts.
Die einzige Lösung, die mir dazu einfällt:
Soweit mögich die Policies lokal einrichten.

Soll er ja gar nicht. Die User aus Domain A sollen sich per RDP auf einen Rechner in Domain B verbinden. Die GPOs kommen dort natürlich von Domain B!

Das einzige Problem ist, dass die Authentifizierung nicht klappt, weil es technisch nunmal nicht die selben User sind. (Benutzername und Passwort sind aber identisch)

Bei RDP scheint die Prüfung also in etwa so zu funktionieren:
Domain\Username = Domain\Username AND Password = Password

Beim IIS scheint die Prüfung aber so auszusehen:
Username = Username AND Password = Password
Dort wird die Domain also scheinbar nicht geprüft... Genau so möchte ich das bei RDP auch haben

Aber ich befürchte die einzige Lösung ist eine One-Way-Vertrauensstellung

Per RDP kann man sich via "Domain/Benutzername" oder "Benutzername" anmelden (direkt so in das Feld Benutzername eingeben) und das auch aus komplett anderen Netzwerken,
wenn der Benutzername in einer Domain liegt, dann muß Diese mit angegeben werden, sonst würde er nicht gefunden.

Warum nicht einfach eine einseitige Vertrauensstellung? Selbst wenn Du es gelöst bekommst, müsstest Du die Benutzer-Passwort Tupel auf beiden Seiten immer konsistent vorhalten. Rein Sicherheitstechnisch ist das schlechter als das gute alte "NT4 Ressourcendomäte-Kontendomäne Konzept". Mehr Arbeitsaufwand steckt auch drin.