要使用“派生的凭据”功能,您必须在 Active Directory 中创建一个组策略对象 (GPO),该对象将虚拟智能卡与远程桌面上安装的智能卡中间件进行配对。然后,将该 GPO 应用到包含远程桌面的组织单位 (OU)。

前提条件

  • 验证是否满足使用派生凭据的系统要求。请参阅智能卡身份验证要求
  • 创建虚拟智能卡。
  • 确认您能够以管理员域用户的身份登录到托管 Active Directory 服务器的计算机。
  • 确认 MMC 和组策略管理编辑器插件在您的 Active Directory 服务器上可用。

过程

  1. 在 Active Directory 服务器上,打开组策略管理控制台 (gpmc.msc)。
  2. 右键单击组策略对象,然后选择新建
  3. 名称文本框中,键入组策略对象的名称(例如 Derived Credentials),然后单击确定
  4. 右键单击您创建的组策略对象,然后选择编辑
  5. 展开计算机配置 > 首选项 > Windows 设置
  6. 右键单击注册表,然后选择新建 > 收集项
  7. 将收集项名称从 Collection 更改为有意义的名称,例如,中间件名称 Charismathics
  8. 要创建用于将虚拟智能卡与远程桌面中安装的智能卡中间件进行配对的注册表项,请右键单击您创建的收集项,然后选择新建 > 注册表项
    要将虚拟智能卡与 Charismathics 中间件进行配对,请使用以下值。
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\VMware Remote Smart Card]
    • "ATR"=hex:3b,1c,96,56,4d,57,61,72,65,43,61,72,64,23,31
    • "Crypto Provider"="Charismathics Smart Security Interface CSP"
    要将虚拟智能卡与 ActivClient 中间件进行配对,请使用以下值。
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\VMware Remote Smart Card]
    • "80000001"="C:\\Program Files\\HID Global\\ActivClient\\ac.scapi.scmd.dll"
    • "ATR"=hex:3b,1c,96,56,4d,57,61,72,65,43,61,72,64,23,31
    • "ATRMask"=hex:ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff
    • "Crypto Provider"="Microsoft Base Smart Card Crypto Provider"
    • "Smart Card Key Storage Provider"="Microsoft Smart Card Key Storage Provider"
  9. 打开组策略管理编辑器,并将新的 GPO 链接到包含远程桌面的组织单位。
    对于虚拟桌面,请将此 GPO 链接到包含该虚拟桌面的组织单位。对于已发布的桌面,请将此 GPO 链接到包含 RDS 主机的组织单位。
  10. 要验证远程桌面中的注册表设置,请重新启动远程桌面,或者打开远程桌面并运行 cmd gpudate /force

下一步做什么

登录到服务器并连接到远程桌面。该过程与使用物理智能卡的过程相同。

注: 如果您在使用虚拟智能卡进行身份验证时输入错误的 PIN 超过五次,则该虚拟智能卡将被移除,而您必须创建新虚拟智能卡。