Um die Funktion für abgeleitete Anmeldedaten verwenden zu können, müssen Sie ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) in Active Directory erstellen, das eine virtuelle Smartcard mit der auf dem Remote-Desktop installierten Smartcard-Middleware verbindet. Anschließend wenden Sie das GPO auf die Organisationseinheit (OU) an, die den Remote-Desktop enthält.

Voraussetzungen

  • Stellen Sie sicher, dass die Systemanforderungen für die Verwendung von abgeleiteten Anmeldedaten erfüllt sind. Siehe Anforderungen für die Smartcard-Authentifizierung.
  • Erstellen einer virtuellen Smartcard.
  • Stellen Sie sicher, dass Sie sich als Administratordomänenbenutzer auf dem Computer anmelden können, auf dem Ihr Active Directory-Server gehostet wird.
  • Stellen Sie sicher, dass MMC und das Snap-In „Gruppenrichtlinienverwaltungs-Editor“ auf Ihrem Active Directory-Server installiert sind.

Prozedur

  1. Öffnen Sie auf dem Active Directory-Server die Verwaltungskonsole für Gruppenrichtlinien (gpmc.msc).
  2. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte und wählen Sie Neu aus.
  3. Geben Sie im Textfeld Name einen Namen für das Gruppenrichtlinienobjekt ein, z. B. Abgeleitete Anmeldedaten und klicken Sie auf OK.
  4. Klicken Sie mit der rechten Maustaste auf das von Ihnen erstellte Gruppenrichtlinienobjekt und wählen Sie Bearbeiten aus.
  5. Erweitern Sie Computerkonfiguration > Einstellungen > Windows-Einstellungen.
  6. Klicken Sie mit der rechten Maustaste auf Registrierung und wählen Sie Neu > Sammlungselement aus.
  7. Ändern Sie den Namen des Sammlungselements von Sammlung in einen aussagekräftigen Namen, z. B. den Middleware-Namen Charismathics.
  8. Um Registrierungselemente zu erstellen, die eine virtuelle Smartcard mit der Smartcard-Middleware koppeln, die auf dem Remote-Desktop installiert ist, klicken Sie mit der rechten Maustaste auf das Sammlungselement, das Sie erstellt haben, und wählen Sie Neu > Registrierungselement aus.
    Um eine virtuelle Smartcard mit Charismathics-Middleware zu koppeln, verwenden Sie die folgenden Werte.
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\VMware Remote Smart Card]
    • "ATR"=hex:3b,1c,96,56,4d,57,61,72,65,43,61,72,64,23,31
    • "Crypto Provider"="Charismathics Smart Security Interface CSP"
    Um eine virtuelle Smartcard mit ActivClient-Middleware zu koppeln, verwenden Sie die folgenden Werte.
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\VMware Remote Smart Card]
    • "80000001"="C:\\Programme\\HID Global\\ActivClient\\ac.scapi.scmd.dll"
    • "ATR"=hex:3b,1c,96,56,4d,57,61,72,65,43,61,72,64,23,31
    • "ATRMask"=hex:ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff
    • "Crypto Provider"="Microsoft Base Smart Card Crypto Provider"
    • "Smart Card Key Storage Provider"="Microsoft Smart Card Key Storage Provider"
  9. Öffnen Sie den Gruppenrichtlinienverwaltungs-Editor und verknüpfen Sie das neue GPO mit der OU, die den Remote-Desktop enthält.
    Bei einem virtuellen Desktop verknüpfen Sie das GPO mit der OU, die den virtuellen Desktop enthält. Bei einem veröffentlichten Desktop verknüpfen Sie das GPO mit der OU, die den RDS-Host enthält.
  10. Um die Registrierungseinstellungen auf dem Remote-Desktop zu überprüfen, starten Sie den Remote-Desktop neu oder öffnen Sie den Remote-Desktop und führen Sie cmd gpudate /force aus.

Nächste Maßnahme

Melden Sie sich beim Server an und stellen Sie eine Verbindung zum Remote-Desktop her. Der Ablauf ist der gleiche wie bei der Verwendung einer physischen Smartcard.

Hinweis: Wenn Sie bei der Authentifizierung mit einer virtuellen Smartcard mehr als fünfmal die falsche PIN eingeben, wird die virtuelle Smartcard entfernt und Sie müssen eine neue virtuelle Smartcard erstellen.