RDP zum Zugriff auf einen Remote Windows-Endpunkt
Verwenden Sie BeyondTrust, um eine Remote-Desktop-Protokoll (RDP)-Sitzung mit Remote-Windows- und -Linux-Systemen zu starten. Da RDP-Sitzungen per Proxy durch einen Jumpoint geleitet und in BeyondTrust-Sitzungen umgewandelt werden, können Benutzer Sitzungen freigeben oder übertragen, und diese können automatisch geprüft und aufgezeichnet werden, je nach Festlegung durch den Administrator. Um RDP über BeyondTrust nutzen zu können, benötigen Sie Zugriff auf einen Jumpoint sowie die Benutzerkontoberechtigung Gestattete Jump-Methoden: RDP über einen Jumpoint.
Sie können Ihr eigenes RDP-Werkzeug für Remote-RDP-Sitzungen verwenden. Weitere Informationen finden Sie in Einstellungen und Voreinstellungen in der Zugriffskonsole ändern.
Um Ihr eigenes Tool verwenden zu können, müssen Sie Protocol Tunnel Jump in /login > Benutzer & Sicherheit > Benutzer > Jump Technology > Protocol Tunnel Jump aktivieren.
Symbolischen RDP-Link erstellen
Um einen symbolischen Link für das Microsoft Remote Desktop Protocol zu erstellen, klicken Sie auf die Schaltfläche Erstellen in der Jump-Schnittstelle. Wählen Sie aus der Dropdown-Liste Remote-RDP. Symbolische RDP-Links erscheinen in der Jump-Schnittstelle zusammen mit Jump-Clients und anderen Arten von symbolischen Jump-Item-Links.
Organisieren und verwalten Sie bestehende Jump-Elemente, indem Sie einen oder mehrere Jump-Clients auswählen und auf Eigenschaften klicken.
Um die Eigenschaften mehrerer Jump-Items anzuzeigen, müssen die ausgewählten Elemente vom gleichen Typ sein (alle Jump-Clients, alle Remote-Jumps usw.).Um Eigenschaften anderer Arten von Jump-Elementen zu überprüfen, schlagen Sie bitte im jeweiligen Abschnitt in diesem Handbuch nach.
Geben Sie einen Namen für das Jump-Element ein. Dieser Name kennzeichnet das Element in den Sitzungsregisterkarten. Diese Zeichenkette kann maximal 128 Zeichen lang sein.
Wählen Sie im Dropdown-Menü Jumpoint das Netzwerk aus, in dem sich der Computer befindet, auf den Sie zugreifen möchten. Die zugriffskonsole merkt sich Ihre Jumpoint-Auswahl für das nächste Mal, wenn Sie diese Art von Jump-Element erstellen. Geben Sie den Hostnamen / die IP des Systems ein, auf das Sie zugreifen möchten.
Geben Sie den Benutzernamen ein, über den Sie sich anmelden möchten, zusammen mit der Domäne.
Wählen Sie die Qualität aus, in welcher der Remote-Bildschirm angezeigt werden soll. Diese kann nicht während der Remote-Desktop-Protokoll (RDP)-Sitzung geändert werden. Wählen Sie den Farboptimierungsmodus zur Anzeige des Remote-Bildschirms aus. Wenn Sie hauptsächlich Video freigeben, wählen Sie Videooptimiert; wählen Sie sonst Schwarzweiß (weniger Bandbreite), Wenige Farben, Mehr Farben oder Volle Farben (verwendet mehr Bandbreite). Sowohl der videooptimierte sowie der Vollfarbmodus ermöglichen die Anzeige des Desktop-Hintergrundbilds.
Um eine neue Konsolensitzung statt einer neuen Sitzung zu starten, markieren Sie das Kontrollkästchen Konsolensitzung.
Wenn das Serverzertifikat nicht verifiziert werden kann, erhalten Sie eine Zertifikatswarnung. Durch Aktivieren von Nicht vertrauenswürdiges Zertifikat ignorieren können Sie eine Verbindung zum Remote-System aufbauen, ohne dass diese Meldung angezeigt wird.
Wenn der Remote-App- oder BeyondTrust Remote Desktop Agent im Bereich SecureApp gewählt wurde, wird das Kontrollkästchen Konsolensitzung deaktiviert. Remote-Anwendungen können nicht in einer Konsolensitzung auf einem RDP-Server ausgeführt werden.
Ausführlichere Daten zur RDP-Sitzung finden Sie in Sitzungsforensik. Damit diese Funktion genutzt werden kann, müssen Sie für den verwendeten Jumpoint ein RDP-Service-Konto auswählen. Wenn Sie diese Einstellung aktivieren, wird folgende Erinnerung angezeigt:
Wird diese Funktion aktiviert, muss der RDP-Server so konfiguriert werden, dass er den Überwachungsagenten empfängt, und ein RDP-Service-Konto muss für diesen Jumpoint eingerichtet werden. Werden diese Voraussetzungen nicht erfüllt, schlagen alle Versuche, eine Sitzung zu starten, fehl.
In üblichen Installationen benötigt das RDP-Service-Konto Berechtigungen, einschließlich des Zugriffs zum Erstellen und Steuern von Remote-Diensten und des Schreibzugriffs auf Remote-Dateisysteme. Wir empfehlen Ihnen, ein AD-Konto zu erstellen und die AD-Gruppenrichtlinieneinstellungen zu verwenden, um die Berechtigungen zu konfigurieren. Die genauen erforderlichen Berechtigungen hängen jedoch von Ihrer AD-Konfiguration ab.
Wenn Sitzungsforensik aktiviert ist, werden folgende zusätzliche Details aufgezeichnet:
- Fokussiertes Fensteränderungsereignis
- Mausklick-Ereignis
- Menüöffnungs-Ereignis
- Neues Fensteröffnungsereignis
Um eine Sitzung mit einer Remote-Anwendung zu starten, konfigurieren Sie den Bereich SecureApp. Die folgenden Dropdown-Optionen sind verfügbar:
- Ohne: Beim Zugriff auf ein Remote-RDP-Jump-Element wird keine Anwendung gestartet.
- Remote-App:Der Benutzer kann ein Anwendungsprofil oder Befehlsargument konfigurieren, das eine Anwendung auf einem Remote-Server startet. Wählen Sie zur Konfiguration die Option Remote-App und geben Sie die folgenden Informationen ein:
- Name der Remote-App: Geben Sie den Namen der Anwendung ein, mit der Sie sich verbinden möchten.
- Parameter der Remote-App: Geben Sie die Profildetails oder Befehlszeilenargumente ein, die für den Start der Anwendung erforderlich sind.
- BeyondTrust Remote Desktop Agent: Mit dieser Option können Parameter durch einen Agenten geleitet werden, um Anwendungen auf einem Remote-Host zu starten. Wählen Sie zur Konfiguration die Option BeyondTrustRemote Desktop Agent und geben Sie die folgenden Informationen ein:
- Ausführbarer Pfad: Geben Sie den Pfad der Anwendung ein, mit dem der Agent sich verbinden wird.
- Parameter: Geben Sie alle Parameter ein, die Sie normalerweise in einer Befehlszeile eingeben würden, wenn Sie die App im Remote-System starten.
Weitere Informationen zur Sitzungsforensik und zum RDP-Service-Konto finden Sie in Jumpoint: Einrichten des unüberwachten Zugriffs auf ein Netzwerk > RDP-Service-Konto.
Anmeldedaten einfügen
Die Option Anmeldedaten einfügen ist verfügbar, wenn der BeyondTrustRemote Desktop Agent ausgewählt wird. Mit dieser Option können Parameter sowie Anmeldedaten durch einen Agenten geleitet werden, um Anwendungen auf einem Remote-Host zu starten. Der erste Anmeldedaten-Satz befindet sich in der Jump-Definition. Dabei handelt es sich um die Anmeldedaten für das Benutzerkonto, das Sie für die Anmeldung im Remote-System verwenden werden. Es wird eine zweite Eingabeaufforderung für zusätzliche Anmeldedaten angezeigt, die entweder manuell oder über einen Passwort-Vault eingegeben werden müssen. Diese sekundären Anmeldedaten, die von Ihnen über die Makros %USERNAME% und %PASSWORD% definiert wurden (weitere Makros werden unten angezeigt), werden auf der Befehlszeile verfügbar gemacht. So können Sie zusätzliche Anmeldedaten an die von Ihnen gestartete Anwendung leiten (z. B. SQL Server Management Studio). Wählen Sie zur Konfiguration die Option BeyondTrustRemote Desktop Agent und geben Sie die folgenden Informationen ein:
- Geben Sie den Ausführbaren Pfad und die Parameter wie oben beschrieben ein.
- Zielsystem: Geben Sie den Namen des Systems ein, auf dem die Anwendung ausgeführt wird.
- Art der Anmeldedaten: Geben Sie den Anmeldedaten-Typ wie im Anmeldedaten-Verwaltungssystem definiert ein (z. B. SQL).
| Name des Makros | Ergebnis |
|---|---|
| %USERNAME% | Benutzername |
| %USERPRINCIPLENAME% | nutzername@domäne |
| %DOWNLEVELLOGONNAME% | domain\username |
| %DOMAIN% | domäne |
| %PASSWORD% | passwort |
| %PASSWORDRAW% | Passwort (ohne Versuch, Sonderzeichen auszulassen) |
| %TARGETSYSTEM% | angegebener Zielsystemwert; im Fall von SQL Server wäre dies der SQL-Servername. |
| %APPLICATIONNAME% | optionaler Anwendungsname; im Fall von SQL Server kann dies auf „SQL Server“ oder ähnlich fest kodiert werden. |
Für die Option BeyondTrust Remote Desktop Agent muss ein BeyondTrustRemote Desktop Agent im Zielsystem vorkonfiguriert sein. Diesr Agent kann auf der Seite Mein Konto in der /login-Schnittstelle heruntergeladen weden. Der Agent ist weder versions- noch website-spezifisch, daher kann sein Name für so viele Anwendungen verwendet werden, wie der Administrator unterstützen möchte. Sobald der Agent installiert ist, können Sie mit BeyondTrustRDP-Jump-Elemente erstellen, die für die Nutzung der Option Remote Desktop Agent von BeyondTrust zum Starten einer beliebigen auf dem Remote-System installierten Anwendung konfiguriert sind.
SecureApp fußt auf der Veröffentlichung von Anwendungen mit Microsoft RDS RemoteApps. Bitte beziehen Sie sich auf die Microsoft-Dokumentation für die Veröffentlichung von Anwendungen.
Verschieben Sie Jump-Elemente von einer Jump-Gruppe in eine andere mithilfe des Dropdown-Menüs Jump-Gruppe. Die Fähigkeit, Jump-Elemente in oder aus unterschiedlichen Jump-Gruppen zu verschieben ist von Ihren Kontoberechtigungen abhängig.
Organisieren Sie Jump-Elemente eingehender, indem Sie den Namen eines neuen oder bestehenden Tags eingeben. Obwohl die ausgewählten Jump-Items unter dem Tag zusammengefasst sind, werden sie weiterhin in der Jump-Gruppe aufgeführt, in der sie fixiert wurden. Um ein Jump-Element wieder in die oberste Jump-Gruppe zu verschieben, lassen Sie dieses Feld leer.
Jump-Elemente umfassen auch ein Kommentare-Feld für einen Namen oder eine Beschreibung, wodurch die Sortierung, Suche und Identifizierung von Jump Clients schneller und einfacher wird.
Um festzulegen, wann Benutzer auf dieses Jump-Element zugreifen können, ob eine Zugriffsbenachrichtigung gesendet werden sollte oder ob eine Berechtigung oder eine Ticket-ID Ihres externen Ticketsystems zur Verwendung dieses Jump-Elements notwendig ist, wählen Sie Jump-Richtlinie. Diese Richtlinien werden von Ihrem Administrator über die /login-Schnittstelle festgelegt.
Für weitere Informationen über enthaltene Datenbankbenutzer lesen Sie weiter unter Enthaltene Datenbankbenutzer - So machen Sie Ihre Datenbank portabel.
Symbolischen RDP-Link verwenden
Um einen symbolische Jump-Link zum Starten einer Sitzung zu verwenden, wählen Sie den symbolischen Link einfach aus der Jump-Schnittstelle und klicken Sie auf die Schaltfläche Jump.
Sie werden aufgefordert, das Passwort für den zuvor angegebenen Benutzernamen einzugeben.
Jetzt beginnt Ihre RDP-Sitzung.
Beim Starten einer RDP-Sitzung entspricht die RDP-Tastatur automatisch der in der Zugriffskonsole gewählten Sprache. Diese Funktion ist nur für Windows-basierte Zugriffskonsolen verfügbar.
Beginnen Sie mit der Bildschirmfreigabe, um den Remote-Desktop anzuzeigen. Sie können den Befehl Strg-Alt-Entf senden, einen Screenshot des Remote-Desktops aufnehmen, Inhalte der Zwischenablage freigeben, die Befehle Alt und Shift verwenden und eine Schlüsseleinfügung vornehmen. Außerdem können Sie die RDP-Sitzung für andere angemeldete BeyondTrust-Benutzer freigeben, wobei dies den normalen Regeln Ihrer Benutzerkontoeinstellungen unterliegt.
Jump-Elemente können ebenfalls eingestellt werden, um den gleichzeitigen Zugriff auf das gleiche Jump-Element durch mehrere Benutzer zu gestatten. Falls auf Neue Sitzung starten eingestellt, wird eine neue unabhängige Sitzung für jeden Benutzer gestartet, die einen Jump zu einem bestimmten RDP-Jump-Element durchführt. Die RDP-Konfiguration am Endpunkt steuert das weitere Verhalten bezüglich gleichzeitiger RDP-Verbindungen. Weitere Informationen zu gleichzeitigen Jumps finden Sie in Jump-Element-Einstellungen.
