RDP gebruiken om toegang tot een extern Windows-eindpunt te krijgen

Gebruik BeyondTrust om een RDP-sessie met een extern bureaublad te starten met een extern Windows- of Linux-systeem. Omdat RDP-sessies werken via een Jumpoint dat als proxy fungeert en naar BeyondTrust-sessies worden omgezet, kunnen gebruikers sessies delen of overdragen. Ook kunnen sessies automatisch worden gecontroleerd en opgenomen overeenkomstig de instellingen die uw beheerder voor uw site heeft opgegeven. Om RDP via BeyondTrust te gebruiken, moet u toegang tot een Jumpoint hebben en moet de gebruikersaccount de toestemming hebben Toegestane Jump-methodes: RDP via een Jumpoint.

U kunt uw eigen RDP-hulpprogramma gebruiken voor externe RDP-sessies. Meer informatie vindt u onder Instellingen en voorkeuren in de toegangsconsole wijzigen.

 

Om uw eigen hulpmiddel te gebruiken, moet u Jump via tunnelprotocol inschakelen in /login > Gebruikers en beveiliging > Gebruikers > Jump-technologie > Jump via tunnelprotocol.

Een RDP-snelkoppeling aanmaken

Om een snelkoppeling naar Microsoft Extern bureaublad (RDP) aan te maken, moet u in de Jump-interface op de knop Aanmaken klikken. Selecteer uit het vervolgkeuzemenu Externe RDP. RDP-snelkoppelingen worden in de Jump-interface weergegeven naast Jump-clients en andere soorten snelkoppelingen naar Jumpitems.

Organiseer en beheer bestaande Jumpitems door een of meer Jumpitems te selecteren en op Eigenschappen te klikken.

Om de eigenschappen van meerdere Jumpitems te bekijken, moeten de geselecteerde items van hetzelfde type zijn (allemaal Jump-clients, allemaal externe Jumps, enz.). Zie de betreffende sectie van deze gids om de eigenschappen van andere typen Jumpitems te bekijken.

Nieuwe snelkoppeling naar externe RDP Jump aanmaken

Voer een Naam in voor het Jumpitem. Het item is onder deze naam te vinden in de sessietabbladen. Deze tekenreeks mag maximaal 128 tekens lang zijn.

Selecteer vanuit de vervolgkeuzelijst Jumpoint het netwerk waarop de computer is aangesloten waar u toegang toe wilt krijgen. De toegangsconsole onthoudt uw gekozen Jumpoint wanneer u de volgende keer dit type Jumpitem maakt. Voer de Hostnaam/IP in van het systeem waar u toegang toe wilt krijgen.

Geef de Gebruikersnaam om in te loggen evenals het Domein.

Selecteer de Kwaliteit waarmee u het externe systeem wilt bekijken. Dit kan tijdens de sessie met extern bureaublad (RDP) niet worden gewijzigd. Selecteer de kleuroptimalisatiemodus waarmee u het externe systeem wilt bekijken. Als u vooral videobeelden gaat delen, kies dan Geoptimaliseerd voor video. Kies anders uit Zwart-wit (gebruikt minder bandbreedte), Weinig kleuren, Meer kleuren of Alle kleuren (gebruikt meer bandbreedte). U kunt met zowel de modus Geoptimaliseerd voor video als met de modus Alle kleuren de echte bureaubladachtergrond weergeven.

Om een consolesessie te starten in plaats van een nieuwe sessie, kunt u het keuzevakje Consolesessie aanvinken.

Als het certificaat van een server niet kan worden geverifieerd, ontvangt u een certificaatwaarschuwing. Als u Onbetrouwbaar certificaat negeren aanvinkt, dan kunt u een verbinding met het externe systeem maken zonder dat u dit bericht te zien krijgt.

 

Wanneer onder het kopje SecureApp de optie Externe app of BeyondTrust Extern bureaublad-agent is geselecteerd, is het selectievakje Consolesessie uitgeschakeld. Externe toepassingen kunnen niet in een consolesessie op een RDP-server worden uitgevoerd.

Raadpleeg Forensische gegevens van sessies voor uitgebreidere informatie over de RDP-sessie. Om deze functie te kunnen gebruiken, moet u een RDP-serviceaccount selecteren voor het Jumpoint dat wordt gebruikt. Als u deze instelling controleert, wordt de volgende herinnering weergegeven:

Om deze functie in te schakelen, moet de RDP-server zo worden geconfigureerd dat de controleagent wordt ontvangen, en moet er een RDP-serviceaccount worden geconfigureerd voor dit Jumpoint. Als er niet aan deze voorwaarden is voldaan, zullen alle pogingen om een sessie te starten mislukken.

Bij gebruikelijke installaties vereist het RDP-serviceaccount machtigingen, waaronder toegang voor het maken en beheren van externe services en schrijftoegang op externe bestandssystemen. We adviseren om een AD-account te maken en AD-groepsbeleidsinstellingen te gebruiken om de machtigingen te configureren. De exacte machtigingen zijn echter afhankelijk van uw AD-configuratie.

Als Forensische gegevens van sessies is ingeschakeld, worden de volgende aanvullende gegevens geregistreerd:

  • Gewijzigd voorgrondvenster-gebeurtenis
  • Muis geklikt-gebeurtenis
  • Menu geopend-gebeurtenis
  • Nieuw venster geopend-gebeurtenis

Om een sessie met een externe toepassing te starten, moet u het gedeelte SecureApp configureren. De volgende vervolgkeuzemenu-opties zijn beschikbaar:

  • Geen: Wanneer u toegang verkrijgt tot een extern RDP-Jumpitem, wordt er geen toepassing gestart.
  • RemoteApp: De gebruiker kan een toepassingsprofiel of opdrachtargument configureren, dat wordt uitgevoerd en een toepassing op een externe server opent. Selecteer de optie RemoteApp en voer de volgende informatie in om de configuratie uit te voeren:
    • Naam externe app: Voer de naam van de toepassing in waarmee u verbinding wilt maken.
    • Parameters externe app: Voer de profieldetails of opdrachtregelargumenten in die nodig zijn om de toepassing te openen.
  • BeyondTrust-agent voor extern bureaublad: Met deze optie is het mogelijk om parameters door te geven via een agent om zo applicaties te starten op een externe host. Selecteer de optie BeyondTrust-agent voor extern bureaublad om deze te configureren en voer de volgende informatie in:
    • Pad met uitvoerbare bestanden: Voer het pad in van de toepassing waarmee de agent verbinding maakt.
    • Parameters: Voer parameters in die u normaal gesproken op een opdrachtregel zou typen wanneer u de app op het externe systeem start.

Meer informatie over forensische gegevens voor sessies en het RDP-serviceaccount is te vinden in Jumpoint: Toegang zonder toezicht naar een netwerk instellen > RDP-serviceaccount.

Inloggegevens injecteren

De optie Inloggegevens injecteren is beschikbaar als het type BeyondTrust-agent voor extern bureaublad is geselecteerd. Met deze optie is het mogelijk om parameters en ook inloggegevens door te geven via een agent om zo applicaties te starten op een externe host. De eerste set referenties staat in de Jump-definitie. Dit zijn de referenties voor het gebruikersaccount dat u gebruikt om u aan te melden bij het externe systeem. Er is een secundaire prompt voor aanvullende inloggegevens, handmatig geleverd of uit een wachtwoordkluis. Deze secundaire referenties worden beschikbaar gesteld in de opdrachtregel die u definieert via de macro's %USERNAME% en %PASSWORD% (aanvullende macro's worden hieronder getoond). Hiermee kunt u aanvullende inloggegevens doorgeven aan de toepassing die u opstart (bijv. SQL Server Management Studio). Selecteer de optie BeyondTrust-agent voor extern bureaublad om deze te configureren en voer de volgende informatie in:

  • Voer het Pad naar uitvoerbaar bestand en de Parameters in zoals hierboven beschreven.
  • Doelsysteem: Voer de naam van het systeem in dat de toepassing uitvoert.
  • Type inloggegevens: Voer het referentietype in zoals gedefinieerd door het referentiebeheersysteem (bijv. SQL).
Macronaam Resultaat
%USERNAME% gebruikersnaam
%USERPRINCIPLENAME% gebruikersnaam@domein
%DOWNLEVELLOGONNAME% domein\gebruikersnaam
%DOMAIN% domein
%PASSWORD% wachtwoord
%PASSWORDRAW% wachtwoord (zonder poging om speciale tekens te negeren)
%TARGETSYSTEM% opgegeven waarde voor doelsysteem, in het geval van een SQL-server is dit de naam van de SQL-server.
%APPLICATIONNAME% optionele toepassingsnaam, in het geval van SQL-server, dit kan worden vastgelegd als 'SQL-server' of iets vergelijkbaars.

 

De optie BeyondTrust-agent voor extern bureaublad vereist dat een BeyondTrust-agent voor extern bureaublad op het doelsysteem is geconfigureerd. Deze agent kan worden gedownload van de pagina Mijn account in de interface /login. Dit is niet versie- of sitespecifiek, waardoor dezelfde agent kan worden gebruikt voor zoveel toepassingen als de beheerder wil ondersteunen. Nadat de agent is geïnstalleerd, kunt u BeyondTrust gebruiken om RDP-Jumpitems te maken die zijn geconfigureerd om de optionele BeyondTrust-agent voor extern bureaublad te gebruiken om geïnstalleerde toepassingen op het externe systeem te starten.

SecureApp is afhankelijk van publicatietoepassingen die Microsoft RDS RemoteApps gebruiken. Raadpleeg de documentatie van Microsoft voor publicatietoepassingen.

Verplaats Jumpitems van de ene Jumpgroep naar een andere met gebruik van de afrolkeuzelijst Jumpgroep. Of u Jumpitems naar of van verschillende Jumpgroepen kunt verplaatsen, hangt van de machtigingen van uw account af.

Organiseer Jumpitems verder door de naam van een nieuwe of bestaande Tag in te voeren. Hoewel de geselecteerde Jumpitems samen onder de tag worden gegroepeerd, staan ze nog steeds in een lijst onder de Jumpgroep waarin elk Jumpitem is vastgemaakt. Om een Jumpitem naar het hoogste niveau Jumpgroep terug te zetten, moet dit veld leeg worden gelaten.

Jumpitems bevatten een veld Opmerkingen voor een naam of omschrijving, waardoor Jumpitems sneller en eenvoudiger kunnen worden gesorteerd, opgezocht en geïdentificeerd.

U moet een Jump-beleid kiezen om in te stellen welke gebruikers toegang tot dit Jumpitem hebben, of een kennisgeving van toegang moet worden verzonden en/of een machtiging of een ticket-ID van uw externe ticketsysteem is vereist om dit Jumpitem te gebruiken. Deze beleidslijnen worden door uw beheerder in de /login-interface ingesteld.

Raadpleeg Gebruikers van een ingesloten database - uw database mobiel maken voor meer informatie over gebruikers van een ingesloten database.

Een RDP-snelkoppeling gebruiken

Om een Jumpsnelkoppeling te gebruiken om een sessie te starten, moet u de snelkoppeling in de Jump-interface selecteren en op de knop Jump klikken.

RDP-inloggegevens invoeren

U wordt gevraagd het wachtwoord in te voeren voor de eerder door u opgegeven gebruikersnaam.

 

Uw RDP-sessie begint nu.

Als u een RDP-sessie start, zal het RDP-toetsenbord automatisch de taalinstellingen overnemen die u in de toegangsconsole hebt ingesteld. Deze functionaliteit is alleen beschikbaar op toegangsconsoles op basis van Windows.

Begin met scherm delen om het externe bureaublad te bekijken. U kunt de opdracht Ctrl-Alt-Del verzenden, een schermopname van het externe bureaublad maken, de inhoud van het klembord delen, Alt- en Shift-opdrachten gebruiken en een sleutelinjectie uitvoeren. U kunt de RDP-sessie ook delen met andere ingelogde BeyondTrust-gebruikers overeenkomstig de gebruikelijke instellingen van uw gebruikersaccount.

 

Jumpitems kunnen zo worden ingesteld dat zij meerdere gebruikers toestaan tegelijkertijd dezelfde Jumpitems te openen. Als deze is ingesteld op Nieuwe sessie starten, begint er voor elke gebruiker die een Jump uitvoert naar een specifiek RDP-Jumpitem een nieuwe onafhankelijke sessie. De RDP-configuratie op het eindpunt bepaalt verder gedrag met betrekking tot gelijktijdige RDP-verbindingen. Ga voor meer informatie over gelijktijdige Jumps naar Instellingen voor Jumpitems.