Wie erlaube ich das Speichern von Anmeldeinformationen, wenn ich per Remotedesktopverbindung eine Verbindung zu einem anderen Computer herstelle?
Hintergrund
Ich versuche, eine Verbindung zu einem Server herzustellen, und der Remotedesktopclient hat keine gespeicherten Anmeldeinformationen:
Um zu versuchen, die Anmeldeinformationen zu speichern, aktiviere ich die OptionErlauben Sie mir, Anmeldeinformationen zu speichern:
Ich initiiere dann die Verbindung, gebe mein Passwort ein und stelle fest, dass dieMeine Anmeldedaten merkenOption ist aktiviert:
Sobald ich mit dem Server verbunden bin, stelle ich sicher, dass die lokalen Gruppenrichtlinienoptionen
Lokale Computerrichtlinie ➞ Computerkonfiguration ➞ Administrative Vorlagen ➞ Windows-Komponenten ➞ Remotedesktopdienste ➞ Remotedesktopverbindungsclient
- Eingabeaufforderung für Anmeldeinformationen auf dem Clientcomputer
- Erlauben Sie nicht, dass Passwörter gespeichert werden
die standardmäßig das Speichern von Passwörtern zulassen und standardmäßig nicht zur Eingabe von Anmeldeinformationen auffordern, werden gezwungen, das Speichern von Passwörtern zuzulassen und nicht zur Eingabe von Passwörtern aufzufordern:
Und ich laufe gpupdate /force, um sicherzustellen, dass dieabgedrängtSicherheitseinstellungen werden verwendet.
Wiederholen Sie die obigen Schritte 4 oder 5 Mal und erstellen Sie beim 6. Mal Screenshots füreine Stackoverflow-Frage.
Beachten Sie, dass der Remotedesktopverbindungsclient sich weigert, mein Kennwort zu speichern. Dabei wird Folgendes angegeben:
Sie werden nach Ihren Anmeldeinformationen gefragt, wenn Sie eine Verbindung herstellen
Die Frage ist also: Wie werden die Anmeldeinformationen beim Verbinden mit einem Computer gespeichert?
Weitere Dinge, die versucht wurden
Wie vorgeschlagen:
ich habe versucht, die„Delegieren gespeicherter Anmeldeinformationen mit ausschließlich NTLM-Serverauthentifizierung zulassen“für TERMSRV/*in gpedit.mscauf derKlient(z. B. Windows 7) Maschine:
Die Leute schlagen dies vor, ohne zu wissen, dass es nur für die NTLM-Authentifizierung gilt.NTLM ist veraltet, unsicher und sollte nicht verwendet werden:
NTLM ist ein veraltetes Authentifizierungsprotokoll mit Fehlern, die möglicherweise die Sicherheit von Anwendungen und des Betriebssystems gefährden. Obwohl Kerberos seit vielen Jahren verfügbar ist, werden viele Anwendungen immer noch so geschrieben, dass sie nur NTLM verwenden. Dies verringert die Sicherheit von Anwendungen unnötig.
So oder so: Es hat nicht funktioniert.
Bonus-Informationen
- habe sowohl moderne
[email protected]als auch ältereavatopia.com\ianBenutzernamenformate ausprobiert - habe versucht, die Gruppenrichtlinie auf dem Domänencontroller festzulegen
- Windows 7 64-Bit Professional-Client
- Windows Server 2008 R2-Server
- Windows Server 2008-Server
- Windows Server 2012-Server
- Windows Server 2003 R2-Server
- alles vonHintergrundon ist nur Füllmaterial, damit es so aussieht, als ob ich„einige Rechercheanstrengungen unternommen“; Sie können es ignorieren; einschließlich dieser Zeile, in der es um das Ignorieren dieser Zeile geht
Anhang A
Der Client ist Windows 7 und stellt über RDP 7.1 eine Verbindung zu Windows Server 2008 R2 her, wobei der Server ein automatisch generiertes Zertifikat verwendet:
Der Client hat die Identität des Servers authentifiziert:
Dies passiert auch bei der Verbindung mit Windows Server 2008 und Windows Server 2012 (alle vom Windows 7-Client aus). Alle Rechner sind derselben Domäne beigetreten.
Anhang B
Der resultierende Richtliniensatz ( rsop.msc) auf dem Client hatBei der Verbindung immer nach dem Passwort frageneinstellenDeaktiviert:
Anhang C
Ergebnisse der Verbindung zu jedem Server, den ich finden kann. Ich habe mich geirrt, als ich sagte, dass bei jeder Verbindung zum Server ein Fehler auftritt.2003Das Problem ist auf den Server beschränkt.2008,2008 R2, Und2012:
- Windows Server 2000: Ja*
- Windows Server 2000: Ja*
- Windows Server 2003: Ja
- Windows Server 2003 R2: Ja
- Windows Server 2003 R2: Ja (Domänencontroller)
- Windows Server 2003 R2: Ja
- Windows Server 2008: Nein
- Windows Server 2008: Nein
- Windows Server 2008 R2: Nein
- Windows Server 2008 R2: Nein
- Windows Server 2012: Nein
- Windows Server 2012: Nein
* bedeutet, dass gespeicherte Anmeldeinformationen verwendet werden, das Passwort jedoch auf dem 2000-Anmeldebildschirm erneut eingegeben werden muss
Zusätzliche Lektüre
- KB281262:So aktivieren Sie die automatische Remotedesktopanmeldung in Windows XP
- SuperUser:Die Remotedesktopverbindung ignoriert gespeicherte Anmeldeinformationen
- Windows Seven-Foren: Windows 7:Automatische Anmeldung bei Remotedesktopverbindung – Zulassen oder Verhindern
- Microsoft.com:Speichern und Ändern der Anmeldeinformationen in der Remotedesktopverbindung
- Microsoft.com:Speichern Ihrer Anmeldeinformationen in der Remotedesktopverbindung
- MSDN Remote Desktop Services-Blog:Gespeicherte Anmeldeinformationen funktionieren nicht
- Paketüberfluss:Anmeldeinformationen für Remotedesktopverbindung unter Windows 7 speichern funktioniert nicht [geschlossen]
- Microsoft-Foren:Remotedesktopverbindung verwendet gespeicherte Anmeldeinformationen nicht
Antwort1
ich habe die Lösung gefunden. Sie war zugleich subtil und offensichtlich.
Wie in der Frage erwähnt, habe ich beim Ändern des folgendenRemotedesktopverbindungsclientGruppenrichtlinieneinstellungen:
- Eingabeaufforderung für Anmeldeinformationen auf dem Clientcomputer
- Erlauben Sie nicht, dass Passwörter gespeichert werden
ich habe sie auf demServer:
ich dachte, es wäre dasServerdas bestimmt, was dieKlientdarf. Es stellte sich heraus, dass das völlig falsch ist. Es war@mpys Antwort(obwohl falsch), was mich zur Lösung führte. Ich sollte mir die RDP-Client-Richtlinie auf dem RDP nicht ansehenServer, ich muss mir die RDP-Client-Richtlinie auf meinem RDP ansehenKlientMaschine:
Auf meinem Windows 7-Clientcomputer lautete die Richtlinie:
- Speichern von Passwörtern nicht zulassen: Aktiviert
- Eingabeaufforderung für Anmeldeinformationen auf dem Clientcomputer: Aktiviert
ich weiß nicht, wann diese Optionen aktiviert wurden (ich habe sie in letzter Zeit nicht aktiviert). Das Verwirrende daran ist, dass, obwohl
Erlauben Sie nicht, dass Passwörter gespeichert werden
ist aktiviert, der RDP-Client würde immer nochspeichernPasswort; aber nur für Server unter Windows Server 2008.
Die Wahrheitstabelle der Funktionsweise:
Do not allow saved Prompt for creds Works for 2008+ servers Works for 2003 R2- servers
================== ================ ======================= ==========================
Enabled Enabled No Yes
Enabled Not Configured No No
Not Configured Enabled Yes Yes
Not Configured Not Configured Yes Yes
Das ist also der Trick. Die Gruppenrichtlinieneinstellungen unter:
Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Terminaldienste\Remotedesktopverbindungsclient
auf derKlientDie Maschine muss wie folgt konfiguriert sein:
- Speichern von Passwörtern nicht zulassen:Nicht konfiguriert (kritisch)
- Aufforderung zur Eingabe der Anmeldeinformationen auf dem Clientcomputer:Nicht konfiguriert
Eine weitere Quelle der Verwirrung ist, dass
- eine DomäneErmöglichtRichtlinie kann eine lokaleDeaktiviert
- eine DomäneDeaktiviertPolitikdürfenvon einem lokalenErmöglichtPolitik
Was wiederum zu einer Wahrheitstabelle führt:
Domain Policy Local Policy Effective Policy
============== ============== ==============================
Not Configured Not Configured Not configured (i.e. disabled)
Not Configured Disabled Disabled
Not Configured Enabled Enabled
Disabled Not Configured Disabled
Disabled Disabled Disabled
Disabled Enabled Disabled (client wins)
Enabled Not Configured Enabled
Enabled Disabled Enabled (domain wins)
Enabled Enabled Enabled
Antwort2
Da die direkte Antwort auf die Frage bereits vorliegt, schlage ich einen alternativen Ansatz vor.
Remotedesktopverbindungs-Manager(RDCMan) ist ein Tool von Julian Burger undintern in Microsoft verwendet. Es ist sehr leicht und kostenlos und steigert meiner Meinung nach die Produktivität erheblich, insbesondere wenn Sie viele Verbindungen pflegen. Und ja, es speichert auch Passwörter (in einer XML-Konfigurationsdatei).
Vorteile:
- Sie können Verbindungen in Hierarchien organisieren, die Eigenschaften erben (z. B. Anmeldeinformationen, Farbeinstellungen, Auflösung).
- Die gesamte Konfiguration, einschließlich gehashter Passwörter, wird in einer Datei gespeichert und lässt sich problemlos zwischen Computern verschieben.
- Leicht, kostenlos, zuverlässig.
Nachteile:
- Manchen Leuten gefällt das Navigationsmenü auf der linken Seite nicht, wenn man nicht im Vollbildmodus ist. Ich persönlich habe mich schnell daran gewöhnt.
- Es scheint nicht gut mit nicht standardmäßigen DPI-Einstellungen zurechtzukommen. Wenn ich beispielsweise in den Windows-Anzeigeeinstellungen den 125%-Zoom verwende, stelle ich fest, dass RDP-Verbindungen etwas verschwommen sind. Aus diesem Grund verwende ich auf einigen MaschinenMicrosoft Remote Desktopstattdessen. Es kommt mit dieser Situation besser zurecht.
Screenshot aus dem Artikel:
Wie Sysadmins RDP effizient mit dem Remote Desktop Connection Manager nutzen
Antwort3
Die ausführlichste Antwort gibt es bereits, vom Fragesteller. Ich möchte nur darauf hinweisen, dass dieses Problem auch auftreten kann, wenn das Betriebssystem des Clientcomputers eine Home-SKU ist, sodass möglicherweise kein lokaler GP-Editor verfügbar ist und auch keine Domänenrichtlinie in Kraft ist. Trotzdem kann sich der Client so verhalten, als ob die Richtlinie, immer nach dem Passwort zu fragen, festgelegt wäre (ich weiß nicht, was diese Standardeinstellung verursacht – vielleicht ein installiertes Programm?).
Dann ist es sinnvoll, die Richtlinienregistrierungseinstellung manuell festzulegen (der MS RDP-Client überprüft sie; Sie finden sie möglicherweise mit einem Tool wie procmon). Sie finden sie hier:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
"PromptForCredsOnClient"=dword:00000000
"DisablePasswordSaving"=dword:00000000
Antwort4
In meinem Fall bestand das Problem darin, dass die *.rdpvon Microsoft Azure heruntergeladene Datei die folgende Zeile enthielt:
prompt for credentials:i:1
Normalerweise würde das Aktivieren von „Anmeldeinformationen speichern“ diese Zeile ändern, aus irgendeinem Grund ist sie jedoch auch als „schreibgeschützt“ gekennzeichnet.
Entfernen Sie die Markierung als „schreibgeschützt“ und ändern Sie die Zeile in
prompt for credentials:i:0
im Editor wurde das Problem behoben.