¿Cómo puedo permitir que se guarden las credenciales cuando me conecto a otra máquina con Conexión a Escritorio remoto?
Fondo
Intento conectarme a un servidor y el Cliente de Escritorio remoto no tiene ninguna credencial guardada:
Para intentar guardar las credenciales, marco la opciónPermítame guardar credenciales:
Luego inicio la conexión, ingreso mi contraseña y noto que elRecuerda mis credencialesLa opción está marcada:
Una vez conectado al servidor, me aseguro de que las opciones de política del grupo local
Política de computadora local ➞ Configuración de la computadora ➞ Plantillas administrativas ➞ Componentes de Windows ➞ Servicios de escritorio remoto ➞ Cliente de conexión a escritorio remoto
- Solicitar credenciales en la computadora cliente
- No permitir que se guarden contraseñas
que de forma predeterminada permite que se guarden las contraseñas y que, de forma predeterminada, no solicita credenciales, está obligado a permitir que se guarden las contraseñas y a no solicitar contraseñas:
Y corro gpupdate /forcepara asegurar elobligado a salirla configuración de seguridad está en uso.
Repita los pasos anteriores 4 o 5 veces, la sexta vez creando capturas de pantalla parauna pregunta de desbordamiento de pila.
Observe que el cliente de Conexión a Escritorio remoto se niega a guardar mi contraseña y señala:
Se le pedirán sus credenciales cuando se conecte
Entonces la pregunta es: ¿Cómo se guardan las credenciales al conectarse a una máquina?
Se intentaron cosas adicionales
Como se sugirió:
Intenté habilitar el"Permitir delegar credenciales guardadas con autenticación de servidor solo NTLM"para TERMSRV/*entrar gpedit.mscen elcliente(por ejemplo, Windows 7) máquina:
La gente sugiere esto sin darse cuenta de que sólo se aplica a la autenticación NTLM.NTLM está desactualizado, es inseguro y no debe usarse:
NTLM es un protocolo de autenticación obsoleto con fallas que potencialmente comprometen la seguridad de las aplicaciones y del sistema operativo. Aunque Kerberos ha estado disponible durante muchos años, muchas aplicaciones todavía se escriben para utilizar únicamente NTLM. Esto reduce innecesariamente la seguridad de las aplicaciones.
De cualquier manera: no funcionó.
Información de bonificación
- Probé formatos de nombre de usuario tanto modernos
[email protected]como heredados.avatopia.com\ian - Intenté configurar la política de grupo en el controlador de dominio
- Cliente profesional de Windows 7 de 64 bits
- Servidor Windows Server 2008 R2
- Servidor Windows Server 2008
- Servidor Windows Server 2012
- Servidor Windows Server 2003 R2
- todo deFondoon es solo relleno para que parezca que yo"Intenté realizar algún esfuerzo de investigación"; puedes ignorarlo; incluyendo esta línea que habla de ignorar esta línea
Apéndice A
El cliente es Windows 7, se conecta a Windows Server 2008 R2, a través de RDP 7.1, y el servidor utiliza un certificado generado automáticamente:
El cliente ha autenticado la identidad del servidor:
También ocurre cuando se conecta a Windows Server 2008 y Windows Server 2012 (todo desde el cliente Windows 7). Todas las máquinas están unidas al mismo dominio.
apéndice B
El conjunto resultante de políticas ( rsop.msc) en el cliente tieneSolicitar siempre la contraseña al conectarseajustado aDesactivado:
Apéndice C
Resultados de conectarme a todos los servidores que puedo encontrar. Me equivoqué cuando dije que falla cualquier conexión al servidor.2003. El problema se limita al servidor.2008,2008 R2, y2012:
- Servidor Windows 2000: Sí*
- Servidor Windows 2000: Sí*
- Servidor de Windows 2003: Sí
- Servidor Windows 2003 R2: Sí
- Windows Server 2003 R2: Sí (controlador de dominio)
- Servidor Windows 2003 R2: Sí
- Servidor Windows 2008: No
- Servidor Windows 2008: No
- Servidor de Windows 2008 R2: No
- Servidor de Windows 2008 R2: No
- Servidor de Windows 2012: No
- Servidor de Windows 2012: No
* indica que utilizará las credenciales guardadas, pero debe volver a ingresar la contraseña en la pantalla de inicio de sesión 2000
Lectura adicional
- KB281262:Cómo activar el inicio de sesión automático en el escritorio remoto en Windows XP
- Superusuario:La conexión a Escritorio remoto ignora las credenciales guardadas
- Foros de Windows Seven: Windows 7:Conexión a Escritorio remoto Inicio de sesión automático: permitir o impedir
- Microsoft.com:Guardar y cambiar las credenciales de inicio de sesión en Conexión a Escritorio remoto
- Microsoft.com:Guardar sus credenciales de inicio de sesión en Conexión a Escritorio remoto
- Blog de servicios de escritorio remoto de MSDN:Las credenciales guardadas no funcionan
- Desbordamiento de pila:La conexión a Escritorio remoto de Windows 7 Guardar credenciales no funciona [cerrado]
- Foros de Microsoft:La conexión a Escritorio remoto no utiliza las credenciales guardadas
Respuesta1
Encontré la solución. Era al mismo tiempo sutil y obvio.
Como se menciona en la pregunta, cuando estaba modificando lo siguienteCliente de conexión a escritorio remotoConfiguración de política de grupo:
- Solicitar credenciales en la computadora cliente
- No permitir que se guarden contraseñas
los estaba revisando en elservidor:
pensé que sería elservidoreso dicta lo queclientese le permite hacer. Resulta que eso está completamente mal. FueLa respuesta de @mpy(aunque incorrecto), lo que me llevó a la solución. No debería mirar la política del cliente RDP en el RDPservidor, necesito mirar la política del cliente RDP en mi RDPclientemáquina:
En mi máquina cliente con Windows 7, la política era:
- No permitir que se guarden contraseñas: Habilitado
- Solicitar credenciales en la computadora cliente: habilitado
No sé cuándo se habilitaron estas opciones (no las habilité en la memoria reciente). La parte confusa es que aunque
No permitir que se guarden contraseñas
está habilitado, el cliente RDP aúnahorrarcontraseña; pero sólo para servidores inferiores a Windows Server 2008.
La tabla de verdad del funcionamiento:
Do not allow saved Prompt for creds Works for 2008+ servers Works for 2003 R2- servers
================== ================ ======================= ==========================
Enabled Enabled No Yes
Enabled Not Configured No No
Not Configured Enabled Yes Yes
Not Configured Not Configured Yes Yes
Ahí está el truco. La configuración de la política de grupo en:
Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Servicios de Terminal\Cliente de conexión a Escritorio remoto
sobre elclienteLa máquina debe configurarse con:
- No permitir que se guarden contraseñas:No configurado (crítico)
- Solicitar credenciales en la computadora cliente:No configurado
La otra fuente de confusión es que si bien
- un dominioActivadoLa política no puede anular una local.Desactivado
- un dominioDesactivadopolíticapoderser anulado por un localActivadopolítica
Lo que nuevamente lleva a una tabla de verdad:
Domain Policy Local Policy Effective Policy
============== ============== ==============================
Not Configured Not Configured Not configured (i.e. disabled)
Not Configured Disabled Disabled
Not Configured Enabled Enabled
Disabled Not Configured Disabled
Disabled Disabled Disabled
Disabled Enabled Disabled (client wins)
Enabled Not Configured Enabled
Enabled Disabled Enabled (domain wins)
Enabled Enabled Enabled
Respuesta2
Dado que la respuesta directa a la pregunta ya existe, sugeriré un enfoque alternativo.
Administrador de conexión a escritorio remoto(RDCMan) es una herramienta escrita por Julian Burger yutilizado internamente en Microsoft. Es muy ligero y gratuito y en mi opinión mejora mucho la productividad, especialmente cuando mantienes muchas conexiones. Y sí, también almacena contraseñas (en el archivo de configuración xml).
Ventajas:
- Puede organizar las conexiones en jerarquías, que heredan propiedades (por ejemplo, credenciales, configuración de color, resolución).
- Toda la configuración, incluidas las contraseñas hash, se almacena en un archivo, fácil de mover entre computadoras.
- Ligero, gratuito y fiable.
Desventajas:
- A algunas personas no les gusta el menú de navegación de la izquierda cuando no están en modo de pantalla completa. Personalmente, me acostumbré rápidamente.
- Parece no manejar bien configuraciones de DPI no estándar. Por ejemplo, cuando uso el zoom del 125% en la configuración de pantalla de Windows y encuentro que las conexiones RDP están un poco borrosas. Por esa razón, en algunas máquinas usoEscritorio remoto de Microsoften cambio. Maneja mejor esta situación.
Captura de pantalla del artículo:
Cómo los administradores de sistemas RDP utilizan eficientemente el Administrador de conexión a Escritorio remoto
Respuesta3
La respuesta más detallada ya está ahí, hecha por el autor de la pregunta. Solo quiero señalar que este problema también puede ocurrir cuando el sistema operativo de la computadora cliente es un SKU local, por lo que es posible que no haya ningún editor de GP local disponible ni que haya una política de dominio vigente. Sin embargo, el cliente puede actuar como si la política de pedir siempre la contraseña estuviera establecida (no sé qué causa ese valor predeterminado, ¿tal vez algún programa instalado?).
Luego, es útil establecer la configuración del registro de políticas manualmente (el cliente MS RDP lo verifica; puede encontrarlo usando una herramienta como procmon). Es aquí:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
"PromptForCredsOnClient"=dword:00000000
"DisablePasswordSaving"=dword:00000000
Respuesta4
En mi caso el problema fue que el *.rdparchivo descargado de Microsoft Azure tenía la siguiente línea:
prompt for credentials:i:1
Normalmente, marcar "guardar credenciales" cambiaría esa línea, pero por alguna razón también viene marcada como "solo lectura".
Desmarcarlo como 'solo lectura' y cambiar la línea a
prompt for credentials:i:0
en el bloc de notas solucionó el problema.