Как разрешить сохранение учетных данных при подключении к другому компьютеру с помощью подключения к удаленному рабочему столу?
Фон
Я пытаюсь подключиться к серверу, но у клиента удаленного рабочего стола нет сохраненных учетных данных:
Чтобы попытаться сохранить учетные данные, я устанавливаю флажокРазрешите мне сохранить учетные данные:
Затем я инициирую соединение, ввожу свой пароль и замечаю, чтоЗапомнить учетные данныеопция отмечена:
После подключения к серверу я проверяю, что параметры локальной групповой политики
Политика локального компьютера ➞ Конфигурация компьютера ➞ Административные шаблоны ➞ Компоненты Windows ➞ Службы удаленного рабочего стола ➞ Клиент подключения к удаленному рабочему столу
- Запрос учетных данных на клиентском компьютере
- Не разрешайте сохранять пароли
которые по умолчанию разрешают сохранение паролей и по умолчанию не запрашивают учетные данные, принудительно разрешают сохранение паролей и принудительно не запрашивают пароли:
И я бегуgpupdate /force , чтобы убедиться,вынужденный выкл.используются настройки безопасности.
Повторите вышеуказанные шаги 4 или 5 раз, на 6-й раз создав скриншоты длявопрос на stackoverflow.
Обратите внимание, что клиент Remote Desktop Connection отказывается сохранять мой пароль, отмечая:
При подключении вам будет предложено ввести ваши учетные данные.
Итак, вопрос: как сохранить учетные данные при подключении к машине?
Дополнительные вещи, которые были испробованы
Как было предложено:
Я попробовал включить«Разрешить делегирование сохраненных учетных данных с аутентификацией сервера только NTLM»для TERMSRV/*вgpedit.msc наклиент(например, Windows 7) машина:
Люди предлагают это, не понимая, что это применимо только к аутентификации NTLM.NTLM — устаревший, небезопасный протокол, и его не следует использовать.:
NTLM — устаревший протокол аутентификации с недостатками, которые потенциально ставят под угрозу безопасность приложений и операционной системы. Хотя Kerberos доступен уже много лет, многие приложения по-прежнему написаны для использования только NTLM. Это без необходимости снижает безопасность приложений.
В любом случае: это не сработало.
Бонусная информация
- пробовал как современные
[email protected], так и устаревшиеavatopia.com\ianформаты имени пользователя - попробовал настроить групповую политику на контроллере домена
- Windows 7 64-бит Professional клиент
- Сервер Windows Server 2008 R2
- Сервер Windows Server 2008
- Сервер Windows Server 2012
- Сервер Windows Server 2003 R2
- все отФонэто просто наполнитель, чтобы было похоже, что я"предпринял попытку провести некоторые исследования"; вы можете игнорировать это; включая эту строку, которая говорит об игнорировании этой строки
Приложение
Клиент — Windows 7, подключающийся к Windows Server 2008 R2 по протоколу RDP 7.1, при этом сервер использует автоматически сгенерированный сертификат:
Клиент подтвердил подлинность сервера:
Это также происходит при подключении к Windows Server 2008 и Windows Server 2012 (все из клиента Windows 7). Все машины присоединены к одному домену.
Приложение Б
Результирующий набор политик (rsop.msc ) на клиенте имеетВсегда запрашивать пароль при подключенииустановлен вНеполноценный:
Приложение С
Результаты подключения к каждому серверу, который я смог найти. Я ошибался, когда говорил, что не удается подключиться ни к одному серверу.2003. Проблема ограничена сервером.2008,2008 Р2, и2012:
- Windows Server 2000: Да*
- Windows Server 2000: Да*
- Windows Server 2003: Да
- Windows Server 2003 R2: Да
- Windows Server 2003 R2: Да (контроллер домена)
- Windows Server 2003 R2: Да
- Windows Server 2008: Нет
- Windows Server 2008: Нет
- Windows Server 2008 R2: Нет
- Windows Server 2008 R2: Нет
- Windows Server 2012: Нет
- Windows Server 2012: Нет
* означает, что будут использоваться сохраненные учетные данные, но необходимо повторно ввести пароль на экране входа в систему 2000
Бонусное чтение
- КБ281262:Как включить автоматический вход в удаленный рабочий стол в Windows XP
- Суперпользователь:Подключение к удаленному рабочему столу игнорирует сохраненные учетные данные
- Форумы Windows Seven: Windows 7:Автоматический вход в систему подключения к удаленному рабочему столу — разрешить или запретить
- Microsoft.com:Сохранение и изменение учетных данных для входа в систему при подключении к удаленному рабочему столу
- Microsoft.com:Сохранение учетных данных для входа в систему Remote Desktop Connection
- Блог служб удаленного рабочего стола MSDN:Сохраненные учетные данные не работают
- Переполнение стека:Сохранение учетных данных при подключении к удаленному рабочему столу Windows 7 не работает [закрыто]
- Форумы Microsoft:Подключение к удаленному рабочему столу не использует сохраненные учетные данные
решение1
я нашел решение. Оно было одновременно и тонким, и очевидным.
Как уже упоминалось в вопросе, когда я вносил изменения в следующееКлиент подключения к удаленному рабочему столуПараметры групповой политики:
- Запрос учетных данных на клиентском компьютере
- Не разрешайте сохранять пароли
Я проверял их насервер:
Я думал, что это будетсерверкоторый диктует, чтоклиентразрешено делать. Оказывается, это совершенно неправильно. Это было@mpy ответ(хотя это неверно), что привело меня к решению. Мне не следует смотреть на политику клиента RDP на RDPсервер, мне нужно посмотреть политику клиента RDP на моем RDPклиентмашина:
На моем клиентском компьютере с Windows 7 политика была следующей:
- Не разрешать сохранение паролей: Включено
- Запрашивать учетные данные на клиентском компьютере: Включено
Я не знаю, когда эти опции были включены (я не включал их в последнее время). Смущает то, что хотя
Не разрешайте сохранять пароли
включен, клиент RDP все равно будетсохранятьпароль; но только для серверов ниже Windows Server 2008.
Таблица истинности функционирования:
Do not allow saved Prompt for creds Works for 2008+ servers Works for 2003 R2- servers
================== ================ ======================= ==========================
Enabled Enabled No Yes
Enabled Not Configured No No
Not Configured Enabled Yes Yes
Not Configured Not Configured Yes Yes
Вот в чем фокус. Параметры групповой политики в разделе:
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы терминалов\Клиент подключения к удаленному рабочему столу
наклиентМашину необходимо настроить с помощью:
- Не разрешайте сохранять пароли:Не настроено (критический)
- Запрос учетных данных на клиентском компьютере:Не настроено
Другим источником путаницы является то, что в то время как
- доменВключенополитика не может переопределять локальнуюНеполноценный
- доменНеполноценныйполитикаможетбыть переопределено локальнымВключенополитика
Что снова приводит к таблице истинности:
Domain Policy Local Policy Effective Policy
============== ============== ==============================
Not Configured Not Configured Not configured (i.e. disabled)
Not Configured Disabled Disabled
Not Configured Enabled Enabled
Disabled Not Configured Disabled
Disabled Disabled Disabled
Disabled Enabled Disabled (client wins)
Enabled Not Configured Enabled
Enabled Disabled Enabled (domain wins)
Enabled Enabled Enabled
решение2
Поскольку прямой ответ на вопрос уже есть, я предложу альтернативный подход.
Диспетчер подключений к удаленному рабочему столу(RDCMan) — это инструмент, написанный Джулианом Бергером ииспользуется внутри Microsoft. Он очень легкий и бесплатный, и, по моему мнению, он значительно повышает производительность, особенно когда вы поддерживаете много подключений. И да, он также хранит пароли (в конфигурационном файле xml).
Преимущества:
- Вы можете организовывать соединения в иерархии, которые наследуют свойства (например, учетные данные, настройки цвета, разрешение).
- Вся конфигурация, включая хешированные пароли, хранится в одном файле, который легко переносить между компьютерами.
- Легкий, бесплатный, надежный.
Недостатки:
- Некоторым не нравится навигационное меню слева, когда оно не в полноэкранном режиме. Лично я к нему быстро привык.
- Кажется, он не очень хорошо справляется с нестандартными настройками DPI. Например, когда я использую 125% масштаб в настройках дисплея Windows, и я нахожу, что RDP-подключения немного размыты. По этой причине на некоторых машинах я используюУдаленный рабочий стол MicrosoftВместо этого. Он лучше справляется с этой ситуацией.
Скриншот из статьи:
Как системные администраторы эффективно используют RDP с помощью Remote Desktop Connection Manager
решение3
Самый подробный ответ уже есть, сделанный asker. Хочу только отметить, что эта проблема может возникнуть и когда ОС клиентского компьютера - это домашний SKU, поэтому локальный редактор GP может быть недоступен, и доменная политика не действует. Тем не менее, клиент может вести себя так, как будто установлена политика всегда спрашивать пароль (не знаю, что вызывает такое умолчание - может быть, установлена какая-то программа?).
Затем полезно вручную задать параметр реестра политики (MS RDP-клиент проверяет его; вы можете найти его с помощью инструмента типа procmon). Он находится здесь:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
"PromptForCredsOnClient"=dword:00000000
"DisablePasswordSaving"=dword:00000000
решение4
В моем случае проблема была в том, что *.rdpфайл, загруженный с Microsoft Azure, содержал следующую строку:
prompt for credentials:i:1
Обычно выбор опции «сохранить учетные данные» изменил бы эту строку, но по какой-то причине она также помечена как «только для чтения».
Снимите отметку «только для чтения» и измените строку на
prompt for credentials:i:0
в блокноте проблема устранена.