透過遠端桌面連線連接到另一台電腦時,如何允許保存憑證?
背景
我嘗試連接到伺服器,但遠端桌面用戶端沒有任何已儲存的憑證:
為了嘗試保存憑證,我選中了該選項允許我保存憑證:
然後我啟動連接,輸入我的密碼,並注意到記住我的憑據選項被選中:
連接到伺服器後,我確保本地群組原則選項
本機電腦策略 ➞ 電腦設定 ➞ 管理範本 ➞ Windows 元件 ➞ 遠端桌面服務 ➞ 遠端桌面連線用戶端
- 提示在客戶端電腦上輸入憑證
- 不允許保存密碼
預設允許保存密碼,並且預設不提示輸入憑證,強制允許保存密碼,並且強制不提示輸入密碼:
我跑步是gpupdate /force為了確保被迫關閉安全設定正在使用中。
重複上述步驟 4 或 5 次,第 6 次建立螢幕截圖一個計算器問題。
請注意,遠端桌面連線客戶端拒絕保存我的密碼,並指出:
連接時系統會要求您提供憑證
所以問題是:連接到機器時如何保存憑證?
嘗試了其他事情
正如建議的那樣:
我嘗試啟用“允許使用僅 NTLM 伺服器驗證委託保存的憑證”對於在TERMSRV/*gpedit.msc客戶(例如Windows 7)機器:
人們建議這樣做,但沒有意識到它僅適用於 NTLM 驗證。NTLM 已過時、不安全,不應使用:
NTLM 是一種過時的身份驗證協議,存在可能危及應用程式和作業系統安全性的缺陷。儘管 Kerberos 已推出多年,但許多應用程式仍然僅使用 NTLM 編寫。這不必要地降低了應用程式的安全性。
不管怎樣:它不起作用。
獎金訊息
- 嘗試了現代
[email protected]和傳統的avatopia.com\ian用戶名格式 - 嘗試在網域控制站上設定群組原則
- Windows 7 64位專業版用戶端
- Windows Server 2008 R2 伺服器
- Windows Server 2008 伺服器
- Windows Server 2012 伺服器
- Windows Server 2003 R2 伺服器
- 一切從背景on只是填充物,讓它看起來像我“嘗試了一些研究工作”;你可以忽略它;包括這一行討論忽略這一行
附錄A
用戶端是 Windows 7,透過 RDP 7.1 連線到 Windows Server 2008 R2,伺服器使用自動產生的憑證:
客戶端已經驗證了伺服器的身份:
連線到 Windows Server 2008 和 Windows Server 2012(全部來自 Windows 7 用戶端)時也會發生這種情況。所有機器都加入同一個網域。
附錄B
rsop.msc客戶端上的最終策略集 ( ) 有連線時始終提示輸入密碼設定殘障人士:
附錄C
連接到我能找到的每台伺服器的結果。當我說與伺服器的任何連接失敗時我錯了2003年。問題僅限於伺服器2008年,2008年R2, 和2012年:
- Windows Server 2000:是*
- Windows Server 2000:是*
- Windows Server 2003:是
- Windows Server 2003 R2:是
- Windows Server 2003 R2:是(網域控制站)
- Windows Server 2003 R2:是
- Windows Server 2008:否
- Windows Server 2008:否
- Windows Server 2008 R2:否
- Windows Server 2008 R2:否
- Windows Server 2012:否
- Windows Server 2012:否
*表示它將使用已儲存的憑證,但必須在 2000 登入畫面上重新輸入密碼
獎勵閱讀
- KB281262:如何在 Windows XP 中開啟遠端桌面自動登入
- 超級用戶:遠端桌面連線忽略已儲存的憑證
- Windows 7 論壇:Windows 7:遠端桌面連線自動登入 - 允許或阻止
- 微軟網站:在遠端桌面連線中儲存和變更登入憑證
- 微軟網站:在遠端桌面連線中儲存您的登入憑證
- MSDN 遠端桌面服務部落格:儲存的憑證不起作用
- 堆疊溢位:Windows 7 遠端桌面連線保存憑證不起作用[關閉]
- 微軟論壇:遠端桌面連線不使用已儲存的憑證
答案1
我找到了解決方案。它既微妙又明顯。
正如問題中提到的,當我修改以下內容時遠端桌面連線客戶端群組原則設定:
- 提示在客戶端電腦上輸入憑證
- 不允許保存密碼
我正在檢查他們伺服器:
我以為這會是伺服器這決定了什麼客戶是允許做的。事實證明這是完全錯誤的。它是@mpy 的回答(雖然不正確),這讓我找到了解決方案。我不應該查看 RDP 上的 RDP 客戶端策略伺服器,我需要查看 RDP 上的 RDP 用戶端策略客戶機器:
在我的 Windows 7 用戶端電腦上,策略是:
- 不允許儲存密碼:已啟用
- 提示輸入客戶端電腦上的憑證:已啟用
我不知道這些選項何時啟用(我最近的記憶中沒有啟用它們)。令人困惑的部分是,即使
不允許保存密碼
啟用後,RDP 用戶端仍會節省密碼;但僅適用於Windows Server 2008以下的伺服器。
功能真值表:
Do not allow saved Prompt for creds Works for 2008+ servers Works for 2003 R2- servers
================== ================ ======================= ==========================
Enabled Enabled No Yes
Enabled Not Configured No No
Not Configured Enabled Yes Yes
Not Configured Not Configured Yes Yes
所以這就是竅門。群組原則設定如下:
電腦設定\政策\管理範本\Windows 元件\終端機服務\遠端桌面連線客戶端
於客戶機器需要配置:
- 不允許保存密碼:未配置 (批判的)
- 提示在客戶端電腦上輸入憑證:未配置
另一個令人困惑的原因是,雖然
- 一個域啟用策略不能覆蓋本地殘障人士
- 一個域殘障人士政策能被本地覆蓋啟用政策
這又導致了真值表:
Domain Policy Local Policy Effective Policy
============== ============== ==============================
Not Configured Not Configured Not configured (i.e. disabled)
Not Configured Disabled Disabled
Not Configured Enabled Enabled
Disabled Not Configured Disabled
Disabled Disabled Disabled
Disabled Enabled Disabled (client wins)
Enabled Not Configured Enabled
Enabled Disabled Enabled (domain wins)
Enabled Enabled Enabled
答案2
由於問題的直接答案已經存在,我將建議另一種方法。
遠端桌面連線管理員(RDCMan) 是 Julian Burger 寫的工具在微軟內部使用。它非常輕量級且免費,在我看來,它極大地提高了工作效率,尤其是當您維護許多連接時。是的,它也儲存密碼(在 xml 設定檔中)。
優點:
- 您可以依層次結構組織連接,繼承屬性(例如憑證、色彩設定、解析度)。
- 所有配置(包括雜湊密碼)都儲存在一個檔案中 - 易於在電腦之間移動。
- 輕量、免費、可靠。
缺點:
- 有些人不喜歡非全螢幕模式時左側的導覽選單。就我個人而言,我很快就習慣了。
- 似乎不能很好地處理非標準 DPI 設定。例如,當我在 Windows 顯示設定中使用 125% 縮放時,我發現 RDP 連線有點模糊。因此,在我使用的某些機器上微軟遠端桌面反而。它可以更好地處理這種情況。
答案3
最詳細的答案已經在那裡,由提問者做出。我只想指出,當客戶端電腦作業系統是家庭 SKU 時,也可能會出現此問題,因此本機 GP 編輯器可能不可用,網域原則也都不起作用。儘管如此,客戶端可能會表現得好像設定了始終詢問密碼的策略(不知道是什麼導致了這種預設 - 也許安裝了某些程式?)。
然後,手動設定策略註冊表設定很有用(MS RDP 用戶端檢查它;您可以使用 procmon 等工具找到它)。是這裡:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
"PromptForCredsOnClient"=dword:00000000
"DisablePasswordSaving"=dword:00000000
答案4
就我而言,問題是*.rdp從 Microsoft Azure 下載的檔案具有以下行:
prompt for credentials:i:1
通常檢查“保存憑證”會更改該行,但由於某種原因它也被標記為“唯讀”。
取消將其標記為“唯讀”並將該行更改為
prompt for credentials:i:0
在記事本中解決了這個問題。