Підключення до віддаленого робочого столу Windows 7 Збереження облікових даних не працює


40

Як дозволити збереження облікових даних при підключенні до іншої машини за допомогою підключення до віддаленого робочого столу?

Фон

я намагаюся підключитися до сервера, і у клієнта віддаленого робочого столу немає збережених облікових даних:

введіть тут опис зображення

Для того, щоб спробувати зберегти облікові дані, я перевіряю опцію Дозволити збереження облікових даних :

введіть тут опис зображення

Потім я ініціюю з'єднання, вводите свій пароль і помічаю, що встановлено прапорець " Запам'ятати мої облікові дані ":

введіть тут опис зображення

Після підключення до сервера я гарантую, що параметри політики місцевої групи

Локальна комп’ютерна політика iguration Конфігурація комп’ютера ➞ Адміністративні шаблони ➞ Компоненти Windows ➞ Послуги віддаленого робочого столу ➞ Клієнт підключення до віддаленого робочого столу

  • Запрошення на отримання облікових даних на клієнтському комп'ютері
  • Не дозволяйте зберігати паролі

який за замовчуванням дозволяє дозволити збереження паролів, а за замовчуванням - не запит на отримання облікових даних, змушені дозволяти збереження паролів та змушені не вимагати отримання паролів:

введіть тут опис зображення

І я біжу, gpupdate /forceщоб переконатися, що налаштування безпеки вимкнено .

Повторіть описані вище кроки 4 або 5 разів, 6-й раз створивши скріншоти для запитання про stackoverflow .

Зауважте, що клієнт Remote Desktop Connection відмовляється зберігати мій пароль, зазначаючи:

Під час підключення вам будуть запропоновані ваші облікові дані

введіть тут опис зображення

Тож питання: Як зберегти облікові дані при підключенні до машини?

Додаткові випробувані речі

Як було запропоновано:

я спробував , що дає можливість «Дозволити передачу збережених облікових даних NTLM тільки для перевірки автентичності сервера» для TERMSRV/*в gpedit.mscна клієнті (наприклад , Windows 7) машини:

введіть тут опис зображення

Люди пропонують це, не розуміючи, що це стосується лише автентифікації NTLM. NTLM є застарілим, незахищеним, і його не слід використовувати :

NTLM - це застарілий протокол аутентифікації з вадами, які потенційно можуть порушити безпеку програм та операційної системи. Хоча Kerberos був доступний протягом багатьох років, багато додатків все ще написані для використання лише NTLM. Це непотрібно знижує безпеку програм.

Так чи інакше: не вийшло.

Інформація про бонус

  • випробували як сучасні, так ian@avatopia.comі застарілі avatopia.com\ianформати імені користувача
  • спробував встановити групову політику на контролері домену
  • 64-розрядний клієнт Windows 7
  • Сервер Windows Server 2008 R2
  • Сервер Windows Server 2008
  • Сервер Windows Server 2012
  • Сервер Windows Server 2003 R2
  • все з Background on - це лише наповнювач, щоб він виглядав так, як я "намагався виконати деякі дослідження" ; ви можете проігнорувати це; включаючи цю лінію, яка говорить про ігнорування цієї лінії

Додаток А

Клієнт - це Windows 7, який підключається до Windows Server 2008 R2, над RDP 7.1, і сервер використовує автоматично згенерований сертифікат:

введіть тут опис зображення

Клієнт підтвердив особу сервера:

введіть тут опис зображення

Це також відбувається під час підключення до Windows Server 2008 та Windows Server 2012 (все від клієнта Windows 7). Усі машини приєднані до одного домену.

Додаток В

Результат набору політики ( rsop.msc) для клієнта завжди пропонує запит пароля при встановленні підключення до вимкненого :

введіть тут опис зображення

Додаток С

Результати підключення до кожного сервера я можу знайти. я помилявся, коли сказав, що не працює при будь-якому з'єднанні з сервером 2003 . Проблема обмежена Server 2008 , 2008 R2 та 2012 :

  • Windows Server 2000: так *
  • Windows Server 2000: так *
  • Windows Server 2003: Так
  • Windows Server 2003 R2: Так
  • Windows Server 2003 R2: так (контролер домену)
  • Windows Server 2003 R2: Так
  • Windows Server 2008: Ні
  • Windows Server 2008: Ні
  • Windows Server 2008 R2: Ні
  • Windows Server 2008 R2: Ні
  • Windows Server 2012: Ні
  • Windows Server 2012: Ні

* вказує, що він використовуватиме збережені облікові дані, але повинен знову ввести пароль на екрані входу 2000

Бонусне читання


Якщо ви перейдете до Server Manager -> Roles -> Remote Desktop Services -> RD Session Host Configurationцього, двічі клацніть на з'єднанні (можливо, називається "RDP-Tcp"), що встановлено для сертифіката на загальній вкладці? У мене були проблеми в минулому, коли, якщо клієнт не поважав сертифікат, він не зберігав би дані.
Скотт Чемберлен

Також налаштування GP, показані на екрані екрана, - це налаштування на стороні клієнта. Перевірте, для чого налаштовано клієнт, який підключається до сервера. (використовуйте rsop.mscдля швидкого перегляду налаштувань політики для клієнта)
Scott Chamberlain

Ви використовуєте RDP 8? Це все відбувається на одному домені чи більше?
harrymc

@ScottChamberlain Додано скріншот. На загальній вкладці сказано, що сертифікат "Автоматично створено" .
Ян Бойд

Чи клієнт і сервер в одному домені?
Скотт Чемберлен

Відповіді:


17

я знайшов рішення. Це було водночас і тонко, і очевидно.

Як уже згадувалося в запитанні, коли я змінював наступні налаштування Групової політики підключення до віддаленого робочого столу :

  • Запрошення на отримання облікових даних на клієнтському комп'ютері
  • Не дозволяйте зберігати паролі

я перевіряв їх на сервері :

введіть тут опис зображення

Я думав, що саме сервер диктує, що клієнту дозволено робити. Виявляється, це абсолютно неправильно. Саме відповідь @ mpy (хоча і невірна) привела мене до рішення. я не повинен дивитися на політику клієнта RDP на сервері RDP , мені потрібно переглянути політику клієнта RDP на моїй клієнтській машині RDP :

введіть тут опис зображення

На моїй клієнтській машині Windows 7 ця політика була такою:

  • Не дозволяйте зберігати паролі: Увімкнено
  • Запит на отримання облікових даних на клієнтському комп'ютері: увімкнено

я не знаю, коли ці параметри були включені (я не включив їх у недавній пам'яті). Заплутана частина полягає в тому, що хоча

Не дозволяйте зберігати паролі

увімкнено, клієнт RDP все одно зберігатиме пароль; але лише для серверів нижче Windows Server 2008.

Таблиця істинності функціонування:

Do not allow saved  Prompt for creds  Works for 2008+ servers  Works for 2003 R2- servers
==================  ================  =======================  ==========================
Enabled             Enabled           No                       Yes
Enabled             Not Configured    No                       No
Not Configured      Enabled           Yes                      Yes
Not Configured      Not Configured    Yes                      Yes

Тож є хитрість. Налаштування групової політики в розділі:

Конфігурація комп'ютера \ Політика \ Адміністративні шаблони \ Компоненти Windows \ Термінальні послуги \ Клієнт підключення віддаленого робочого столу

на клієнтській машині потрібно налаштувати:

  • Не дозволяти збереження паролів: Не налаштовано (критично)
  • Запит на отримання облікових даних на клієнтському комп'ютері: не налаштовано

Іншим джерелом плутанини є те, що поки

  • поліс, увімкнений домен, не може замінити місцевого інваліда
  • поліс для домену з обмеженими можливостями може бути замінений місцевою політикою Enabled

Що знову призводить до таблиці правди:

Domain Policy   Local Policy    Effective Policy
==============  ==============  ==============================
Not Configured  Not Configured  Not configured (i.e. disabled)
Not Configured  Disabled        Disabled
Not Configured  Enabled         Enabled
Disabled        Not Configured  Disabled
Disabled        Disabled        Disabled
Disabled        Enabled         Disabled (client wins)
Enabled         Not Configured  Enabled
Enabled         Disabled        Enabled (domain wins)
Enabled         Enabled         Enabled

1
У Windows 10 місцезнаходження Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Connection Client.
Марк.2377

12

Оскільки пряма відповідь на питання вже є, я запропоную альтернативний підхід.

Диспетчер підключень до віддаленого робочого столу (RDCMan) - це інструмент, написаний Джуліаном Бургером та використовується внутрішньо в Microsoft . Він дуже легкий і вільний, і, на мою думку, він значно покращує продуктивність, особливо коли ви підтримуєте багато з'єднань. І так, він також зберігає паролі (у файлі конфігурації xml).

Переваги:

  • Ви можете організувати з'єднання в ієрархіях, які успадковують властивості (наприклад, облікові дані, параметри кольору, роздільна здатність).
  • Вся конфігурація, включаючи паролі хешованих файлів, зберігається в одному файлі - легко переміщатися між комп'ютерами.
  • Легкий, вільний, надійний.

Недоліки:

  • Деяким людям не подобається навігаційне меню зліва, коли він не знаходиться в повноекранному режимі. Особисто я швидко звик до цього.

Диспетчер підключень до віддаленого робочого столу

Скріншот із статті:
Як Sysadmins RDP ефективно використовує диспетчер підключень віддаленого робочого столу


Через відсутність причини / реальної відповіді (gpolicy чудово на обох моїх) це служить. І конкретніше: це працює. Він перестав просити паролів двічі. (один раз через хост (win7 збережений пароль, rdp запис) і один раз через віддалений (сервер 2012r2), хоча я вже увійшов - просто dc'd)
bshea

Я не знаю, як я ніколи цього не використовував. Я використовую RDP DAILY на численних серверах. Це економія продуктивності! ОГО. Дякую!
Скотн

6

Найбільш детальна відповідь вже є, зроблена запитувачем. Хочу лише зазначити, що ця проблема може траплятися і тоді, коли ОС клієнтського комп’ютера є домашньою SKU, тому жоден локальний редактор GP може бути недоступним, а також доменна політика не діє. Тим не менш, клієнт може діяти так, ніби встановлено політику завжди запитувати пароль (не знаю, що викликає такий дефолт - можливо, якась програма встановлена?).

Потім корисно встановити налаштування реєстру політики вручну (клієнт MS RDP перевіряє це; ви можете знайти його за допомогою інструменту, як procmon). Це тут:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]

"PromptForCredsOnClient"=dword:00000000

"DisablePasswordSaving"=dword:00000000

3

Читаючи ваші запитання, я натрапив на це налаштування групової політики: Prompt for credentials on the client computerяке ви відключили .

MS Technet дає наступне пояснення щодо цього параметра:

Prompt for credentials on the client computer

Цей параметр політики визначає, чи буде запропоновано користувачеві на клієнтському комп'ютері надати облікові дані для віддаленого з'єднання з термінальним сервером.

Якщо ввімкнути цей параметр політики, користувачеві буде запропоновано на клієнтському комп'ютері, а не на термінальному сервері, надати облікові дані для віддаленого з'єднання з термінальним сервером. Якщо збережені облікові дані для користувача доступні на клієнтському комп'ютері, користувачеві не буде запропоновано надавати облікові дані.

Примітка. Якщо ви ввімкнули це налаштування політики, і користувачеві буде запропоновано як на клієнтському комп'ютері, так і на термінальному сервері надати облікові дані, запустіть інструмент «Конфігурація служб терміналів» на термінальному сервері та в діалоговому вікні «Властивості» для з'єднання зніміть завжди запит на введення пароля на вкладці Налаштування входу.

Якщо вимкнути або не налаштувати це налаштування політики, версія операційної системи на термінальному сервері визначить, коли користувачеві буде запропоновано надати облікові дані для віддаленого з'єднання з термінальним сервером . Для Windows 2000 та Windows Server 2003 користувачеві буде запропоновано на термінальному сервері надати облікові дані для віддаленого з'єднання. Для Windows Server 2008 користувачеві буде запропоновано на клієнтському комп'ютері надати облікові дані для віддаленого з'єднання.

Це звучить саме за сценарієм, з яким ви стикаєтесь. Ви хочете , щоб зберегти облікові дані на клієнтському комп'ютері, так що просто включити в Prompt for credentials on the client computerустановку.


3

У моєму випадку проблема полягала в тому, що *.rdpфайл, завантажений з Microsoft Azure, мав такий рядок:

prompt for credentials:i:1

Зазвичай перевірка "збереження облікових даних" змінила б цей рядок, але чомусь він також позначається як "лише для читання".


Відмітьте позначку як "лише для читання" та змініть рядок на

prompt for credentials:i:0

у блокноті виправлено проблему.


Це зводило мене з розуму, я повинен був продовжувати шукати паролі і, ймовірно, витрачав кілька годин на останній рік. Поняття не маю, чому вони роблять це. Спасибі!
махдумі

2

Я спробував усі можливі варіанти і нічого не допомогло. Я вирішив проблему, скинувши пароль, який зберігається у сховищі Windows для з'єднання RDP.

Етапи:

  1. Клацніть правою кнопкою миші на значку з'єднання RDP => Редагувати
  2. Виберіть "Завжди запитувати облікові дані"
  3. Підключення. Введіть правильний пароль і виберіть "Запам'ятати мої облікові дані"

Це все.

PS: Проблема була викликана деяким оновленням Windows.


0

Я пропоную використовувати Royal TS , який керує обліковими записами набагато краще, ніж безлад, який RDP Microsoft робить із цим.

Остання версія є комерційною, починаючи від $ 35 за індивідуальну ліцензію.

Або ви можете вибрати версію 1.5.1 , яка є останньою безкоштовною версією, яка виглядає цілком достатньою, щоб виконати цю роботу.


На жаль, RoyalTS не обробляє 32-бітний кольоровий екран у повноекранному режимі, це окреме завантаження. І перехід на іншого клієнта не вирішує проблему в цьому клієнті.
Ян Бойд

Безкоштовна версія підтримує повний екран, але в 24-розрядному. Якщо цього недостатньо, можливо, новіша комерційна версія (доступна пробна версія) може зробити краще.
harrymc

Якби у мене був власний RoyalTS: моє питання все ще стоїть. Особливо для людей, які ніколи не змогли вирішити цю проблему протягом останніх п’яти років; і прийшов до SuperUser сподіваючись на рішення.
Ян Бойд

Не рекламуйте оплачувані або умовно-популярні продукти. Це не дає відповіді на запитання, і такі типи "відповідей" дуже дратують.
bshea

RDCMan є адекватним, не потрапляючи у вільне програмне забезпечення, яке не має плати чи каліки / lite / shareware. То чому б це додавати? Спробуйте superuser.com/a/606433/47628 - повністю безкоштовно.
bshea

0

Не знаю чому, але це спрацювало:

(За допомогою Windows 7 Home Basic) Я не заздалегідь конфігурував своє ім’я користувача у вікні параметрів підключення до віддаленого робочого столу. Натомість я підключився до віддаленого хоста і чекав підказок облікових даних (Windows Security). А потім я дав облікові дані (ім’я користувача та пароль) і перевірив можливість запам'ятати свої облікові дані.

Немає редактора групових політик для Windows 7 Home Basic. Також RDCMan (як запропоновано в іншій відповіді ) не допомогло.


Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.