Як дозволити збереження облікових даних при підключенні до іншої машини за допомогою підключення до віддаленого робочого столу?

Фон

я намагаюся підключитися до сервера, і у клієнта віддаленого робочого столу немає збережених облікових даних:

Для того, щоб спробувати зберегти облікові дані, я перевіряю опцію Дозволити збереження облікових даних :

Потім я ініціюю з'єднання, вводите свій пароль і помічаю, що встановлено прапорець " Запам'ятати мої облікові дані ":

Після підключення до сервера я гарантую, що параметри політики місцевої групи

Локальна комп’ютерна політика iguration Конфігурація комп’ютера ➞ Адміністративні шаблони ➞ Компоненти Windows ➞ Послуги віддаленого робочого столу ➞ Клієнт підключення до віддаленого робочого столу

• Запрошення на отримання облікових даних на клієнтському комп'ютері
• Не дозволяйте зберігати паролі

який за замовчуванням дозволяє дозволити збереження паролів, а за замовчуванням - не запит на отримання облікових даних, змушені дозволяти збереження паролів та змушені не вимагати отримання паролів:

І я біжу, gpupdate /forceщоб переконатися, що налаштування безпеки вимкнено .

Повторіть описані вище кроки 4 або 5 разів, 6-й раз створивши скріншоти для запитання про stackoverflow .

Зауважте, що клієнт Remote Desktop Connection відмовляється зберігати мій пароль, зазначаючи:

Під час підключення вам будуть запропоновані ваші облікові дані

Тож питання: Як зберегти облікові дані при підключенні до машини?

Додаткові випробувані речі

Як було запропоновано:

• у (закритому) питанні Stackoverflow
• повідомлення форуму Microsoft

я спробував , що дає можливість «Дозволити передачу збережених облікових даних NTLM тільки для перевірки автентичності сервера» для TERMSRV/*в gpedit.mscна клієнті (наприклад , Windows 7) машини:

Люди пропонують це, не розуміючи, що це стосується лише автентифікації NTLM. NTLM є застарілим, незахищеним, і його не слід використовувати :

NTLM - це застарілий протокол аутентифікації з вадами, які потенційно можуть порушити безпеку програм та операційної системи. Хоча Kerberos був доступний протягом багатьох років, багато додатків все ще написані для використання лише NTLM. Це непотрібно знижує безпеку програм.

Так чи інакше: не вийшло.

Інформація про бонус

• випробували як сучасні, так ian@avatopia.comі застарілі avatopia.com\ianформати імені користувача
• спробував встановити групову політику на контролері домену
• 64-розрядний клієнт Windows 7
• Сервер Windows Server 2008 R2
• Сервер Windows Server 2008
• Сервер Windows Server 2012
• Сервер Windows Server 2003 R2
• все з Background on - це лише наповнювач, щоб він виглядав так, як я "намагався виконати деякі дослідження" ; ви можете проігнорувати це; включаючи цю лінію, яка говорить про ігнорування цієї лінії

Додаток А

Клієнт - це Windows 7, який підключається до Windows Server 2008 R2, над RDP 7.1, і сервер використовує автоматично згенерований сертифікат:

Клієнт підтвердив особу сервера:

Це також відбувається під час підключення до Windows Server 2008 та Windows Server 2012 (все від клієнта Windows 7). Усі машини приєднані до одного домену.

Додаток В

Результат набору політики ( rsop.msc) для клієнта завжди пропонує запит пароля при встановленні підключення до вимкненого :

Додаток С

Результати підключення до кожного сервера я можу знайти. я помилявся, коли сказав, що не працює при будь-якому з'єднанні з сервером 2003 . Проблема обмежена Server 2008 , 2008 R2 та 2012 :

• Windows Server 2000: так *
• Windows Server 2000: так *
• Windows Server 2003: Так
• Windows Server 2003 R2: Так
• Windows Server 2003 R2: так (контролер домену)
• Windows Server 2003 R2: Так
• Windows Server 2008: Ні
• Windows Server 2008: Ні
• Windows Server 2008 R2: Ні
• Windows Server 2008 R2: Ні
• Windows Server 2012: Ні
• Windows Server 2012: Ні

^* вказує, що він використовуватиме збережені облікові дані, але повинен знову ввести пароль на екрані входу 2000

Бонусне читання

• KB281262: Як увімкнути автоматичний вхід на віддалений робочий стіл у Windows XP
• SuperUser: Підключення до віддаленого робочого столу ігнорує збережені облікові дані
• Форум Windows 7: Windows 7: Автоматичне ввімкнення підключення до віддаленого робочого столу - дозволити або запобігти
• Microsoft.com: Збереження та зміна облікових даних для входу в підключення до віддаленого робочого столу
• Microsoft.com: збереження даних для входу в підключення до віддаленого робочого столу
• Блог послуг віддаленого робочого столу MSDN: збережені облікові дані не працюють
• Stackoverflow: підключення до віддаленого робочого столу Windows 7 Збереження облікових даних не працює [закрито]
• Форуми Microsoft: Підключення до віддаленого робочого столу, не використовуючи збережені облікові дані

я знайшов рішення. Це було водночас і тонко, і очевидно.

Як уже згадувалося в запитанні, коли я змінював наступні налаштування Групової політики підключення до віддаленого робочого столу :

• Запрошення на отримання облікових даних на клієнтському комп'ютері
• Не дозволяйте зберігати паролі

я перевіряв їх на сервері :

Я думав, що саме сервер диктує, що клієнту дозволено робити. Виявляється, це абсолютно неправильно. Саме відповідь @ mpy (хоча і невірна) привела мене до рішення. я не повинен дивитися на політику клієнта RDP на сервері RDP , мені потрібно переглянути політику клієнта RDP на моїй клієнтській машині RDP :

На моїй клієнтській машині Windows 7 ця політика була такою:

• Не дозволяйте зберігати паролі: Увімкнено
• Запит на отримання облікових даних на клієнтському комп'ютері: увімкнено

я не знаю, коли ці параметри були включені (я не включив їх у недавній пам'яті). Заплутана частина полягає в тому, що хоча

Не дозволяйте зберігати паролі

увімкнено, клієнт RDP все одно зберігатиме пароль; але лише для серверів нижче Windows Server 2008.

Таблиця істинності функціонування:

Do not allow saved  Prompt for creds  Works for 2008+ servers  Works for 2003 R2- servers
==================  ================  =======================  ==========================
Enabled             Enabled           No                       Yes
Enabled             Not Configured    No                       No
Not Configured      Enabled           Yes                      Yes
Not Configured      Not Configured    Yes                      Yes

Тож є хитрість. Налаштування групової політики в розділі:

Конфігурація комп'ютера \ Політика \ Адміністративні шаблони \ Компоненти Windows \ Термінальні послуги \ Клієнт підключення віддаленого робочого столу

на клієнтській машині потрібно налаштувати:

• Не дозволяти збереження паролів: Не налаштовано (критично)
• Запит на отримання облікових даних на клієнтському комп'ютері: не налаштовано

Іншим джерелом плутанини є те, що поки

• поліс, увімкнений домен, не може замінити місцевого інваліда
• поліс для домену з обмеженими можливостями може бути замінений місцевою політикою Enabled

Що знову призводить до таблиці правди:

Domain Policy   Local Policy    Effective Policy
==============  ==============  ==============================
Not Configured  Not Configured  Not configured (i.e. disabled)
Not Configured  Disabled        Disabled
Not Configured  Enabled         Enabled
Disabled        Not Configured  Disabled
Disabled        Disabled        Disabled
Disabled        Enabled         Disabled (client wins)
Enabled         Not Configured  Enabled
Enabled         Disabled        Enabled (domain wins)
Enabled         Enabled         Enabled

Оскільки пряма відповідь на питання вже є, я запропоную альтернативний підхід.

Диспетчер підключень до віддаленого робочого столу (RDCMan) - це інструмент, написаний Джуліаном Бургером та використовується внутрішньо в Microsoft . Він дуже легкий і вільний, і, на мою думку, він значно покращує продуктивність, особливо коли ви підтримуєте багато з'єднань. І так, він також зберігає паролі (у файлі конфігурації xml).

Переваги:

• Ви можете організувати з'єднання в ієрархіях, які успадковують властивості (наприклад, облікові дані, параметри кольору, роздільна здатність).
• Вся конфігурація, включаючи паролі хешованих файлів, зберігається в одному файлі - легко переміщатися між комп'ютерами.
• Легкий, вільний, надійний.

Недоліки:

• Деяким людям не подобається навігаційне меню зліва, коли він не знаходиться в повноекранному режимі. Особисто я швидко звик до цього.

Скріншот із статті:
Як Sysadmins RDP ефективно використовує диспетчер підключень віддаленого робочого столу

Найбільш детальна відповідь вже є, зроблена запитувачем. Хочу лише зазначити, що ця проблема може траплятися і тоді, коли ОС клієнтського комп’ютера є домашньою SKU, тому жоден локальний редактор GP може бути недоступним, а також доменна політика не діє. Тим не менш, клієнт може діяти так, ніби встановлено політику завжди запитувати пароль (не знаю, що викликає такий дефолт - можливо, якась програма встановлена?).

Потім корисно встановити налаштування реєстру політики вручну (клієнт MS RDP перевіряє це; ви можете знайти його за допомогою інструменту, як procmon). Це тут:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]

"PromptForCredsOnClient"=dword:00000000

"DisablePasswordSaving"=dword:00000000

Читаючи ваші запитання, я натрапив на це налаштування групової політики: Prompt for credentials on the client computerяке ви відключили .

MS Technet дає наступне пояснення щодо цього параметра:

Prompt for credentials on the client computer

Цей параметр політики визначає, чи буде запропоновано користувачеві на клієнтському комп'ютері надати облікові дані для віддаленого з'єднання з термінальним сервером.

Якщо ввімкнути цей параметр політики, користувачеві буде запропоновано на клієнтському комп'ютері, а не на термінальному сервері, надати облікові дані для віддаленого з'єднання з термінальним сервером. Якщо збережені облікові дані для користувача доступні на клієнтському комп'ютері, користувачеві не буде запропоновано надавати облікові дані.

Примітка. Якщо ви ввімкнули це налаштування політики, і користувачеві буде запропоновано як на клієнтському комп'ютері, так і на термінальному сервері надати облікові дані, запустіть інструмент «Конфігурація служб терміналів» на термінальному сервері та в діалоговому вікні «Властивості» для з'єднання зніміть завжди запит на введення пароля на вкладці Налаштування входу.

Якщо вимкнути або не налаштувати це налаштування політики, версія операційної системи на термінальному сервері визначить, коли користувачеві буде запропоновано надати облікові дані для віддаленого з'єднання з термінальним сервером . Для Windows 2000 та Windows Server 2003 користувачеві буде запропоновано на термінальному сервері надати облікові дані для віддаленого з'єднання. Для Windows Server 2008 користувачеві буде запропоновано на клієнтському комп'ютері надати облікові дані для віддаленого з'єднання.

Це звучить саме за сценарієм, з яким ви стикаєтесь. Ви хочете , щоб зберегти облікові дані на клієнтському комп'ютері, так що просто включити в Prompt for credentials on the client computerустановку.

У моєму випадку проблема полягала в тому, що *.rdpфайл, завантажений з Microsoft Azure, мав такий рядок:

prompt for credentials:i:1

Зазвичай перевірка "збереження облікових даних" змінила б цей рядок, але чомусь він також позначається як "лише для читання".

Відмітьте позначку як "лише для читання" та змініть рядок на

prompt for credentials:i:0

у блокноті виправлено проблему.

Я спробував усі можливі варіанти і нічого не допомогло. Я вирішив проблему, скинувши пароль, який зберігається у сховищі Windows для з'єднання RDP.

Етапи:

1. Клацніть правою кнопкою миші на значку з'єднання RDP => Редагувати
2. Виберіть "Завжди запитувати облікові дані"
3. Підключення. Введіть правильний пароль і виберіть "Запам'ятати мої облікові дані"

Це все.

PS: Проблема була викликана деяким оновленням Windows.

Я пропоную використовувати Royal TS , який керує обліковими записами набагато краще, ніж безлад, який RDP Microsoft робить із цим.

Остання версія є комерційною, починаючи від $ 35 за індивідуальну ліцензію.

Або ви можете вибрати версію 1.5.1 , яка є останньою безкоштовною версією, яка виглядає цілком достатньою, щоб виконати цю роботу.

Не знаю чому, але це спрацювало:

(За допомогою Windows 7 Home Basic) Я не заздалегідь конфігурував своє ім’я користувача у вікні параметрів підключення до віддаленого робочого столу. Натомість я підключився до віддаленого хоста і чекав підказок облікових даних (Windows Security). А потім я дав облікові дані (ім’я користувача та пароль) і перевірив можливість запам'ятати свої облікові дані.

Немає редактора групових політик для Windows 7 Home Basic. Також RDCMan (як запропоновано в іншій відповіді ) не допомогло.