Connessione desktop remoto Windows 7 Le credenziali di salvataggio non funzionano

40

Come posso consentire il salvataggio delle credenziali durante la connessione a un altro computer con Connessione desktop remoto?

sfondo

provo a connettermi a un server e il client Desktop remoto non ha credenziali salvate:

inserisci qui la descrizione dell'immagine

Per provare a salvare le credenziali, seleziono l'opzione Consenti di salvare le credenziali :

inserisci qui la descrizione dell'immagine

quindi inizio la connessione, inserisco la mia password e noto che l' opzione Ricorda le mie credenziali è selezionata:

inserisci qui la descrizione dell'immagine

Una volta connesso al server, mi assicuro che le opzioni dei criteri di gruppo locali

Criteri del computer locale ➞ Configurazione computer ➞ Modelli amministrativi ➞ Componenti di Windows ➞ Servizi desktop remoto ➞ Client di connessione desktop remoto

  • Richiedi credenziali sul computer client
  • Non consentire il salvataggio delle password

quale impostazione predefinita per consentire il salvataggio delle password e impostazione predefinita per non richiedere le credenziali, sono costrette a consentire il salvataggio delle password e non richiedono le password:

inserisci qui la descrizione dell'immagine

E corro gpupdate /forceper garantire che le impostazioni di sicurezza forzate siano in uso.

Ripeti i passaggi precedenti 4 o 5 volte, la sesta volta creando schermate per una domanda stackoverflow .

Si noti che il client Connessione desktop remoto rifiuta di salvare la mia password, osservando:

Ti verranno chieste le tue credenziali quando ti connetti

inserisci qui la descrizione dell'immagine

Quindi la domanda è: come si salvano le credenziali quando ci si connette a una macchina?

Altre cose provate

Come è stato suggerito:

ho provato ad abilitare il "Consenti la delega delle credenziali salvate con autenticazione server solo NTLM" per TERMSRV/*in gpedit.mscsul client (ad esempio Windows 7):

inserisci qui la descrizione dell'immagine

Le persone lo suggeriscono senza rendersi conto che si applica solo all'autenticazione NTLM. NTLM è obsoleto, insicuro e non deve essere utilizzato :

NTLM è un protocollo di autenticazione obsoleto con difetti che potenzialmente compromettono la sicurezza delle applicazioni e del sistema operativo. Sebbene Kerberos sia disponibile da molti anni, molte applicazioni sono ancora scritte per usare solo NTLM. Ciò riduce inutilmente la sicurezza delle applicazioni.

Ad ogni modo: non ha funzionato.

Informazioni sul bonus

  • provato sia i formati username moderni ian@avatopia.comche quelli legacyavatopia.com\ian
  • provato a impostare i criteri di gruppo sul controller di dominio
  • Client professionale Windows 7 a 64 bit
  • Server Windows Server 2008 R2
  • Server Windows Server 2008
  • Server Windows Server 2012
  • Server Windows Server 2003 R2
  • tutto da Background in poi è solo riempitivo per far sembrare che io abbia "tentato qualche sforzo di ricerca" ; puoi ignorarlo; compresa questa riga che parla di ignorare questa riga

Appendice A

Il client è Windows 7, che si collega a Windows Server 2008 R2, su RDP 7.1, con il server che utilizza un certificato generato automaticamente:

inserisci qui la descrizione dell'immagine

Il client ha autenticato l'identità del server:

inserisci qui la descrizione dell'immagine

Succede anche quando ci si collega a Windows Server 2008 e Windows Server 2012 (tutti dal client Windows 7). Tutte le macchine sono unite allo stesso dominio.

Appendice B

Il set di criteri risultante ( rsop.msc) sul client ha sempre richiesto la password al momento della connessione impostato su Disabilitato :

inserisci qui la descrizione dell'immagine

Appendice C.

Risultati della connessione a tutti i server che posso trovare. ho sbagliato quando ho detto che non riesce su qualsiasi connessione a Server 2003 . Il problema è limitato a Server 2008 , 2008 R2 e 2012 :

  • Windows Server 2000: Sì *
  • Windows Server 2000: Sì *
  • Windows Server 2003: Sì
  • Windows Server 2003 R2: Sì
  • Windows Server 2003 R2: Sì (controller di dominio)
  • Windows Server 2003 R2: Sì
  • Windows Server 2008: No
  • Windows Server 2008: No
  • Windows Server 2008 R2: No
  • Windows Server 2008 R2: No
  • Windows Server 2012: No
  • Windows Server 2012: No

* indica che utilizzerà le credenziali salvate, ma deve reinserire la password nella schermata di accesso 2000

Lettura bonus

windows-7  remote-desktop  windows-server 
Ian Boyd
fonte
Se vai a Server Manager -> Roles -> Remote Desktop Services -> RD Session Host Configurationfare doppio clic sulla connessione (probabilmente chiamata 'RDP-Tcp`) cosa è impostato per il certificato nella scheda generale? Ho avuto problemi in passato in cui se il client non rispettava il certificato non avrebbe salvato le credenziali.
Scott Chamberlain,
Anche le impostazioni GP visualizzate nello screenshot sono impostazioni lato client. Controllare l'impostazione su cui è impostata l'impostazione sul client che si connette al server. (usare rsop.mscper vedere rapidamente le impostazioni dei criteri sul client)
Scott Chamberlain,
Stai usando RDP 8? Succede tutto su un dominio o più?
harrymc,
@ScottChamberlain Aggiunto screenshot. La scheda generale indica che il certificato è "Generato automaticamente" .
Ian Boyd,
Il client e il server si trovano nello stesso dominio?
Scott Chamberlain,

Risposte:

17

ho trovato la soluzione. Era allo stesso tempo sottile e ovvio.

Come menzionato nella domanda, quando stavo modificando le seguenti impostazioni di Criteri di gruppo del client di Connessione desktop remoto :

  • Richiedi credenziali sul computer client
  • Non consentire il salvataggio delle password

li stavo controllando sul server :

inserisci qui la descrizione dell'immagine

ho pensato che sarebbe stato il server a dettare ciò che il client è autorizzato a fare. Si scopre che è completamente sbagliato. È stata la risposta di @ mpy (se non corretta), che mi ha portato alla soluzione. non dovrei guardare la politica del client RDP sul server RDP , devo guardare la politica del client RDP sul mio computer client RDP :

inserisci qui la descrizione dell'immagine

Sul mio computer Windows 7 client, il criterio era:

  • Non consentire il salvataggio delle password: abilitato
  • Richiedi credenziali sul computer client: abilitato

non so quando sono state abilitate queste opzioni (non le ho abilitate nella memoria recente). La parte confusa è che anche se

Non consentire il salvataggio delle password

è abilitato, il client RDP salverebbe comunque la password; ma solo per server inferiori a Windows Server 2008.

La tabella di verità del funzionamento:

Do not allow saved  Prompt for creds  Works for 2008+ servers  Works for 2003 R2- servers
==================  ================  =======================  ==========================
Enabled             Enabled           No                       Yes
Enabled             Not Configured    No                       No
Not Configured      Enabled           Yes                      Yes
Not Configured      Not Configured    Yes                      Yes

Quindi c'è il trucco. Le impostazioni dei criteri di gruppo in:

Configurazione computer \ Criteri \ Modelli amministrativi \ Componenti di Windows \ Servizi terminal \ Client di connessione desktop remoto

sul computer client deve essere configurato con:

  • Non consentire il salvataggio delle password: non configurato (critico)
  • Richiedi credenziali sul computer client: non configurato

L'altra fonte di confusione è che mentre

  • un criterio Abilitato dominio non può sovrascrivere un Disabilitato locale
  • un criterio disabilitato di dominio può essere sovrascritto da un criterio locale abilitato

Il che porta di nuovo a una tabella di verità:

Domain Policy   Local Policy    Effective Policy
==============  ==============  ==============================
Not Configured  Not Configured  Not configured (i.e. disabled)
Not Configured  Disabled        Disabled
Not Configured  Enabled         Enabled
Disabled        Not Configured  Disabled
Disabled        Disabled        Disabled
Disabled        Enabled         Disabled (client wins)
Enabled         Not Configured  Enabled
Enabled         Disabled        Enabled (domain wins)
Enabled         Enabled         Enabled
Ian Boyd
fonte
1
In Windows 10 la posizione è Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Connection Client.
Marc.2377,
12

Poiché la risposta diretta alla domanda è già presente, suggerirò un approccio alternativo.

Remote Desktop Connection Manager (RDCMan) è uno strumento scritto da Julian Burger e utilizzato internamente in Microsoft . È molto leggero e gratuito e secondo me migliora notevolmente la produttività, soprattutto quando si mantengono molte connessioni. E sì, memorizza anche le password (nel file di configurazione xml).

vantaggi:

  • È possibile organizzare le connessioni in gerarchie che ereditano le proprietà (ad es. Credenziali, impostazioni del colore, risoluzione).
  • Tutta la configurazione, comprese le password con hash, è memorizzata in un unico file, facile da spostare tra i computer.
  • Leggero, gratuito, affidabile.

svantaggi:

  • Ad alcune persone non piace il menu di navigazione a sinistra quando non è in modalità a schermo intero. Personalmente, mi ci sono abituato rapidamente.

Gestione connessione desktop remoto

Schermata dell'articolo:
come Sysadmins RDP utilizza in modo efficiente Gestione connessione Desktop remoto

Paweł Bulwan
fonte
Per mancanza di ragione / vera risposta (gpolicy va bene su entrambi i miei) questo serve. E più precisamente: funziona. Ha smesso di chiedere password due volte. (una volta tramite host (voce salvata rdp password salvata 7) e una volta tramite telecomando (server 2012r2) anche se ho già effettuato l'accesso - appena fatto)
bshea
Non so come non l'ho mai usato prima. Uso RDP DAILY su numerosi server. Questo è un risparmio di produttività! WOW. Grazie!
ScottN,
6

La risposta più dettagliata è già lì, fatta da Asker. Voglio solo notare che questo problema può verificarsi anche quando il sistema operativo del computer client è uno SKU di casa, quindi nessun editor GP locale potrebbe essere disponibile, né una politica di dominio è in vigore. Tuttavia, il client può agire come se fosse impostato il criterio per chiedere sempre la password (non sai cosa causa tale default - forse qualche programma installato?).

Quindi, è utile impostare manualmente l'impostazione del registro delle politiche (il client MS RDP lo controlla; è possibile trovarlo utilizzando uno strumento come procmon). È qui:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]

"PromptForCredsOnClient"=dword:00000000

"DisablePasswordSaving"=dword:00000000
Mike Kaganski
fonte
3

Leggendo le tue domande, mi sono imbattuto in questa impostazione di Criteri di gruppo: Prompt for credentials on the client computerche hai disabilitato .

MS Technet fornisce la seguente spiegazione su questa impostazione:

Prompt for credentials on the client computer

Questa impostazione di criterio determina se al computer client verrà richiesto di fornire le credenziali per una connessione remota a un server terminal.

Se si abilita questa impostazione di criterio, verrà richiesto all'utente sul computer client, anziché sul server terminal, di fornire le credenziali per una connessione remota a un server terminal. Se le credenziali salvate per l'utente sono disponibili sul computer client, all'utente non verrà richiesto di fornire le credenziali.

Nota Se si abilita questa impostazione di criterio e viene richiesto a un utente sia sul computer client che sul server terminal di fornire credenziali, eseguire lo strumento di configurazione di Servizi terminal sul server terminal e nella finestra di dialogo Proprietà per la connessione, deselezionare l'opzione Sempre Richiedi la casella di controllo della password nella scheda Impostazioni di accesso.

Se si disabilita o non si configura questa impostazione di criterio, la versione del sistema operativo sul server terminal determinerà quando viene richiesto a un utente di fornire le credenziali per una connessione remota a un server terminal . Per Windows 2000 e Windows Server 2003, sul server terminal verrà richiesto all'utente di fornire le credenziali per una connessione remota. Per Windows Server 2008, sul computer client verrà richiesto all'utente di fornire le credenziali per una connessione remota.

Quel suono è esattamente lo scenario che stai affrontando. Si desidera salvare le credenziali sul computer client, quindi abilitare solo l' Prompt for credentials on the client computerimpostazione.

mpy
fonte
3

Nel mio caso, il problema era che il *.rdpfile scaricato da Microsoft Azure aveva la seguente riga:

prompt for credentials:i:1

Normalmente il controllo di "salva credenziali" cambierebbe quella riga, ma per qualche motivo viene anche contrassegnato come "sola lettura".

Deselezionandolo come "sola lettura" e cambiando la riga in

prompt for credentials:i:0

nel blocco note risolto il problema.

BlueRaja - Danny Pflughoeft
fonte
Questo mi stava facendo impazzire, dovevo continuare a cercare le password e probabilmente ho perso diverse ore nell'ultimo anno. Non ho idea del perché lo facciano. Grazie!
makhdumi,
2

Ho provato tutte le opzioni possibili e niente di aiuto. Ho risolto il problema ripristinando la password archiviata in Windows Vault per la connessione RDP.

I passaggi da fare:

  1. Fare clic con il tasto destro sull'icona della connessione RDP => Modifica
  2. Seleziona "Richiedi sempre le credenziali"
  3. Collegare. Inserisci la password corretta e seleziona "Ricorda le mie credenziali"

È tutto.

PS: il problema è stato causato da alcuni aggiornamenti di Windows.

Igor
fonte
0

Suggerisco di usare Royal TS che gestisce le credenziali molto meglio del disordine che ne fa il RDP di Microsoft.

L'ultima versione è commerciale, a partire da $ 35 per la singola licenza.

Oppure puoi optare per la versione 1.5.1 , che è l'ultima versione freeware, che sembra abbastanza sufficiente per fare il lavoro.

harrymc
fonte
Sfortunatamente RoyalTS non gestisce il colore a schermo intero a 32 bit, è un download separato. E passare a un altro client non risolve il problema in questo client.
Ian Boyd,
La versione freeware supporta lo schermo intero, ma a 24 bit. Se ciò non bastasse, forse la versione commerciale più recente (versione di prova disponibile) può fare di meglio.
harrymc,
Se possedessi RoyalTS: la mia domanda è ancora valida. Soprattutto per le persone che non sono mai state in grado di risolvere questo problema negli ultimi cinque anni; e sono venuto a SuperUser sperando in una soluzione.
Ian Boyd,
Non "pubblicizzare" prodotti a pagamento o shareware. Questo non risponde alla domanda e questi tipi di "risposte" diventano piuttosto fastidiosi.
bshea,
RDCMan è adeguato senza entrare nel software "gratuito" a pagamento o paralizzato / lite / shareware. Quindi perché aggiungere questo? Prova superuser.com/a/606433/47628 - completamente gratuito.
bshea,
0

Non so perché, ma ha funzionato:

(Utilizzando Windows 7 Home Basic) Non ho preconfigurato il mio nome utente nella finestra delle opzioni di Connessione desktop remoto. Invece, mi sono connesso all'host remoto e ho aspettato il prompt delle credenziali (sicurezza di Windows). E poi ho dato le credenziali (nome utente e password) e ho controllato l'opzione per ricordare le mie credenziali.

Non esiste un editor di criteri di gruppo per Windows 7 Home Basic. Inoltre, RDCMan (come suggerito in un'altra risposta ) non ha aiutato.

dresh
fonte
La mia risposta a Windows 7 (Home Premium): eventvwr.exe: come registrare gli eventi di blocco e sblocco della workstation e gli screensaver richiamati e ignorati mostra come installare gpedit.msc su Windows Starter Edition, Home e Home Premium
DavidPostill
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.