Az RDP kapcsolatok jelszavai nem kerülnek mentésre

A beépített Windows RDP kliens (mstsc.exe) lehetővé teszi a számítógéphez való csatlakozáshoz használt felhasználónév és jelszó mentését. Ennek a felhasználónak köszönhetően nem kell minden alkalommal beírnia a jelszót, hogy csatlakozzon a távoli RDP-számítógéphez / -kiszolgálóhoz. Ebben a cikkben megvizsgáljuk, hogyan konfigurálhatjuk az RDP-kapcsolat hitelesítő adatainak mentését a Windows 10 / Windows Server 2012 R2 / 2016 rendszeren, és mit tegyünk, ha a beállítások ellenére a felhasználók nem rendelkeznek jelszóval az RDP-kapcsolatokhoz (minden alkalommal jelszót kérnek)

Tartalom:

• Jelszó mentési beállítások az RDP kapcsolathoz
• Mi a teendő, ha az RDP kapcsolathoz tartozó jelszót nem menti a Windows?

Jelszó mentési beállítások az RDP kapcsolathoz

Alapértelmezés szerint a Windows lehetővé teszi a felhasználók számára az RDP-kapcsolatok jelszavainak mentését. Ehhez az RDP kliens ablakban (mstsc) a felhasználónak be kell írnia a távoli RDP számítógép nevét, a fiókot, és ellenőriznie kell a „PEngedje meg, hogy mentjem a hitelesítő adatokat”(Hadd mentsem meg a hitelesítő adatokat.) Miután a felhasználó rákattint a „Csatlakozás” gombra, az RDP-kiszolgáló kéri a jelszót, és a számítógép elmenti azt a Windows hitelesítő adatok kezelőjébe (nem .RDP fájlba)..

Ennek eredményeként, amikor legközelebb ugyanazzal a felhasználóval kapcsolódik egy távoli RDP-kiszolgálóhoz, a jelszó automatikusan megtörténik a Credential Manager alkalmazásból, és az RDP-hitelesítésre használható..

Mint láthatja, ha van mentett jelszó ehhez a számítógéphez, akkor az RDP kliens ablakában a következő jelenik meg:

Ha csatlakozik ehhez a számítógéphez, a mentett hitelesítő adatok kerülnek felhasználásra. Ezek a hitelesítő adatok megváltoztathatók vagy törölhetők..

Rendszergazdaként általában nem ajánlom a felhasználóknak jelszavak mentését. Sokkal jobb az SSO-t használni a tartományban az átlátszó RDP engedélyeztetéshez.

Ha a tartományhoz tartozó számítógépről egy másik tartományban vagy munkacsoportban található számítógéphez / szerverhez csatlakozik, alapértelmezés szerint a Windows nem engedélyezi a felhasználónak a mentett RDP-kapcsolat jelszavát. Annak ellenére, hogy a kapcsolat jelszavát menti a Credentials Manager, a rendszer nem engedélyezi annak használatát, minden alkalommal, amikor a felhasználónak meg kell adnia a jelszót. A Windows emellett nem engedélyezi az elmentett jelszó használatát az RDP számára, ha nem domain, hanem helyi fiók alatt csatlakozik..

Amikor megpróbál egy RDP kapcsolatot mentett jelszóval ebben a helyzetben, egy hibaablak jelenik meg:

A hitelesítő adatai nem működtek
A rendszergazda nem engedélyezi a mentett hitelesítő adatok használatát a CompName távoli számítógépre történő bejelentkezéshez, mivel identitása nincs teljesen ellenőrizve. Kérjük, adjon meg új hitelesítő adatokat.

Vagy (a Windows 10 orosz kiadásában):

Érvénytelen hitelesítő adatok
A rendszergazda megtiltotta a mentett hitelesítő adatok használatát a távoli CompName számítógépre való bejelentkezéshez, mivel annak hitelesítése még nem történt meg teljesen. Adjon meg új hitelesítő adatokat.

A Windows ezt a kapcsolatot nem biztonságosnak tekinti nincs bizalmi kapcsolat a számítógép és a távoli számítógép / szerver között egy másik tartományban (vagy munkacsoportban).

Megváltoztathatja ezeket a beállításokat azon a számítógépen, amelyről az RDP kapcsolat létrejött:

1. 1. Nyissa meg a helyi GPO-szerkesztőt a Win + R -> megnyomásával gpedit.msc ;
   2. A GPO-szerkesztőben ugorjon a Számítógép konfigurálása -> Felügyeleti sablonok -> Rendszer -> Hitelesítő adatok delegálása (Számítógépes konfiguráció -> Felügyeleti sablonok -> Rendszer -> Hitelesítő adatok átvitele). Keressen egy házirendet a névvel Engedélyezze a mentett hitelesítő adatok delegálását csak NTLM-kiszolgáló-hitelesítéssel (A mentett hitelesítő adatok delegálásának engedélyezése csak NTLM szerver hitelesítéssel);
   3. Kattintson duplán az irányelvre. Engedélyezze a házirendet (Engedélyezze), majd kattintson a Megjelenítés gombra (Show);
   4. A megnyíló ablakban meg kell adnia a távoli számítógépek (kiszolgálók) listáját, amelyek számára engedélyezett mentett jelszavak használata az RDP kapcsolatokhoz. A távoli számítógépek listáját a következő formátumokban kell megadni:
      • TERMSRV / server1 - lehetővé teszi mentett jelszavak használatát az RDP kapcsolatokhoz egy adott számítógéphez / szerverhez;
      • TERMSRV / *. Winitpro.ru - engedélyezze az RDP kapcsolatot a Winitpro.ru tartomány összes számítógépével;
      • TERMSRV / * - mentett jelszó használata bármilyen számítógéphez történő csatlakozáshoz.

      megjegyzés. A TERMSRV-t nagybetűkkel kell írni, és a számítógépnévnek teljes mértékben meg kell egyeznie az RDP-ügyfélkapcsolat mezőben megadottval..

   5. Mentse el a módosításokat, és frissítse a csoportszabályokat a paranccsal gpupdate / force

   Most, amikor egy RDP kapcsolatot létesít, az mstsc ügyfél képes lesz használni a mentett jelszót.

   

   A helyi csoportházirend-szerkesztő segítségével a házirendet csak a helyi számítógépen felülbírálhatja. Abban az esetben, ha azt akarja, hogy ez a házirend lehetővé tegye az RDP-kapcsolatok számára mentett jelszavak használatát, hogy sok domain számítógépen működjön, akkor használja a gpmc.msc konzollal konfigurált tartományi irányelveket..

   Ha az RDP kapcsolat során a felhasználó még mindig jelszót kér, kérjük, engedélyezze és konfigurálja a „A tárolt hitelesítő adatok átvitelének engedélyezése”(Engedélyezheti a mentett hitelesítő adatok átruházását). Ezenkívül ellenőrizze, hogy a „A tárolt hitelesítő adatok átvitelének megakadályozása(A delegáció megtagadta a hitelesítő adatokat), mert a tiltó politikák prioritást élveznek.

   Mi a teendő, ha az RDP kapcsolathoz tartozó jelszót nem menti a Windows?

   Ha a fenti utasítások szerint konfigurálta a Windows rendszert, de az ügyfélnek mindig meg kell adnia egy jelszót minden alkalommal, amikor az RDP-t újracsatlakoztatja, ellenőrizze a következőket:

   1. Az RDP kapcsolat ablakában kattintson a „Paraméterek megjelenítése” gombra, és ellenőrizze, hogy a „Mindig kérjen hitelesítő adatokat”(Mindig kérjen hitelesítő adatokat) nincs kiválasztva;
   2. Ha a mentett RDP fájlt használja a csatlakozáshoz, ellenőrizze, hogy a „prompt for credentials” paraméter 0 (kéri a hitelesítő adatokat: i: 0);
   3. Nyissa meg a gpedit.msc GPO-szerkesztőt, ugorjon a szakaszra Számítógép konfigurálása -> Windows-összetevők -> Távoli asztali szolgáltatások -> Távoli asztali kapcsolat kliens (Számítógépes konfiguráció -> Felügyeleti sablonok -> Windows-összetevők -> Távoli asztali szolgáltatások -> Távoli asztali kapcsolat kliens). ParaméterTagadja meg a jelszó mentését”(Ne engedje meg a jelszavak mentését) nem szabad beállítani vagy letiltani. Ellenőrizze azt is, hogy le van-e tiltva az eredményül kapott irányelvben (a hpml-jelentés az alkalmazott domain házirend-beállításokkal a gpresult használatával generálható);
   4. Törölje az összes elmentett jelszót a Windows jelszókezelőből (Credential Manager). tárcsa vezérli a felhasználói jelszavakat2 és a „Felhasználói fiókok” ablakban lépjen az „Speciális” fülre, majd kattintson a „Jelszókezelés” gombra; A megnyíló ablakban válassza a „Windows hitelesítő adatok” elemet. Az összes mentett RDP jelszó megkeresése és törlése (kezdve a TERMSRV / ... betűvel). Ezen az ablakon saját maguk adhatják hozzá az RDP-kapcsolatok hitelesítő adatait. Felhívjuk figyelmét, hogy a távoli RDP-kiszolgáló (számítógép) nevét TERMSRV \ kiszolgálónév1 formátumban kell megadni. Amikor törli az RDP-kapcsolat előzményeit a számítógépen, ne felejtse el törölni a mentett jelszavakat.
   5. A mentett jelszóval történő bejelentkezés akkor sem fog működni, ha a távoli RDP-kiszolgálót hosszú ideig nem frissítették, és amikor csatlakozik hozzá, megjelenik a CredSSP titkosítási orakula javításának hibajavítása..

   Ezt követően a felhasználók az elmentett jelszavakat felhasználhatják az rpp kapcsolatokhoz.