Heslá pre pripojenia RDP sa neuložia

Vstavaný klient Windows RDP (mstsc.exe) vám umožňuje uložiť meno používateľa a heslo, ktoré sa použilo na pripojenie k počítaču. Vďaka tomuto používateľovi nie je potrebné zadávať heslo zakaždým, keď sa chcete pripojiť k vzdialenému počítaču / serveru RDP. V tomto článku sa pozrieme na to, ako nakonfigurovať schopnosť ukladať poverenia pre pripojenie RDP v systéme Windows 10 / Windows Server 2012 R2 / 2016 a čo robiť, ak používatelia napriek všetkým nastaveniam nemajú heslá pre pripojenia RDP (heslo sa vyžaduje zakaždým)

obsah:

  • Nastavenie uloženia hesla pre pripojenie RDP
  • Čo robiť, ak heslo pre pripojenie RDP nie je uložené v systéme Windows?

Nastavenie uloženia hesla pre pripojenie RDP

V predvolenom nastavení systém Windows umožňuje používateľom ukladať heslá pre pripojenia RDP. V okne klienta RDP (mstsc) musí používateľ zadať názov vzdialeného počítača RDP, účet a skontrolovať „PDovoľte mi uložiť poverenia“(Dovoľte mi uložiť poverovacie údaje). Keď používateľ klikne na tlačidlo „Pripojiť“, server RDP požiada o heslo a počítač ho uloží do správcu Windows Credential Manager (nie do súboru .RDP)..

Výsledkom je, že keď sa nabudúce pripojíte k vzdialenému serveru RDP pomocou rovnakého používateľa, heslo sa automaticky prevezme z aplikácie Credential Manager a použije sa na autentifikáciu RDP..

Ako vidíte, ak je pre tento počítač uložené heslo, v okne klienta RDP je uvedené toto:

Po pripojení k tomuto počítaču sa použijú uložené poverenia. Tieto poverenia je možné zmeniť alebo odstrániť..

Ako správca spravidla neodporúčam používateľom ukladať heslá. Na transparentnú autorizáciu RDP je omnoho lepšie používať SSO v doméne.

Ak sa pripájate z počítača zahrnutého v doméne k počítaču / serveru umiestnenému v inej doméne alebo pracovnej skupine, systém Windows predvolene neumožňuje používateľovi používať uložené heslo na pripojenie RDP. Napriek tomu, že heslo pre pripojenie je uložené v aplikácii Credentials Manager, systém neumožňuje jeho použitie, vždy keď užívateľ vyžaduje zadanie hesla. Systém Windows tiež nepovoľuje použitie uloženého hesla pre program RDP, ak sa nepripájate pod doménou, ale pod lokálnym účtom.

Pri pokuse o pripojenie RDP pomocou uloženého hesla v tejto situácii sa zobrazí chybové okno:

Vaše poverenia nefungovali
Váš správca systému nepovoľuje použitie uložených poverení na prihlásenie do vzdialeného počítača CompName, pretože jeho totožnosť nie je úplne overená. Zadajte nové poverenia.

Alebo (v ruskom vydaní systému Windows 10):

Neplatné poverenia
Správca systému zakázal používanie uložených poverení na prihlásenie do vzdialeného počítača CompName, pretože jeho overenie nebolo úplne overené. Zadajte nové poverenia.

Systém Windows považuje toto pripojenie za nebezpečné, pretože medzi týmto počítačom a vzdialeným počítačom / serverom v inej doméne (alebo pracovnej skupine) neexistuje žiadny vzťah dôveryhodnosti.

Tieto nastavenia môžete zmeniť na počítači, z ktorého je vytvorené pripojenie RDP:

    1. Otvorte lokálny editor GPO stlačením Win + R -> gpedit.msc ;
    2. V editore GPO prejdite na stránku Konfigurácia počítača -> Šablóny pre správu -> Systém -> Delegovanie poverení (Konfigurácia počítača -> Šablóny pre správu -> Systém -> Prenos poverení). Vyhľadajte politiku s názvom Povoliť delegovanie uložených poverení pomocou autentifikácie servera NTLM (Povoliť delegovanie uložených poverení iba s autentifikáciou servera NTLM);
    3. Dvakrát kliknite na politiku. Povoľte politiku (Povoliť) a kliknite na tlačidlo Zobraziť (show);
    4. V okne, ktoré sa otvorí, musíte zadať zoznam vzdialených počítačov (serverov), pre ktoré bude povolené používať uložené heslá pre pripojenia RDP. Zoznam vzdialených počítačov musí byť zadaný v nasledujúcich formátoch:
      • TERMSRV / server1 - umožňuje použitie uložených hesiel pre pripojenia RDP k jednému konkrétnemu počítaču / serveru;
      • TERMSRV / *. Winitpro.ru - povoľuje pripojenie RDP na všetky počítače v doméne winitpro.ru;
      • TERMSRV / * - umožňuje použitie uloženého hesla na pripojenie k akémukoľvek počítaču.

      poznámka. TERMSRV musí byť napísané veľkými písmenami a názov počítača sa musí úplne zhodovať s menom, ktoré ste zadali v poli pripojenia klienta RDP..

    5. Uložte zmeny a aktualizujte skupinové politiky príkazom gpupdate / force

    Teraz pri vytváraní pripojenia RDP bude môcť klient mstsc používať uložené heslo.

    Pomocou lokálneho editora skupinovej politiky môžete prepísať politiku iba na lokálnom počítači. Ak chcete, aby toto pravidlo umožňovalo použitie uložených hesiel pre pripojenia RDP na mnohých počítačoch v doméne, použite politiky domény nakonfigurované pomocou konzoly gpmc.msc..

    Ak je používateľ počas pripojenia RDP stále vyzvaný na zadanie hesla, skúste povoliť a nakonfigurovať politiku “Povoliť prenos uložených poverení“(Povoliť delegovanie uložených poverení). Skontrolujte tiež, čiZabráňte prenosu uložených poverení“(Odmietnuť delegáciu uložila poverenia), pretože zakazujúce politiky majú prednosť.

    Čo robiť, ak heslo pre pripojenie RDP nie je uložené v systéme Windows?

    Ak ste nakonfigurovali systém Windows podľa vyššie uvedených pokynov, ale klient stále potrebuje zadať heslo pri každom opätovnom pripojení RDP, skontrolujte nasledujúce:

    1. V okne pripojenia RDP kliknite na tlačidlo „Zobraziť parametre“ a uistite sa, že „Vždy požadovať poverenia“(Vždy požadovať poverenia) nie je vybratý;
    2. Ak na pripojenie používate uložený súbor RDP, skontrolujte, či je parameter „výzva na zadanie poverení“ 0 (výzva na zadanie poverení: i: 0);
    3. Otvorte editor GPO gpedit.msc, prejdite do sekcie Konfigurácia počítača -> Komponenty Windows -> Služby vzdialenej pracovnej plochy -> Klient pripojenia vzdialenej pracovnej plochy (Konfigurácia počítača -> Šablóny pre správu -> Komponenty Windows -> Služby vzdialenej pracovnej plochy -> Klient pripojenia k vzdialenej ploche). Parameter “Odmietnuť uloženie hesla“(Nedovoľte ukladať heslá) sa nesmie nastavovať ani deaktivovať. Tiež sa uistite, že je zakázané vo výslednej politike vo vašom počítači (html report s použitými nastaveniami politiky domény je možné vygenerovať pomocou gpresult);
    4. Odstráňte všetky uložené heslá v správcovi hesiel systému Windows (Credential Manager). vytočiť ovládať užívateľské heslá2 av okne „Používateľské účty“ prejdite na kartu „Spresnenie“ a kliknite na tlačidlo „Správa hesiel“; V okne, ktoré sa otvorí, vyberte „Poverenia systému Windows“. Vyhľadajte a odstráňte všetky uložené heslá RDP (počnúc TERMSRV / ...). Z tohto okna môžete pridať poverenia pre pripojenia RDP sami. Upozorňujeme, že názov vzdialeného servera RDP (počítač) musí byť uvedený vo formáte TERMSRV \ server_name1. Pri vymazávaní histórie pripojení RDP v počítači nezabudnite vymazať uložené heslá.
    5. Prihlasovanie pomocou uloženého hesla nebude fungovať, ak vzdialený server RDP nebol dlhú dobu aktualizovaný a pri pripojení k nemu sa objaví chybové hlásenie CredSSP o šifrovaní orákovania.

    Potom budú používatelia môcť používať svoje uložené heslá pre pripojenia rdp.