Hasła dla połączeń RDP nie są zapisywane

Wbudowany klient Windows RDP (mstsc.exe) pozwala zapisać nazwę użytkownika i hasło użyte do połączenia z komputerem. Dzięki temu użytkownik nie musi za każdym razem wpisywać hasła, aby połączyć się ze zdalnym komputerem / serwerem RDP. W tym artykule przyjrzymy się, jak skonfigurować możliwość zapisywania poświadczeń dla połączenia RDP w systemie Windows 10 / Windows Server 2012 R2 / 2016 i co zrobić, jeśli pomimo wszystkich ustawień użytkownicy nie mają haseł do połączeń RDP (hasło jest wymagane za każdym razem)

Treść

  • Hasło Zapisz ustawienia połączenia RDP
  • Co zrobić, jeśli hasło do połączenia RDP nie jest zapisane w systemie Windows?

Hasło Zapisz ustawienia połączenia RDP

Domyślnie system Windows pozwala użytkownikom zapisywać hasła do połączeń RDP. Aby to zrobić, w oknie klienta RDP (mstsc) użytkownik musi wprowadzić nazwę zdalnego komputera RDP, konta i zaznaczyć „PPozwól mi zapisać dane uwierzytelniające”(Pozwól mi zapisać dane uwierzytelniające). Po kliknięciu przez użytkownika przycisku „Połącz” serwer RDP prosi o hasło, a komputer zapisuje je w Menedżerze poświadczeń systemu Windows (nie w pliku .RDP).

W rezultacie, przy następnym połączeniu ze zdalnym serwerem RDP przy użyciu tego samego użytkownika, hasło jest automatycznie pobierane z Credential Manager i wykorzystywane do uwierzytelniania RDP.

Jak widać, jeśli istnieje zapisane hasło dla tego komputera, w oknie klienta RDP są wyświetlane następujące informacje:

Po podłączeniu do tego komputera zostaną użyte zapisane poświadczenia. Poświadczenia te można zmienić lub usunąć..

Jako administrator zwykle nie polecam użytkownikom zapisywania haseł. O wiele lepiej jest używać jednokrotnego logowania w domenie do przejrzystej autoryzacji RDP.

Jeśli łączysz się z komputera znajdującego się w domenie z komputerem / serwerem znajdującym się w innej domenie lub grupie roboczej, domyślnie system Windows nie zezwala użytkownikowi na użycie zapisanego hasła połączenia RDP. Pomimo faktu, że hasło do połączenia jest zapisane w Menedżerze poświadczeń, system nie zezwala na jego użycie, za każdym razem wymagając od użytkownika podania hasła. Ponadto system Windows nie zezwala na użycie zapisanego hasła do protokołu RDP, jeśli nie łączysz się z domeną, ale z kontem lokalnym.

Podczas próby połączenia RDP z zapisanym hasłem w tej sytuacji pojawia się okno błędu:

Twoje poświadczenia nie działały
Administrator systemu nie zezwala na użycie zapisanych poświadczeń do logowania się na komputerze zdalnym nazwa_komputera, ponieważ jego tożsamość nie jest w pełni zweryfikowana. Wprowadź nowe dane uwierzytelniające.

Lub (w rosyjskim wydaniu Windows 10):

Niepoprawne dane logowania
Administrator systemu zabronił używania zapisanych danych logowania do zdalnego komputera CompName, ponieważ jego uwierzytelnienie nie zostało w pełni zweryfikowane. Wprowadź nowe poświadczenia.

System Windows uważa to połączenie za niebezpieczne, ponieważ nie ma relacji zaufania między tym komputerem a komputerem zdalnym / serwerem w innej domenie (lub grupie roboczej).

Możesz zmienić te ustawienia na komputerze, z którego nawiązane jest połączenie RDP:

    1. Otwórz lokalny edytor GPO, naciskając Win + R -> gpedit.msc ;
    2. W edytorze GPO przejdź do Konfiguracja komputera -> Szablony administracyjne -> System -> Delegowanie poświadczeń (Konfiguracja komputera -> Szablony administracyjne -> System -> Transfer poświadczeń). Znajdź polisę z nazwą Zezwalaj na delegowanie zapisanych poświadczeń za pomocą uwierzytelniania serwera tylko NTLM (Zezwól na przekazywanie zapisanych poświadczeń tylko za pomocą uwierzytelniania serwera NTLM);
    3. Kliknij dwukrotnie polisę. Włącz zasadę (Włącz) i kliknij przycisk Pokaż (Pokaż);
    4. W oknie, które zostanie otwarte, musisz określić listę komputerów zdalnych (serwerów), dla których będzie można używać zapisanych haseł do połączeń RDP. Lista komputerów zdalnych musi być podana w następujących formatach:
      • TERMSRV / server1 - pozwala na użycie zapisanych haseł do połączeń RDP z jednym określonym komputerem / serwerem;
      • TERMSRV / *. Winitpro.ru - zezwól na połączenie RDP ze wszystkimi komputerami w domenie winitpro.ru;
      • TERMSRV / * - zezwól na użycie zapisanego hasła do połączenia z dowolnym komputerem.

      Uwaga. TERMSRV musi być napisane wielkimi literami, a nazwa komputera musi być w pełni zgodna z nazwą podaną w polu połączenia klienta RDP.

    5. Zapisz zmiany i zaktualizuj zasady grupy za pomocą polecenia gpupdate / force

    Teraz, podczas nawiązywania połączenia RDP, klient mstsc będzie mógł używać zapisanego hasła.

    Korzystając z lokalnego edytora zasad grupy, można zastąpić zasady tylko na komputerze lokalnym. Jeśli chcesz, aby te zasady zezwalały na używanie zapisanych haseł do połączeń RDP do pracy na wielu komputerach domeny, użyj zasad domeny skonfigurowanych za pomocą konsoli gpmc.msc.

    Jeśli podczas połączenia RDP użytkownik nadal jest monitowany o podanie hasła, spróbuj włączyć i skonfigurować zasadę „Zezwalaj na przesyłanie przechowywanych poświadczeń”(Zezwalaj na delegowanie zapisanych poświadczeń). Sprawdź również, czy „Zapobiegaj przenoszeniu przechowywanych poświadczeń”(Odmów zapisania poświadczeń), ponieważ zasady wygórowane mają pierwszeństwo.

    Co zrobić, jeśli hasło do połączenia RDP nie jest zapisane w systemie Windows?

    Jeśli system Windows został skonfigurowany zgodnie z powyższymi instrukcjami, ale klient nadal musi wprowadzać hasło przy każdym ponownym połączeniu RDP, sprawdź następujące elementy:

    1. W oknie połączenia RDP kliknij przycisk „Pokaż parametry” i upewnij się, że „Zawsze proś o poświadczenia”(Zawsze pytaj o dane uwierzytelniające) nie wybrano;
    2. Jeśli do połączenia używasz zapisanego pliku RDP, sprawdź, czy parametr „monituj o poświadczenia” wynosi 0 (monit o podanie poświadczeń: i: 0);
    3. Otwórz edytor GPO gpedit.msc, przejdź do sekcji Konfiguracja komputera -> Składniki systemu Windows -> Usługi pulpitu zdalnego -> Klient połączenia pulpitu zdalnego (Konfiguracja komputera -> Szablony administracyjne -> Składniki systemu Windows -> Usługi pulpitu zdalnego -> Klient połączenia pulpitu zdalnego). Parametr „Odmów zapisywania hasła”(Nie zezwalaj na zapisywanie haseł) nie można ustawiać ani wyłączać. Upewnij się także, że jest on wyłączony w wynikowych zasadach na twoim komputerze (raport html z zastosowanymi ustawieniami zasad domeny można wygenerować za pomocą gpresult);
    4. Usuń wszystkie zapisane hasła w menedżerze haseł systemu Windows (Credential Manager). Wybierz kontroluj hasła użytkownika 2 aw oknie „Konta użytkowników” przejdź do zakładki „Zaawansowane” i kliknij przycisk „Zarządzanie hasłami”; W oknie, które zostanie otwarte, wybierz „Poświadczenia systemu Windows”. Znajdź i usuń wszystkie zapisane hasła RDP (zaczynając od TERMSRV / ...). W tym oknie możesz samodzielnie dodać poświadczenia dla połączeń RDP. Należy pamiętać, że nazwa zdalnego serwera RDP (komputer) musi być podana w formacie TERMSRV \ nazwa_serwera1. Podczas czyszczenia historii połączeń RDP na komputerze nie zapomnij usunąć zapisanych haseł.
    5. Logowanie przy użyciu zapisanego hasła również nie będzie działać, jeśli zdalny serwer RDP nie był aktualizowany przez długi czas, a podczas łączenia się z nim pojawia się komunikat o błędzie naprawienia szyfrowania CredSSP.

    Następnie użytkownicy będą mogli używać zapisanych haseł do połączeń rdp.