Koneksi Remote Desktop Windows 7 Simpan Kredensial tidak berfungsi

40

Bagaimana cara saya membiarkan kredensial disimpan ketika menghubungkan ke komputer lain dengan Remote Desktop Connection?

Latar Belakang

saya mencoba untuk terhubung ke server, dan Remote Desktop Client tidak memiliki kredensial yang disimpan:

masukkan deskripsi gambar di sini

Untuk mencoba menyimpan kredensial, saya memeriksa opsi Izinkan saya menyimpan kredensial :

masukkan deskripsi gambar di sini

saya kemudian memulai koneksi, masukkan kata sandi saya, dan perhatikan bahwa opsi Remember my credentials dicentang:

masukkan deskripsi gambar di sini

Setelah terhubung ke server, saya memastikan bahwa opsi kebijakan grup lokal

Kebijakan Komputer Lokal ➞ Konfigurasi Komputer ➞ Template Administratif ➞ Komponen Windows ➞ Layanan Desktop Jarak Jauh ➞ Klien Koneksi Desktop Jarak Jauh

  • Meminta kredensial di komputer klien
  • Jangan izinkan kata sandi disimpan

default untuk membiarkan kata sandi disimpan, dan default untuk tidak meminta kredensial, dipaksa untuk memungkinkan kata sandi disimpan, dan dipaksa untuk tidak meminta kata sandi:

masukkan deskripsi gambar di sini

Dan saya menjalankan gpupdate /forceuntuk memastikan pengaturan keamanan paksa off sedang digunakan.

Ulangi langkah di atas 4 atau 5 kali, pada kali ke 6 membuat tangkapan layar untuk pertanyaan stackoverflow .

Perhatikan bahwa klien Remote Desktop Connection menolak untuk menyimpan kata sandi saya, mencatat:

Anda akan dimintai kredensial saat terhubung

masukkan deskripsi gambar di sini

Jadi pertanyaannya adalah: Bagaimana cara menyimpan kredensial saat menghubungkan ke mesin?

Hal-hal tambahan telah dicoba

Seperti yang disarankan:

saya mencoba mengaktifkan "Izinkan mendelegasikan kredensial yang disimpan dengan otentikasi server khusus-NTLM" untuk TERMSRV/*masuk gpedit.mscpada mesin klien (misalnya Windows 7):

masukkan deskripsi gambar di sini

Orang-orang menyarankan ini tanpa menyadari bahwa itu hanya berlaku untuk otentikasi NTLM. NTLM adalah usang, tidak aman, dan tidak boleh digunakan :

NTLM adalah protokol otentikasi yang ketinggalan zaman dengan kelemahan yang berpotensi membahayakan keamanan aplikasi dan sistem operasi. Meskipun Kerberos telah tersedia selama bertahun-tahun banyak aplikasi masih ditulis untuk menggunakan NTLM saja. Ini secara tidak perlu mengurangi keamanan aplikasi.

Either way: itu tidak berhasil.

Informasi bonus

  • mencoba format nama pengguna modern [email protected]dan lawasavatopia.com\ian
  • mencoba mengatur kebijakan grup pada pengontrol domain
  • Klien profesional Windows 7 64-bit
  • Server Windows Server 2008 R2
  • Server Windows Server 2008
  • Server Windows Server 2012
  • Server Windows Server 2003 R2
  • semuanya dari Background on hanyalah pengisi agar terlihat seperti "upaya percobaan" ; Anda bisa mengabaikannya; termasuk baris ini yang berbicara tentang mengabaikan baris ini

Lampiran A

Klien adalah Windows 7, yang terhubung ke Windows Server 2008 R2, lebih dari RDP 7.1, dengan server menggunakan sertifikat yang dibuat secara otomatis:

masukkan deskripsi gambar di sini

Klien telah mengautentikasi identitas server:

masukkan deskripsi gambar di sini

Itu juga terjadi ketika menghubungkan ke Windows Server 2008, dan Windows Server 2012 (semua dari klien Windows 7). Semua mesin bergabung dengan domain yang sama.

Lampiran B

Set kebijakan yang dihasilkan ( rsop.msc) pada klien selalu meminta kata sandi pada koneksi diatur ke Dinonaktifkan :

masukkan deskripsi gambar di sini

Lampiran C

Hasil menghubungkan ke setiap server saya dapat menemukan. saya salah ketika saya mengatakan gagal pada koneksi apa pun ke Server 2003 . Masalahnya terbatas pada Server 2008 , 2008 R2 , dan 2012 :

  • Windows Server 2000: Ya *
  • Windows Server 2000: Ya *
  • Windows Server 2003: Ya
  • Windows Server 2003 R2: Ya
  • Windows Server 2003 R2: Ya (Pengontrol domain)
  • Windows Server 2003 R2: Ya
  • Windows Server 2008: Tidak
  • Windows Server 2008: Tidak
  • Windows Server 2008 R2: Tidak
  • Windows Server 2008 R2: Tidak
  • Windows Server 2012: Tidak
  • Windows Server 2012: Tidak

* menunjukkan bahwa ia akan menggunakan kredensial yang disimpan, tetapi harus memasukkan kembali kata sandi pada layar masuk 2000

Pembacaan Bonus

Ian Boyd
sumber
Jika Anda pergi ke Server Manager -> Roles -> Remote Desktop Services -> RD Session Host Configurationklik dua kali pada koneksi (kemungkinan disebut 'RDP-Tcp`) apa yang diatur untuk Sertifikat pada tab umum? Saya memiliki masalah di masa lalu di mana jika klien tidak menghormati sertifikat itu tidak akan menyimpan kredensial.
Scott Chamberlain
Juga pengaturan GP yang Anda tampilkan di tangkapan layar adalah pengaturan sisi klien. Periksa pengaturan apa yang diatur pada klien yang terhubung ke server. (gunakan rsop.mscuntuk melihat dengan cepat pengaturan kebijakan yang ditetapkan pada klien)
Scott Chamberlain
Apakah Anda menggunakan RDP 8? Apakah ini semua terjadi pada satu domain, atau lebih?
harrymc
@ScottChamberlain Menambahkan tangkapan layar. Tab umum mengatakan sertifikat itu "Otomatis dihasilkan" .
Ian Boyd
Apakah klien dan server berada dalam domain yang sama?
Scott Chamberlain

Jawaban:

17

saya menemukan solusinya. Itu sekaligus halus, dan jelas.

Seperti yang disebutkan dalam pertanyaan, ketika saya memodifikasi pengaturan Kebijakan Grup Klien Koneksi Remote Desktop berikut :

  • Meminta kredensial di komputer klien
  • Jangan izinkan kata sandi disimpan

saya sedang memeriksa mereka di server :

masukkan deskripsi gambar di sini

Saya pikir itu akan menjadi server yang menentukan apa yang boleh dilakukan klien . Ternyata itu sepenuhnya salah. Itu jawaban @ mpy (sementara salah), yang membawa saya ke solusi. saya seharusnya tidak melihat kebijakan klien RDP di server RDP , saya perlu melihat kebijakan klien RDP di mesin klien RDP saya :

masukkan deskripsi gambar di sini

Di mesin Windows 7 klien saya, kebijakannya adalah:

  • Jangan izinkan kata sandi disimpan: Diaktifkan
  • Meminta kredensial di komputer klien: Diaktifkan

saya tidak tahu kapan opsi ini diaktifkan (saya tidak mengaktifkannya dalam memori baru-baru ini). Bagian yang membingungkan adalah itu

Jangan izinkan kata sandi disimpan

Diaktifkan, klien RDP masih akan menyimpan kata sandi; tetapi hanya untuk server di bawah Windows Server 2008.

Tabel kebenaran berfungsi:

Do not allow saved  Prompt for creds  Works for 2008+ servers  Works for 2003 R2- servers
==================  ================  =======================  ==========================
Enabled             Enabled           No                       Yes
Enabled             Not Configured    No                       No
Not Configured      Enabled           Yes                      Yes
Not Configured      Not Configured    Yes                      Yes

Jadi ada triknya. Pengaturan kebijakan grup di bawah:

Konfigurasi Komputer \ Kebijakan \ Template Administratif \ Komponen Windows \ Terminal Services \ Remote Desktop Connection Client

pada mesin klien harus dikonfigurasi dengan:

  • Jangan izinkan kata sandi disimpan: Tidak Dikonfigurasi (kritis)
  • Meminta kredensial di komputer klien: Tidak Dikonfigurasi

Sumber kebingungan lainnya adalah sementara

  • domain Diaktifkan kebijakan tidak dapat menimpa Disabled lokal
  • domain Kebijakan yang dinonaktifkan dapat diganti oleh kebijakan yang Diaktifkan lokal

Yang lagi mengarah ke tabel kebenaran:

Domain Policy   Local Policy    Effective Policy
==============  ==============  ==============================
Not Configured  Not Configured  Not configured (i.e. disabled)
Not Configured  Disabled        Disabled
Not Configured  Enabled         Enabled
Disabled        Not Configured  Disabled
Disabled        Disabled        Disabled
Disabled        Enabled         Disabled (client wins)
Enabled         Not Configured  Enabled
Enabled         Disabled        Enabled (domain wins)
Enabled         Enabled         Enabled
Ian Boyd
sumber
1
Di Windows 10 lokasinya Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Connection Client.
Marc.2377
12

Karena jawaban langsung untuk pertanyaan sudah ada, saya akan menyarankan pendekatan alternatif.

Remote Desktop Connection Manager (RDCMan) adalah alat yang ditulis oleh Julian Burger dan digunakan secara internal di Microsoft . Ini sangat ringan dan gratis dan menurut saya itu sangat meningkatkan produktivitas, terutama ketika Anda mempertahankan banyak koneksi. Dan ya, ia juga menyimpan kata sandi (dalam file konfigurasi xml).

Keuntungan:

  • Anda dapat mengatur koneksi dalam hierarki, yang mewarisi properti (mis. Kredensial, pengaturan warna, resolusi).
  • Semua konfigurasi, termasuk kata sandi hash, disimpan dalam satu file - mudah dipindahkan antar komputer.
  • Ringan, gratis, dapat diandalkan.

Kekurangan:

  • Beberapa orang tidak suka menu navigasi di sebelah kiri ketika tidak dalam mode layar penuh. Secara pribadi, saya terbiasa dengan cepat.

Manajer koneksi desktop jarak jauh

Cuplikan layar dari artikel:
Bagaimana Sysadmins RDP efisien menggunakan Remote Desktop Connection Manager

Paweł Bulwan
sumber
Karena tidak ada alasan / jawaban nyata (gpolicy baik-baik saja pada saya berdua) ini berfungsi. Dan lebih khusus: ini bekerja. Itu berhenti meminta kata sandi dua kali. (sekali melalui host (win7 disimpan kata sandi entri rdp) dan sekali melalui remote (server 2012r2) meskipun saya sudah masuk - hanya dc'd)
bshea
Saya tidak tahu bagaimana saya belum pernah menggunakan ini sebelumnya. Saya menggunakan RDP SETIAP HARI pada banyak server. Ini adalah penghemat produktivitas! WOW. Terima kasih!
ScottN
6

Jawaban terinci sudah ada di sana, dibuat oleh penanya. Saya hanya ingin mencatat bahwa masalah ini juga dapat terjadi ketika OS komputer klien adalah SKU rumah, sehingga tidak ada editor GP lokal yang tersedia, tidak ada kebijakan domain yang berlaku. Namun demikian, klien dapat bertindak seolah-olah kebijakan untuk selalu meminta kata sandi diatur (tidak tahu apa yang menyebabkan default seperti itu - mungkin beberapa program diinstal?).

Kemudian, penting untuk mengatur pengaturan registri kebijakan secara manual (klien MS RDP memeriksanya; Anda mungkin menemukannya menggunakan alat seperti procmon). Ini di sini:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]

"PromptForCredsOnClient"=dword:00000000

"DisablePasswordSaving"=dword:00000000
Mike Kaganski
sumber
3

Membaca pertanyaan Anda, saya menemukan pengaturan Kebijakan Grup ini: Prompt for credentials on the client computeryang Anda nonaktifkan .

MS Technet memberikan penjelasan berikut tentang pengaturan ini:

Prompt for credentials on the client computer

Pengaturan kebijakan ini menentukan apakah pengguna akan diminta pada komputer klien untuk memberikan kredensial untuk koneksi jarak jauh ke server terminal.

Jika Anda mengaktifkan pengaturan kebijakan ini, pengguna akan diminta pada komputer klien — alih-alih pada server terminal — untuk memberikan kredensial untuk koneksi jarak jauh ke server terminal. Jika kredensial yang disimpan untuk pengguna tersedia di komputer klien, pengguna tidak akan diminta untuk memberikan kredensial.

Catatan Jika Anda mengaktifkan pengaturan kebijakan ini dan pengguna diminta pada komputer klien dan pada server terminal untuk memberikan kredensial, jalankan alat Konfigurasi Layanan Terminal pada server terminal, dan di kotak dialog Properti untuk koneksi, kosongkan Selalu kotak centang konfirmasi kata sandi pada tab Log on Settings.

Jika Anda menonaktifkan atau tidak mengonfigurasi pengaturan kebijakan ini, versi sistem operasi pada server terminal akan menentukan kapan pengguna diminta untuk memberikan kredensial untuk koneksi jarak jauh ke server terminal . Untuk Windows 2000 dan Windows Server 2003, pengguna akan diminta pada server terminal untuk memberikan kredensial untuk koneksi jarak jauh. Untuk Windows Server 2008, pengguna akan diminta pada komputer klien untuk memberikan kredensial untuk koneksi jarak jauh.

Itu terdengar persis seperti skenario yang Anda hadapi. Anda ingin menyimpan kredensial pada mesin klien, jadi hanya memungkinkan para Prompt for credentials on the client computerpengaturan.

mpy
sumber
3

Dalam kasus saya, masalahnya adalah *.rdpfile yang diunduh dari Microsoft Azure memiliki baris berikut:

prompt for credentials:i:1

Biasanya memeriksa 'simpan kredensial' akan mengubah baris itu, tetapi karena alasan tertentu juga ditandai sebagai 'hanya baca'.


Hapus tanda sebagai 'hanya-baca' dan ubah baris ke

prompt for credentials:i:0

di notepad memperbaiki masalah ini.

BlueRaja - Danny Pflughoeft
sumber
Ini membuatku gila, aku harus terus mencari kata sandi dan mungkin menghabiskan beberapa jam selama setahun terakhir. Tidak tahu mengapa mereka melakukan ini. Terima kasih!
makhdumi
2

Saya sudah mencoba semua opsi yang mungkin dan tidak ada yang membantu. Saya telah mengatasi masalah ini dengan mengatur ulang kata sandi yang disimpan di Windows Vault untuk koneksi RDP.

Langkah-langkah yang harus dilakukan:

  1. Klik kanan pada ikon koneksi RDP => Edit
  2. Pilih "Selalu minta kredensial"
  3. Menghubungkan. Masukkan kata sandi yang tepat dan pilih "Ingat kredensial saya"

Itu saja.

PS: Masalahnya disebabkan oleh beberapa pembaruan Windows.

Igor
sumber
0

Saya sarankan menggunakan Royal TS yang melakukan manajemen kredensial jauh lebih baik daripada kekacauan yang dilakukan RDP Microsoft.

Versi terbaru bersifat komersial, mulai dari $ 35 untuk lisensi individu.

Atau Anda dapat memilih untuk Versi 1.5.1 , yang merupakan versi freeware terakhir, yang terlihat cukup memadai untuk melakukan pekerjaan itu.

harrymc
sumber
Sayangnya RoyalTS tidak menangani layar penuh, warna 32-bit, adalah unduhan terpisah. Dan beralih ke klien lain tidak menyelesaikan masalah di klien ini.
Ian Boyd
Versi freeware mendukung layar penuh, tetapi dalam 24-bit. Jika itu tidak cukup, mungkin versi komersial yang lebih baru (tersedia uji coba) dapat lebih baik.
harrymc
Jika saya memang memiliki royalti: pertanyaan saya masih berlaku. Terutama bagi orang-orang yang belum pernah bisa menyelesaikan masalah ini selama lima tahun terakhir; dan datang ke SuperUser berharap untuk solusi.
Ian Boyd
Jangan 'beriklan' produk berbayar atau shareware. Ini tidak menjawab pertanyaan dan jenis 'jawaban' ini cukup mengganggu.
bshea
RDCMan memadai tanpa masuk ke perangkat lunak 'gratis' berbayar atau cacat / lite / shareware. Jadi mengapa menambahkan ini? Coba superuser.com/a/606433/47628 - sepenuhnya gratis.
bshea
0

Tidak tahu mengapa, tetapi ini berhasil:

(Menggunakan Windows 7 Home Basic) Saya tidak mengkonfigurasi ulang nama pengguna saya di jendela opsi Remote Desktop Connection. Sebagai gantinya, saya terhubung ke host jarak jauh dan menunggu prompt kredensial (Keamanan Windows). Dan kemudian saya memberikan kredensial (nama pengguna dan kata sandi) dan memeriksa opsi untuk mengingat kredensial saya.

Tidak ada editor kebijakan grup untuk Windows 7 Home Basic. Juga, RDCMan (seperti yang disarankan dalam jawaban lain ) tidak membantu.

dresh
sumber