ฉันจะอนุญาตให้บันทึกข้อมูลรับรองเมื่อเชื่อมต่อกับเครื่องอื่นด้วยการเชื่อมต่อเดสก์ท็อประยะไกลได้อย่างไร

พื้นหลัง

ฉันพยายามเชื่อมต่อกับเซิร์ฟเวอร์และไคลเอนต์เดสก์ท็อประยะไกลไม่มีข้อมูลประจำตัวที่บันทึกไว้:

ในการพยายามบันทึกข้อมูลรับรองฉันเลือกตัวเลือกอนุญาตให้ฉันบันทึกข้อมูลรับรอง :

จากนั้นฉันจะเริ่มต้นการเชื่อมต่อป้อนรหัสผ่านของฉันและสังเกตว่าตัวเลือกจดจำข้อมูลประจำตัวของฉันได้รับการตรวจสอบแล้ว:

เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ฉันแน่ใจว่าตัวเลือกนโยบายกลุ่มท้องถิ่น

นโยบายคอมพิวเตอร์เฉพาะที่ Configuration การกำหนดค่าคอมพิวเตอร์ Tem แม่แบบการดูแลระบบ Components ส่วนประกอบของ Windows ➞บริการเดสก์ท็อประยะไกล Client ไคลเอนต์การเชื่อมต่อเดสก์ท็อประยะไกล

• พรอมต์สำหรับข้อมูลประจำตัวบนคอมพิวเตอร์ไคลเอนต์
• ไม่อนุญาตให้บันทึกรหัสผ่าน

ค่าเริ่มต้นที่อนุญาตให้บันทึกรหัสผ่านและค่าเริ่มต้นที่จะไม่แสดงพร้อมท์ข้อมูลประจำตัวถูกบังคับให้อนุญาตให้บันทึกรหัสผ่านและถูกบังคับให้ไม่ต้องแจ้งรหัสผ่าน:

และฉันก็เรียกใช้gpupdate /forceเพื่อให้แน่ใจว่าการตั้งค่าความปลอดภัยถูกปิดการใช้งาน

ทำซ้ำขั้นตอนข้างต้น 4 หรือ 5 ครั้งในครั้งที่ 6 ที่สร้างสกรีนช็อตสำหรับคำถามสแต็คโอเวอร์โฟลว์

ขอให้สังเกตว่าไคลเอนต์การเชื่อมต่อเดสก์ท็อประยะไกลปฏิเสธที่จะบันทึกรหัสผ่านของฉันสังเกต:

คุณจะถูกถามถึงข้อมูลประจำตัวของคุณเมื่อคุณเชื่อมต่อ

ดังนั้นคำถามคือ: บันทึกข้อมูลประจำตัวเมื่อเชื่อมต่อกับเครื่องได้อย่างไร

พยายามทำสิ่งเพิ่มเติม

ตามที่แนะนำ:

• ในคำถาม Stackoverflow (ปิด)
• โพสต์ฟอรัม Microsoft

ฉันพยายามเปิดใช้งาน"อนุญาตการมอบสิทธิ์บันทึกข้อมูลรับรองที่มีการตรวจสอบความถูกต้องเซิร์ฟเวอร์ NTLM เท่านั้น"สำหรับTERMSRV/*ในgpedit.mscเครื่องไคลเอนต์ (เช่น Windows 7):

ผู้คนแนะนำสิ่งนี้โดยไม่ทราบว่าใช้กับการตรวจสอบสิทธิ์ NTLM เท่านั้น NTLM เป็นระบบที่ล้าสมัยไม่ปลอดภัยและไม่ควรใช้ :

NTLM เป็นโปรโตคอลการตรวจสอบที่ล้าสมัยซึ่งมีข้อบกพร่องซึ่งอาจส่งผลต่อความปลอดภัยของแอปพลิเคชันและระบบปฏิบัติการ แม้ว่า Kerberos จะสามารถใช้งานได้เป็นเวลาหลายปี แต่แอปพลิเคชั่นจำนวนมากยังคงเขียนให้ใช้ NTLM เท่านั้น สิ่งนี้ช่วยลดความปลอดภัยของแอปพลิเคชันโดยไม่จำเป็น

วิธีใดวิธีหนึ่ง: มันไม่ทำงาน

ข้อมูลโบนัส

• ลองใช้รูปแบบชื่อผู้ใช้ที่ทันสมัยian@avatopia.comและดั้งเดิมavatopia.com\ian
• พยายามตั้งค่านโยบายกลุ่มบนตัวควบคุมโดเมน
• ไคลเอนต์ Windows 7 64-bit Professional
• เซิร์ฟเวอร์ Windows Server 2008 R2
• เซิร์ฟเวอร์ Windows Server 2008
• เซิร์ฟเวอร์ Windows Server 2012
• เซิร์ฟเวอร์ Windows Server 2003 R2
• ทุกอย่างจากพื้นหลังเป็นเพียงแค่การเติมเพื่อทำให้ดูเหมือนว่าฉัน"พยายามทำวิจัยบางอย่าง" ; คุณสามารถเพิกเฉยได้ รวมถึงบรรทัดนี้ซึ่งพูดถึงการละเว้นบรรทัดนี้

ภาคผนวกก

ไคลเอนต์คือ Windows 7 เชื่อมต่อกับ Windows Server 2008 R2 ผ่าน RDP 7.1 พร้อมเซิร์ฟเวอร์ที่ใช้ใบรับรองที่สร้างขึ้นอัตโนมัติ:

ไคลเอ็นต์ได้พิสูจน์ตัวตนของเซิร์ฟเวอร์แล้ว:

นอกจากนี้ยังเกิดขึ้นเมื่อเชื่อมต่อกับ Windows Server 2008 และ Windows Server 2012 (ทั้งหมดจากไคลเอนต์ Windows 7) เครื่องทั้งหมดเข้าร่วมกับโดเมนเดียวกัน

ภาคผนวก B

ชุดผลลัพธ์ของนโยบาย ( rsop.msc) เมื่อลูกค้ามีเสมอถามรหัสผ่านในการเชื่อมต่อชุดเพื่อผู้พิการ :

ภาคผนวกค

ผลลัพธ์ของการเชื่อมต่อกับเซิร์ฟเวอร์ทุกตัวที่ฉันหาได้ ผมผิดเมื่อฉันบอกว่ามันล้มเหลวในการเชื่อมต่อไปยังเซิร์ฟเวอร์ใด2003 ปัญหาถูก จำกัด ที่ Server 2008 , 2008 R2และ2012 :

• Windows Server 2000: ใช่ *
• Windows Server 2000: ใช่ *
• Windows Server 2003: ใช่
• Windows Server 2003 R2: ใช่
• Windows Server 2003 R2: ใช่ (ตัวควบคุมโดเมน)
• Windows Server 2003 R2: ใช่
• Windows Server 2008: ไม่
• Windows Server 2008: ไม่
• Windows Server 2008 R2: ไม่
• Windows Server 2008 R2: ไม่
• Windows Server 2012: ไม่
• Windows Server 2012: ไม่

^*ระบุว่าจะใช้ข้อมูลรับรองที่บันทึกไว้ แต่ต้องป้อนรหัสผ่านใหม่ที่หน้าจอเข้าสู่ระบบ 2000

การอ่านโบนัส

• KB281262: วิธีเปิดใช้งานการเข้าสู่ระบบอัตโนมัติบนเดสก์ท็อประยะไกลใน Windows XP
• SuperUser: การเชื่อมต่อเดสก์ท็อประยะไกลกำลังเพิกเฉยต่อข้อมูลรับรองที่บันทึกไว้
• ฟอรัม Windows Seven: Windows 7: การเชื่อมต่อเดสก์ท็อประยะไกลเข้าสู่ระบบอัตโนมัติ - อนุญาตหรือป้องกัน
• Microsoft.com: การบันทึกและการเปลี่ยนข้อมูลรับรองการเข้าสู่ระบบในการเชื่อมต่อเดสก์ท็อประยะไกล
• Microsoft.com: การบันทึกข้อมูลรับรองการเข้าสู่ระบบของคุณในการเชื่อมต่อเดสก์ท็อประยะไกล
• บล็อกบริการเดสก์ท็อประยะไกล MSDN: ข้อมูลประจำตัวที่บันทึกไว้ไม่ทำงาน
• Stackoverflow: การเชื่อมต่อเดสก์ท็อประยะไกลของ Windows 7 บันทึกข้อมูลรับรองไม่ทำงาน [ปิด]
• ฟอรัม Microsoft: การเชื่อมต่อเดสก์ท็อประยะไกลไม่ได้ใช้ข้อมูลรับรองที่บันทึกไว้

ฉันพบวิธีแก้ปัญหา ในเวลาเดียวกันก็มีทั้งความลึกซึ้งและชัดเจน

ตามที่กล่าวไว้ในคำถามเมื่อฉันแก้ไขการตั้งค่านโยบายกลุ่มไคลเอนต์การเชื่อมต่อเดสก์ท็อประยะไกลต่อไปนี้:

• พรอมต์สำหรับข้อมูลประจำตัวบนคอมพิวเตอร์ไคลเอนต์
• ไม่อนุญาตให้บันทึกรหัสผ่าน

ฉันกำลังตรวจสอบพวกเขาบนเซิร์ฟเวอร์ :

ฉันคิดว่ามันจะเป็นเซิร์ฟเวอร์ที่กำหนดสิ่งที่ลูกค้าได้รับอนุญาตให้ทำ ปรากฎว่าผิดอย่างสมบูรณ์ มันเป็นคำตอบของ @ mpy (ในขณะที่ไม่ถูกต้อง) ซึ่งนำฉันไปสู่การแก้ปัญหา ฉันไม่ควรดูนโยบายไคลเอนต์ RDP บนเซิร์ฟเวอร์ RDP ฉันต้องดูนโยบายไคลเอ็นต์ RDP บนเครื่องไคลเอนต์ RDP ของฉัน:

บนเครื่องไคลเอนต์ Windows 7 ของฉันนโยบายคือ:

• ไม่อนุญาตให้บันทึกรหัสผ่าน: เปิดใช้งาน
• พรอมต์สำหรับข้อมูลประจำตัวบนคอมพิวเตอร์ไคลเอนต์: เปิดใช้งาน

ฉันไม่ทราบว่าเปิดใช้งานตัวเลือกเหล่านี้เมื่อใด (ฉันไม่ได้เปิดใช้งานในหน่วยความจำล่าสุด) ส่วนที่สับสนคือแม้ว่า

ไม่อนุญาตให้บันทึกรหัสผ่าน

ถูกเปิดใช้งานไคลเอ็นต์ RDP จะยังคงบันทึกรหัสผ่าน แต่สำหรับเซิร์ฟเวอร์ที่ต่ำกว่า Windows Server 2008

ตารางความจริงของการทำงาน:

Do not allow saved  Prompt for creds  Works for 2008+ servers  Works for 2003 R2- servers
==================  ================  =======================  ==========================
Enabled             Enabled           No                       Yes
Enabled             Not Configured    No                       No
Not Configured      Enabled           Yes                      Yes
Not Configured      Not Configured    Yes                      Yes

ดังนั้นจึงมีเคล็ดลับ การตั้งค่านโยบายกลุ่มภายใต้:

คอมพิวเตอร์ Configuration \ Policies \ Administrative Templates \ Windows Components \ Terminal Services \ Remote Desktop การเชื่อมต่อลูกค้า

บนเครื่องไคลเอนต์จะต้องมีการกำหนดค่าด้วย:

• ไม่อนุญาตให้บันทึกรหัสผ่าน: ไม่ได้กำหนดค่า (สำคัญ)
• พรอมต์สำหรับข้อมูลประจำตัวบนคอมพิวเตอร์ไคลเอนต์: ไม่ได้กำหนดค่า

อีกแหล่งที่มาของความสับสนคือในขณะที่

• นโยบายที่เปิดใช้งานโดเมนไม่สามารถแทนที่ Local Disabled
• นโยบายโดเมนที่ปิดใช้งานสามารถถูกแทนที่โดยนโยบายที่เปิดใช้งานในท้องถิ่น

ซึ่งนำไปสู่ตารางความจริงอีกครั้ง:

Domain Policy   Local Policy    Effective Policy
==============  ==============  ==============================
Not Configured  Not Configured  Not configured (i.e. disabled)
Not Configured  Disabled        Disabled
Not Configured  Enabled         Enabled
Disabled        Not Configured  Disabled
Disabled        Disabled        Disabled
Disabled        Enabled         Disabled (client wins)
Enabled         Not Configured  Enabled
Enabled         Disabled        Enabled (domain wins)
Enabled         Enabled         Enabled

เนื่องจากคำตอบโดยตรงของคำถามนั้นมีอยู่แล้วฉันจะแนะนำวิธีการอื่น

Remote Desktop Connection Manager (RDCMan) เป็นเครื่องมือที่เขียนโดยจูเลียนเบอร์เกอร์และใช้ภายในใน Microsoft มันมีน้ำหนักเบามากและฟรีและในความคิดของฉันมันช่วยปรับปรุงประสิทธิภาพการทำงานโดยเฉพาะอย่างยิ่งเมื่อคุณรักษาการเชื่อมต่อหลายอย่าง และใช่มันเก็บรหัสผ่านด้วย (ในไฟล์กำหนดค่า xml)

ข้อดี:

• คุณสามารถจัดระเบียบการเชื่อมต่อในลำดับชั้นซึ่งสืบทอดคุณสมบัติ (เช่นข้อมูลรับรองการตั้งค่าสีความละเอียด)
• การกำหนดค่าทั้งหมดรวมถึงรหัสผ่านที่ถูกแฮชจะถูกเก็บไว้ในไฟล์เดียว - ง่ายต่อการย้ายระหว่างคอมพิวเตอร์
• น้ำหนักเบาฟรีเชื่อถือได้

ข้อเสีย:

• บางคนไม่ชอบเมนูการนำทางด้านซ้ายเมื่อไม่อยู่ในโหมดเต็มหน้าจอ ส่วนตัวฉันคุ้นเคยกับมันอย่างรวดเร็ว

สกรีนช็อตจากบทความ:
วิธี Sysadmins RDP อย่างมีประสิทธิภาพโดยใช้ Remote Desktop Connection Manager

คำตอบที่ละเอียดที่สุดอยู่ที่นั่นแล้วโดยผู้ถาม ฉันแค่ต้องการที่จะทราบว่าปัญหานี้อาจเกิดขึ้นเมื่อระบบปฏิบัติการคอมพิวเตอร์ไคลเอนต์เป็น SKU ภายในบ้านดังนั้นจึงไม่มีตัวแก้ไข GP ในตัวเครื่องให้ใช้งานและนโยบายโดเมนไม่มีผล อย่างไรก็ตามลูกค้าอาจทำหน้าที่เหมือนตั้งนโยบายให้ถามรหัสผ่านอยู่เสมอ (ไม่รู้ว่าอะไรเป็นสาเหตุของการเริ่มต้น - อาจมีบางโปรแกรมติดตั้งอยู่หรือไม่)

จากนั้นจะมีประโยชน์ในการตั้งค่านโยบายการตั้งค่ารีจิสทรีด้วยตนเอง (ไคลเอ็นต์ MS RDP ตรวจสอบคุณอาจพบว่าใช้เครื่องมือเช่น procmon) มันอยู่ที่นี่:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]

"PromptForCredsOnClient"=dword:00000000

"DisablePasswordSaving"=dword:00000000

อ่านผ่านคำถามของคุณผมสะดุดนี้การตั้งค่านโยบายกลุ่ม: Prompt for credentials on the client computerที่คุณปิดการใช้งาน

MS Technetให้คำอธิบายต่อไปนี้เกี่ยวกับการตั้งค่านี้:

Prompt for credentials on the client computer

การตั้งค่านโยบายนี้กำหนดว่าผู้ใช้จะได้รับพร้อมท์บนคอมพิวเตอร์ไคลเอนต์เพื่อให้ข้อมูลประจำตัวสำหรับการเชื่อมต่อระยะไกลไปยังเซิร์ฟเวอร์เทอร์มินัล

หากคุณเปิดใช้งานการตั้งค่านโยบายนี้ผู้ใช้จะได้รับแจ้งในคอมพิวเตอร์ไคลเอนต์แทนเซิร์ฟเวอร์เทอร์มินัลเพื่อมอบข้อมูลรับรองสำหรับการเชื่อมต่อระยะไกลไปยังเซิร์ฟเวอร์เทอร์มินัล ถ้าข้อมูลประจำตัวที่บันทึกไว้สำหรับผู้ใช้พร้อมใช้งานบนคอมพิวเตอร์ไคลเอนต์ผู้ใช้จะไม่ได้รับพร้อมท์ให้ใส่ข้อมูลประจำตัว

หมายเหตุ ถ้าคุณเปิดใช้งานการตั้งค่านโยบายนี้และผู้ใช้จะได้รับพร้อมท์บนคอมพิวเตอร์ไคลเอนต์และบนเซิร์ฟเวอร์เทอร์มินัลเพื่อให้ข้อมูลประจำตัวเรียกใช้เครื่องมือการตั้งค่าคอนฟิกบริการเทอร์มินัลบริการบนเซิร์ฟเวอร์เทอร์มินัล กล่องกาเครื่องหมายแจ้งรหัสผ่านบนแท็บการตั้งค่าเข้าสู่ระบบ

หากคุณปิดการใช้งานหรือไม่ได้กำหนดตั้งค่านโยบายนี้รุ่นของระบบปฏิบัติการบนเซิร์ฟเวอร์ terminal จะกำหนดเมื่อผู้ใช้จะได้รับแจ้งเพื่อให้ข้อมูลประจำตัวสำหรับการเชื่อมต่อระยะไกลไปยังเซิร์ฟเวอร์ สำหรับ Windows 2000 และ Windows Server 2003 ผู้ใช้จะได้รับแจ้งบนเซิร์ฟเวอร์เทอร์มินัลเพื่อให้ข้อมูลประจำตัวสำหรับการเชื่อมต่อระยะไกล สำหรับ Windows Server 2008 ผู้ใช้จะได้รับแจ้งในคอมพิวเตอร์ไคลเอนต์เพื่อให้ข้อมูลประจำตัวสำหรับการเชื่อมต่อระยะไกล

เสียงนั้นจะตรงกับสถานการณ์ที่คุณกำลังเผชิญอยู่ คุณต้องการบันทึกข้อมูลรับรองในเครื่องไคลเอนต์ดังนั้นเพียงแค่เปิดใช้งานการPrompt for credentials on the client computerตั้งค่า

ในกรณีของฉันปัญหาคือ*.rdpไฟล์ที่ดาวน์โหลดจาก Microsoft Azure มีบรรทัดต่อไปนี้:

prompt for credentials:i:1

โดยปกติการตรวจสอบ 'บันทึกข้อมูลประจำตัว' จะเปลี่ยนบรรทัดนั้น แต่ด้วยเหตุผลบางอย่างมันก็ถูกทำเครื่องหมายเป็น 'อ่านอย่างเดียว'

ยกเลิกการทำเครื่องหมายว่า 'อ่านอย่างเดียว' และเปลี่ยนบรรทัดเป็น

prompt for credentials:i:0

ใน Notepad แก้ไขปัญหา

ฉันได้ลองตัวเลือกที่เป็นไปได้ทั้งหมดและไม่มีอะไรช่วย ฉันได้แก้ไขปัญหาแล้วโดยการรีเซ็ตรหัสผ่านที่เก็บไว้ใน Windows Vault สำหรับการเชื่อมต่อ RDP

ขั้นตอนการทำ:

1. คลิกขวาที่ไอคอนการเชื่อมต่อ RDP => แก้ไข
2. เลือก "ขอข้อมูลประจำตัวเสมอ"
3. เชื่อมต่อ ป้อนรหัสผ่านที่ถูกต้องและเลือก "จดจำข้อมูลรับรองของฉัน"

นั่นคือทั้งหมดที่

PS: ปัญหาเกิดจากการปรับปรุง Windows บางอย่าง

ฉันขอแนะนำให้ใช้Royal TSที่จัดการข้อมูลประจำตัวได้ดีกว่าระเบียบที่ RDP ของ Microsoft ทำ

รุ่นล่าสุดคือเชิงพาณิชย์เริ่มต้นที่ $ 35 สำหรับใบอนุญาตของแต่ละบุคคล

หรือคุณสามารถเลือกใช้เวอร์ชั่น 1.5.1ซึ่งเป็นรุ่นฟรีแวร์ตัวล่าสุดที่มีลักษณะค่อนข้างเพียงพอที่จะทำงาน

ไม่ทราบว่าทำไม แต่สิ่งนี้ได้ผล:

(การใช้ Windows 7 Home Basic) ฉันไม่ได้กำหนดค่าชื่อผู้ใช้ล่วงหน้าในหน้าต่างตัวเลือกการเชื่อมต่อเดสก์ท็อประยะไกล แต่ฉันเชื่อมต่อกับโฮสต์ระยะไกลและรอรับการแจ้งเตือน (Windows Security) จากนั้นฉันให้ข้อมูลประจำตัว (ชื่อผู้ใช้และรหัสผ่าน) และตรวจสอบตัวเลือกเพื่อจดจำข้อมูลประจำตัวของฉัน

ไม่มีตัวแก้ไขนโยบายกลุ่มสำหรับ Windows 7 Home Basic นอกจากนี้ RDCMan (ตามที่แนะนำในคำตอบอื่น ) ก็ไม่ได้ช่วย