Windows 7 Remote Desktop Connection Enregistrer les informations d'identification ne fonctionne pas

40

Comment autoriser l'enregistrement des informations d'identification lors de la connexion à un autre ordinateur avec Remote Desktop Connection?

Contexte

J'essaie de me connecter à un serveur et le client de bureau à distance n'a aucune information d'identification sauvegardée:

entrez la description de l'image ici

Pour essayer de sauvegarder les informations d'identification, cochez l'option Autoriser l'enregistrement des informations d'identification :

entrez la description de l'image ici

Je lance ensuite la connexion, entre mon mot de passe et remarque que l' option Mémoriser mes identifiants est cochée:

entrez la description de l'image ici

Une fois connecté au serveur, je vérifie que les options de stratégie de groupe local

Stratégie de l'ordinateur local ➞ Configuration de l'ordinateur ➞ Modèles d'administration Composants Windows ➞ Services de bureau à distance Client de connexion au bureau à distance

  • Demander des informations d'identification sur l'ordinateur client
  • Ne pas permettre aux mots de passe d'être enregistrés

qui autorise par défaut les mots de passe à être enregistrés et ne demande pas d'informations d'identification, est obligé d'autoriser les mots de passe à être enregistrés et forcé de ne pas demander les mots de passe:

entrez la description de l'image ici

Et je cours gpupdate /forcepour m'assurer que les paramètres de sécurité forcés sont utilisés.

Répétez les étapes ci-dessus 4 ou 5 fois, la sixième fois, en créant des captures d'écran pour une question de stackoverflow .

Notez que le client Connexion Bureau à distance refuse de sauvegarder mon mot de passe, en notant:

Vos identifiants vous seront demandés lors de votre connexion.

entrez la description de l'image ici

La question est donc de savoir comment enregistrer les informations d'identification lors de la connexion à une machine.

Des choses supplémentaires essayées

Comme suggéré:

J'ai essayé permettant la « d' autoriser la délégation des informations d' identification enregistrées avec l' authentification du serveur NTLM uniquement » pour TERMSRV/*dans gpedit.mscle client de la machine (Windows 7 par exemple):

entrez la description de l'image ici

Les gens suggèrent cela sans se rendre compte que cela ne s'applique qu'à l'authentification NTLM. NTLM est obsolète, peu sûr et ne doit pas être utilisé :

NTLM est un protocole d'authentification obsolète avec des failles pouvant compromettre la sécurité des applications et du système d'exploitation. Bien que Kerberos soit disponible depuis de nombreuses années, de nombreuses applications sont toujours conçues pour utiliser NTLM uniquement. Cela réduit inutilement la sécurité des applications.

De toute façon: ça n'a pas marché.

Informations sur les bonus

  • essayé les formats de nom d'utilisateur modernes [email protected]et héritésavatopia.com\ian
  • essayé de définir la stratégie de groupe sur le contrôleur de domaine
  • Client professionnel Windows 7 64 bits
  • Serveur Windows Server 2008 R2
  • Serveur Windows Server 2008
  • Serveur Windows Server 2012
  • Serveur Windows Server 2003 R2
  • tout ce qui est à l’ arrière-plan n’est que de la charge pour donner l’impression que j’ai "tenté des efforts de recherche" ; vous pouvez l'ignorer; y compris cette ligne qui parle d'ignorer cette ligne

Annexe A

Le client est Windows 7, se connectant à Windows Server 2008 R2, via RDP 7.1, le serveur utilisant un certificat généré automatiquement:

entrez la description de l'image ici

Le client a authentifié l'identité du serveur:

entrez la description de l'image ici

Cela se produit également lors de la connexion à Windows Server 2008 et Windows Server 2012 (tous à partir du client Windows 7). Toutes les machines sont jointes au même domaine.

Appendice B

L'ensemble résultant de stratégie ( rsop.msc) sur le client a toujours Invite pour le mot de passe à la connexion défini sur Désactivé :

entrez la description de l'image ici

Annexe C

Résultats de la connexion à chaque serveur que je peux trouver. J'avais tort quand j'ai dit qu'il échoue sur toute connexion à Server 2003 . Le problème est limité à Server 2008 , 2008 R2 et 2012 :

  • Windows Server 2000: oui *
  • Windows Server 2000: oui *
  • Windows Server 2003: oui
  • Windows Server 2003 R2: Oui
  • Windows Server 2003 R2: Oui (contrôleur de domaine)
  • Windows Server 2003 R2: Oui
  • Windows Server 2008: Non
  • Windows Server 2008: Non
  • Windows Server 2008 R2: Non
  • Windows Server 2008 R2: Non
  • Windows Server 2012: Non
  • Windows Server 2012: Non

* indique qu'il utilisera les informations d'identification enregistrées, mais doit saisir à nouveau le mot de passe à l'écran de connexion de 2000

Lecture bonus

Ian Boyd
la source
Si vous allez à, Server Manager -> Roles -> Remote Desktop Services -> RD Session Host Configurationpuis double-cliquez sur la connexion (probablement appelée 'RDP-Tcp`) qu'est-ce qui est défini pour le certificat sur l'onglet général? J'ai eu des problèmes dans le passé où si le client ne respectait pas le certificat, il ne sauvegarderait pas les informations d'identification.
Scott Chamberlain
De plus, les paramètres de stratégie de groupe que vous affichez dans votre capture d'écran sont les paramètres côté client. Vérifiez les paramètres définis sur le client se connectant au serveur. (à utiliser rsop.mscpour voir rapidement quels sont les paramètres de politique définis sur le client)
Scott Chamberlain
Utilisez-vous RDP 8? Est-ce que tout se passe sur un domaine, ou plus?
harrymc
@ScottChamberlain Added screenshot. L'onglet général dit que le certificat est "généré automatiquement" .
Ian Boyd
Le client et le serveur sont-ils dans le même domaine?
Scott Chamberlain

Réponses:

17

J'ai trouvé la solution. C'était à la fois subtil et évident.

Comme indiqué dans la question, lorsque je modifiais les paramètres de stratégie de groupe du client du client Connexion Bureau à distance suivants :

  • Demander des informations d'identification sur l'ordinateur client
  • Ne pas permettre aux mots de passe d'être enregistrés

Je les vérifiais sur le serveur :

entrez la description de l'image ici

Je pensais que ce serait le serveur qui dicterait ce que le client est autorisé à faire. Il s'avère que c'est complètement faux. C'était la réponse de @ mpy (en cas d'erreur) qui m'a conduit à la solution. Je ne devrais pas regarder la politique du client RDP sur le serveur RDP , je dois regarder la politique du client RDP sur mon ordinateur client RDP :

entrez la description de l'image ici

Sur mon ordinateur client Windows 7, la stratégie était la suivante:

  • Ne pas autoriser les mots de passe à être enregistrés: Activé
  • Demander les informations d'identification sur l'ordinateur client: activé

Je ne sais pas quand ces options ont été activées (je ne les ai pas activées dans la mémoire récente). La partie déroutante est que même si

Ne pas permettre aux mots de passe d'être enregistrés

est activé, le client RDP conserverait le mot de passe; mais uniquement pour les serveurs sous Windows Server 2008.

La table de vérité du fonctionnement:

Do not allow saved  Prompt for creds  Works for 2008+ servers  Works for 2003 R2- servers
==================  ================  =======================  ==========================
Enabled             Enabled           No                       Yes
Enabled             Not Configured    No                       No
Not Configured      Enabled           Yes                      Yes
Not Configured      Not Configured    Yes                      Yes

Donc, il y a le truc. Les paramètres de stratégie de groupe sous:

Configuration de l'ordinateur \ Stratégies \ Modèles d'administration \ Composants Windows \ Services Terminal Server \ Client de connexion Bureau à distance

sur la machine client doit être configuré avec:

  • Ne pas autoriser les mots de passe à être enregistrés: Non configuré (critique)
  • Demander des informations d'identification sur l'ordinateur client: Non configuré

L’autre source de confusion est que, même si

  • une stratégie de domaine activée ne peut pas remplacer une désactivée locale
  • une politique de domaine désactivé peut être remplacée par une politique locale activée

Ce qui mène encore à une table de vérité:

Domain Policy   Local Policy    Effective Policy
==============  ==============  ==============================
Not Configured  Not Configured  Not configured (i.e. disabled)
Not Configured  Disabled        Disabled
Not Configured  Enabled         Enabled
Disabled        Not Configured  Disabled
Disabled        Disabled        Disabled
Disabled        Enabled         Disabled (client wins)
Enabled         Not Configured  Enabled
Enabled         Disabled        Enabled (domain wins)
Enabled         Enabled         Enabled
Ian Boyd
la source
1
Sous Windows 10, l'emplacement est Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Connection Client.
Marc.2377 le
12

Puisque la réponse directe à la question est déjà là, je proposerai une approche alternative.

Le Gestionnaire de connexion Bureau à distance (RDCMan) est un outil écrit par Julian Burger et utilisé en interne par Microsoft . Il est très léger et gratuit et, à mon avis, il améliore considérablement la productivité, en particulier lorsque vous maintenez de nombreuses connexions. Et oui, il stocke aussi les mots de passe (dans le fichier de configuration XML).

Avantages:

  • Vous pouvez organiser les connexions en hiérarchies, qui héritent des propriétés (par exemple, informations d'identification, paramètres de couleur, résolution).
  • Toute la configuration, y compris les mots de passe hachés, est stockée dans un fichier - facile à déplacer entre les ordinateurs.
  • Léger, gratuit, fiable.

Désavantages:

  • Certaines personnes n'aiment pas le menu de navigation de gauche lorsqu'elles ne sont pas en mode plein écran. Personnellement, je m'y suis habitué rapidement.

Gestionnaire de connexion de bureau à distance

Capture d'écran de l'article:
Comment Sysadmins RDP utiliser efficacement le Gestionnaire de connexions Bureau à distance

Paweł Bulwan
la source
Par manque de raison / réponse réelle (gpolicy convient aux deux), cela sert. Et plus spécifiquement: ça marche. Il a cessé de demander des mots de passe deux fois. (une fois par l'hôte (entrée de mot de passe rdp avec win7 enregistré) et une fois via une télécommande (serveur 2012r2) même si je suis déjà connecté - il suffit d'être connecté)
bshea
Je ne sais pas comment je n'ai jamais utilisé cela auparavant. J'utilise RDP DAILY sur de nombreux serveurs. C'est un gain de productivité! SENSATIONNEL. Merci!
ScottN
6

La réponse la plus détaillée est déjà là, faite par le demandeur. Je veux seulement noter que ce problème peut également se produire lorsque le système d'exploitation de l'ordinateur client est une SKU de base. Par conséquent, aucun éditeur de stratégie de groupe local n'est disponible, aucune stratégie de domaine n'est en vigueur. Néanmoins, le client peut agir comme si la politique consistant à toujours demander le mot de passe était définie (vous ne savez pas quelle est la cause d'un tel défaut - peut-être un programme installé?).

Ensuite, il est utile de définir manuellement le paramètre de registre de stratégie (le client MS RDP le vérifie; vous pouvez le trouver à l'aide d'un outil tel que procmon). C'est ici:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]

"PromptForCredsOnClient"=dword:00000000

"DisablePasswordSaving"=dword:00000000
Mike Kaganski
la source
3

En parcourant vos questions, je suis tombé sur ce paramètre de stratégie de groupe: Prompt for credentials on the client computerque vous avez désactivé .

MS Technet donne l'explication suivante sur ce paramètre:

Prompt for credentials on the client computer

Ce paramètre de stratégie détermine si un utilisateur sera invité sur l'ordinateur client à fournir les informations d'identification pour une connexion distante à un serveur Terminal Server.

Si vous activez ce paramètre de stratégie, un utilisateur sera invité sur l'ordinateur client (et non sur le serveur Terminal Server) à fournir les informations d'identification pour une connexion distante à un serveur Terminal Server. Si les informations d'identification enregistrées pour l'utilisateur sont disponibles sur l'ordinateur client, l'utilisateur ne sera pas invité à fournir des informations d'identification.

Remarque Si vous activez ce paramètre de stratégie et qu'un utilisateur est invité à fournir des informations d'identification sur l'ordinateur client et sur le serveur Terminal Server, exécutez l'outil de configuration des services Terminal Server sur le serveur Terminal Server. Dans la boîte de dialogue Propriétés de la connexion, décochez la case Toujours. case à cocher invite de mot de passe dans l’onglet Paramètres de connexion.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, la version du système d'exploitation sur le serveur Terminal Server déterminera à quel moment un utilisateur est invité à fournir des informations d'identification pour une connexion distante à un serveur Terminal Server . Pour Windows 2000 et Windows Server 2003, un utilisateur sera invité sur le serveur Terminal Server à fournir des informations d'identification pour une connexion à distance. Pour Windows Server 2008, un utilisateur sera invité à fournir des informations d'identification pour une connexion à distance sur l'ordinateur client.

Cela semble être exactement le scénario auquel vous faites face. Vous souhaitez enregistrer les informations d'identification sur la machine cliente, activez donc simplement le Prompt for credentials on the client computerparamètre.

mpy
la source
3

Dans mon cas, le problème était que le *.rdpfichier téléchargé à partir de Microsoft Azure avait la ligne suivante:

prompt for credentials:i:1

Normalement, cocher "enregistrer les informations d'identification" changerait cette ligne, mais pour une raison quelconque, elle est également marquée en "lecture seule".


Annulez le marquage en "lecture seule" et changez la ligne en

prompt for credentials:i:0

dans le bloc-notes a résolu le problème.

BlueRaja - Danny Pflughoeft
la source
Cela me rendait fou, je devais continuer à chercher des mots de passe et j'ai probablement perdu plusieurs heures au cours de la dernière année. Aucune idée pourquoi ils font cela. Merci!
makhdumi
2

J'ai essayé toutes les options possibles et rien ne m'aide. J'ai résolu le problème en réinitialisant le mot de passe stocké dans la connexion Windows Vault for RDP.

Étapes à suivre:

  1. Clic droit sur l'icône de connexion RDP => Modifier
  2. Sélectionnez "Toujours demander les informations d'identification"
  3. Relier. Entrez le bon mot de passe et sélectionnez "Mémoriser mes informations d'identification"

C'est tout.

PS: Le problème était dû à une mise à jour Windows.

Igor
la source
0

Je suggère d'utiliser Royal TS pour gérer les informations d'identification bien mieux que le gâchis causé par le protocole RDP de Microsoft.

La dernière version est commerciale, à partir de 35 $ pour la licence individuelle.

Ou vous pouvez opter pour la version 1.5.1 , qui est la dernière version gratuite, qui semble tout à fait suffisante pour faire le travail.

harrymc
la source
Malheureusement, RoyalTS ne gère pas les couleurs en plein écran, 32 bits, est un téléchargement séparé. Et le passage à un autre client ne résout pas le problème de ce client.
Ian Boyd
La version gratuite prend en charge le plein écran, mais en 24 bits. Si cela ne suffisait pas, la version commerciale la plus récente (version d'évaluation disponible) peut peut-être faire mieux.
harrymc
Si je possédais RoyalTS: ma question est toujours valable. Surtout pour les personnes qui n'ont jamais été en mesure de résoudre ce problème au cours des cinq dernières années; et est venu à SuperUser dans l'espoir d'une solution.
Ian Boyd
Ne "publiez" pas de produits payants ou en shareware. Cela ne répond pas à la question et ces types de "réponses" deviennent assez ennuyeux.
bshea
RDCMan est adéquat sans entrer dans un logiciel "gratuit" payant ou paralysé / lite / shareware. Alors pourquoi ajouter ceci? Essayez superuser.com/a/606433/47628 - gratuitement.
bshea
0

Je ne sais pas pourquoi, mais cela a fonctionné:

(Sous Windows 7 Home Basic) Je n’ai pas préconfiguré mon nom d’utilisateur dans la fenêtre d’options Connexion Bureau à distance. Au lieu de cela, je me suis connecté à l'hôte distant et ai attendu l'invite d'informations d'identification (sécurité Windows). Et puis j'ai donné les informations d'identification (nom d'utilisateur et mot de passe) et coché l'option pour me souvenir de mes informations d'identification.

Il n'y a pas d'éditeur de stratégie de groupe pour Windows 7 Home Basic. En outre, RDCMan (comme suggéré dans une autre réponse ) n'a pas aidé.

dresh
la source