Conexão da área de trabalho remota do Windows 7 Salvar credenciais não está funcionando

40

Como permitir que as credenciais sejam salvas ao conectar-se a outra máquina com a Conexão de área de trabalho remota?

fundo

tento conectar-me a um servidor e o Remote Desktop Client não possui credenciais salvas:

insira a descrição da imagem aqui

Para tentar salvar as credenciais, marque a opção Permitir que eu salve credenciais :

insira a descrição da imagem aqui

inicio a conexão, insiro minha senha e observe que a opção Lembrar minhas credenciais está marcada:

insira a descrição da imagem aqui

Depois de conectado ao servidor, garanto que as opções da política de grupo local

Política do Computador Local Configuration Configuração do Computador Templates Modelos Administrativos ➞ Componentes do Windows Services Serviços de Área de Trabalho Remota ➞ Cliente de Conexão de Área de Trabalho Remota

  • Solicitar credenciais no computador cliente
  • Não permita que senhas sejam salvas

qual padrão para permitir que as senhas sejam salvas e padrão para não solicitar credenciais, é forçado a permitir que as senhas sejam salvas e forçado a não solicitar senhas:

insira a descrição da imagem aqui

E corro gpupdate /forcepara garantir que as configurações de segurança forçadas estão em uso.

Repita as etapas acima 4 ou 5 vezes, na 6ª vez, criando capturas de tela para uma pergunta sobre o stackoverflow .

Observe que o cliente Remote Desktop Connection se recusa a salvar minha senha, observando:

Suas credenciais serão solicitadas quando você se conectar

insira a descrição da imagem aqui

Portanto, a pergunta é: como salvar credenciais ao conectar-se a uma máquina?

Tentativas adicionais

Como foi sugerido:

i tentou permitindo que o "Permitir delegar credenciais salvas com NTLM somente a autenticação do servidor" para TERMSRV/*em gpedit.mscno cliente (por exemplo, Windows 7) máquina:

insira a descrição da imagem aqui

As pessoas sugerem isso sem perceber que isso se aplica apenas à autenticação NTLM. NTLM é um desatualizado, inseguro e não deve ser usado :

O NTLM é um protocolo de autenticação desatualizado com falhas que comprometem potencialmente a segurança dos aplicativos e do sistema operacional. Embora o Kerberos esteja disponível há muitos anos, muitos aplicativos ainda são gravados para usar apenas NTLM. Isso desnecessariamente reduz a segurança dos aplicativos.

De qualquer maneira: não funcionou.

Informações sobre bônus

  • tentou os formatos de nome de usuário moderno [email protected]e legadoavatopia.com\ian
  • tentei definir a diretiva de grupo no controlador de domínio
  • Cliente profissional do Windows 7 de 64 bits
  • Servidor Windows Server 2008 R2
  • Servidor Windows Server 2008
  • Servidor Windows Server 2012
  • Servidor Windows Server 2003 R2
  • tudo, desde o background em diante, é apenas preenchimento para parecer que "tentei algum esforço de pesquisa" ; você pode ignorá-lo; incluindo esta linha que fala sobre ignorar esta linha

Apêndice A

O cliente é o Windows 7, conectando-se ao Windows Server 2008 R2, através do RDP 7.1, com o servidor usando um certificado gerado automaticamente:

insira a descrição da imagem aqui

O cliente autenticou a identidade do servidor:

insira a descrição da imagem aqui

Isso também acontece ao se conectar ao Windows Server 2008 e ao Windows Server 2012 (todos do cliente Windows 7). Todas as máquinas estão associadas ao mesmo domínio.

Apêndice B

O conjunto de políticas resultante ( rsop.msc) no cliente sempre solicita a senha na conexão definida como Desativado :

insira a descrição da imagem aqui

apêndice C

Resultados da conexão com todos os servidores que posso encontrar. Eu estava errado quando disse que falha em qualquer conexão com o Server 2003 . O problema está limitado ao Server 2008 , 2008 R2 e 2012 :

  • Windows Server 2000: Sim *
  • Windows Server 2000: Sim *
  • Windows Server 2003: Sim
  • Windows Server 2003 R2: Sim
  • Windows Server 2003 R2: Sim (controlador de domínio)
  • Windows Server 2003 R2: Sim
  • Windows Server 2008: Não
  • Windows Server 2008: Não
  • Windows Server 2008 R2: Não
  • Windows Server 2008 R2: Não
  • Windows Server 2012: Não
  • Windows Server 2012: Não

* indica que ele usará credenciais salvas, mas deve redigitar a senha na tela de login 2000

Leitura de bônus

Ian Boyd
fonte
Se você Server Manager -> Roles -> Remote Desktop Services -> RD Session Host Configurationclicar duas vezes na conexão (provavelmente chamada de 'RDP-Tcp`), o que está definido para o certificado na guia geral? Eu tive problemas no passado em que, se o cliente não respeitasse o certificado, não salvaria as credenciais.
Scott Chamberlain
Além disso, as configurações de GP exibidas na captura de tela são do lado do cliente. Verifique o que a configuração está definida no cliente que está se conectando ao servidor. (uso rsop.mscpara ver rapidamente o que as definições de política estão definidas para o cliente)
Scott Chamberlain
Você está usando o RDP 8? Isso tudo está acontecendo em um domínio ou mais?
harrymc
@ScottChamberlain Captura de tela adicionada. A guia geral diz que o certificado é "Gerado automaticamente" .
Ian Boyd
O cliente e o servidor estão no mesmo domínio?
Scott Chamberlain

Respostas:

17

eu encontrei a solução Ao mesmo tempo, era sutil e óbvio.

Conforme mencionado na pergunta, quando eu estava modificando as seguintes configurações de Diretiva de Grupo do Cliente de Conexão de Área de Trabalho Remota :

  • Solicitar credenciais no computador cliente
  • Não permita que senhas sejam salvas

Eu estava verificando-os no servidor :

insira a descrição da imagem aqui

Eu pensei que seria o servidor que dita o que o cliente está autorizado a fazer. Acontece que está completamente errado. Foi a resposta do @ mpy (embora incorreta), que me levou à solução. eu não deveria estar olhando a política do cliente RDP no servidor RDP , preciso olhar a política do cliente RDP na minha máquina cliente RDP :

insira a descrição da imagem aqui

Na minha máquina cliente Windows 7, a política era:

  • Não permita que senhas sejam salvas: Ativado
  • Solicitar credenciais no computador cliente: Ativado

não sei quando essas opções foram ativadas (não as habilitei na memória recente). A parte confusa é que, embora

Não permita que senhas sejam salvas

estiver ativado, o cliente RDP ainda salvará a senha; mas apenas para servidores abaixo do Windows Server 2008.

A tabela de verdade do funcionamento:

Do not allow saved  Prompt for creds  Works for 2008+ servers  Works for 2003 R2- servers
==================  ================  =======================  ==========================
Enabled             Enabled           No                       Yes
Enabled             Not Configured    No                       No
Not Configured      Enabled           Yes                      Yes
Not Configured      Not Configured    Yes                      Yes

Então, existe o truque. As configurações da política de grupo em:

Configuração do computador \ Diretivas \ Modelos Administrativos \ Componentes do Windows \ Serviços de Terminal \ Cliente de Conexão de Área de Trabalho Remota

na máquina cliente precisa ser configurado com:

  • Não permita que senhas sejam salvas: Não configurado (crítico)
  • Solicitar credenciais no computador cliente: Não configurado

A outra fonte de confusão é que, embora

  • uma política de domínio ativado não pode substituir um local desativado
  • uma política Desabilitada do domínio pode ser substituída por uma política Habilitada local

O que novamente leva a uma tabela de verdade:

Domain Policy   Local Policy    Effective Policy
==============  ==============  ==============================
Not Configured  Not Configured  Not configured (i.e. disabled)
Not Configured  Disabled        Disabled
Not Configured  Enabled         Enabled
Disabled        Not Configured  Disabled
Disabled        Disabled        Disabled
Disabled        Enabled         Disabled (client wins)
Enabled         Not Configured  Enabled
Enabled         Disabled        Enabled (domain wins)
Enabled         Enabled         Enabled
Ian Boyd
fonte
1
No Windows 10, o local é Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Connection Client.
Marc.2377 16/04
12

Como a resposta direta à pergunta já está lá, sugerirei uma abordagem alternativa.

O Gerenciador de Conexão de Área de Trabalho Remota (RDCMan) é uma ferramenta criada por Julian Burger e usada internamente na Microsoft . É muito leve e gratuito e, na minha opinião, melhora muito a produtividade, especialmente quando você mantém muitas conexões. E sim, ele também armazena senhas (no arquivo de configuração xml).

Vantagens:

  • Você pode organizar conexões em hierarquias, que herdam propriedades (por exemplo, credenciais, configurações de cores, resolução).
  • Toda a configuração, incluindo senhas com hash, é armazenada em um arquivo - fácil de mover entre computadores.
  • Leve, livre, confiável.

Desvantagens:

  • Algumas pessoas não gostam do menu de navegação à esquerda quando não estão no modo de tela cheia. Pessoalmente, eu me acostumei rapidamente.

Gerenciador de conexões de área de trabalho remota

Captura de tela do artigo:
Como o Sysadmins RDP eficientemente usando o Gerenciador de Conexão de Área de Trabalho Remota

Paweł Bulwan
fonte
Por falta de razão / resposta real (gpolicy é bom para os dois), isso serve. E mais especificamente: funciona. Parou de pedir senhas duas vezes. (uma vez via host (win7 salvo entrada RDP senha) e uma vez via remota (servidor 2012r2), embora eu já estou logado - apenas dc'd)
bshea
Não sei como nunca usei isso antes. Eu uso o RDP DAILY em vários servidores. Este é um economizador de produtividade! UAU. Obrigado!
ScottN 26/09
6

A resposta mais detalhada já está lá, feita pelo solicitante. Quero apenas observar que esse problema também pode ocorrer quando o SO do computador cliente é um SKU doméstico, portanto, nenhum editor de GP local pode estar disponível, nem uma diretiva de domínio está em vigor. No entanto, o cliente pode agir como se a política de sempre solicitar senha estivesse definida (não sei o que causa esse padrão - talvez algum programa esteja instalado?).

Em seguida, é útil definir a configuração do registro de diretivas manualmente (o cliente MS RDP a verifica; você pode encontrá-la usando uma ferramenta como procmon). Está aqui:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]

"PromptForCredsOnClient"=dword:00000000

"DisablePasswordSaving"=dword:00000000
Mike Kaganski
fonte
3

Lendo suas perguntas, deparei-me com esta configuração de Diretiva de Grupo: Prompt for credentials on the client computerque você desativou .

O MS Technet fornece a seguinte explicação sobre essa configuração:

Prompt for credentials on the client computer

Essa configuração de diretiva determina se um usuário será solicitado no computador cliente a fornecer credenciais para uma conexão remota com um servidor de terminal.

Se você habilitar essa configuração de política, será solicitado ao usuário no computador cliente - em vez de no servidor de terminal - que forneça credenciais para uma conexão remota a um servidor de terminal. Se credenciais salvas para o usuário estiverem disponíveis no computador cliente, o usuário não será solicitado a fornecer credenciais.

Nota Se você habilitar essa configuração de política e for solicitado a um usuário no computador cliente e no servidor de terminal que forneça credenciais, execute a ferramenta Configuração dos Serviços de Terminal no servidor de terminal e, na caixa de diálogo Propriedades da conexão, limpe a opção Sempre solicitação de senha na guia Configurações de logon.

Se você desabilitar ou não definir essa configuração de política, a versão do sistema operacional no servidor de terminal determinará quando um usuário será solicitado a fornecer credenciais para uma conexão remota a um servidor de terminal . No Windows 2000 e Windows Server 2003, o usuário será solicitado no servidor de terminal a fornecer credenciais para uma conexão remota. No Windows Server 2008, um usuário será solicitado no computador cliente a fornecer credenciais para uma conexão remota.

Esse som é exatamente o cenário que você está enfrentando. Você deseja salvar as credenciais na máquina cliente, apenas ative a Prompt for credentials on the client computerconfiguração.

mpy
fonte
3

No meu caso, o problema era que o *.rdparquivo baixado do Microsoft Azure tinha a seguinte linha:

prompt for credentials:i:1

Normalmente, marcar 'salvar credenciais' mudaria essa linha, mas, por algum motivo, também é marcado como 'somente leitura'.


Desmarcando-o como 'somente leitura' e alterando a linha para

prompt for credentials:i:0

no bloco de notas corrigiu o problema.

BlueRaja - Danny Pflughoeft
fonte
Isso estava me deixando louco, eu tive que continuar procurando senhas e provavelmente perdi várias horas no ano passado. Não faço ideia por que eles fazem isso. Obrigado!
makhdumi
2

Eu tentei todas as opções possíveis e nada ajuda. Resolvi o problema redefinindo a senha armazenada no Windows Vault para conexão RDP.

Passos a fazer:

  1. Clique com o botão direito do mouse no ícone de conexão RDP => Editar
  2. Selecione "Sempre pedir credenciais"
  3. Conectar. Digite a senha correta e selecione "Lembrar minhas credenciais"

Isso é tudo.

PS: O problema foi causado por alguma atualização do Windows.

Igor
fonte
0

Sugiro usar o Royal TS que faz o gerenciamento de credenciais muito melhor do que a bagunça que o RDP da Microsoft faz.

A versão mais recente é comercial, a partir de US $ 35 para a licença individual.

Ou você pode optar pela versão 1.5.1 , que é a última versão do freeware, que parece suficiente para fazer o trabalho.

harrymc
fonte
Infelizmente, o RoyalTS não suporta cores em tela cheia de 32 bits, é um download separado. E mudar para outro cliente não resolve o problema nesse cliente.
Ian Boyd
A versão freeware suporta tela cheia, mas em 24 bits. Se isso não for suficiente, talvez a versão comercial mais recente (avaliação disponível) possa fazer melhor.
harrymc
Se eu possuí o RoyalTS: minha pergunta ainda permanece. Especialmente para pessoas que nunca foram capazes de resolver esse problema nos últimos cinco anos; e veio ao SuperUser esperando por uma solução.
Ian Boyd
Não 'anuncie' produtos pagos ou shareware. Isso não responde à pergunta e esses tipos de 'respostas' ficam bastante irritantes.
Bhea # 22/18
O RDCMan é adequado sem entrar em software 'free' pago ou aleijado / lite / shareware. Então, por que adicionar isso? Experimente superuser.com/a/606433/47628 - totalmente gratuito.
Bshea 22/05/19
0

Não sei por que, mas isso funcionou:

(Usando o Windows 7 Home Basic) Não pré-configurei meu nome de usuário na janela de opções de Conexão de área de trabalho remota. Em vez disso, conectei-me ao host remoto e esperei pelo prompt de credenciais (Segurança do Windows). E então eu dei as credenciais (nome de usuário e senha) e verifiquei a opção de lembrar minhas credenciais.

Não há editor de políticas de grupo para o Windows 7 Home Basic. Além disso, o RDCMan (como sugerido em outra resposta ) não ajudou.

dresh
fonte
Minha resposta para o Windows 7 (Home Premium): eventvwr.exe: Como registrar eventos de bloqueio e desbloqueio de estação de trabalho e invocados e dispensados ​​do protetor de tela mostra como instalar o gpedit.msc no Windows Starter Edition, Home and Home Premium
DavidPostill