Заметки о Windows и других программных продуктах Microsoft...

Разрешаем сохранение учетных данных при подключении по RDP

Разрешаем сохранение учетных данных при подключении по RDP

При подключении к удаленному рабочему столу по RDP есть возможность сохранить учетные данные, чтобы не вводить их каждый раз. Но есть одна тонкость. Так если подключаться с компьютера, находящегося в домене, к компьютеру в рабочей группе, то использовать сохраненные данные не удастся, а будет выдано сообщение примерно такого содержания:

«Системный администратор запретил использовать сохраненные учетные данные для входа в систему удаленного компьютера, так как его подлинность проверена не полностью. Введите новые учетные данные.»

ошибка при подключении по RDP

 

Дело в том, что сохранение учетных данных при подключении к удаленному компьютеру запрещено доменными политиками по умолчанию. Однако такое положение вещей можно изменить.

На компьютере, с которого осуществляется подключение, нажимаем Win+R и вводим команду gpedit.msc, затем жмем OK. Дополнительно может потребоваться ввод пароля администратора или его подтверждения, в зависимости от политики UAC.

В открывшемся окне редактора локальной групповой политики идем в раздел Административные шаблоны -> Система -> Передача учетных данных. Нас интересует политика Разрешить делегирование сохраненных учетных данных с проверкой подлинности сервера ″только NTLM″ (в англ. варианте Allow Delegating Saved Credentials with NTLM-only Server Authentication).

окно редактора локальных групповых политик

 

Включаем политику, затем жмем на кнопку Показать, чтобы добавить в список серверы, к которым собираемся подключаться.

включаем политику сохранения учетных записей при подключении по RDP

 

Заполнять список можно несколькими способами. Например:

• TERMSRV/удаленный_пк — разрешаем сохранять учетные данные для одного конкретного компьютера;
• TERMSRV/*.contoso.com — разрешаем сохранять данные для всех компьютеров в домене contoso.com;
• TERMSRV/* — разрешаем сохранять данные для всех компьютеров без исключения.

Внимание: используйте в TERMSRV заглавные буквы, как в примере. Если указан конкретный компьютер, то значение удаленный_пк  должно полностью совпадать с именем, введенным в поле «Компьютер» удаленного рабочего стола.

добавляем в список сервера удаленного доступа

 

Заполнив список жмем OK и закрываем редактор групповых политик. Открываем командную консоль и обновляем политики командой gpupdate /force.  Все, можно подключаться.

И еще. Используя локальные групповые политики мы разрешаем сохранять учетные данные только на одном конкретном компьютере. Для нескольких компьютеров будет лучше создать в домене отдельное OU и привязать к нему соответствующую доменную политику.

 
 
Комментарии

TERMSRV — именно это название надо вписывать? Если это не так, то допустим подключаемся с компьютера COMP (состоящего в домене domain.local) к серверу SERV, то какую запись необходимо внести в локальную политику компьютера COMP?

TERMSRV означает терминальное подключение. Должно получиться так: TERMSRV/SERV.domain.local или TERMSRV/SERV

Спасибо, заработало.

По умолчанию все это выключено, если кто то не включил ручками.
Необходимо в «Конфигурации сервера узла сеансов удаленных рабочих столов» в свойствах подключения RDP-Tcp на вкладке «Общие», уровень безопасности (по умолчанию — «согласование») изменить на «Уровень безопасности RDP» и будет счастье ))))).

Проверил, не работает.
Клиент — Windows 7×64 (в домене)
Сервер RDP — Windows 7×64 (не в домене)
Включил в локальных групповых политиках клиента «Разрешить делегирование сохраненных учетных данных с проверкой подлинности сервера ″только NTLM″». Задал значение — TERMSRV/*. Перезагрузил компьютер… а ошибка все так же осталась.

Возможно политика не применилась. Попробуйте принудительно обновить ее командой gpupdate /force. Также сохранение учетных данных может быть запрещено доменными политиками, а они имеют приоритет над локальными.

Попробовал провести следующую проверку —
Создал в AD тестововое подразделение, блокировал наследование политик. Создал новую политику в которой задал значение TERMSRV/* в параметре «Разрешить делегирование сохраненных учетных данных с проверкой подлинности сервера ″только NTLM″». Так же в данной политике запретил менять настройки прокси сервера в IE чтобы проверить, что политика применяется. Включил в фильтр безопасности данной политики группу с компьютерами, в которых хочу сохранять пароли соединений по RDP на машины не в домене.
Пробовал на данных компьютерах примерять команду gpupdate /force и пробовал перезагружать их. Вновь созданная мной политика применялась, т.к. я не мог менять настройки прокси. Но сохранение паролей в подключении RDP при подключении к не доменным компьютерам так и не работает. Все так же пишет —
«Системный администратор запретил использовать сохраненные учетные данные для входа в систему удаленного компьютера, так как его подлинность проверена не полностью. Введите новые учетные данные.»

Скрин применяемых политик — https://cloud.mail.ru/public/0053878d393d%2FSaveRDPPWD.png

А если вместо * проставить имя или IP ?

Попробовал Host Name и IP адрес вписать после TERMSRV/ , все равно выводит то же сообщение об ошибке.
Это загадка какая то. Хочу поднять тестовую среду для изучения проблемы.

Эта ошибка возникает не обязательно если удалённый компьютер находится в рабочей группе. Он так же будет возникать, если компьютер в домене, RDP идёт по сертификату, а обращение к компьютеру идёт не по его реальному имени, внесённому в сертификат, а по алиасу CNAME. Имена не совпадает, соответственно будет ошибка.

Сергей Орлов

«TERMSRV/*» — людей не вводите в заблуждение обратным слэшем…..

Можно уточнить, где конкретно указан обратный слеш?

Спасибо помогло, допустил ошибку поставил неправильный слеш «\», а надо было «/» из-за чего сначала не сработало, но потом исправил и все получилось. Спасибо!

Дмитрий

на 2012 почему то не прокатило

Андрей

Если компьютер в домене, то тоже самое надо сделать в настройках групповых политик домена. У меня иначе не заработало.

Сергей

сеть с доменом на windows 2012, компьютер на win7 в этом домене, подключается в серверу в интернете по ip..
пробовал применять политику и на компьютере, и после того как не помогло и доменную по умолчанию
слеш нормальный — прямой
* использовал вместо имени
gpupdate /force делал
осталось на удал.сервере уровень безопасности поменять и проверить..

Дмитрий

спустя 4,5 годя — спасибо. Помогло!

Дмитpий

спустя 4,5 годя — спасибо. Помогло!

Валентин

Статья рабочая, но исходные данные причин не верные — если запрещено доменной политикой, то какой? И как применяются политики в домене? Разве локальная применяется не первой, а затем ее перебивают доменные? Эта история возникла не так давно, предполагаю — влияние каких-то обновлений, но не уверен в этом.

В данном случае речь шла не о конкретной групповой политике. Просто для доменных компьютеров сохранение учетных данных при подключении к удаленному компьютеру по умолчанию запрещено.

Leave a Reply to Юрий