Вбудований RDP клієнт Windows (mstsc.exe) дозволяє зберегти на комп’ютері ім’я і пароль користувача, який використовувався для підключення. Завдяки цьому користувачеві не потрібно щоразу вводити пароль для підключення до віддаленого RDP комп’ютера / сервера. У цій статті ми розглянемо, як налаштувати можливість збереження облікових даних для RDP підключення в Windows 10 / Windows Server 2012 R2 / 2016 і що робити, якщо не дивлячись на всі настройки, у користувачів не будуть збережені паролі для RDP підключення (Вам необхідно ввести пароль кожного разу)

  • Налаштування пам’яті пароля для RDP підключення
  • Що робити, якщо в Windows не зберігається пароль для RDP підключення?

Налаштування пам’яті пароля для RDP підключення

За замовчуванням Windows дозволяє користувачам зберігати паролі для RDP підключень. Для цього у вікні клієнта RDP (mstsc) користувач повинен ввести ім’я віддаленого RDP комп’ютера, обліковий запис і поставити галку “Разрешіть мені зберігати облікові дані“(Allow me to save credential). Після того, як користувач натискає кнопку “Підключити”, RDP сервер запитує пароль і комп’ютер зберігає його в Windows Credential Manager (не в .RDP файл).

зберегти дані для rdp підключення

В результаті при наступному підключенні до віддаленого RDP сервера під цим же користувач, пароль автоматично береться з Credential Manager і використовується для RDP-авторизації.

Як ви бачите, якщо для даного комп’ютера є збережений пароль, у вікні RDP клієнта вказано:

При підключенні до комп’ютера будуть використовуватися збережені облікові дані. Ці облікові дані можна змінити або видалити.

При підключенні до віддаленого работчемустолу будуть використовуватися збережені облікові дані

Я як адміністратор зазвичай не рекомендую користувачам зберігати паролі. Набагато краще в домені для прозорої RDP авторизації використовувати SSO.

Якщо ви підключаєтеся з комп’ютера, включеного в домен, до комп’ютера / сервера, який знаходиться в іншому домені або робочій групі, по-замовчуванню Windows не дозволяє користувачеві використовувати збережений пароль RDP підключення. Незважаючи на те, що пароль для підключення збережений в Credentials Manager, система не дозволяє його використовувати, кожен раз вимагаючи від користувача вводити пароль. Також Windows не дозволяє використовувати збережений пароль для RDP, якщо ви підключаєтеся не під доменної, а під локальної обліковим записом.

При спробі RDP підключення зі збереженим паролем в цій ситуації з’являється вікно з помилкою:

Ваші повноваження не працювали
Ваш системний адміністратор не дозволяє використовувати збережені облікові дані для входу на віддалений комп’ютер CompName, оскільки його особа не повністю підтверджена. Введіть нові облікові дані.

Або (в російській редакції Windows 10):

Неприпустимі облікові дані
Системний адміністратор заборонив використовувати збережені облікові дані для входу в систему віддаленого комп’ютера CompName, так як його справжність перевірена в повному обсязі. Введіть нові облікові дані.

Ваш системний адміністратор не дозволяє використовувати збережені облікові дані для входу на віддалений комп’ютер

Windows вважає таке підключення небезпечним, тому що відсутні довірчі відносини між цим комп’ютером і віддаленим комп’ютером / сервером в іншому домені (або робочій групі).

Ви можете змінити ці настройки на комп’ютері, з якого виконується RDP підключення:

    1. Відкрийте редактор локальної GPO, натиснувши Win + R -> gpedit.msc ; gpedit.msc
    2. У редакторі GPO перейдіть в розділ Конфігурація комп’ютера -> Адміністративні шаблони -> Система -> Делегування облікових даних (Конфігурація комп’ютера -> Адміністративні шаблони -> Система -> Передача облікових даних). Знайдіть політику з ім’ям Дозволити делегування збережених облікових даних за допомогою автентифікації сервера лише за допомогою NTLM (Дозволити делегування збережених облікових даних з перевіркою достовірності сервера тільки NTLM); політика Дозволити делегування збережених облікових даних з перевіркою достовірності сервера тільки NTLM
    3. Двічі клацніть по політиці. Увімкніть політику (Enable) і натисніть на кнопку Показати (Показати); Дозволити делегування збережених облікових даних за допомогою автентифікації сервера лише за допомогою NTLM
    4. У вікні, потрібно буде визначити список віддалених комп’ютерів (серверів), для яких буде дозволено використовувати зберіганню паролі для RDP подключенія.Спісок віддалених комп’ютерів потрібно вказати в наступних форматах:
      • TERMSRV / server1 – дозволити використання збережених паролів для RDP підключення до одного конкретного комп’ютера / сервера;
      • TERMSRV / *. Winitpro.ru – дозволити RDP підключення до всіх комп’ютерів в домені winitpro.ru;
      • TERMSRV / * – дозволити використання збереженого пароля для підключення до будь-яких комп’ютерів.

      список termsrv серверів, для авторизації на яких можна використовувати збережений пароль rdp

      Примітка. TERMSRV потрібно обов’язково писати в верхньому регістрі, а ім’я комп’ютера повинно повністю відповідати тому, яке ви вказуєте в полі підключення RDP клієнта.

    5. Збережіть зміни і обновіть групові політики командою gpupdate /force

    Тепер при виконанні RDP підключення клієнт mstsc зможе використовувати збережений пароль.

    rdp підключення зі збереженням паролем

    За допомогою локального редактора групових політик ви зможете перевизначити політику тільки на локальному комп’ютері. У тому випадку, якщо ви хочете, щоб ця політика дозволу використання сохраенних паролів для RDP підключення діяла на безліч комп’ютерів домену, використовуєте доменні політики, які настроюються за допомогою консолі gpmc.msc.

    Якщо при RDP підключенні у користувача все одно запитується пароль, спробуйте аналогічним чином включити і налаштувати політику “Дозволити передачу збережених облікових даних“(Allow delegating saved credentials). Також перевірте, що не включена політика “Заборонити передачу збережених облікових даних“(Deny delegation saved credentials), тому що у заборонної політики пріоритет.

    Що робити, якщо в Windows не зберігається пароль для RDP підключення?

    Якщо ви налаштували Windows за інструкцією вище, але клієнт все одно при кожному повторному RDP підключенні вимагає ввести пароль слід перевірити наступне:

    1. У вікні RDP підключення натисніть на кнопку “Показати параметри” і переконайтеся, що опція “Завжди запитувати облікові дані”(Завжди просити вказівки) не выбрана; mstsc - завжди запитувати облікові дані rdp
    2. Якщо ви використовуєте для підключення збережений RDP файл, перевірте, що параметр “prompt for credentials” дорівнює 0 (prompt for credentials:i:0); запит на введення облікових даних: i: 0
    3. Відкрийте редактор GPO gpedit.msc, перейдіть в розділ Конфігурація комп’ютера -> Компоненти Windows -> Служби віддалених робочих столів -> Клієнт підключення до віддаленого робочого столу (Конфігурація комп’ютера -> Адміністративні шаблони -> Компоненти Windows -> Послуги віддаленого робочого столу -> Клієнт підключення віддаленого робочого столу). Параметр “Заборонити збереження паролів“(Do not allow passwords to be saved) повинен бути не заданий або відключений. Також переконайтеся, що він відключений в результуючої політики на вашому комп’ютері (html звіт з застосованими настройками доменних політик можна сформувати за допомогою gpresult); Заборонити збереження паролів rdp
    4. Видаліть всі збережені паролі в менеджері паролів Windows (Credential Manager). наберіть control userpasswords2 і у вікні “Облікові записи користувачів” перейдіть на вкладку “Додатково” і натисніть на кнопку “Управління паролями”; управління сохраненеимі паролями в windows У вікні, виберіть “Облікові дані Windows”. Знайдіть і видаліть всі збережені RDP паролі (починаються з TERMSRV / …). збережений пароль для rdp
      З цього вікна ви можете самостійно додати облікових дані для RDP підключень. Зверніть увагу, що ім’я віддаленого RDP сервера (комп’ютера) потрібно вказувати в форматі TERMSRV server_name1. При очищенні історії RDP підключень на комп’ютері, не забувайте видаляти збережені паролі.зберегти пароль для rdp подключеняі до сервера
    5. Вхід зі збереженим паролем також не працюватиме, якщо віддалений RDP сервер давно не оновлювався і при підключенні до нього з’являється помилка CredSSP encryption oracle remediation.

    Після цього, користувачі зможуть використовувати свої збережені паролі для rdp підключень.

Leave a Reply

Your email address will not be published. Required fields are marked *