Чи не зберігаються паролі для RDP підключень

Вбудований RDP клієнт Windows (mstsc.exe) дозволяє зберегти на комп'ютері ім'я і пароль користувача, який використовувався для підключення. Завдяки цьому користувачеві не потрібно щоразу вводити пароль для підключення до віддаленого RDP комп'ютера / сервера. У цій статті ми розглянемо, як налаштувати можливість збереження облікових даних для RDP підключення в Windows 10 / Windows Server 2012 R2 / 2016 і що робити, якщо не дивлячись на всі настройки, у користувачів не будуть збережені паролі для RDP підключення (Вам необхідно ввести пароль кожного разу)

зміст:

  • Налаштування пам'яті пароля для RDP підключення
  • Що робити, якщо в Windows не зберігається пароль для RDP підключення?

Налаштування пам'яті пароля для RDP підключення

За замовчуванням Windows дозволяє користувачам зберігати паролі для RDP підключень. Для цього у вікні клієнта RDP (mstsc) користувач повинен ввести ім'я віддаленого RDP комп'ютера, обліковий запис і поставити галку "Разрешіть мені зберігати облікові дані"(Allow me to save credential). Після того, як користувач натискає кнопку "Підключити", RDP сервер запитує пароль і комп'ютер зберігає його в Windows Credential Manager (не в .RDP файл).

В результаті при наступному підключенні до віддаленого RDP сервера під цим же користувач, пароль автоматично береться з Credential Manager і використовується для RDP-авторизації.

Як ви бачите, якщо для даного комп'ютера є збережений пароль, у вікні RDP клієнта вказано:

При підключенні до комп'ютера будуть використовуватися збережені облікові дані. Ці облікові дані можна змінити або видалити.

Я як адміністратор зазвичай не рекомендую користувачам зберігати паролі. Набагато краще в домені для прозорої RDP авторизації використовувати SSO.

Якщо ви підключаєтеся з комп'ютера, включеного в домен, до комп'ютера / сервера, який знаходиться в іншому домені або робочій групі, по-замовчуванню Windows не дозволяє користувачеві використовувати збережений пароль RDP підключення. Незважаючи на те, що пароль для підключення збережений в Credentials Manager, система не дозволяє його використовувати, кожен раз вимагаючи від користувача вводити пароль. Також Windows не дозволяє використовувати збережений пароль для RDP, якщо ви підключаєтеся не під доменної, а під локальної обліковим записом.

При спробі RDP підключення зі збереженим паролем в цій ситуації з'являється вікно з помилкою:

Your Credentials did not work
Your system administrator does not allow the use of saved credentials to log on to the remote computer CompName because its identity is not fully verified. Please enter new credentials.

Або (в російській редакції Windows 10):

Неприпустимі облікові дані
Системний адміністратор заборонив використовувати збережені облікові дані для входу в систему віддаленого комп'ютера CompName, так як його справжність перевірена в повному обсязі. Введіть нові облікові дані.

Windows вважає таке підключення небезпечним, тому що відсутні довірливі стосунки між цим комп'ютером і віддаленим комп'ютером / сервером в іншому домені (або робочій групі).

Ви можете змінити ці настройки на комп'ютері, з якого виконується RDP підключення:

    1. Відкрийте редактор локальної GPO, натиснувши Win + R -> gpedit.msc ;
    2. У редакторі GPO перейдіть в розділ Computer Configuration -> Administrative Templates -> System -> Credentials Delegation (Конфігурація комп'ютера -> Адміністративні шаблони -> Система -> Передача облікових даних). Знайдіть політику з ім'ям Allow delegating saved credentials with NTLM-only server authentication (Дозволити делегування збережених облікових даних з перевіркою достовірності сервера тільки NTLM);
    3. Двічі клацніть по політиці. Увімкніть політику (Enable) і натисніть на кнопку Показати (Show);
    4. У вікні, потрібно буде визначити список віддалених комп'ютерів (серверів), для яких буде дозволено використовувати зберіганню паролі для RDP подключенія.Спісок віддалених комп'ютерів потрібно вказати в наступних форматах:
      • TERMSRV / server1 - дозволити використання збережених паролів для RDP підключення до одного конкретного комп'ютера / сервера;
      • TERMSRV / *. Winitpro.ru - дозволити RDP підключення до всіх комп'ютерів в домені winitpro.ru;
      • TERMSRV / * - дозволити використання збереженого пароля для підключення до будь-яких комп'ютерів.

      Примітка. TERMSRV потрібно обов'язково писати в верхньому регістрі, а ім'я комп'ютера повинно повністю відповідати тому, яке ви вказуєте в полі підключення RDP клієнта.

    5. Збережіть зміни і обновіть групові політики командою gpupdate / force

    Тепер при виконанні RDP підключення клієнт mstsc зможе використовувати збережений пароль.

    За допомогою локального редактора групових політик ви зможете перевизначити політику тільки на локальному комп'ютері. У тому випадку, якщо ви хочете, щоб ця політика дозволу використання сохраенних паролів для RDP підключення діяла на безліч комп'ютерів домену, використовуєте доменні політики, які настроюються за допомогою консолі gpmc.msc.

    Якщо при RDP підключенні у користувача все одно запитується пароль, спробуйте аналогічним чином включити і налаштувати політику "Дозволити передачу збережених облікових даних"(Allow delegating saved credentials). Також перевірте, що не включена політика "Заборонити передачу збережених облікових даних"(Deny delegation saved credentials), тому що у заборонної політики пріоритет.

    Що робити, якщо в Windows не зберігається пароль для RDP підключення?

    Якщо ви налаштували Windows за інструкцією вище, але клієнт все одно при кожному повторному RDP підключенні вимагає ввести пароль слід перевірити наступне:

    1. У вікні RDP підключення натисніть на кнопку "Показати параметри" і переконайтеся, що опція "Завжди запитувати облікові дані«(Always ask for credentials) не вибрана;
    2. Якщо ви використовуєте для підключення збережений RDP файл, перевірте, що параметр "prompt for credentials" дорівнює 0 (prompt for credentials: i: 0);
    3. Відкрийте редактор GPO gpedit.msc, перейдіть в розділ Конфігурація комп'ютера -> Компоненти Windows -> Служби віддалених робочих столів -> Клієнт підключення до віддаленого робочого столу (Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Connection Client). параметр "Заборонити збереження паролів"(Do not allow passwords to be saved) повинен бути не заданий або відключений. Також переконайтеся, що він відключений в результуючої політики на вашому комп'ютері (html звіт з застосованими настройками доменних політик можна сформувати за допомогою gpresult);
    4. Видаліть всі збережені паролі в менеджері паролів Windows (Credential Manager). наберіть control userpasswords2 і у вікні "Облікові записи користувачів" перейдіть на вкладку "Додатково" і натисніть на кнопку "Управління паролями"; У вікні, виберіть "Облікові дані Windows". Знайдіть і видаліть всі збережені RDP паролі (починаються з TERMSRV / ...). З цього вікна ви можете самостійно додати облікових дані для RDP підключень. Зверніть увагу, що віддалених назв RDP сервера (комп'ютера) потрібно вказувати в форматі TERMSRV \ server_name1. При очищенні історії RDP підключень на комп'ютері, не забувайте видаляти збережені паролі.
    5. Вхід зі збереженим паролем також не працюватиме, якщо віддалений RDP сервер давно не оновлювався і при підключенні до нього з'являється помилка CredSSP encryption oracle remediation.

    Після цього, користувачі зможуть використовувати свої збережені паролі для rdp підключень.