Vestavěný klient Windows RDP (mstsc.exe) umožňuje uložit uživatelské jméno a heslo, které bylo použito pro připojení k počítači. Díky tomuto uživateli není nutné při každém připojení ke vzdálenému počítači / serveru RDP zadat heslo. V tomto článku se podíváme na to, jak nakonfigurovat schopnost ukládat přihlašovací údaje pro připojení RDP v systému Windows 10 / Windows Server 2012 R2 / 2016, a co dělat, pokud uživatelé i přes všechna nastavení nemají hesla pro připojení RDP (heslo je vyžadováno pokaždé)
Obsah:
- Nastavení uložení hesla pro připojení RDP
- Co dělat, pokud heslo pro připojení RDP není uloženo ve Windows?
Nastavení uložení hesla pro připojení RDP
Ve výchozím nastavení systém Windows umožňuje uživatelům ukládat hesla pro připojení RDP. Za tímto účelem musí uživatel v okně klienta RDP (mstsc) zadat název vzdáleného počítače RDP, účet a zkontrolovat „PDovolte mi uložit pověření“(Dovolte mi uložit pověření). Poté, co uživatel klepne na tlačítko „Připojit“, server RDP požádá o heslo a počítač ho uloží do Správce kreditů systému Windows (nikoli do souboru .RDP)..
Výsledkem je, že při příštím připojení ke vzdálenému serveru RDP pomocí stejného uživatele bude heslo automaticky převzato z Credential Manager a použito pro autentizaci RDP.
Jak vidíte, existuje-li pro tento počítač uložené heslo, je v okně klienta RDP uvedeno:
Po připojení k tomuto počítači budou použity uložené přihlašovací údaje. Tyto přihlašovací údaje lze změnit nebo odstranit.. Jako administrátor obvykle uživatelům nedoporučuji ukládat hesla. Pro průhlednou autorizaci RDP je mnohem lepší použít SSO v doméně.Pokud se připojíte z počítače zahrnutého v doméně k počítači / serveru umístěnému v jiné doméně nebo pracovní skupině, Windows ve výchozím nastavení neumožňuje uživateli používat uložené heslo pro připojení RDP. Přestože je heslo pro připojení uloženo ve Správci pověření, systém neumožňuje jeho použití, pokaždé, když uživatel vyžaduje zadání hesla. Windows také neumožňuje použití uloženého hesla pro RDP, pokud se nepřipojujete pod doménou, ale pod místním účtem.
Při pokusu o připojení RDP s uloženým heslem se v této situaci zobrazí chybové okno:
Vaše přihlašovací údaje nefungovaly
Správce systému nepovoluje použití uložených přihlašovacích údajů k přihlášení ke vzdálenému počítači CompName, protože jeho identita není plně ověřena. Zadejte prosím nové přihlašovací údaje.
Nebo (v ruském vydání systému Windows 10):
Neplatné přihlašovací údajeSprávce systému zakázal použití uložených přihlašovacích údajů k přihlášení ke vzdálenému počítači CompName, protože jeho ověření nebylo plně ověřeno. Zadejte nové přihlašovací údaje.
Windows považuje toto připojení za nebezpečné, protože neexistuje důvěryhodný vztah mezi tímto počítačem a vzdáleným počítačem / serverem v jiné doméně (nebo pracovní skupině).
Tato nastavení můžete změnit v počítači, ze kterého je navázáno připojení RDP:
- Otevřete místní editor GPO stisknutím kláves Win + R -> gpedit.msc ;
- V editoru GPO přejděte na Konfigurace počítače -> Šablony pro správu -> Systém -> Delegování pověření (Konfigurace počítače -> Šablony pro správu -> Systém -> Přenos pověření). Najděte zásadu s názvem Povolit delegování uložených přihlašovacích údajů pomocí ověřování pouze na serveru NTLM (Povolit delegování uložených přihlašovacích údajů pouze při ověřování NTLM serveru);
- Poklepejte na zásadu. Povolte zásadu (Povolit) a klikněte na tlačítko Zobrazit (Zobrazit);
- V okně, které se otevře, budete muset zadat seznam vzdálených počítačů (serverů), pro které bude povoleno používat uložená hesla pro připojení RDP. Seznam vzdálených počítačů musí být zadán v následujících formátech:
- TERMSRV / server1 - umožňuje použití uložených hesel pro připojení RDP k jednomu konkrétnímu počítači / serveru;
- TERMSRV / *. Winitpro.ru - umožňuje připojení RDP ke všem počítačům v doméně winitpro.ru;
- TERMSRV / * - umožňuje použití uloženého hesla pro připojení k libovolnému počítači.
Poznámka:. TERMSRV musí být psáno velkými písmeny a název počítače musí zcela odpovídat jménu, které určíte v poli připojení klienta RDP..
- Uložte změny a aktualizujte zásady skupiny pomocí příkazu
gpupdate / force
Nyní při vytváření připojení RDP bude klient mstsc moci použít uložené heslo.
Pomocí místního editoru zásad skupiny můžete zásady přepsat pouze v místním počítači. V případě, že chcete, aby tato zásada umožňovala použití uložených hesel pro připojení RDP na mnoha počítačích s doménou, použijte zásady domény, které jsou nakonfigurovány pomocí konzoly gpmc.msc..
Pokud je uživatel během připojení RDP stále vyzván k zadání hesla, zkuste povolit a nakonfigurovat zásadu „Povolit přenos uložených přihlašovacích údajů“(Povolit delegování uložených přihlašovacích údajů). Zkontrolujte také, zdaZabraňte přenosu uložených přihlašovacích údajů“(Odepřít delegaci uložila přihlašovací údaje), protože prohibitivní politiky mají prioritu.Co dělat, pokud heslo pro připojení RDP není uloženo ve Windows?
Pokud jste systém Windows nakonfigurovali podle výše uvedených pokynů, ale klient stále potřebuje zadat heslo při každém opětovném připojení RDP, zkontrolujte následující:
- V okně připojení RDP klikněte na tlačítko „Zobrazit parametry“ a ujistěte se, že „Vždy požadujte přihlašovací údaje“(Vždy požadovat přihlašovací údaje) není vybrána;
- Pokud k připojení používáte uložený soubor RDP, zkontrolujte, zda je parametr „výzva k zadání pověření“ 0 (
výzva k zadání pověření: i: 0
); - Otevřete editor GPO gpedit.msc, přejděte do sekce Konfigurace počítače -> Součásti systému Windows -> Služby vzdálené plochy -> Klient připojení ke vzdálené ploše (Konfigurace počítače -> Šablony pro správu -> Součásti systému Windows -> Služby vzdálené plochy -> Klient pro připojení ke vzdálené ploše). Parametr „Odepřít ukládání hesel“(Nedovolte ukládání hesel) nesmí být nastaveno ani deaktivováno. Také se ujistěte, že je ve výsledné zásadě ve vašem počítači zakázána (html sestavu s použitým nastavením zásad domény lze vygenerovat pomocí gpresult);
- Odstraňte všechna uložená hesla ve správci hesel Windows (Credential Manager). Vytočte
ovládání uživatelských hesel2
a v okně „Uživatelské účty“ přejděte na kartu „Upřesnit“ a klikněte na tlačítko „Správa hesel“; V okně, které se otevře, vyberte „Pověření systému Windows“. Vyhledejte a smažte všechna uložená hesla RDP (počínaje TERMSRV / ...). V tomto okně můžete přidat pověření pro připojení RDP sami. Vezměte prosím na vědomí, že název vzdáleného serveru RDP (počítače) musí být zadán ve formátu TERMSRV \ server_name1. Při mazání historie připojení RDP v počítači nezapomeňte vymazat uložená hesla. - Přihlášení s uloženým heslem nebude fungovat, pokud vzdálený RDP server nebyl dlouho aktualizován a při připojení k němu se objeví chyba Oredikace šifrování CredSSP.
Poté budou uživatelé moci používat svá uložená hesla pro připojení rdp.