Wie kann ich zulassen, dass Anmeldeinformationen gespeichert werden, wenn eine Verbindung zu einem anderen Computer mit Remotedesktopverbindung hergestellt wird?

Hintergrund

Ich versuche, eine Verbindung zu einem Server herzustellen, und der Remotedesktop-Client verfügt nicht über gespeicherte Anmeldeinformationen:

Um zu versuchen, die Anmeldeinformationen zu speichern, aktiviere ich die Option Zulassen, dass Anmeldeinformationen gespeichert werden :

Ich starte dann die Verbindung, gebe mein Passwort ein und stelle fest, dass die Option Meine Anmeldeinformationen speichern aktiviert ist:

Einmal mit dem Server verbunden, stelle ich sicher, dass die lokalen Gruppenrichtlinienoptionen

Lokale Computerrichtlinie ➞ Computerkonfiguration ➞ Administrative Vorlagen ➞ Windows-Komponenten ➞ Remotedesktopdienste ➞ Remotedesktopverbindungsclient

• Aufforderung zur Eingabe von Anmeldeinformationen auf dem Clientcomputer
• Erlauben Sie nicht, dass Passwörter gespeichert werden

Die Standardeinstellung für das Speichern von Kennwörtern und die Standardeinstellung für das Nichtabfragen von Anmeldeinformationen erfordert das Speichern von Kennwörtern und das Nichtabfragen von Kennwörtern:

Und ich renne, gpupdate /forceum sicherzustellen, dass die erzwungenen Sicherheitseinstellungen verwendet werden.

Wiederholen Sie die obigen Schritte vier- oder fünfmal und erstellen Sie zum sechsten Mal Screenshots für eine Stapelüberlauf-Frage .

Beachten Sie, dass der Remotedesktopverbindungsclient das Speichern meines Kennworts ablehnt. Beachten Sie dabei Folgendes:

Sie werden beim Herstellen der Verbindung nach Ihren Anmeldeinformationen gefragt

Die Frage ist also: Wie werden Anmeldeinformationen gespeichert, wenn eine Verbindung zu einem Computer hergestellt wird?

Zusätzliche Dinge versucht

Wie vorgeschlagen wurde:

• in der (geschlossenen) Stackoverflow-Frage
• der Microsoft-Forumsbeitrag

Ich habe versucht , so dass die „Allow gespeicherten Anmeldeinformationen mit NTLM-only - Server - Authentifizierung zu delegieren“ für TERMSRV/*in gpedit.mscauf dem Client (zB Windows 7) Maschine:

Die Leute schlagen dies vor, ohne zu bemerken, dass es nur für die NTLM-Authentifizierung gilt. NTLM ist veraltet, unsicher und sollte nicht verwendet werden :

NTLM ist ein veraltetes Authentifizierungsprotokoll mit Fehlern, die möglicherweise die Sicherheit von Anwendungen und des Betriebssystems beeinträchtigen. Obwohl Kerberos seit vielen Jahren verfügbar ist, sind viele Anwendungen immer noch so geschrieben, dass sie nur NTLM verwenden. Dies verringert die Sicherheit von Anwendungen unnötig.

So oder so: Es hat nicht funktioniert.

Bonus Informationen

• probierte sowohl moderne ian@avatopia.comals auch ältere avatopia.com\ianBenutzernamenformate aus
• habe versucht, die Gruppenrichtlinie auf dem Domänencontroller festzulegen
• Windows 7 64-Bit Professional-Client
• Windows Server 2008 R2-Server
• Windows Server 2008 Server
• Windows Server 2012 Server
• Windows Server 2003 R2-Server
• Alles ab dem Hintergrund ist nur Füllmaterial, damit es so aussieht, als hätte ich "einige Forschungsbemühungen unternommen" . du kannst es ignorieren; einschließlich dieser Zeile, die über das Ignorieren dieser Zeile spricht

Anhang A

Der Client ist Windows 7 und stellt über RDP 7.1 eine Verbindung zu Windows Server 2008 R2 her, wobei der Server ein automatisch generiertes Zertifikat verwendet:

Der Client hat die Identität des Servers authentifiziert:

Dies geschieht auch beim Herstellen einer Verbindung mit Windows Server 2008 und Windows Server 2012 (alle vom Windows 7-Client). Alle Computer sind derselben Domäne zugeordnet.

Anhang B

In der resultierenden Gruppe von Richtlinien ( rsop.msc) auf dem Client wurde Immer zur Eingabe des Kennworts bei der Verbindung aufgefordert und auf Deaktiviert gesetzt :

Anhang C

Ergebnisse der Verbindung zu jedem Server, den ich finden kann. Ich habe mich geirrt, als ich sagte, dass die Verbindung zu Server 2003 fehlschlägt . Das Problem ist auf Server 2008 , 2008 R2 und 2012 beschränkt :

• Windows Server 2000: Ja *
• Windows Server 2000: Ja *
• Windows Server 2003: Ja
• Windows Server 2003 R2: Ja
• Windows Server 2003 R2: Ja (Domänencontroller)
• Windows Server 2003 R2: Ja
• Windows Server 2008: Nein
• Windows Server 2008: Nein
• Windows Server 2008 R2: Nein
• Windows Server 2008 R2: Nein
• Windows Server 2012: Nein
• Windows Server 2012: Nein

^* zeigt an, dass gespeicherte Anmeldeinformationen verwendet werden, das Kennwort jedoch beim Anmeldebildschirm für 2000 erneut eingegeben werden muss

Bonus Lesung

• KB281262: Aktivieren der automatischen Remotedesktopanmeldung in Windows XP
• SuperUser: Remotedesktopverbindung ignoriert gespeicherte Anmeldeinformationen
• Windows Seven-Foren: Windows 7: Automatische Anmeldung für Remotedesktopverbindung - Zulassen oder Verhindern
• Microsoft.com: Anmeldeinformationen in Remotedesktopverbindung speichern und ändern
• Microsoft.com: Speichern Ihrer Anmeldeinformationen in Remotedesktopverbindung
• MSDN Remote Desktop Services-Blog: Gespeicherte Anmeldeinformationen funktionieren nicht
• Stackoverflow: Windows 7- Remotedesktopverbindung Anmeldeinformationen speichern funktioniert nicht [geschlossen]
• Microsoft-Foren: Remotedesktopverbindung verwendet keine gespeicherten Anmeldeinformationen

Ich habe die Lösung gefunden. Es war gleichzeitig subtil und offensichtlich.

Wie in der Frage erwähnt, als ich Modifizieren der folgenden Remote Desktop Connection Client Gruppenrichtlinieneinstellungen:

• Aufforderung zur Eingabe von Anmeldeinformationen auf dem Clientcomputer
• Erlauben Sie nicht, dass Passwörter gespeichert werden

Ich habe sie auf dem Server überprüft :

Ich dachte, es wäre der Server, der bestimmt , was der Client tun darf. Es stellt sich heraus, dass das völlig falsch ist. Es war @ mpys Antwort (obwohl falsch), die mich zur Lösung führte. Ich sollte mich nicht mit der RDP-Clientrichtlinie auf dem RDP- Server befassen , sondern mit der RDP-Clientrichtlinie auf meinem RDP- Clientcomputer :

Auf meinem Windows 7-Client lautete die Richtlinie:

• Speichern von Passwörtern nicht zulassen: Aktiviert
• Aufforderung zur Eingabe von Anmeldeinformationen auf dem Client-Computer: Aktiviert

Ich weiß nicht, wann diese Optionen aktiviert wurden (ich habe sie im letzten Speicher nicht aktiviert). Der verwirrende Teil ist das, obwohl

Erlauben Sie nicht, dass Passwörter gespeichert werden

Ist diese Option aktiviert, speichert der RDP-Client das Kennwort weiterhin. aber nur für Server unter Windows Server 2008.

Die Wahrheitstabelle der Funktionsweise:

Do not allow saved  Prompt for creds  Works for 2008+ servers  Works for 2003 R2- servers
==================  ================  =======================  ==========================
Enabled             Enabled           No                       Yes
Enabled             Not Configured    No                       No
Not Configured      Enabled           Yes                      Yes
Not Configured      Not Configured    Yes                      Yes

Da ist also der Trick. Die Gruppenrichtlinieneinstellungen unter:

Computerkonfiguration \ Richtlinien \ Administrative Vorlagen \ Windows-Komponenten \ Terminaldienste \ Remotedesktopverbindungsclient

auf dem Client- Computer müssen konfiguriert werden mit:

• Speichern von Passwörtern nicht zulassen: Nicht konfiguriert (kritisch)
• Aufforderung zur Eingabe von Anmeldeinformationen auf dem Client-Computer: Nicht konfiguriert

Die andere Quelle der Verwirrung ist das während

• eine Domäne aktiviert Politik kann keine lokale außer Kraft setzen Behinderte
• Eine domäneninaktivierte Richtlinie kann durch eine lokale aktivierte Richtlinie überschrieben werden

Was wiederum zu einer Wahrheitstabelle führt:

Domain Policy   Local Policy    Effective Policy
==============  ==============  ==============================
Not Configured  Not Configured  Not configured (i.e. disabled)
Not Configured  Disabled        Disabled
Not Configured  Enabled         Enabled
Disabled        Not Configured  Disabled
Disabled        Disabled        Disabled
Disabled        Enabled         Disabled (client wins)
Enabled         Not Configured  Enabled
Enabled         Disabled        Enabled (domain wins)
Enabled         Enabled         Enabled

Da die direkte Antwort auf die Frage bereits vorliegt, schlage ich einen alternativen Ansatz vor.

Remote Desktop Connection Manager (RDCMan) ist ein Tool, das von Julian Burger geschrieben und intern in Microsoft verwendet wird . Es ist sehr leicht und kostenlos und meiner Meinung nach verbessert es die Produktivität erheblich, insbesondere wenn Sie viele Verbindungen aufrechterhalten. Und ja, es speichert auch Passwörter (in der XML-Konfigurationsdatei).

Vorteile:

• Sie können Verbindungen in Hierarchien organisieren, die Eigenschaften erben (z. B. Anmeldeinformationen, Farbeinstellungen, Auflösung).
• Die gesamte Konfiguration, einschließlich der gehashten Kennwörter, wird in einer Datei gespeichert - einfach zwischen Computern zu verschieben.
• Leicht, kostenlos, zuverlässig.

Nachteile:

• Einige Leute mögen das Navigationsmenü auf der linken Seite nicht, wenn sie sich nicht im Vollbildmodus befinden. Persönlich habe ich mich schnell daran gewöhnt.

Screenshot aus dem Artikel:
Wie Sysadmins RDP mithilfe des Remotedesktopverbindungs-Managers effizient funktioniert

Die ausführlichste Antwort ist schon da, gemacht vom Fragesteller. Ich möchte nur darauf hinweisen, dass dieses Problem auch auftreten kann, wenn das Betriebssystem des Clientcomputers eine Heim-SKU ist. Daher ist möglicherweise kein lokaler GP-Editor verfügbar, und es ist auch keine Domänenrichtlinie in Kraft. Nichtsdestotrotz kann der Client so tun, als ob die Richtlinie, immer nach dem Kennwort zu fragen, festgelegt ist (weiß nicht, was einen solchen Standard verursacht - möglicherweise ist ein Programm installiert?).

Dann ist es nützlich, die Einstellung für die Richtlinienregistrierung manuell festzulegen (MS RDP-Client überprüft sie; Sie finden sie möglicherweise mithilfe eines Tools wie procmon). Es ist hier:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]

"PromptForCredsOnClient"=dword:00000000

"DisablePasswordSaving"=dword:00000000

Beim Durchlesen Ihrer Fragen bin ich über diese Gruppenrichtlinieneinstellung gestolpert, Prompt for credentials on the client computerdie Sie deaktiviert haben .

MS Technet gibt die folgende Erklärung zu dieser Einstellung:

Prompt for credentials on the client computer

Durch diese Richtlinieneinstellung wird festgelegt, ob ein Benutzer auf dem Clientcomputer aufgefordert wird, Anmeldeinformationen für eine Remoteverbindung mit einem Terminalserver anzugeben.

Wenn Sie diese Richtlinieneinstellung aktivieren , wird ein Benutzer auf dem Clientcomputer anstelle des Terminalservers aufgefordert, Anmeldeinformationen für eine Remoteverbindung mit einem Terminalserver anzugeben. Wenn auf dem Clientcomputer gespeicherte Anmeldeinformationen für den Benutzer verfügbar sind, wird der Benutzer nicht aufgefordert, Anmeldeinformationen einzugeben.

Hinweis Wenn Sie diese Richtlinieneinstellung aktivieren und ein Benutzer sowohl auf dem Clientcomputer als auch auf dem Terminalserver zur Eingabe von Anmeldeinformationen aufgefordert wird, führen Sie das Terminaldienstekonfigurationstool auf dem Terminalserver aus und deaktivieren Sie im Dialogfeld Eigenschaften für die Verbindung das Kontrollkästchen Immer Aufforderung zur Kennworteingabe auf der Registerkarte Anmeldeeinstellungen.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, bestimmt die Version des Betriebssystems auf dem Terminalserver, wann ein Benutzer aufgefordert wird, Anmeldeinformationen für eine Remoteverbindung mit einem Terminalserver anzugeben . Bei Windows 2000 und Windows Server 2003 wird ein Benutzer auf dem Terminalserver aufgefordert, Anmeldeinformationen für eine Remoteverbindung einzugeben. Bei Windows Server 2008 wird ein Benutzer auf dem Clientcomputer aufgefordert, Anmeldeinformationen für eine Remoteverbindung einzugeben.

Das klingt genau nach dem Szenario, mit dem Sie konfrontiert sind. Sie möchten die Anmeldeinformationen auf dem Client-Computer speichern, aktivieren Sie also einfach die Prompt for credentials on the client computerEinstellung.

In meinem Fall bestand das Problem darin, dass die *.rdpvon Microsoft Azure heruntergeladene Datei die folgende Zeile enthielt:

prompt for credentials:i:1

Normalerweise würde das Aktivieren von "Anmeldeinformationen speichern" diese Zeile ändern, aber aus irgendeinem Grund wird sie auch als "schreibgeschützt" markiert.

Deaktivieren Sie diese Option als schreibgeschützt und ändern Sie die Zeile in

prompt for credentials:i:0

im Editor wurde das Problem behoben.

Ich habe alle möglichen Optionen ausprobiert und nichts hilft. Ich habe das Problem behoben, indem ich das Kennwort zurückgesetzt habe, das in der Windows Vault for RDP-Verbindung gespeichert ist.

Schritte zu tun:

1. Klicken Sie mit der rechten Maustaste auf das RDP-Verbindungssymbol => Bearbeiten
2. Wählen Sie "Immer nach Anmeldeinformationen fragen"
3. Verbinden. Geben Sie das richtige Passwort ein und wählen Sie "Anmeldeinformationen speichern"

Das ist alles.

PS: Das Problem wurde durch ein Windows-Update verursacht.

Ich schlage vor, Royal TS zu verwenden , das die Verwaltung von Anmeldeinformationen viel besser macht als das Durcheinander, das das RDP von Microsoft damit anrichtet.

Die neueste Version ist kommerziell und kostet ab 35 US-Dollar für die Einzellizenz.

Oder Sie können sich für Version 1.5.1 entscheiden , die letzte Freeware-Version, die für die Ausführung des Auftrags völlig ausreichend aussieht.

Ich weiß nicht warum, aber das hat funktioniert:

(Unter Windows 7 Home Basic) Ich habe meinen Benutzernamen im Optionsfenster Remotedesktopverbindung nicht vorkonfiguriert. Stattdessen stellte ich eine Verbindung zum Remotehost her und wartete auf die Eingabeaufforderung für Anmeldeinformationen (Windows-Sicherheit). Dann gab ich die Anmeldeinformationen (Benutzername und Passwort) ein und aktivierte die Option, um meine Anmeldeinformationen zu speichern.

Für Windows 7 Home Basic gibt es keinen Gruppenrichtlinien-Editor. Auch RDCMan (wie in einer anderen Antwort vorgeschlagen ) hat nicht geholfen.