77 votes

cmcculloh avatar

Votre administrateur système ne permet pas l'utilisation des informations d'identification enregistrées pour vous connecter à l'ordinateur distant

Demandé el 8 de Juin, 2012
Quand la question a-t-elle été
78683 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

À notre bureau, tous nos clients Windows 7 reçoivent ce message d'erreur lorsque nous essayons de nous connecter en RDP à un serveur Windows 2008 distant en dehors du bureau :

Votre administrateur système n'autorise pas l'utilisation des informations d'identification enregistrées pour se connecter à l'ordinateur distant XXX car son identité n'est pas entièrement vérifiée. Veuillez entrer de nouvelles informations d'identification

Capture d'écran

Une recherche rapide sur Google conduit à certains articles qui suggèrent tous d'éditer la stratégie de groupe, etc.

J'ai l'impression que la solution courante à cela est de suivre ces instructions sur chaque machine Windows 7.

Y a-t-il un moyen de faire quelque chose via l'Active Directory qui pourrait mettre à jour tous les clients Windows 7 sur le réseau LAN du bureau ?

Demandé el 8 de Juin, 2012 par cmcculloh

4 votes

Avatar de uSlackr

Group Policy EST la manière d'utiliser Active Directory pour résoudre ce problème. Vous devez simplement modifier cette stratégie de groupe via AD et non sur votre machine locale. Faites attention à expérimenter sur un réseau en direct, si vous ne savez pas ce que vous faites, vous risquez de tout briser.

Commenté el 8 de Juin, 2012 par uSlackr

0 votes

Avatar de cmcculloh

J'ai fait ça. Ça n'a pas fonctionné sur mon client :( J'ai essayé de forcer la mise à jour -et- redémarré mon client win 7. y a-t-il un moyen de confirmer que le client win 7 a été 'mis à jour' ?

Commenté el 8 de Juin, 2012 par cmcculloh

1 votes

Avatar de uSlackr

Oui, deux façons. Regardez la commande gpresult ou exécutez mmc et ajoutez le composant logiciel enfichable de l'ensemble de stratégies résultantes.

Commenté el 8 de Juin, 2012 par uSlackr
Afficher 4 autres commentaires

Réponses

Trop de publicités?

131voto

slayernoah avatar
slayernoah Points 1510

Si vous ne souhaitez pas modifier les GPO locales ou côté serveur :

Allez dans Panneau de configuration -> Gestionnaire d'informations d'identification sur l'ordinateur local à partir duquel vous essayez de vous connecter.
Vous verrez trois sections :

  1. Informations d'identification Windows
  2. Informations d'identification basées sur des certificats
  3. Informations d'identification génériques

Supprimez les informations d'identification de Informations d'identification Windows et ajoutez-les à Informations d'identification génériques.

Répondu el 16 de Octobre, 2015 par slayernoah (1510 Points )

6 votes

Avatar de Matt Briggs

Brillante solution. Fonctionne confirmée avec le client Win8.1 et l'hôte distant Server2012R2.

Commenté el 2 de Décembre, 2015 par Matt Briggs

10 votes

Avatar de neilsimp1

Cela devrait être la réponse principale, une solution simple et je n'ai pas besoin de modifier le GPO (qui est écrasé à la connexion au travail)

Commenté el 11 de Mai, 2016 par neilsimp1

3 votes

Avatar de Tuinstoelen

Confirmé sur Windows 10 avec Windows Server 2012R2.

Commenté el 4 de Janvier, 2017 par Tuinstoelen
Afficher 10 autres commentaires

35voto

Zak avatar
Zak Points 341

Voici un lien sur comment accomplir ceci : http://netport.org/?p=255

Mettre à jour les paramètres dans l'éditeur de stratégie de groupe sous Windows 7.

Cette mesure de sécurité peut être frustrante lorsque vous vous connectez et déconnectez souvent au même (ou à de nombreux) serveurs de terminal. Pour s'en débarrasser et pouvoir utiliser les informations d'identification enregistrées dans cette situation, vous devez configurer ce qui suit :

Aller dans Démarrer -> taper : gpedit.msc -> dans la console, configurez ce qui suit :

saisir une description d'image ici

Activer chaque politique affichée, puis cliquer sur le bouton "Afficher" pour accéder à la liste des serveurs et ajouter TERMSRV/* (ou simplement *) au serveur. Dans mon cas, c'est '*' ce qui indique que les informations d'identification mises en cache seront autorisées pour tous les serveurs.

saisir une description d'image ici

La dernière étape est de rafraîchir la stratégie. Pour ce faire, allez simplement à la ligne de commande (exécutez en tant qu'administrateur) et tapez : gpupdate /force

C'est tout. Maintenant, vous pouvez vous connecter à vos serveurs de terminal en cliquant simplement sur les fichiers .rdp.

Répondu el 4 de Décembre, 2012 par Zak (341 Points )

0 votes

Avatar de cemper93

Ceci est un problème de sécurité. Autoriser la suppression des informations d'identification de session NTLM à * permet à un attaquant d'envoyer à un utilisateur un fichier de configuration de connexion .RDP, qui configure mstsc pour utiliser les informations d'identification de session et se connecter au serveur de l'attaquant sur internet. Si l'utilisateur clique sur ce fichier, son nom d'utilisateur et son hachage NTLM (qui est l'équivalent d'un mot de passe sur les réseaux Windows - l'attaquant peut utiliser ce hachage pour se faire passer pour l'utilisateur n'importe où sur votre réseau) seront envoyés à ce serveur. Pour atténuer cela, énumérez explicitement les serveurs autorisés, ou encore mieux, ne permettez pas du tout la délégation NTLM.

Commenté el 12 de Octobre, 2022 par cemper93

0 votes

Avatar de Hari Amoor

@cemper93 En quoi est-ce différent d'envoyer tout script ou exécutable (.EXE, .REG, .PY) par email ? L'exécution est déjà découragée par l'identifiant de zone du fichier (= 3 ; téléchargé) tel que défini par le client email.

Commenté el 8 de Avril, 2024 par Hari Amoor

0 votes

Avatar de cemper93

@cz Cela est sans importance pour deux raisons : 1. La plupart des gens bloquent les fichiers .bat et .exe en pièces jointes d'e-mails pour une raison, et beaucoup empêchent les exécutables d'être exécutés à partir de répertoires inscriptibles par l'utilisateur en général, pour une bonne raison. Les fichiers .rdp ont moins de chances d'être soumis au même traitement. 2. mstsc ne pas empêcher l'exécution des fichiers .rdp quand ils sont dans la zone 3! Il présente simplement à l'utilisateur un avertissement obscur selon lequel "L'émetteur de la connexion distante n'a pas pu être identifié". Tout ce que l'utilisateur a à faire pour le ignorer est de cliquer sur Connect dans la boîte de dialogue.

Commenté el 10 de Avril, 2024 par cemper93
Afficher 2 autres commentaires

3voto

Oz Edri avatar
Oz Edri Points 111

Pour ceux qui souhaitent l'ajouter directement au registre, enregistrez le contenu suivant dans un fichier *.reg :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation]
"AllowDefCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001
"AllowDefaultCredentials"=dword:00000001
"ConcatenateDefaults_AllowDefault"=dword:00000001
"AllowSavedCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowSavedNTLMOnly"=dword:00000001
"AllowSavedCredentials"=dword:00000001
"ConcatenateDefaults_AllowSaved"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation]
"AllowDefCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001
"AllowDefaultCredentials"=dword:00000001
"ConcatenateDefaults_AllowDefault"=dword:00000001
"AllowSavedCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowSavedNTLMOnly"=dword:00000001
"AllowSavedCredentials"=dword:00000001
"ConcatenateDefaults_AllowSaved"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly]
"1"="TERMSRV/*"

Je l'ai obtenu en le faisant manuellement puis en recherchant le terme TERMSRV dans le registre.

Répondu el 20 de Janvier, 2020 par Oz Edri (111 Points )

0voto

RockiesMagicNumber avatar
RockiesMagicNumber Points 123

Si cela vous est arrivé soudainement et de manière inattendue, et que le reste de vos ordinateurs distants ne rencontre pas de problème, commencez par la solution présentée par @slayernoah (et acceptée), mais avant de commencer à déplacer vos informations d'identification de Windows vers Générique, recherchez les informations d'identification de l'ordinateur distant spécifique qui pose problème et vérifiez qu'il essaye de se connecter avec le bon compte.

Dans mon cas, j'avais précédemment essayé de me connecter à l'ordinateur distant en difficulté en utilisant un compte de service à des fins différentes, et le Gestionnaire d'informations d'identification avait enregistré cette connexion et n'avait pas changé pour mon compte de travail.

W10 Pro version 19044.1706 se connectant à W10 Pro version 19044.1766

Répondu el 17 de Juin, 2022 par RockiesMagicNumber (123 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X