77 votes

Votre administrateur système ne permet pas l'utilisation des informations d'identification enregistrées pour vous connecter à l'ordinateur distant

À notre bureau, tous nos clients Windows 7 reçoivent ce message d'erreur lorsque nous essayons de nous connecter en RDP à un serveur distant Windows 2008 en dehors du bureau :

Votre administrateur système n'autorise pas l'utilisation des informations d'identification enregistrées pour se connecter à l'ordinateur distant XXX car son identité n'est pas entièrement vérifiée. Veuillez entrer de nouvelles informations d'identification

Capture d'écran

Une recherche rapide sur Google mène à quelques publications qui suggèrent toutes d'éditer la stratégie de groupe, etc.

J'ai l'impression que la solution commune à ce problème est de suivre ces instructions sur chaque machine Windows 7.

Existe-t-il un moyen de faire quelque chose via l'Active Directory qui pourrait mettre à jour tous les clients Windows 7 sur le LAN du bureau ?

4 votes

Group Policy EST la façon d'utiliser Active Directory pour résoudre ce problème. Vous devez simplement modifier cette stratégie de groupe via AD et non sur votre machine locale. Attention à expérimenter sur un réseau en direct, si vous ne savez pas ce que vous faites, vous risquez de tout casser.

0 votes

J'ai fait cela. Ça n'a pas fonctionné sur mon client :( J'ai essayé de forcer la mise à jour et redémarré mon client win 7 box. Y a-t-il un moyen de confirmer que le client win 7 box a été 'mis à jour' ?

1 votes

Oui, deux façons. Jetez un œil à la commande gpresult ou lancez mmc et ajoutez le snap-in de l'ensemble de stratégies résultantes.

129voto

slayernoah Points 1510

Si vous ne voulez pas modifier les GPO locaux ou côté serveur :

Allez dans Panneau de configuration -> Gestionnaire d'informations d'identification sur l'ordinateur local à partir duquel vous essayez de vous connecter .

Vous verrez trois sections :

  1. Informations d'identification Windows
  2. Informations d'identification basées sur des certificats
  3. Informations d'identification génériques

Supprimez les informations d'identification de Informations d'identification Windows et ajoutez-les à Informations d'identification génériques.

6 votes

Brillante solution. Confirmé fonctionne avec le client Win8.1 et l'hôte distant Server2012R2.

10 votes

Cela devrait être la réponse principale, une solution simple et je n'ai pas besoin de modifier GPO (qui est écrasé à la connexion au travail)

3 votes

Confirmé sur Windows 10 avec Windows Server 2012R2.

35voto

Zak Points 341

Voici un lien sur comment réaliser ceci : http://netport.org/?p=255

Mettre à jour 4 paramètres dans l'éditeur de stratégie de groupe dans Windows 7.

Cette mesure de sécurité peut être frustrante lorsque vous vous connectez et vous déconnectez fréquemment au même (ou à de nombreux) serveurs de terminaux. Pour s'en débarrasser et pouvoir utiliser des informations d'identification enregistrées dans cette situation, vous devez configurer ce qui suit :

Aller à Démarrer -> taper : gpedit.msc -> dans la console configurer ce qui suit :

entrez la description de l'image ici

Activer chaque stratégie affichée, puis cliquer sur le bouton "Afficher" pour accéder à la liste des serveurs et ajouter TERMSRV/* (ou simplement *) au serveur. Dans mon cas, c'est ‘*’, ce qui indique que les informations d'identification sont autorisées pour tous les serveurs.

entrez la description de l'image ici

La dernière chose à faire est de rafraîchir la stratégie. Pour cela, il suffit de se rendre à l'invite de commandes (exécuter en tant qu'administrateur) et de taper : gpupdate /force

C'est tout. Maintenant, vous pouvez vous connecter à vos serveurs de terminaux en cliquant simplement sur les fichiers .rdp.

0 votes

Ceci est un problème de sécurité. Permettre la suppression des informations d'identification de session NTLM à * permet à un attaquant d'envoyer un fichier de configuration de connexion .RDP à un utilisateur par e-mail, qui configure mstsc pour utiliser les informations d'identification de session et se connecter au serveur de l'attaquant sur internet. Si l'utilisateur clique sur ce fichier, son nom d'utilisateur et son hachage NTLM (qui est l'équivalent d'un mot de passe sur les réseaux Windows - l'attaquant peut utiliser ce hachage pour se faire passer pour l'utilisateur n'importe où sur votre réseau) seront envoyés à ce serveur. Pour atténuer ce risque, répertoriez explicitement les serveurs autorisés, ou encore mieux, ne permettez pas du tout la délégation NTLM.

0 votes

@cemper93 Comment est-ce différent d'envoyer un script ou un exécutable (.EXE, .REG, .PY) par e-mail ? L'exécution est déjà dissuadée par la ZoneID du fichier (= 3; téléchargé) défini par le client de messagerie.

0 votes

@cz Cela est sans importance pour deux raisons: 1. La plupart des gens bloquent les fichiers .bat et .exe en tant que pièces jointes à un e-mail pour une raison, et beaucoup empêchent l'exécution des exécutables à partir de répertoires inscriptibles par les utilisateurs en général, pour une bonne raison. Les fichiers .rdp sont moins susceptibles de recevoir le même traitement. 2. mstsc ne empêche pas l'exécution des fichiers .rdp lorsqu'ils sont dans la zone 3! Il présente simplement à l'utilisateur un avertissement obscur indiquant que "L'émetteur de la connexion distante ne peut pas être identifié". Tout ce que l'utilisateur a à faire pour ignorer cela est de cliquer sur Connecter dans la boîte de dialogue.

3voto

Oz Edri Points 111

Pour ceux qui sont prêts à l'ajouter directement au registre, enregistrez le contenu suivant dans un fichier *.reg :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation]
"AllowDefCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001
"AllowDefaultCredentials"=dword:00000001
"ConcatenateDefaults_AllowDefault"=dword:00000001
"AllowSavedCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowSavedNTLMOnly"=dword:00000001
"AllowSavedCredentials"=dword:00000001
"ConcatenateDefaults_AllowSaved"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation]
"AllowDefCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001
"AllowDefaultCredentials"=dword:00000001
"ConcatenateDefaults_AllowDefault"=dword:00000001
"AllowSavedCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowSavedNTLMOnly"=dword:00000001
"AllowSavedCredentials"=dword:00000001
"ConcatenateDefaults_AllowSaved"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly]
"1"="TERMSRV/*"

Je l'ai obtenu en le faisant manuellement puis en recherchant le terme TERMSRV dans le registre.

0voto

Si cela vous est arrivé soudainement et de manière inattendue, et que le reste de vos ordinateurs à distance ne pose pas de problème, commencez par la solution présentée par @slayernoah (et qui a été acceptée), mais avant de commencer à déplacer vos informations d'identification de Windows à Générique, trouvez les informations d'identification pour l'ordinateur distant spécifique qui pose problème et vérifiez qu'il tente de se connecter avec le bon compte.

Dans mon cas, j'avais précédemment essayé de me connecter à l'ordinateur distant en difficulté à l'aide d'un compte de service à des fins différentes, et le Gestionnaire d'informations d'identification avait sauvegardé cette connexion et n'avait pas changé vers mon compte de travail.

W10 Pro version 19044.1706 se connectant à W10 Pro version 19044.1766

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X