77 votes

cmcculloh avatar

Votre administrateur système ne permet pas l'utilisation des informations d'identification enregistrées pour vous connecter à l'ordinateur distant

Demandé el 8 de Juin, 2012
Quand la question a-t-elle été
78672 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

À notre bureau, tous nos clients Windows 7 reçoivent ce message d'erreur lorsque nous essayons de nous connecter en RDP à un serveur distant Windows 2008 en dehors du bureau :

Votre administrateur système n'autorise pas l'utilisation des informations d'identification enregistrées pour se connecter à l'ordinateur distant XXX car son identité n'est pas entièrement vérifiée. Veuillez entrer de nouvelles informations d'identification

Capture d'écran

Une recherche rapide sur Google mène à quelques publications qui suggèrent toutes d'éditer la stratégie de groupe, etc.

J'ai l'impression que la solution commune à ce problème est de suivre ces instructions sur chaque machine Windows 7.

Existe-t-il un moyen de faire quelque chose via l'Active Directory qui pourrait mettre à jour tous les clients Windows 7 sur le LAN du bureau ?

Demandé el 8 de Juin, 2012 par cmcculloh

4 votes

Avatar de uSlackr

Group Policy EST la façon d'utiliser Active Directory pour résoudre ce problème. Vous devez simplement modifier cette stratégie de groupe via AD et non sur votre machine locale. Attention à expérimenter sur un réseau en direct, si vous ne savez pas ce que vous faites, vous risquez de tout casser.

Commenté el 8 de Juin, 2012 par uSlackr

0 votes

Avatar de cmcculloh

J'ai fait cela. Ça n'a pas fonctionné sur mon client :( J'ai essayé de forcer la mise à jour et redémarré mon client win 7 box. Y a-t-il un moyen de confirmer que le client win 7 box a été 'mis à jour' ?

Commenté el 8 de Juin, 2012 par cmcculloh

1 votes

Avatar de uSlackr

Oui, deux façons. Jetez un œil à la commande gpresult ou lancez mmc et ajoutez le snap-in de l'ensemble de stratégies résultantes.

Commenté el 8 de Juin, 2012 par uSlackr
Afficher 4 autres commentaires

Réponses

Trop de publicités?

129voto

slayernoah avatar
slayernoah Points 1510

Si vous ne voulez pas modifier les GPO locaux ou côté serveur :

Allez dans Panneau de configuration -> Gestionnaire d'informations d'identification sur l'ordinateur local à partir duquel vous essayez de vous connecter .

Vous verrez trois sections :

  1. Informations d'identification Windows
  2. Informations d'identification basées sur des certificats
  3. Informations d'identification génériques

Supprimez les informations d'identification de Informations d'identification Windows et ajoutez-les à Informations d'identification génériques.

Répondu el 16 de Octobre, 2015 par slayernoah (1510 Points )

6 votes

Avatar de Matt Briggs

Brillante solution. Confirmé fonctionne avec le client Win8.1 et l'hôte distant Server2012R2.

Commenté el 2 de Décembre, 2015 par Matt Briggs

10 votes

Avatar de neilsimp1

Cela devrait être la réponse principale, une solution simple et je n'ai pas besoin de modifier GPO (qui est écrasé à la connexion au travail)

Commenté el 11 de Mai, 2016 par neilsimp1

3 votes

Avatar de Tuinstoelen

Confirmé sur Windows 10 avec Windows Server 2012R2.

Commenté el 4 de Janvier, 2017 par Tuinstoelen
Afficher 9 autres commentaires

35voto

Zak avatar
Zak Points 341

Voici un lien sur comment réaliser ceci : http://netport.org/?p=255

Mettre à jour 4 paramètres dans l'éditeur de stratégie de groupe dans Windows 7.

Cette mesure de sécurité peut être frustrante lorsque vous vous connectez et vous déconnectez fréquemment au même (ou à de nombreux) serveurs de terminaux. Pour s'en débarrasser et pouvoir utiliser des informations d'identification enregistrées dans cette situation, vous devez configurer ce qui suit :

Aller à Démarrer -> taper : gpedit.msc -> dans la console configurer ce qui suit :

entrez la description de l'image ici

Activer chaque stratégie affichée, puis cliquer sur le bouton "Afficher" pour accéder à la liste des serveurs et ajouter TERMSRV/* (ou simplement *) au serveur. Dans mon cas, c'est ‘*’, ce qui indique que les informations d'identification sont autorisées pour tous les serveurs.

entrez la description de l'image ici

La dernière chose à faire est de rafraîchir la stratégie. Pour cela, il suffit de se rendre à l'invite de commandes (exécuter en tant qu'administrateur) et de taper : gpupdate /force

C'est tout. Maintenant, vous pouvez vous connecter à vos serveurs de terminaux en cliquant simplement sur les fichiers .rdp.

Répondu el 4 de Décembre, 2012 par Zak (341 Points )

0 votes

Avatar de cemper93

Ceci est un problème de sécurité. Permettre la suppression des informations d'identification de session NTLM à * permet à un attaquant d'envoyer un fichier de configuration de connexion .RDP à un utilisateur par e-mail, qui configure mstsc pour utiliser les informations d'identification de session et se connecter au serveur de l'attaquant sur internet. Si l'utilisateur clique sur ce fichier, son nom d'utilisateur et son hachage NTLM (qui est l'équivalent d'un mot de passe sur les réseaux Windows - l'attaquant peut utiliser ce hachage pour se faire passer pour l'utilisateur n'importe où sur votre réseau) seront envoyés à ce serveur. Pour atténuer ce risque, répertoriez explicitement les serveurs autorisés, ou encore mieux, ne permettez pas du tout la délégation NTLM.

Commenté el 12 de Octobre, 2022 par cemper93

0 votes

Avatar de Hari Amoor

@cemper93 Comment est-ce différent d'envoyer un script ou un exécutable (.EXE, .REG, .PY) par e-mail ? L'exécution est déjà dissuadée par la ZoneID du fichier (= 3; téléchargé) défini par le client de messagerie.

Commenté el 8 de Avril, 2024 par Hari Amoor

0 votes

Avatar de cemper93

@cz Cela est sans importance pour deux raisons: 1. La plupart des gens bloquent les fichiers .bat et .exe en tant que pièces jointes à un e-mail pour une raison, et beaucoup empêchent l'exécution des exécutables à partir de répertoires inscriptibles par les utilisateurs en général, pour une bonne raison. Les fichiers .rdp sont moins susceptibles de recevoir le même traitement. 2. mstsc ne empêche pas l'exécution des fichiers .rdp lorsqu'ils sont dans la zone 3! Il présente simplement à l'utilisateur un avertissement obscur indiquant que "L'émetteur de la connexion distante ne peut pas être identifié". Tout ce que l'utilisateur a à faire pour ignorer cela est de cliquer sur Connecter dans la boîte de dialogue.

Commenté el 10 de Avril, 2024 par cemper93
Afficher 2 autres commentaires

3voto

Oz Edri avatar
Oz Edri Points 111

Pour ceux qui sont prêts à l'ajouter directement au registre, enregistrez le contenu suivant dans un fichier *.reg :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation]
"AllowDefCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001
"AllowDefaultCredentials"=dword:00000001
"ConcatenateDefaults_AllowDefault"=dword:00000001
"AllowSavedCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowSavedNTLMOnly"=dword:00000001
"AllowSavedCredentials"=dword:00000001
"ConcatenateDefaults_AllowSaved"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation]
"AllowDefCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001
"AllowDefaultCredentials"=dword:00000001
"ConcatenateDefaults_AllowDefault"=dword:00000001
"AllowSavedCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowSavedNTLMOnly"=dword:00000001
"AllowSavedCredentials"=dword:00000001
"ConcatenateDefaults_AllowSaved"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly]
"1"="TERMSRV/*"

Je l'ai obtenu en le faisant manuellement puis en recherchant le terme TERMSRV dans le registre.

Répondu el 20 de Janvier, 2020 par Oz Edri (111 Points )

0voto

RockiesMagicNumber avatar
RockiesMagicNumber Points 123

Si cela vous est arrivé soudainement et de manière inattendue, et que le reste de vos ordinateurs à distance ne pose pas de problème, commencez par la solution présentée par @slayernoah (et qui a été acceptée), mais avant de commencer à déplacer vos informations d'identification de Windows à Générique, trouvez les informations d'identification pour l'ordinateur distant spécifique qui pose problème et vérifiez qu'il tente de se connecter avec le bon compte.

Dans mon cas, j'avais précédemment essayé de me connecter à l'ordinateur distant en difficulté à l'aide d'un compte de service à des fins différentes, et le Gestionnaire d'informations d'identification avait sauvegardé cette connexion et n'avait pas changé vers mon compte de travail.

W10 Pro version 19044.1706 se connectant à W10 Pro version 19044.1766

Répondu el 17 de Juin, 2022 par RockiesMagicNumber (123 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X