77 votes

Votre administrateur système ne permet pas l'utilisation des informations d'identification enregistrées pour vous connecter à l'ordinateur distant.

À notre bureau, tous nos clients Windows 7 reçoivent ce message d'erreur lorsque nous essayons de nous connecter en RDP à un serveur Windows 2008 distant en dehors du bureau :

Votre administrateur système n'autorise pas l'utilisation des informations d'identification enregistrées pour se connecter à l'ordinateur distant XXX car son identité n'est pas entièrement vérifiée. Veuillez saisir de nouvelles informations d'identification

Capture d'écran

Une recherche rapide sur Google mène à quelques publications qui suggèrent toutes d'éditer la stratégie de groupe, etc.

J'ai l'impression que la solution habituelle pour cela est de suivre ces instructions sur chaque machine Windows 7.

Y a-t-il un moyen de faire quelque chose via l'Active Directory qui pourrait mettre à jour tous les clients Windows 7 du LAN du bureau ?

4 votes

La stratégie de groupe EST la façon d'utiliser Active Directory pour résoudre cela. Vous devez simplement modifier cette stratégie de groupe via AD et non sur votre machine locale. Faites attention à expérimenter sur un réseau en direct, si vous ne savez pas ce que vous faites, vous pouvez tout casser

0 votes

J'ai fait ça. Ça n'a pas fonctionné sur mon client :( J'ai essayé de forcer la mise à jour et redémarré mon client win 7 box. Y a-t-il un moyen de confirmer que le client win 7 box a été 'mis à jour' ?

1 votes

Oui, deux façons. Jetez un œil à la commande gpresult ou exécutez mmc et ajoutez le module d'extension des politiques résultantes.

129voto

slayernoah Points 1510

Si vous ne voulez pas modifier les GPO locaux ou côté serveur :

Allez dans Panneau de configuration -> Gestionnaire d'informations d'identification sur l'ordinateur local à partir duquel vous essayez de vous connecter .
Vous verrez trois sections :

**

  1. Informations d'identification de Windows
  2. Informations d'identification basées sur des certificats
  3. Informations d'identification génériques

Supprimez les informations d'identification de Informations d'identification de Windows et ajoutez-les à Informations d'identification génériques.

**

6 votes

Brillante solution. Confirmé fonctionne avec le client Win8.1 et l'hôte distant Server2012R2.

10 votes

Cela devrait être la réponse principale, une solution simple et je n'ai pas besoin de modifier le GPO (qui est écrasé à la connexion au travail)

3 votes

Confirmé sur Windows 10 avec Windows Server 2012R2.

35voto

Zak Points 341

Voici un lien sur comment réaliser ceci : http://netport.org/?p=255

Mettre à jour 4 paramètres dans l'éditeur de stratégie de groupe sur Windows 7.

Cette mesure de sécurité peut être frustrante lorsque vous vous connectez et vous déconnectez souvent du même (ou de plusieurs) serveurs de terminal. Pour vous en débarrasser et pouvoir utiliser des informations d'identification enregistrées dans cette situation, vous devez configurer ce qui suit :

Allez à Démarrer -> tapez : gpedit.msc -> dans la console configurez ce qui suit :

entrer la description de l'image ici

Activez chaque politique affichée, puis cliquez sur le bouton "Afficher" pour accéder à la liste des serveurs et ajoutez TERMSRV/* (ou simplement *) au serveur. Dans mon cas, c'est '*' ce qui indique que les informations d'identification en cache seront autorisées pour tous les serveurs.

entrer la description de l'image ici

La dernière chose à faire est de rafraîchir la stratégie. Pour ce faire, allez simplement à l'invite de commandes (exécutez en tant qu'administrateur) et tapez : gpupdate /force

C'est tout. Maintenant vous pouvez vous connecter à vos serveurs de terminal en cliquant simplement sur les fichiers .rdp.

0 votes

Ceci est un problème de sécurité. Autoriser la suppression des informations d'identification de session NTLM à * permet à un attaquant d'envoyer un fichier de configuration de connexion .RDP à un utilisateur par e-mail, ce qui configure mstsc pour utiliser les informations d'identification de session et se connecter au serveur de l'attaquant sur Internet. Si l'utilisateur clique sur ce fichier, son nom d'utilisateur et son hachage NTLM (qui est équivalent à un mot de passe sur les réseaux Windows - l'attaquant peut utiliser ce hachage pour se faire passer pour l'utilisateur n'importe où sur votre réseau) seront envoyés à ce serveur. Pour atténuer cela, répertoriez explicitement les serveurs autorisés, ou encore mieux, ne permettez pas du tout la délégation NTLM.

0 votes

@cemper93 Comment cela diffère-t-il de l'envoi par courriel de tout script ou exécutable (.EXE, .REG, .PY) ? L'exécution est déjà dissuadée par l'ID de zone du fichier (= 3 ; téléchargé) tel que défini par le client de messagerie.

0 votes

@cz Cela est sans importance pour deux raisons: 1. La plupart des gens bloquent les fichiers .bat et .exe en tant que pièces jointes d'e-mail pour une raison, et beaucoup empêchent les exécutables d'être exécutés à partir de répertoires où les utilisateurs peuvent écrire en général, pour une bonne raison. Les fichiers .rdp sont moins susceptibles de recevoir le même traitement. 2. mstsc ne pas empêcher l'exécution des fichiers .rdp quand ils sont dans la zone 3! Il présente simplement à l'utilisateur un avertissement obscur disant que "L'éditeur de la connexion distante ne peut pas être identifié". Pour ignorer cela, l'utilisateur n'a qu'à cliquer sur Connecter dans la boîte de dialogue.

3voto

Oz Edri Points 111

Pour ceux qui souhaitent l'ajouter directement au registre, enregistrez le contenu suivant dans un fichier *.reg :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation]
"AllowDefCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001
"AllowDefaultCredentials"=dword:00000001
"ConcatenateDefaults_AllowDefault"=dword:00000001
"AllowSavedCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowSavedNTLMOnly"=dword:00000001
"AllowSavedCredentials"=dword:00000001
"ConcatenateDefaults_AllowSaved"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation]
"AllowDefCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001
"AllowDefaultCredentials"=dword:00000001
"ConcatenateDefaults_AllowDefault"=dword:00000001
"AllowSavedCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowSavedNTLMOnly"=dword:00000001
"AllowSavedCredentials"=dword:00000001
"ConcatenateDefaults_AllowSaved"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly]
"1"="TERMSRV/*"

Je l'ai obtenu en le faisant manuellement puis en recherchant le registre pour TERMSRV.

0voto

Si cela vous est arrivé soudainement et de manière inattendue, et que le reste de vos ordinateurs distants ne rencontre pas de problèmes, commencez par la solution présentée par @slayernoah (et acceptée), mais avant de commencer à déplacer vos identifiants de Windows vers Générique, recherchez les identifiants de l'ordinateur distant spécifique qui pose problème et vérifiez qu'il essaie de se connecter avec le bon compte.

Dans mon cas, j'avais précédemment essayé de me connecter à l'ordinateur distant en difficulté en utilisant un compte de service à des fins différentes, et le Gestionnaire d'informations d'identification avait enregistré cette connexion et n'était pas passé à mon compte de travail.

W10 Pro version 19044.1706 se connectant à W10 Pro version 19044.1766

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X