77 votes

cmcculloh avatar

Votre administrateur système ne permet pas l'utilisation des informations d'identification enregistrées pour vous connecter à l'ordinateur distant.

Demandé el 8 de Juin, 2012
Quand la question a-t-elle été
78674 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

À notre bureau, tous nos clients Windows 7 reçoivent ce message d'erreur lorsque nous essayons de nous connecter en RDP à un serveur Windows 2008 distant en dehors du bureau :

Votre administrateur système n'autorise pas l'utilisation des informations d'identification enregistrées pour se connecter à l'ordinateur distant XXX car son identité n'est pas entièrement vérifiée. Veuillez saisir de nouvelles informations d'identification

Capture d'écran

Une recherche rapide sur Google mène à quelques publications qui suggèrent toutes d'éditer la stratégie de groupe, etc.

J'ai l'impression que la solution habituelle pour cela est de suivre ces instructions sur chaque machine Windows 7.

Y a-t-il un moyen de faire quelque chose via l'Active Directory qui pourrait mettre à jour tous les clients Windows 7 du LAN du bureau ?

Demandé el 8 de Juin, 2012 par cmcculloh

4 votes

Avatar de uSlackr

La stratégie de groupe EST la façon d'utiliser Active Directory pour résoudre cela. Vous devez simplement modifier cette stratégie de groupe via AD et non sur votre machine locale. Faites attention à expérimenter sur un réseau en direct, si vous ne savez pas ce que vous faites, vous pouvez tout casser

Commenté el 8 de Juin, 2012 par uSlackr

0 votes

Avatar de cmcculloh

J'ai fait ça. Ça n'a pas fonctionné sur mon client :( J'ai essayé de forcer la mise à jour et redémarré mon client win 7 box. Y a-t-il un moyen de confirmer que le client win 7 box a été 'mis à jour' ?

Commenté el 8 de Juin, 2012 par cmcculloh

1 votes

Avatar de uSlackr

Oui, deux façons. Jetez un œil à la commande gpresult ou exécutez mmc et ajoutez le module d'extension des politiques résultantes.

Commenté el 8 de Juin, 2012 par uSlackr
Afficher 4 autres commentaires

Réponses

Trop de publicités?

129voto

slayernoah avatar
slayernoah Points 1510

Si vous ne voulez pas modifier les GPO locaux ou côté serveur :

Allez dans Panneau de configuration -> Gestionnaire d'informations d'identification sur l'ordinateur local à partir duquel vous essayez de vous connecter .
Vous verrez trois sections :

**

  1. Informations d'identification de Windows
  2. Informations d'identification basées sur des certificats
  3. Informations d'identification génériques

Supprimez les informations d'identification de Informations d'identification de Windows et ajoutez-les à Informations d'identification génériques.

**

Répondu el 16 de Octobre, 2015 par slayernoah (1510 Points )

6 votes

Avatar de Matt Briggs

Brillante solution. Confirmé fonctionne avec le client Win8.1 et l'hôte distant Server2012R2.

Commenté el 2 de Décembre, 2015 par Matt Briggs

10 votes

Avatar de neilsimp1

Cela devrait être la réponse principale, une solution simple et je n'ai pas besoin de modifier le GPO (qui est écrasé à la connexion au travail)

Commenté el 11 de Mai, 2016 par neilsimp1

3 votes

Avatar de Tuinstoelen

Confirmé sur Windows 10 avec Windows Server 2012R2.

Commenté el 4 de Janvier, 2017 par Tuinstoelen
Afficher 10 autres commentaires

35voto

Zak avatar
Zak Points 341

Voici un lien sur comment réaliser ceci : http://netport.org/?p=255

Mettre à jour 4 paramètres dans l'éditeur de stratégie de groupe sur Windows 7.

Cette mesure de sécurité peut être frustrante lorsque vous vous connectez et vous déconnectez souvent du même (ou de plusieurs) serveurs de terminal. Pour vous en débarrasser et pouvoir utiliser des informations d'identification enregistrées dans cette situation, vous devez configurer ce qui suit :

Allez à Démarrer -> tapez : gpedit.msc -> dans la console configurez ce qui suit :

entrer la description de l'image ici

Activez chaque politique affichée, puis cliquez sur le bouton "Afficher" pour accéder à la liste des serveurs et ajoutez TERMSRV/* (ou simplement *) au serveur. Dans mon cas, c'est '*' ce qui indique que les informations d'identification en cache seront autorisées pour tous les serveurs.

entrer la description de l'image ici

La dernière chose à faire est de rafraîchir la stratégie. Pour ce faire, allez simplement à l'invite de commandes (exécutez en tant qu'administrateur) et tapez : gpupdate /force

C'est tout. Maintenant vous pouvez vous connecter à vos serveurs de terminal en cliquant simplement sur les fichiers .rdp.

Répondu el 4 de Décembre, 2012 par Zak (341 Points )

0 votes

Avatar de cemper93

Ceci est un problème de sécurité. Autoriser la suppression des informations d'identification de session NTLM à * permet à un attaquant d'envoyer un fichier de configuration de connexion .RDP à un utilisateur par e-mail, ce qui configure mstsc pour utiliser les informations d'identification de session et se connecter au serveur de l'attaquant sur Internet. Si l'utilisateur clique sur ce fichier, son nom d'utilisateur et son hachage NTLM (qui est équivalent à un mot de passe sur les réseaux Windows - l'attaquant peut utiliser ce hachage pour se faire passer pour l'utilisateur n'importe où sur votre réseau) seront envoyés à ce serveur. Pour atténuer cela, répertoriez explicitement les serveurs autorisés, ou encore mieux, ne permettez pas du tout la délégation NTLM.

Commenté el 12 de Octobre, 2022 par cemper93

0 votes

Avatar de Hari Amoor

@cemper93 Comment cela diffère-t-il de l'envoi par courriel de tout script ou exécutable (.EXE, .REG, .PY) ? L'exécution est déjà dissuadée par l'ID de zone du fichier (= 3 ; téléchargé) tel que défini par le client de messagerie.

Commenté el 8 de Avril, 2024 par Hari Amoor

0 votes

Avatar de cemper93

@cz Cela est sans importance pour deux raisons: 1. La plupart des gens bloquent les fichiers .bat et .exe en tant que pièces jointes d'e-mail pour une raison, et beaucoup empêchent les exécutables d'être exécutés à partir de répertoires où les utilisateurs peuvent écrire en général, pour une bonne raison. Les fichiers .rdp sont moins susceptibles de recevoir le même traitement. 2. mstsc ne pas empêcher l'exécution des fichiers .rdp quand ils sont dans la zone 3! Il présente simplement à l'utilisateur un avertissement obscur disant que "L'éditeur de la connexion distante ne peut pas être identifié". Pour ignorer cela, l'utilisateur n'a qu'à cliquer sur Connecter dans la boîte de dialogue.

Commenté el 10 de Avril, 2024 par cemper93
Afficher 2 autres commentaires

3voto

Oz Edri avatar
Oz Edri Points 111

Pour ceux qui souhaitent l'ajouter directement au registre, enregistrez le contenu suivant dans un fichier *.reg :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation]
"AllowDefCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001
"AllowDefaultCredentials"=dword:00000001
"ConcatenateDefaults_AllowDefault"=dword:00000001
"AllowSavedCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowSavedNTLMOnly"=dword:00000001
"AllowSavedCredentials"=dword:00000001
"ConcatenateDefaults_AllowSaved"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation]
"AllowDefCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001
"AllowDefaultCredentials"=dword:00000001
"ConcatenateDefaults_AllowDefault"=dword:00000001
"AllowSavedCredentialsWhenNTLMOnly"=dword:00000001
"ConcatenateDefaults_AllowSavedNTLMOnly"=dword:00000001
"AllowSavedCredentials"=dword:00000001
"ConcatenateDefaults_AllowSaved"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultCredentials]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCredentialsWhenNTLMOnly]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials]
"1"="TERMSRV/*"

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly]
"1"="TERMSRV/*"

Je l'ai obtenu en le faisant manuellement puis en recherchant le registre pour TERMSRV.

Répondu el 20 de Janvier, 2020 par Oz Edri (111 Points )

0voto

RockiesMagicNumber avatar
RockiesMagicNumber Points 123

Si cela vous est arrivé soudainement et de manière inattendue, et que le reste de vos ordinateurs distants ne rencontre pas de problèmes, commencez par la solution présentée par @slayernoah (et acceptée), mais avant de commencer à déplacer vos identifiants de Windows vers Générique, recherchez les identifiants de l'ordinateur distant spécifique qui pose problème et vérifiez qu'il essaie de se connecter avec le bon compte.

Dans mon cas, j'avais précédemment essayé de me connecter à l'ordinateur distant en difficulté en utilisant un compte de service à des fins différentes, et le Gestionnaire d'informations d'identification avait enregistré cette connexion et n'était pas passé à mon compte de travail.

W10 Pro version 19044.1706 se connectant à W10 Pro version 19044.1766

Répondu el 17 de Juin, 2022 par RockiesMagicNumber (123 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X