43 votes

Remi Despres-Smyth avatar

Windows 7 Enregistrement des informations d'identification de la connexion Bureau à distance ne fonctionne pas

Demandé el 6 de Juin, 2013
Quand la question a-t-elle été
110361 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Comment puis-je autoriser l'enregistrement des informations d'identification lors de la connexion à une autre machine avec Connexion Bureau à distance?

Contexte

Je tente de me connecter à un serveur et le client Connexion Bureau à distance n'a pas d'informations d'identification enregistrées:

description de l'image ici

Pour essayer d'enregistrer les informations d'identification, je coche l'option Me permettre d'enregistrer les informations d'identification:

description de l'image ici

Je lance alors la connexion, saisis mon mot de passe et je remarque que l'option Se souvenir de mes informations d'identification est cochée:

description de l'image ici

Une fois connecté au serveur, je m'assure que les options de stratégie de groupe locales

Stratégie de l'ordinateur local Configuration de l'ordinateur Modèles d'administration Composants Windows Services Bureau à distance Client Connexion Bureau à distance

  • Demander les informations d'identification sur l'ordinateur client
  • Ne pas permettre l'enregistrement des mots de passe

qui sont par défaut configurées pour autoriser l'enregistrement des mots de passe et pour ne pas demander d'informations d'identification, sont forcées d'autoriser l'enregistrement des mots de passe et de ne pas demander d'informations d'identification:

description de l'image ici

Et j'exécute gpupdate /force pour m'assurer que les paramètres de sécurité forcément désactivés sont en cours d'utilisation.

Répétez les étapes ci-dessus 4 ou 5 fois, à la 6e fois en créant des captures d'écran pour une question sur stackoverflow.

Remarquez que le client Connexion Bureau à distance refuse d'enregistrer mon mot de passe, indiquant:

Vous serez invités à fournir vos informations d'identification lors de la connexion

description de l'image ici

Donc la question est: Comment enregistrer les informations d'identification lors de la connexion à une machine?

Autres tentatives

Comme cela a été suggéré:

j'ai essayé d'activer l'option "Autoriser la délégation des informations d'identification enregistrées avec une authentification de serveur NTLM uniquement" pour TERMSRV/* dans gpedit.msc sur le client (par exemple, Windows 7):

description de l'image ici

Les gens suggèrent cela sans réaliser que cela s'applique uniquement à l'authentification NTLM. NTLM est un protocole d'authentification obsolète, peu sécurisé et ne devrait pas être utilisé:

NTLM est un protocole d'authentification obsolète avec des failles qui compromettent potentiellement la sécurité des applications et du système d'exploitation. Bien que Kerberos soit disponible depuis de nombreuses années, de nombreuses applications sont toujours écrites pour n'utiliser que NTLM. Cela réduit inutilement la sécurité des applications.

De toute façon: cela n'a pas fonctionné.

Informations supplémentaires

  • j'ai essayé les deux formats d'identifiant modernes ian@avatopia.com et hérité avatopia.com\ian
  • j'ai essayé de définir la stratégie de groupe sur le contrôleur de domaine
  • client Professionnel Windows 7 64 bits
  • serveur Windows Server 2008 R2
  • serveur Windows Server 2008
  • serveur Windows Server 2012
  • serveur Windows Server 2003 R2
  • à partir de Contexte et au-delà, c'est juste des éléments de remplissage pour donner l'impression que j'ai "fait un effort de recherche"; vous pouvez l'ignorer; y compris cette ligne qui parle d'ignorer cette ligne

Annexe A

Le client est Windows 7, se connectant à Windows Server 2008 R2, via RDP 7.1, avec le serveur utilisant un certificat généré automatiquement:

description de l'image ici

Le client a authentifié l'identité du serveur:

description de l'image ici

Cela se produit également lors de la connexion à Windows Server 2008 et Windows Server 2012 (tous à partir du client Windows 7). Toutes les machines sont jointes au même domaine.

Annexe B

Le résultat de l'ensemble de la politique (rsop.msc) sur le client a Toujours demander un mot de passe à la connexion défini sur Désactivé:

description de l'image ici

Annexe C

Résultats de la connexion à chaque serveur que je peux trouver. J'ai eu tort quand j'ai dit que cela échouait sur toute connexion au Serveur 2003. Le problème est limité aux Serveurs 2008, 2008 R2 et 2012:

  • Windows Server 2000: Oui*
  • Windows Server 2000: Oui*
  • Windows Server 2003: Oui
  • Windows Server 2003 R2: Oui
  • Windows Server 2003 R2: Oui (Contrôleur de domaine)
  • Windows Server 2003 R2: Oui
  • Windows Server 2008: Non
  • Windows Server 2008: Non
  • Windows Server 2008 R2: Non
  • Windows Server 2008 R2: Non
  • Windows Server 2012: Non
  • Windows Server 2012: Non

*indique qu'il utilisera les informations d'identification enregistrées, mais doit ressaisir le mot de passe sur l'écran de connexion 2000

Lecture supplémentaire

Demandé el 6 de Juin, 2013 par Remi Despres-Smyth

Réponses

Trop de publicités?

18voto

Remi Despres-Smyth avatar
Remi Despres-Smyth Points 1500

J'ai trouvé la solution. Elle était à la fois subtile et évidente.

Comme mentionné dans la question, lorsque je modifiais les paramètres de la stratégie de groupe du Client de Connexion Bureau à Distance suivant :

  • Demander des informations d'identification sur l'ordinateur client
  • Ne pas autoriser l'enregistrement des mots de passe

je les vérifiais sur le serveur :

entrez la description de l'image ici

Je pensais que c'était le serveur qui dictait ce que le client était autorisé à faire. Il s'avère que c'est complètement faux. C'était la réponse de @mpy (bien que incorrecte), qui m'a conduit à la solution. Je ne devrais pas regarder la politique client RDP sur le serveur RDP, je dois regarder la politique client RDP sur ma machine cliente RDP client:

entrez la description de l'image ici

Sur mon ordinateur client Windows 7, la politique était la suivante :

  • Ne pas autoriser l'enregistrement des mots de passe : Activé
  • Demander des informations d'identification sur l'ordinateur client : Activé

Je ne sais pas quand ces options ont été activées (je ne les ai pas activées récemment). La partie déroutante est que même si

Ne pas autoriser l'enregistrement des mots de passe

est Activé, le client RDP enregistrait quand même le mot de passe ; mais seulement pour les serveurs antérieurs à Windows Server 2008.

Le tableau de vérité du fonctionnement :

Ne pas autoriser l'enregistrement  Demander les infos d'identification  Fonctionne pour les serveurs 2008+  Fonctionne pour les serveurs 2003 R2-
==================  ================  =======================  ==========================
Activé             Activé           Non                       Oui
Activé             Non configuré    Non                       Non
Non configuré      Activé           Oui                      Oui
Non configuré      Non configuré    Oui                      Oui

Donc voici le truc. Les paramètres de la stratégie de groupe sous :

Configuration de l'ordinateur\Stratégies\Modèles d'administration\Composants Windows\Services Bureau à Distance\Client de Connexion Bureau à Distance

sur la machine cliente doivent être configurés comme suit :

  • Ne pas autoriser l'enregistrement des mots de passe : Non configuré (critique)
  • Demander des informations d'identification sur l'ordinateur client : Non configuré

L'autre source de confusion est que bien que

  • une politique de domaine Activée ne peut pas remplacer une locale Désactivée
  • une politique de domaine Désactivée peut être remplacée par une politique locale Activée

Ce qui nous mène encore une fois à un tableau de vérité :

Politique de domaine   Politique locale    Politique effective
==============  ==============  ==============================
Non configurée  Non configurée  Non configurée (c'est-à-dire désactivée)
Non configurée  Désactivée        Désactivée
Non configurée  Activée         Activée
Désactivée        Non configurée  Désactivée
Désactivée        Désactivée        Désactivée
Désactivée        Activée         Désactivée (le client l'emporte)
Activée         Non configurée  Activée
Activée         Désactivée        Activée (le domaine l'emporte)
Activée         Activée         Activée
Répondu el 11 de Juin, 2013 par Remi Despres-Smyth (1500 Points )

12voto

Paweł Bulwan avatar
Paweł Bulwan Points 391

Étant donné que la réponse directe à la question est déjà là, je suggérerai une approche alternative.

Gestionnaire de connexion Bureau à distance (RDCMan) est un outil écrit par Julian Burger et utilisé en interne chez Microsoft. Il est très léger, gratuit et à mon avis, il améliore considérablement la productivité, surtout lorsque vous devez maintenir de nombreuses connexions. Et oui, il stocke également les mots de passe (dans le fichier de configuration xml).

Avantages :

  • Vous pouvez organiser les connexions en hiérarchies, qui héritent des propriétés (par exemple, les informations d'identification, les paramètres de couleur, la résolution).
  • Toute la configuration, y compris les mots de passe hachés, est stockée dans un seul fichier - facile à déplacer entre les ordinateurs.
  • Léger, gratuit, fiable.

Inconvénients :

  • Certains n'aiment pas le menu de navigation sur la gauche lorsqu'il n'est pas en mode plein écran. Personnellement, je m'y suis vite habitué.

Gestionnaire de connexion Bureau à distance

Capture d'écran de l'article :
Comment les administrateurs système utilisent efficacement le Gestionnaire de connexion Bureau à distance

Répondu el 11 de Juin, 2013 par Paweł Bulwan (391 Points )

6voto

Mike Kaganski avatar
Mike Kaganski Points 180

La réponse la plus détaillée est déjà là, faite par l'interrogateur. Je veux juste noter que ce problème peut également se produire lorsque le système d'exploitation de l'ordinateur client est une SKU domestique, donc aucun éditeur de stratégie locale n'est disponible, et aucune stratégie de domaine n'est en vigueur. Néanmoins, le client peut agir comme si la politique de demander toujours un mot de passe était définie (je ne sais pas ce qui cause un tel défaut - peut-être un programme installé?).

Ensuite, il est utile de définir manuellement le paramètre du registre de la politique (le client MS RDP le vérifie; vous pouvez le trouver en utilisant un outil comme procmon). Il se trouve ici:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]

"PromptForCredsOnClient"=dword:00000000

"DisablePasswordSaving"=dword:00000000
Répondu el 20 de Mai, 2014 par Mike Kaganski (180 Points )

3voto

mpy avatar
mpy Points 24817

En lisant vos questions, j'ai trébuché sur ce paramètre de stratégie de groupe : Demander des informations d'identification sur l'ordinateur client que vous avez désactivé.

MS Technet donne l'explication suivante sur ce paramètre :

Demander des informations d'identification sur l'ordinateur client

Ce paramètre de stratégie détermine si un utilisateur sera invité sur l'ordinateur client à fournir des informations d'identification pour une connexion à distance à un serveur de terminal.

Si vous activez ce paramètre de stratégie, un utilisateur sera invité sur l'ordinateur client - au lieu du serveur de terminal - à fournir des informations d'identification pour une connexion à distance à un serveur de terminal. Si des informations d'identification enregistrées pour l'utilisateur sont disponibles sur l'ordinateur client, l'utilisateur ne sera pas invité à fournir des informations d'identification.

Remarque Si vous activez ce paramètre de stratégie et qu'un utilisateur est invité à fournir des informations d'identification sur l'ordinateur client et sur le serveur de terminal, exécutez l'outil de configuration des services Terminal sur le serveur de terminal, et dans la boîte de dialogue Propriétés de la connexion, décochez la case Toujours demander le mot de passe sur l'onglet Paramètres de connexion.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, la version du système d'exploitation sur le serveur de terminal déterminera quand un utilisateur sera invité à fournir des informations d'identification pour une connexion à distance à un serveur de terminal. Pour Windows 2000 et Windows Server 2003, un utilisateur sera invité sur le serveur de terminal à fournir des informations d'identification pour une connexion à distance. Pour Windows Server 2008, un utilisateur sera invité sur l'ordinateur client à fournir des informations d'identification pour une connexion à distance.

Cela semble exactement être le scénario auquel vous êtes confronté. Vous voulez enregistrer les informations d'identification sur l'ordinateur client, alors il vous suffit de activer le paramètre Demander des informations d'identification sur l'ordinateur client.

Répondu el 11 de Juin, 2013 par mpy (24817 Points )

3voto

BlueRaja - Danny Pflughoeft avatar
BlueRaja - Danny Pflughoeft Points 7488

Dans mon cas, le problème était que le fichier *.rdp téléchargé depuis Microsoft Azure avait la ligne suivante :

prompt for credentials:i:1

Normalement, cocher 'Enregistrer les informations d'identification' devrait changer cette ligne, mais pour une raison quelconque, elle est également marquée comme 'en lecture seule'.

La désélectionner comme 'en lecture seule' et modifier la ligne en

prompt for credentials:i:0

dans le bloc-notes a corrigé le problème.

Répondu el 13 de Septembre, 2015 par BlueRaja - Danny Pflughoeft (7488 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X