Rdp не сохраняет пароль windows 10

Обновлено: 03.07.2024

При подключении к терминальному серверу Microsoft Server 2016 на клиентских компьютерах с операционными системами Windows 7/8/10 не получается запомнить пароль. После нажатия галочки “разрешить мне сохранять личные данные” он должен сохраняться, но при повторном соединении появляется следующая надпись:

«Системный администратор запретил использовать сохраненные учетные данные для входа в систему удаленного компьютера, так как его подлинность проверена не полностью. Введите новые учетные данные.»
Чтобы решить проблему запустим редактор локальной групповой политики gpedit.msc на компьютере с которого будем подключатся к терминальному серверу.
Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных -> Разрешить делегирование сохраненных учетных данных с проверкой подлинности сервера ″только NTLM″
Включаем политику и добавляем серверы при подключении к которым требуется сохранять пароль.

TERMSRV/COMPUTER1 — сохранять учетные данные для подключения к COMPUTER1;
TERMSRV/*.example.local — сохранять данные для всех компьютеров в домене example.local;
TERMSRV/* — всегда сохранять учетные данные.
Важное замечание: параметр TERMSRV должен быть написан заглавными буквами!

Закрываем редактор групповой политики и применяем политику: gpupdate /force

При организации нового рабочего места в доменной сети я столкнулся с тем, что Windows 7 Enterprise x64 напрочь отказалась сохранять пароль при подключению к удаленным серверам (Windows 2008) по RDP (справедливо и для RemoteApp). Если установить галочку «заполнить пароль», то автоматического подключения не происходило (завершалось с ошибкой с предложением обратиться к администратору) и приходилось заново вводить пароль вручную.

Я перепробовал несколько решений и публикую вариант, который сработал у меня, то есть Windows 7 стала запоминать пароли для RDP и RemoteApp для серверов Windows 2008 в доменной сети организации.

Групповые политики Windows 7

Запустим редактор локальной групповой политики. Для этого в строке поиска наберите gpedit.msc и нажмите [Enter]:

Проверка текущей локальной групповой политики Windows 7

Для начала нам необходимо убедиться в том, что в групповой политике отключены следующие параметры:

Конфигурация пользователя — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Клиент подключения к удаленному рабочему столу — Запретить сохранение паролей;
Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Клиент подключения к удаленному рабочему столу — Запретить сохранение паролей.

По-умолчанию эти параметры выключены, то есть находятся в том состоянии какое нам нужно, но нужно убедиться, что это именно так, как все дальнейшие действия не будут иметь смысла, а сделанные настройки не принесут желаемого результата.

Изменение локальной групповой политики Windows 7

Чтобы компьютер под управлением Windows 7 запоминал пароли RDP и RemoteApp при подключении к серверам Windows 2008 необходимо внести следующие изменения в локальную групповую политику:

Найдите куст: Конфигурация компьютера — Административные шаблоны — Система — Передача учетных данных — Разрешить делегирование сохраненных учетных данных с проверкой подлинности сервера «Только NTLM»;
Откройте его и нажмите кнопку «Показать» в поле «Добавить серверы в список»;
В открывшийся список необходимо добавить — TERMSRV/*;
После этого везде нажать [ОК].

В картинках это будет выглядеть так:

Как применить изменения в локальной групповой политике Windows 7

Для того, что изменения в локальной групповой политике Windows вступили в силу необходимо открыть командную строку с правами администратора и ввести команду — gpupdate /force или перезагрузить компьютер.

Благодарности

При написании статьи были использованы следующие источники:

Полезная информация об администрировании пользовательских и серверных ОС Windows.

Проблема в Windows 7: не сохраняется пароль при подключении к удаленному рабочему столу.

Дело в том, что в последних версиях Windows пароль хранится не в rdp-файле, а в отдельном хранилище (Credential Manager — Диспетчер учетных данных).

Сохранить пароль можно включив в настройках специальную политику:

Нажимаем старт, вводим gpedit.msc

Идем сюда: Computer ConfigurationAdministrative TemplatesSystemCredentials Delegation

Далее справа выбираем Allow Saved Credentials with NTLM-only Server Authentication.

Нажимаем Enable, и добавляем имя удаленного компьютера в формате

Жмем ОК и пробуем подключиться к серверу сохранив пароль.

вместо можно поставить звездочку * — тогда можно будет сохранить пароль для всех серверов.

(РЕШЕНО) Не сохраняется пароль RDP : 5 комментариев

Если этот параметр не задан, то по умолчанию сохранение разрешено.
Я ЕБЛАН

Думал проблеммища не разрулима без похода в сервис.СПАСИБО!

Здравствуйте! Домен, на рабочей станции в gpedit.msc параметры сохранены. Политика этим способом на части станций обходится, credentials подставляются для авторизации, на одной машине — сохраняется, но для авторизации не вставляет. В логах ничего. Куда копать?

Неожиданно для себя решил проблему сменой ярлыка терминального доступа, изменением параметра «authentication level:i:1» -> «authentication level:i:0».

14.07.2020

Windows 10, Windows 7, Windows Server 2012 R2, Windows Server 2016

комментариев 17

Встроенный RDP клиент Windows (mstsc.exe) позволяет сохранить на компьютере имя и пароль пользователя, который использовался для подключения. Благодаря этому пользователю не нужно каждый раз вводить пароль для подключения к удаленному RDP компьютеру/серверу. В этой статье мы рассмотрим, как настроить возможность сохранения учетных данных для RDP подключения в Windows 10 / Windows Server 2012 R2/2016 и что делать, если несмотря на все настройки, у пользователей не сохранятся пароли для RDP подключения (пароль запрашивается каждый раз)

Настройки сохранения пароля для RDP подключения

По умолчанию Windows разрешает пользователям сохранять пароли для RDP подключений. Для этого в окне клиента RDP (mstsc) пользователь должен ввести имя удаленного RDP компьютера, учетную запись и поставить галку “Разрешить мне сохранять учетные данные” (Allow me to save credential). После того, как пользователь нажимает кнопку “Подключить”, RDP сервер запрашивает пароль и компьютер сохраняет его в Windows Credential Manager (не в .RDP файл).

В результате при следующем подключении к удаленному RDP серверу под этим же пользователь, пароль автоматически берется из Credential Manager и используется для RDP-авторизации.

Как вы видите, если для данного компьютера имеется сохраненный пароль, в окне RDP клиента указано:

При подключении к данному компьютеру будут использоваться сохранённые учетные данные. Эти учетные данные можно изменить или удалить.

Я как администратор обычно не рекомендую пользователям сохранять пароли. Намного лучше в домене для прозрачной RDP авторизации использовать SSO.

Если вы подключаетесь с компьютера, включенного в домен, к компьютеру/серверу, который находится в другом домене или рабочей группе, по-умолчанию Windows не разрешает пользователю использовать сохраненный пароль RDP подключения. Несмотря на то, что пароль для подключения сохранен в Credentials Manager, система не позволяет его использовать, каждый раз требуя от пользователя вводить пароль. Также Windows не разрешает использовать сохраненный пароль для RDP, если вы подключаетесь не под доменной, а под локальной учетной записью.

При попытке RDP подключения с сохраненным паролем в этой ситуации появляется окно с ошибкой:

Your Credentials did not work
Your system administrator does not allow the use of saved credentials to log on to the remote computer CompName because its identity is not fully verified. Please enter new credentials.

Или (в русской редакции Windows 10):

Недопустимые учетные данные
Системный администратор запретил использовать сохраненные учетные данные для входа в систему удаленного компьютера CompName, так как его подлинность проверена не полностью. Введите новые учетные данные.

Windows считает такое подключение небезопасным, т.к. отсутствуют доверительные отношения между этим компьютером и удаленным компьютером/сервером в другом домене (или рабочей группе).

Вы можете изменить эти настройки на компьютере, с которого выполняется RDP подключение:

Примечание. TERMSRV нужно обязательно писать в верхнем регистре, а имя компьютера должно полностью соответствовать тому, которое вы указываете в поле подключения RDP клиента.

Теперь при выполнении RDP подключения клиент mstsc сможет использовать сохранённый пароль.

С помощью локального редактора групповых политик вы сможете переопределить политику только на локальном компьютере. В том случае, если вы хотите, чтобы эта политика разрешения использования сохраенных паролей для RDP подключения действовала на множество компьютеров домена, используете доменные политики, которые настраиваются с помощью консоли gpmc.msc.

Если при RDP подключении у пользователя все равно запрашивается пароль, попробуйте аналогичным образом включить и настроить политику “Разрешить передачу сохранённых учетных данных” (Allow delegating saved credentials). Также проверьте, что не включена политика “Запретить передачу сохраненных учетных данных” (Deny delegation saved credentials), т.к. у запретительной политике приоритет.

Что делать, если в Windows не сохраняется пароль для RDP подключения?

Если вы настроили Windows по инструкции выше, но клиент все равно при каждом повторном RDP подключении требует ввести пароль следует проверить следующее:

В окне RDP подключения нажмите на кнопку “Показать параметры” и убедитесь, что опция “Всегда запрашивать учетные данные” (Always ask for credentials) не выбрана;
Если вы используете для подключения сохранённый RDP файл, проверьте, что параметр “prompt for credentials” равен 0 ( prompt for credentials:i:0 );
Откройте редактор GPO gpedit.msc, перейдите в раздел Конфигурация компьютера -> Компоненты Windows -> Службы удаленных рабочих столов -> Клиент подключения к удаленному рабочему столу (Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Connection Client). Параметр “Запретить сохранение паролей” (Do not allow passwords to be saved) должен быть не задан или отключен. Также убедитесь, что он отключен в результирующей политике на вашем компьютере (html отчет с применёнными настройками доменных политик можно сформировать с помощью gpresult);
Удалите все сохраненные пароли в менеджере паролей Windows (Credential Manager). Наберите control userpasswords2 и в окне “Учетные записи пользователей” перейдите на вкладку “Дополнительно” и нажмите на кнопку “Управление паролями”; В открывшемся окне выберите “Учетные данные Windows”. Найдите и удалите все сохраненные RDP пароли (начинаются с TERMSRV/…).

Из этого окна вы можете самостоятельно добавить учетных данные для RDP подключений. Обратите внимание, что имя удаленного RDP сервера (компьютера) нужно указывать в формате TERMSRV\server_name1. При очистке истории RDP подключений на компьютере, не забывайте удалять сохраненные пароли.

Дело в том, что сохранение учетных данных при подключении к удаленному компьютеру запрещено доменными политиками по умолчанию. Однако такое положение вещей можно изменить.

На компьютере, с которого осуществляется подключение, нажимаем Win+R и вводим команду gpedit.msc, затем жмем OK. Дополнительно может потребоваться ввод пароля администратора или его подтверждения, в зависимости от политики UAC.

В открывшемся окне редактора локальной групповой политики идем в раздел Административные шаблоны -> Система -> Передача учетных данных. Нас интересует политика Разрешить делегирование сохраненных учетных данных с проверкой подлинности сервера ″только NTLM″ (в англ. варианте Allow Delegating Saved Credentials with NTLM-only Server Authentication).

Включаем политику, затем жмем на кнопку Показать, чтобы добавить в список серверы, к которым собираемся подключаться.

Заполнять список можно несколькими способами. Например:

Внимание: используйте в TERMSRV заглавные буквы, как в примере. Если указан конкретный компьютер, то значение удаленный_пк должно полностью совпадать с именем, введенным в поле «Компьютер» удаленного рабочего стола.

Заполнив список жмем OK и закрываем редактор групповых политик. Открываем командную консоль и обновляем политики командой gpupdate /force. Все, можно подключаться.

И еще. Используя локальные групповые политики мы разрешаем сохранять учетные данные только на одном конкретном компьютере. Для нескольких компьютеров будет лучше создать в домене отдельное OU и привязать к нему соответствующую доменную политику.

Групповые политики Windows 7

Запустим редактор локальной групповой политики. Для этого в строке поиска наберите gpedit.msc и нажмите [Enter]:

Проверка текущей локальной групповой политики Windows 7

Для начала нам необходимо убедиться в том, что в групповой политике отключены следующие параметры:

Конфигурация пользователя — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Клиент подключения к удаленному рабочему столу — Запретить сохранение паролей;
Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Клиент подключения к удаленному рабочему столу — Запретить сохранение паролей.

Изменение локальной групповой политики Windows 7

Найдите куст: Конфигурация компьютера — Административные шаблоны — Система — Передача учетных данных — Разрешить делегирование сохраненных учетных данных с проверкой подлинности сервера «Только NTLM»;
Откройте его и нажмите кнопку «Показать» в поле «Добавить серверы в список»;
В открывшийся список необходимо добавить — TERMSRV/*;
После этого везде нажать [ОК].

В картинках это будет выглядеть так:

Как применить изменения в локальной групповой политике Windows 7

Настройка политики удаленного рабочего стола для защиты от сохраненных паролей. В данном видео мы рассмотрим настройку безопасности RDP подключения к серверу Windows Server 2016. А в частности запретим пользователям подключаться к удаленному рабочему столу через сохраненный ранее пароль

Для организации удаленного подключение к ресурсам сервера или локальной сети все чаще используют протокол RDP, как наиболее удобный инструмент.

Но, тут есть и свои недостатки, а в частности возможность получить доступ к конфиденциальной информации через сохраненный пользователем пароль.

В чем суть, когда мы подключаемся в удаленному рабочему столу, вместе с вводом логина и пароля предлагается запомнить указанные данные, чтобы далее подключение выполнялось в автоматическом режиме.

Несомненно, это удобно для пользователя, но открывает брешь в информационной безопасности, так как любой человек за компьютером этого пользователя, может просто запустить подключение и получить доступ к данным. Допустим к 1С или каким-либо другим жизненно важным данным.

Да, есть определенные настройки на стороне клиента, который запрещают сохранять пароль для RDP сеанса, но на каждой клиентской машине не будешь же выполнять кучу настроек. Поэтому, логичнее решить вопрос на стороне сервера, т.е. чтобы к серверу было запрещено подключаться, если данные вводились не вручную и как сохраненные.

Собственно, этим мы и займемся в данном видеоуроке.

Допустим админ с рабочего места сотрудника выполняли подключение к серверу и упустил момент с галочкой. Так этот пользователь всегда сможет подключаться к серверу через данную сохраненную запись.

Вообще впервые с данной задачей я столкнулся еще несколько лет назад, когда были подозрения утечки конфиденциальной информации от сотрудников. На тот момент, в компании работало несколько сисадминов и в ходе обсуждения одной из причин утечки было как раз сохраненные пароли для RDP сеанса. Другие сисадмины хором сказали, что сделать так, чтобы пользователь всегда вводил пароль возможности нет. Однако я начал более подробно раскапывать эту тему и оказалось что возможность есть! Причем это стандартный функционал любой операционной системы не ниже Windows ХР и 2003 сервера.

Если у вас вопрос связан с защитой конкретного сервера или компьютера, который не входит в домен и на него не распространяется групповая политика, то тут потребуется отредактировать локальную групповую политику сервера или клиентской машины, к которой вы хотите подключаться (Win+R \ gpedit.msc \ Политики \ Административные шаблоны \ Компоненты Windows \ Службы удаленных рабочих столов \ Узел сеансов удаленных рабочих столов \ Безопасность \ Всегда запрашивать пароль при подключении \ Включить)

Чтобы быстренько применить эти изменения введем команду Win+R \ cmd \ gpupdate

Недопустимые учетные данные: Политика проверки подлинности на сервере не допускает запросы на подключение с использованием сохраненных учетных данных. Введите новые учетные данные.

Если вы хотите убрать возможность сохранять любые пароли на клиентском компьютере через RDP, то можно выполнить следующую настройку.

Win+R \ gpedit.msc \ Политики \ Административные шаблоны \ Компоненты Windows \ Службы удаленных рабочих столов \ Клиент подключения к удаленному рабочему столу \ Запретить сохранение паролей \ Включить

Там же можно выполнить на своем компьютере, чтобы лишний раз не возникало желание сохранить пароль.

Если вы хотите раздать данные настройки сразу нескольким компьютерам, то тут можно воспользоваться групповой политикой, но стоит учитывать, что для этого компьютеры должны находиться в домене.

(Пуск \ Диспетчер серверов \ Средства \ Управление групповой политикой \ Выбираем групповую политику, в зависимости от того, на какие компьютеры мы хотим её применить \ Либо можно создать отдельную политику и вручную указать компьютеры, к которым будут применяться данные настройки \ Default Domain Policy \ ПКМ \ Изменить \ Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Службы удаленных рабочих столов) Можно одновременно применить и запрет на сохранение пароля и требования вводить пароль если подключаются к этому компьютеру.

Проверим сработает ли данная система если мы добавим наш сервер в менеджер подключение Remote Desktop Connection Manager. Так же запрашивается пароль, так как данная программа использует для работы стандартный инструмент подключения к рабочему столу.

Как говорят, что эта защита срабатывает не всегда если человек подключается с какой-то стороннего RDP клиента, а не стандартного.

Но, в любом случае, самый распространенный источник работы это все же стандартный, так что берем данный метод на заметку.

А вообще, если данные меры все равно не удовлетворяют вашим потребностям, то можно воспользоваться системой двухфакторной аутентификации, более подробно о том, как это работает я рассказывал в видеообзоре данного решения от компании ESET.

Читайте также: