Windows 7 Remote Desktop Connection Guardar credenciales no funciona


40

¿Cómo permito que se guarden las credenciales al conectarme a otra máquina con Remote Desktop Connection?

Fondo

Intento conectarme a un servidor, y el Cliente de escritorio remoto no tiene credenciales guardadas:

ingrese la descripción de la imagen aquí

Para intentar guardar las credenciales, marque la opción Permitirme guardar las credenciales :

ingrese la descripción de la imagen aquí

Luego inicio la conexión, ingreso mi contraseña y noto que la opción Recordar mis credenciales está marcada:

ingrese la descripción de la imagen aquí

Una vez conectado al servidor, me aseguro de que las opciones de política de grupo local

Política de la computadora local ➞ Configuración de la computadora ➞ Plantillas administrativas Components Componentes de Windows Services Servicios de escritorio remoto ➞ Cliente de conexión a escritorio remoto

  • Solicitar credenciales en la computadora cliente
  • No permita que se guarden las contraseñas

cuál es el valor predeterminado para permitir que se guarden las contraseñas, y el valor predeterminado para no solicitar credenciales, se ven obligados a permitir que se guarden las contraseñas y a no solicitar las contraseñas:

ingrese la descripción de la imagen aquí

Y corro gpupdate /forcepara asegurarme de que la configuración de seguridad forzada esté en uso.

Repita los pasos anteriores 4 o 5 veces, la sexta vez creando capturas de pantalla para una pregunta de stackoverflow .

Observe que el cliente de Conexión a Escritorio remoto se niega a guardar mi contraseña y señala:

Se le solicitarán sus credenciales cuando se conecte

ingrese la descripción de la imagen aquí

Entonces la pregunta es: ¿Cómo guardar las credenciales cuando se conecta a una máquina?

Cosas adicionales intentadas

Como se sugirió:

He intentado que permite al "Permitir delegar credenciales guardadas con NTLM sólo la autenticación del servidor" para TERMSRV/*en gpedit.mscel cliente (por ejemplo, Windows 7) de la máquina:

ingrese la descripción de la imagen aquí

La gente sugiere esto sin darse cuenta de que solo se aplica a la autenticación NTLM. NTLM es obsoleto, inseguro y no debe usarse :

NTLM es un protocolo de autenticación obsoleto con fallas que potencialmente comprometen la seguridad de las aplicaciones y el sistema operativo. Aunque Kerberos ha estado disponible durante muchos años, muchas aplicaciones todavía están escritas para usar solo NTLM. Esto reduce innecesariamente la seguridad de las aplicaciones.

De cualquier manera: no funcionó.

Información de bonificación

  • Probé formatos de nombre de usuario modernos ian@avatopia.comy heredadosavatopia.com\ian
  • intenté establecer la política de grupo en el controlador de dominio
  • Cliente profesional de Windows 7 de 64 bits
  • Servidor Windows Server 2008 R2
  • Servidor Windows Server 2008
  • Servidor de Windows Server 2012
  • Servidor Windows Server 2003 R2
  • todo, desde el fondo en adelante, es solo relleno para que parezca que "intenté un esfuerzo de investigación" ; puedes ignorarlo; incluyendo esta línea que habla sobre ignorar esta línea

Apéndice A

El cliente es Windows 7, se conecta a Windows Server 2008 R2, a través de RDP 7.1, y el servidor utiliza un certificado generado automáticamente:

ingrese la descripción de la imagen aquí

El cliente ha autenticado la identidad del servidor:

ingrese la descripción de la imagen aquí

También ocurre cuando se conecta a Windows Server 2008 y Windows Server 2012 (todo desde el cliente de Windows 7). Todas las máquinas están unidas al mismo dominio.

apéndice B

El conjunto resultante de política ( rsop.msc) en el cliente siempre solicita la contraseña en el conjunto de conexión en Deshabilitado :

ingrese la descripción de la imagen aquí

Apéndice C

Resultados de conectarme a todos los servidores que puedo encontrar. Me equivoqué cuando dije que falla en cualquier conexión al Servidor 2003 . El problema se limita a Server 2008 , 2008 R2 y 2012 :

  • Windows Server 2000: Sí *
  • Windows Server 2000: Sí *
  • Windows Server 2003: sí
  • Windows Server 2003 R2: Sí
  • Windows Server 2003 R2: Sí (controlador de dominio)
  • Windows Server 2003 R2: Sí
  • Windows Server 2008: No
  • Windows Server 2008: No
  • Windows Server 2008 R2: No
  • Windows Server 2008 R2: No
  • Windows Server 2012: no
  • Windows Server 2012: no

* indica que usará credenciales guardadas, pero debe volver a ingresar la contraseña en la pantalla de inicio de sesión de 2000

Lectura adicional


Si va a Server Manager -> Roles -> Remote Desktop Services -> RD Session Host Configurationhacer doble clic en la conexión (probablemente llamada 'RDP-Tcp`), ¿qué se configura para el Certificado en la pestaña general? He tenido problemas en el pasado donde si el cliente no respetaba el certificado, no guardaría las credenciales.
Scott Chamberlain

Además, la configuración GP que muestra en su captura de pantalla es la configuración del lado del cliente. Verifique la configuración establecida en el cliente que se conecta al servidor. (se usa rsop.mscpara ver rápidamente en qué configuración de la política está establecida el cliente)
Scott Chamberlain

¿Estás usando RDP 8? ¿Todo esto está sucediendo en un dominio o más?
harrymc

@ScottChamberlain Se agregó una captura de pantalla. La pestaña general dice que el certificado es "Autogenerado" .
Ian Boyd

¿El cliente y el servidor están en el mismo dominio?
Scott Chamberlain

Respuestas:


17

Encontré la solución. Era al mismo tiempo sutil y obvio.

Como se mencionó en la pregunta, cuando estaba modificando la siguiente configuración de directiva de grupo de cliente de Conexión a Escritorio remoto :

  • Solicitar credenciales en la computadora cliente
  • No permita que se guarden las contraseñas

los estaba revisando en el servidor :

ingrese la descripción de la imagen aquí

Pensé que sería el servidor que dicta lo que el cliente tiene permitido hacer. Resulta que está completamente mal. Fue la respuesta de @ mpy (aunque incorrecta), lo que me llevó a la solución. No debería mirar la política del cliente RDP en el servidor RDP , necesito mirar la política del cliente RDP en mi máquina cliente RDP :

ingrese la descripción de la imagen aquí

En mi máquina cliente con Windows 7, la política era:

  • No permitir que se guarden las contraseñas: habilitado
  • Solicitar credenciales en el equipo cliente: habilitado

No sé cuándo se habilitaron estas opciones (no las habilité en la memoria reciente). La parte confusa es que aunque

No permita que se guarden las contraseñas

está activada, el cliente RDP todavía sería guardar la contraseña; pero solo para servidores por debajo de Windows Server 2008.

La tabla de verdad de funcionamiento:

Do not allow saved  Prompt for creds  Works for 2008+ servers  Works for 2003 R2- servers
==================  ================  =======================  ==========================
Enabled             Enabled           No                       Yes
Enabled             Not Configured    No                       No
Not Configured      Enabled           Yes                      Yes
Not Configured      Not Configured    Yes                      Yes

Entonces ahí está el truco. La configuración de la política de grupo en:

Configuración del equipo \ Políticas \ Plantillas administrativas \ Componentes de Windows \ Terminal Services \ Remote Desktop Connection Client

en la máquina cliente debe configurarse con:

  • No permitir que se guarden las contraseñas: no configurado (crítico)
  • Solicitar credenciales en el equipo cliente: no configurado

La otra fuente de confusión es que mientras

  • una política de dominio habilitado no puede anular un inhabilitado local
  • una política deshabilitada de dominio puede ser anulada por una política habilitada local

Lo que nuevamente conduce a una tabla de verdad:

Domain Policy   Local Policy    Effective Policy
==============  ==============  ==============================
Not Configured  Not Configured  Not configured (i.e. disabled)
Not Configured  Disabled        Disabled
Not Configured  Enabled         Enabled
Disabled        Not Configured  Disabled
Disabled        Disabled        Disabled
Disabled        Enabled         Disabled (client wins)
Enabled         Not Configured  Enabled
Enabled         Disabled        Enabled (domain wins)
Enabled         Enabled         Enabled

1
En Windows 10 la ubicación es Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Connection Client.
Marc.2377

12

Como la respuesta directa a la pregunta ya está allí, sugeriré un enfoque alternativo.

Remote Desktop Connection Manager (RDCMan) es una herramienta escrita por Julian Burger y utilizada internamente en Microsoft . Es muy liviano y gratuito y, en mi opinión, mejora enormemente la productividad, especialmente cuando mantiene muchas conexiones. Y sí, también almacena contraseñas (en el archivo de configuración xml).

Ventajas:

  • Puede organizar conexiones en jerarquías, que heredan propiedades (por ejemplo, credenciales, configuraciones de color, resolución).
  • Toda la configuración, incluidas las contraseñas hash, se almacena en un archivo, fácil de mover entre las computadoras.
  • Ligero, gratis, confiable.

Desventajas

  • A algunas personas no les gusta el menú de navegación a la izquierda cuando no están en modo de pantalla completa. Personalmente, me acostumbré rápidamente.

Administrador de conexión de escritorio remoto

Captura de pantalla del artículo:
Cómo Sysadmins RDP utiliza eficientemente Remote Desktop Connection Manager


Por falta de razón / respuesta real (gpolicy está bien para los dos), esto sirve. Y más específicamente: funciona. Dejó de pedir contraseñas dos veces. (una vez a través del host (win7 guardó la entrada rdp de la contraseña) y una vez a través del remoto (servidor 2012r2) a pesar de que ya he iniciado sesión, solo dc'd)
bshea

No sé cómo nunca he usado esto antes. Uso RDP DIARIO en numerosos servidores. ¡Esto es un ahorro de productividad! GUAU. ¡Gracias!
ScottN

6

La respuesta más detallada ya está allí, hecha por el autor de la pregunta. Solo quiero señalar que este problema también puede ocurrir cuando el sistema operativo de la computadora cliente es una SKU doméstica, por lo tanto, es posible que no haya un editor GP local disponible, ni una política de dominio vigente. Sin embargo, el cliente puede actuar como si la política de solicitar siempre la contraseña esté establecida (no sé qué causa ese defecto, ¿tal vez algún programa instalado?).

Luego, es útil establecer la configuración del registro de políticas manualmente (el cliente MS RDP lo comprueba; puede encontrarlo usando una herramienta como procmon). Es aquí:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]

"PromptForCredsOnClient"=dword:00000000

"DisablePasswordSaving"=dword:00000000

3

Al leer sus preguntas, me topé con esta configuración de directiva de grupo: Prompt for credentials on the client computerque deshabilitó .

MS Technet ofrece la siguiente explicación sobre esta configuración:

Prompt for credentials on the client computer

Esta configuración de directiva determina si se solicitará a un usuario en el equipo cliente que proporcione credenciales para una conexión remota a un servidor de terminal.

Si habilita esta configuración de directiva, se le solicitará a un usuario en el equipo cliente, en lugar de hacerlo en el servidor terminal, que proporcione credenciales para una conexión remota a un servidor terminal. Si las credenciales guardadas para el usuario están disponibles en la computadora cliente, no se le solicitará al usuario que proporcione las credenciales.

Nota: si habilita esta configuración de directiva y se solicita a un usuario tanto en el equipo cliente como en el servidor terminal que proporcione credenciales, ejecute la herramienta de configuración de Servicios de Terminal Server en el servidor terminal y, en el cuadro de diálogo Propiedades para la conexión, borre la casilla Siempre casilla de verificación de solicitud de contraseña en la pestaña Configuración de inicio de sesión.

Si deshabilita o no configura esta configuración de directiva, la versión del sistema operativo en el servidor terminal determinará cuándo se le solicitará al usuario que proporcione credenciales para una conexión remota a un servidor terminal . Para Windows 2000 y Windows Server 2003, se solicitará a un usuario en el servidor terminal que proporcione credenciales para una conexión remota. Para Windows Server 2008, se solicitará al usuario en la computadora cliente que proporcione credenciales para una conexión remota.

Eso suena exactamente como el escenario que estás enfrentando. Desea guardar las credenciales en la máquina del cliente, así que solo habilite la Prompt for credentials on the client computerconfiguración.


3

En mi caso, el problema era que el *.rdparchivo descargado de Microsoft Azure tenía la siguiente línea:

prompt for credentials:i:1

Normalmente, marcar 'guardar credenciales' cambiaría esa línea, pero por alguna razón también viene marcada como 'solo lectura'.


Desmarcándolo como 'solo lectura' y cambiando la línea a

prompt for credentials:i:0

en el bloc de notas solucionó el problema.


Esto me estaba volviendo loco, tenía que seguir buscando contraseñas y probablemente perdí varias horas durante el último año. No tengo idea de por qué hacen esto. ¡Gracias!
makhdumi

2

He probado todas las opciones posibles y nada ayuda. He resuelto el problema restableciendo la contraseña que está almacenada en Windows Vault para la conexión RDP.

Pasos a seguir:

  1. Haga clic derecho en el icono de conexión RDP => Editar
  2. Seleccione "Solicitar siempre credenciales"
  3. Conectar. Ingrese la contraseña correcta y seleccione "Recordar mis credenciales"

Eso es todo.

PD: El problema fue causado por alguna actualización de Windows.


0

Sugiero usar Royal TS que hace que la administración de credenciales sea mucho mejor que el desorden que hace el RDP de Microsoft.

La última versión es comercial, a partir de $ 35 para la licencia individual.

O puede optar por la Versión 1.5.1 , que es la última versión gratuita, que parece bastante suficiente para hacer el trabajo.


Desafortunadamente, RoyalTS no maneja el color de pantalla completa de 32 bits, es una descarga por separado. Y cambiar a otro cliente no resuelve el problema en este cliente.
Ian Boyd

La versión gratuita admite pantalla completa, pero en 24 bits. Si eso no es suficiente, quizás la versión comercial más nueva (versión de prueba disponible) pueda mejorar.
harrymc

Si fuera dueño de RoyalTS: mi pregunta sigue en pie. Especialmente para las personas que nunca han podido resolver este problema durante los últimos cinco años; y llegué a SuperUser esperando una solución.
Ian Boyd

No "anuncie" productos pagos o shareware. Esto no responde a la pregunta y este tipo de "respuestas" se vuelve bastante molesto.
bshea

RDCMan es adecuado sin entrar en software 'gratuito' pagado o paralizado / lite / shareware. Entonces, ¿por qué agregar esto? Prueba superuser.com/a/606433/47628 , completamente gratis.
bshea

0

No sé por qué, pero esto funcionó:

(Usando Windows 7 Home Basic) No configuré previamente mi nombre de usuario en la ventana de opciones de Conexión a Escritorio remoto. En cambio, me conecté al host remoto y esperé las indicaciones de las credenciales (Seguridad de Windows). Y luego le di las credenciales (nombre de usuario y contraseña) y marqué la opción para recordar mis credenciales.

No hay editor de políticas de grupo para Windows 7 Home Basic. Además, RDCMan (como se sugiere en otra respuesta ) no ayudó.


Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.