Quando o RDP como usuário do domínio, o cartão inteligente é solicitado


15

Minha máquina W8 está conectada ao domínio zen. Se eu fizer o PDR na máquina W8, posso efetuar login como usuário local sem problemas. Se eu tentar fazer login como usuário de domínio, será solicitado um cartão inteligente em vez de uma senha.

Alguma idéia do porquê?

Prompt de cartão inteligente do Windows 8 RDP

Observe que Interactive login: require smart cardestá desabilitado na diretiva de grupo:

insira a descrição da imagem aqui

E aqui está a saída do rsop.msc:

insira a descrição da imagem aqui

Algumas informações adicionais sobre este. Se minha máquina conectada estiver no mesmo domínio / rede que a máquina W8, será solicitada uma senha, como de costume. Se a máquina for remota, em um domínio diferente, será solicitado um cartão inteligente. Além disso, a máquina da qual estou conectando que recebe o prompt do cartão inteligente é uma caixa XP - portanto, pode ser um problema limitado ao mstsc.exe versão 6.0.x - com a 6.1 a autenticação é gerenciada antes do estabelecimento da sessão da GUI rdp.

Não isolei exatamente qual desses fatores desencadeia a resposta diferente.


De onde você tirou essa captura de tela? Tem certeza de que a política está sendo aplicada? Execute rsop.mscna máquina de destino para obter o "Conjunto de Políticas Resultante". Verifique se o logon necessário está ativado ou desativado ao fazer isso.
Scott Chamberlain

@ScottChamberlain Atualizado com a saída do rsop. "Logon obrigatório" não é uma opção que eu possa ver e exige que o cartão inteligente seja indefinido. Eu esperaria que o padrão "exija" se indefinido. De quais políticas isso é resultado - devem ser as políticas de grupo local e de domínio, certo? Não tenho uma política de grupo no nível do domínio.
Paul

Eu pretendia digitar "Requer cartão inteligente" em vez de "exigir login". Mas esta é a política efetiva no computador, que agrega políticas locais de computadores, políticas locais de usuário, políticas de computador de domínio e políticas de usuário de domínio. Quando não está definido , o padrão é desativado . Além disso, essa captura de tela do RSOP foi feita no seu computador ou no servidor (quando você está conectado como você)?
Scott Chamberlain

Apenas por curiosidade, veja se você pode fazer logon como um usuário local e, em seguida, faça o RSOP run as ...como um usuário de domínio. Talvez a configuração esteja sendo aplicada no nível de usuário do domínio e, se você executasse rsop.mscno nível de usuário local, ela não pegaria a configuração.
Scott Chamberlain

Eu não acho que posso - mmc requer elevação, portanto, se eu executar como o usuário do domínio, ele me informará que eu preciso elevar, o que seria executado apenas como administrador (o usuário do domínio está no grupo de administradores)
Paul

Respostas:


7

Consegui contornar o problema clicando em "outro usuário". Pude inserir meu nome de usuário e inserir uma senha.


7

Eu tive exatamente o mesmo problema. Não faço ideia por que ele solicita o cartão inteligente, mas encontrou duas soluções alternativas:

  1. use o cliente Linux RDP ( grdesktop) onde você envia a senha antes da conexão ser estabelecida
  2. No XP, adicione /publicà linha de comando mstsc:

    mstsc /v a.b.c.d /public
    

4

Você tem que desativar Interactive logon: require smart cardem

Control Panel / Administrative Tools / Edit Group Policy / 
   Computer Configuration / Windows Settings / Security Settings / 
      Local Policies / Security Options

Observe que essas são as configurações do servidor e, portanto, aplicam-se à máquina conectada.


1

Percebi que, se eu não especificar um nome de usuário na conexão RDP e usar o endereço IP em vez do nome do servidor, nenhum cartão inteligente será solicitado a fazer login no servidor.


0

Outra coisa que você pode procurar é um programa chamado "Bitguard". Comecei a receber o prompt do cartão inteligente ao tentar acessar dispositivos compartilhados na minha rede. Isso estava me deixando louco, porque toda vez que eu tentava desabilitá-lo usando o Painel de Controle, ocorria uma falha no Windows Explorer ou estava esmaecida, para que eu não pudesse optar por usar ID e Senha. Depois de muita pesquisa, li em algum lugar que um programa adicionado recentemente pode causar isso. Eu fui ver o que foi instalado recentemente e vi o culpado "Bitguard". Assim que foi desinstalado, consegui acessar os dispositivos de rede usando ID e senha sem outras alterações no meu sistema.


0

Eu tive esse problema e posso confirmar que, se você alterar o nome de usuário de login do seu cliente de área de trabalho remota para \, ele se conectará perfeitamente à sessão atualmente conectada e não solicitará mais o cartão inteligente. Isso ocorreu com a Conexão de área de trabalho remota para Mac.


0

Eu descobri que adicionar a -p -opção à linha de comando resolveu o problema, por exemplo

rdesktop machine.domain.com -u user -p -

Quando eu uso uma chamada como essa, ela solicita uma senha no terminal antes de iniciar a sessão RDP e efetua login sem solicitar um cartão inteligente.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.