Como permitir que as credenciais sejam salvas ao conectar-se a outra máquina com a Conexão de área de trabalho remota?

fundo

tento conectar-me a um servidor e o Remote Desktop Client não possui credenciais salvas:

Para tentar salvar as credenciais, marque a opção Permitir que eu salve credenciais :

inicio a conexão, insiro minha senha e observe que a opção Lembrar minhas credenciais está marcada:

Depois de conectado ao servidor, garanto que as opções da política de grupo local

Política do Computador Local Configuration Configuração do Computador Templates Modelos Administrativos ➞ Componentes do Windows Services Serviços de Área de Trabalho Remota ➞ Cliente de Conexão de Área de Trabalho Remota

• Solicitar credenciais no computador cliente
• Não permita que senhas sejam salvas

qual padrão para permitir que as senhas sejam salvas e padrão para não solicitar credenciais, é forçado a permitir que as senhas sejam salvas e forçado a não solicitar senhas:

E corro gpupdate /forcepara garantir que as configurações de segurança forçadas estão em uso.

Repita as etapas acima 4 ou 5 vezes, na 6ª vez, criando capturas de tela para uma pergunta sobre o stackoverflow .

Observe que o cliente Remote Desktop Connection se recusa a salvar minha senha, observando:

Suas credenciais serão solicitadas quando você se conectar

Portanto, a pergunta é: como salvar credenciais ao conectar-se a uma máquina?

Tentativas adicionais

Como foi sugerido:

• na pergunta (fechada) Stackoverflow
• a postagem no fórum da Microsoft

i tentou permitindo que o "Permitir delegar credenciais salvas com NTLM somente a autenticação do servidor" para TERMSRV/*em gpedit.mscno cliente (por exemplo, Windows 7) máquina:

As pessoas sugerem isso sem perceber que isso se aplica apenas à autenticação NTLM. NTLM é um desatualizado, inseguro e não deve ser usado :

O NTLM é um protocolo de autenticação desatualizado com falhas que comprometem potencialmente a segurança dos aplicativos e do sistema operacional. Embora o Kerberos esteja disponível há muitos anos, muitos aplicativos ainda são gravados para usar apenas NTLM. Isso desnecessariamente reduz a segurança dos aplicativos.

De qualquer maneira: não funcionou.

Informações sobre bônus

• tentou os formatos de nome de usuário moderno ian@avatopia.come legadoavatopia.com\ian
• tentei definir a diretiva de grupo no controlador de domínio
• Cliente profissional do Windows 7 de 64 bits
• Servidor Windows Server 2008 R2
• Servidor Windows Server 2008
• Servidor Windows Server 2012
• Servidor Windows Server 2003 R2
• tudo, desde o background em diante, é apenas preenchimento para parecer que "tentei algum esforço de pesquisa" ; você pode ignorá-lo; incluindo esta linha que fala sobre ignorar esta linha

Apêndice A

O cliente é o Windows 7, conectando-se ao Windows Server 2008 R2, através do RDP 7.1, com o servidor usando um certificado gerado automaticamente:

O cliente autenticou a identidade do servidor:

Isso também acontece ao se conectar ao Windows Server 2008 e ao Windows Server 2012 (todos do cliente Windows 7). Todas as máquinas estão associadas ao mesmo domínio.

Apêndice B

O conjunto de políticas resultante ( rsop.msc) no cliente sempre solicita a senha na conexão definida como Desativado :

apêndice C

Resultados da conexão com todos os servidores que posso encontrar. Eu estava errado quando disse que falha em qualquer conexão com o Server 2003 . O problema está limitado ao Server 2008 , 2008 R2 e 2012 :

• Windows Server 2000: Sim *
• Windows Server 2000: Sim *
• Windows Server 2003: Sim
• Windows Server 2003 R2: Sim
• Windows Server 2003 R2: Sim (controlador de domínio)
• Windows Server 2003 R2: Sim
• Windows Server 2008: Não
• Windows Server 2008: Não
• Windows Server 2008 R2: Não
• Windows Server 2008 R2: Não
• Windows Server 2012: Não
• Windows Server 2012: Não

^* indica que ele usará credenciais salvas, mas deve redigitar a senha na tela de login 2000

Leitura de bônus

• KB281262: Como ativar o logon automático da área de trabalho remota no Windows XP
• Superusuário: a conexão da área de trabalho remota está ignorando credenciais salvas
• Fóruns do Windows Seven: Windows 7: Logon automático da conexão de área de trabalho remota - Permitir ou impedir
• Microsoft.com: salvando e alterando credenciais de logon na Conexão de Área de Trabalho Remota
• Microsoft.com: salvando suas credenciais de logon na Conexão de Área de Trabalho Remota
• Blog dos Serviços de Área de Trabalho Remota do MSDN: credenciais salvas não funcionam
• Stackoverflow: Conexão da área de trabalho remota do Windows 7 Salvar credenciais não está funcionando [fechado]
• Fóruns da Microsoft: Conexão de área de trabalho remota não usando credenciais salvas

eu encontrei a solução Ao mesmo tempo, era sutil e óbvio.

Conforme mencionado na pergunta, quando eu estava modificando as seguintes configurações de Diretiva de Grupo do Cliente de Conexão de Área de Trabalho Remota :

• Solicitar credenciais no computador cliente
• Não permita que senhas sejam salvas

Eu estava verificando-os no servidor :

Eu pensei que seria o servidor que dita o que o cliente está autorizado a fazer. Acontece que está completamente errado. Foi a resposta do @ mpy (embora incorreta), que me levou à solução. eu não deveria estar olhando a política do cliente RDP no servidor RDP , preciso olhar a política do cliente RDP na minha máquina cliente RDP :

Na minha máquina cliente Windows 7, a política era:

• Não permita que senhas sejam salvas: Ativado
• Solicitar credenciais no computador cliente: Ativado

não sei quando essas opções foram ativadas (não as habilitei na memória recente). A parte confusa é que, embora

Não permita que senhas sejam salvas

estiver ativado, o cliente RDP ainda salvará a senha; mas apenas para servidores abaixo do Windows Server 2008.

A tabela de verdade do funcionamento:

Do not allow saved  Prompt for creds  Works for 2008+ servers  Works for 2003 R2- servers
==================  ================  =======================  ==========================
Enabled             Enabled           No                       Yes
Enabled             Not Configured    No                       No
Not Configured      Enabled           Yes                      Yes
Not Configured      Not Configured    Yes                      Yes

Então, existe o truque. As configurações da política de grupo em:

Configuração do computador \ Diretivas \ Modelos Administrativos \ Componentes do Windows \ Serviços de Terminal \ Cliente de Conexão de Área de Trabalho Remota

na máquina cliente precisa ser configurado com:

• Não permita que senhas sejam salvas: Não configurado (crítico)
• Solicitar credenciais no computador cliente: Não configurado

A outra fonte de confusão é que, embora

• uma política de domínio ativado não pode substituir um local desativado
• uma política Desabilitada do domínio pode ser substituída por uma política Habilitada local

O que novamente leva a uma tabela de verdade:

Domain Policy   Local Policy    Effective Policy
==============  ==============  ==============================
Not Configured  Not Configured  Not configured (i.e. disabled)
Not Configured  Disabled        Disabled
Not Configured  Enabled         Enabled
Disabled        Not Configured  Disabled
Disabled        Disabled        Disabled
Disabled        Enabled         Disabled (client wins)
Enabled         Not Configured  Enabled
Enabled         Disabled        Enabled (domain wins)
Enabled         Enabled         Enabled

Como a resposta direta à pergunta já está lá, sugerirei uma abordagem alternativa.

O Gerenciador de Conexão de Área de Trabalho Remota (RDCMan) é uma ferramenta criada por Julian Burger e usada internamente na Microsoft . É muito leve e gratuito e, na minha opinião, melhora muito a produtividade, especialmente quando você mantém muitas conexões. E sim, ele também armazena senhas (no arquivo de configuração xml).

Vantagens:

• Você pode organizar conexões em hierarquias, que herdam propriedades (por exemplo, credenciais, configurações de cores, resolução).
• Toda a configuração, incluindo senhas com hash, é armazenada em um arquivo - fácil de mover entre computadores.
• Leve, livre, confiável.

Desvantagens:

• Algumas pessoas não gostam do menu de navegação à esquerda quando não estão no modo de tela cheia. Pessoalmente, eu me acostumei rapidamente.

Captura de tela do artigo:
Como o Sysadmins RDP eficientemente usando o Gerenciador de Conexão de Área de Trabalho Remota

A resposta mais detalhada já está lá, feita pelo solicitante. Quero apenas observar que esse problema também pode ocorrer quando o SO do computador cliente é um SKU doméstico, portanto, nenhum editor de GP local pode estar disponível, nem uma diretiva de domínio está em vigor. No entanto, o cliente pode agir como se a política de sempre solicitar senha estivesse definida (não sei o que causa esse padrão - talvez algum programa esteja instalado?).

Em seguida, é útil definir a configuração do registro de diretivas manualmente (o cliente MS RDP a verifica; você pode encontrá-la usando uma ferramenta como procmon). Está aqui:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]

"PromptForCredsOnClient"=dword:00000000

"DisablePasswordSaving"=dword:00000000

Lendo suas perguntas, deparei-me com esta configuração de Diretiva de Grupo: Prompt for credentials on the client computerque você desativou .

O MS Technet fornece a seguinte explicação sobre essa configuração:

Prompt for credentials on the client computer

Essa configuração de diretiva determina se um usuário será solicitado no computador cliente a fornecer credenciais para uma conexão remota com um servidor de terminal.

Se você habilitar essa configuração de política, será solicitado ao usuário no computador cliente - em vez de no servidor de terminal - que forneça credenciais para uma conexão remota a um servidor de terminal. Se credenciais salvas para o usuário estiverem disponíveis no computador cliente, o usuário não será solicitado a fornecer credenciais.

Nota Se você habilitar essa configuração de política e for solicitado a um usuário no computador cliente e no servidor de terminal que forneça credenciais, execute a ferramenta Configuração dos Serviços de Terminal no servidor de terminal e, na caixa de diálogo Propriedades da conexão, limpe a opção Sempre solicitação de senha na guia Configurações de logon.

Se você desabilitar ou não definir essa configuração de política, a versão do sistema operacional no servidor de terminal determinará quando um usuário será solicitado a fornecer credenciais para uma conexão remota a um servidor de terminal . No Windows 2000 e Windows Server 2003, o usuário será solicitado no servidor de terminal a fornecer credenciais para uma conexão remota. No Windows Server 2008, um usuário será solicitado no computador cliente a fornecer credenciais para uma conexão remota.

Esse som é exatamente o cenário que você está enfrentando. Você deseja salvar as credenciais na máquina cliente, apenas ative a Prompt for credentials on the client computerconfiguração.

No meu caso, o problema era que o *.rdparquivo baixado do Microsoft Azure tinha a seguinte linha:

prompt for credentials:i:1

Normalmente, marcar 'salvar credenciais' mudaria essa linha, mas, por algum motivo, também é marcado como 'somente leitura'.

Desmarcando-o como 'somente leitura' e alterando a linha para

prompt for credentials:i:0

no bloco de notas corrigiu o problema.

Eu tentei todas as opções possíveis e nada ajuda. Resolvi o problema redefinindo a senha armazenada no Windows Vault para conexão RDP.

Passos a fazer:

1. Clique com o botão direito do mouse no ícone de conexão RDP => Editar
2. Selecione "Sempre pedir credenciais"
3. Conectar. Digite a senha correta e selecione "Lembrar minhas credenciais"

Isso é tudo.

PS: O problema foi causado por alguma atualização do Windows.

Sugiro usar o Royal TS que faz o gerenciamento de credenciais muito melhor do que a bagunça que o RDP da Microsoft faz.

A versão mais recente é comercial, a partir de US $ 35 para a licença individual.

Ou você pode optar pela versão 1.5.1 , que é a última versão do freeware, que parece suficiente para fazer o trabalho.

Não sei por que, mas isso funcionou:

(Usando o Windows 7 Home Basic) Não pré-configurei meu nome de usuário na janela de opções de Conexão de área de trabalho remota. Em vez disso, conectei-me ao host remoto e esperei pelo prompt de credenciais (Segurança do Windows). E então eu dei as credenciais (nome de usuário e senha) e verifiquei a opção de lembrar minhas credenciais.

Não há editor de políticas de grupo para o Windows 7 Home Basic. Além disso, o RDCMan (como sugerido em outra resposta ) não ajudou.