Khắc phục: Thông tin xác thực RDP đã lưu Không làm việc trong Windows
Mô tả
Máy trạm Windows Remote Desktop tích hợp (mstsc.exe) cho phép bạn lưu tên người dùng và mật khẩu được sử dụng để kết nối với máy tính từ xa. Sử dụng thông tin xác thực RDP đã lưu, người dùng không cần nhập mật khẩu mỗi lần để kết nối với Remote Desktop. Trong bài viết này, chúng tôi sẽ xem xét cách định cấu hình thông tin xác thực đã lưu cho các kết nối RDP của bạn trong Windows 10, Windows Server 2012 R2 / 2016 và phải làm gì nếu mật khẩu không được lưu bất chấp mọi cài đặt (mỗi lần hệ thống từ xa nhắc bạn mật khẩu).
Do đó, lần sau khi bạn kết nối với máy chủ RDP bằng cùng tên người dùng, mật khẩu sẽ được lấy tự động từ Trình quản lý thông tin xác thực và được sử dụng để xác thực RDP.
Như bạn có thể thấy, nếu có mật khẩu đã lưu cho máy tính này, thông báo sau sẽ xuất hiện trong cửa sổ máy khách RDP:
Thông tin đã lưu sẽ được sử dụng để kết nối với máy tính này. Bạn có thể chỉnh sửa hoặc xóa các thông tin này.
Là một chuyên viên quản trị viên cao cấp, tôi thường không khuyến khích người dùng lưu mật khẩu. Sẽ tốt hơn nhiều khi sử dụng SSO trong miền để xác thực RDP minh bạch.
Nếu bạn kết nối từ đối tượng máy tính (Computer domain) đến máy tính / máy chủ ( computer/server ) trong mô trường (domain) hoặc môi trường workgroup, theo mặc định, Windows không cho phép người dùng sử dụng thông tin đăng nhập đã lưu cho kết nối RDP. Mặc dù thực tế là mật khẩu kết nối RDP được lưu trong Trình quản lý thông tin xác thực, hệ thống đã giành được sử dụng nó yêu cầu người dùng nhắc mật khẩu. Ngoài ra, Windows ngăn bạn sử dụng mật khẩu RDP đã lưu nếu bạn kết nối với tài khoản cục bộ thay vì tên miền.
Trong trường hợp này, nếu bạn cố gắng kết nối bằng mật khẩu RDP đã lưu, thông báo lỗi này sẽ xuất hiện bên dưới:
Your credentials did not work Your system administrator does not allow the use of saved credentials to log on to the remote computer CompName because its identity is not fully verified. Please enter new credentials.
Windows xem xét sự không an toàn của kết nối, vì không có sự tin tưởng giữa máy tính này và máy tính remote từ xa trong một domain khác (hoặc workgroup).
Cách thiết lập Chính sách (GPO)
Bạn có thể thay đổi các cài đặt này trên máy tính mà bạn đang cố gắng thiết lập kết nối RDP từ:
- Mở Trình chỉnh sửa chính sách nhóm cục bộ ( Local Group Policy Editor ) bằng cách nhấn Win + R -> gpedit.msc;
- Trong trình chỉnh sửa GPO theo đường dẫn sau:
Computer Configuration –> Administrative Templates –> System –> Credentials Delegation
Tìm chính sách tên là :
3. Double lick vào tên chính sách và chọn show nhé.
4. Xác định danh sách các server remote được phép sử dụng thông tin đăng nhập đã lưu khi được truy cập qua RDP. Danh sách các server remote phải được chỉ định theo định dạng sau:
TERMSRV/server1
— cho phép sử dụng thông tin đăng nhập đã lưu để truy cập vào một máy tính / máy chủ cụ thể qua RDP;TERMSRV/*.viettechgroup.vn
—cho phép thiết lập kết nối RDP với thông tin xác thực đã lưu cho tất cả các máy tính trong domain viettechgroup.vnTERMSRV/*
— cho phép sử dụng mật khẩu đã lưu để kết nối với bất kỳ máy tính remote nào.Mẹo nhỏ. TERMSRV phải được viết bằng chữ in hoa và tên máy tính phải hoàn toàn khớp với tên bạn nhập trong máy chủ kết nối máy khách RDP.
5. Lưu các thay đổi và cập nhật cài đặt GPO bằng lệnh này: gpupdate /force
Bây giờ, khi kết nối bằng RDP, máy trạm mstsc sẽ có thể sử dụng thông tin đăng nhập đã lưu của bạn.
Bạn chỉ có thể thay đổi chính sách thông tin xác thực đã lưu RDP trên máy tính cục bộ bằng Trình chỉnh sửa chính sách nhóm cục bộ ( Local Group Policy Editor). Nếu bạn muốn áp dụng cài đặt này trên nhiều máy tính của domain, hãy sử dụng GPO miền được định cấu hình bằng bảng điều khiển gpmc.msc (Quản lý chính sách nhóm). Nếu người dùng vẫn được hỏi mật khẩu trong khi kết nối RDP, hãy thử bật và định cấu hình chính sách Cho phép ủy nhiệm các thông tin đăng nhập đã lưu (Allow delegating saved credentials) theo cùng một cách. Ngoài ra, hãy đảm bảo rằng chính sách từ chối ủy quyền đã từ chối ủy quyền không được bật (Deny delegation saved credentials), vì từ chối chính sách có mức độ ưu tiên cao hơn.
Windows không lưu thông tin xác thực RDP
Nếu bạn đã cấu hình Windows theo các hướng dẫn ở trên, nhưng ứng dụng khách RDP của bạn sẽ nhắc bạn nhập mật khẩu mỗi lần bạn cố gắng kết nối, rất đáng để kiểm tra những điều sau:
- Nhấp vào “Show Options” Tùy chọn Liên kết trong cửa sổ kết nối RDP và đảm bảo rằng Luôn luôn yêu cầu thông tin xác thực ( “Always ask for credentials” ) không được chọn;
- Nếu bạn đang sử dụng tệp .RDP đã lưu để kết nối, hãy đảm bảo rằng giá trị của dấu nhắc for cho thông tin tham số xác thực là 0 (
prompt for credentials:i:0
); - Mở GPO (gpedit.msc) và đến đường dẫn: Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Connection Client. ‘Do not allow passwords to be saved’ phải không được thiết lập hoặc disabled. Đồng thời đảm bảo rằng cài đặt chính sách này bị tắt trong Chính sách nhóm kết quả trên máy tính của bạn (bạn có thể tạo báo cáo HTML với cài đặt GPO được áp dụng bằng lệnh gpresult);
- Xóa tất cả mật khẩu đã lưu khỏi Credential Manager. Loại
control userpasswords2
và của sổ User Accounts chọn tab Advanced và chọn Manage Passwords; - Trong cửa sổ kế tiếp Windows Credentials, Tìm tất cả mật khẩu RDP đã lưu và xóa chúng (chúng bắt đầu bằng TERMRSV / ..). Trong cửa sổ này, bạn có thể thêm thông tin đăng nhập theo cách thủ công cho các kết nối RDP. Xin lưu ý rằng tên của máy chủ / máy tính RDP phải được chỉ định theo định dạng TERMRSV \ server_name1. Đừng quên xóa tất cả mật khẩu đã lưu khi bạn xóa lịch sử kết nối RDP trên máy tính của mình.
- Bạn đã thắng có thể đăng nhập bằng thông tin xác thực RDP đã lưu nếu máy chủ từ xa không được cập nhật trong một thời gian dài và khi cố gắng kết nối với nó, bạn sẽ thấy lỗi CredSSP encryption oracle remediation.
Sau đó, người dùng sẽ có thể sử dụng mật khẩu đã lưu của mình cho các kết nối RDP.