Máy khách Windows Remote Desktop được tích hợp sẵn (mstsc.exe
) cho phép bạn lưu tên người dùng và mật khẩu được sử dụng để kết nối với máy tính từ xa. Sử dụng thông tin đăng nhập RDP đã lưu, người dùng không cần nhập mật khẩu mỗi lần để kết nối với Máy tính từ xa. Trong bài viết này, chúng ta sẽ xem xét cách định cấu hình thông tin xác thực đã lưu cho kết nối RDP của bạn trong Windows 10, Windows Server 2012 R2 / 2016 và phải làm gì nếu mật khẩu không được lưu bất chấp tất cả cài đặt (mỗi khi hệ thống từ xa nhắc bạn mật khẩu mở khóa).
Ủy quyền thông tin đăng nhập đã lưu RDP qua Chính sách nhóm
Theo mặc định, Windows cho phép người dùng lưu mật khẩu của họ cho các kết nối RDP. Để thực hiện việc này, người dùng phải nhập tên của máy tính RDP, tên người dùng và chọn hộp “ Cho phép tôi lưu thông tin đăng nhập” trong cửa sổ máy khách RDP. Sau khi người dùng nhấp vào nút “ Kết nối ”, Máy chủ RDP hỏi mật khẩu và máy tính sẽ lưu mật khẩu đó vào Trình quản lý thông tin đăng nhập Windows (không phải vào tệp .RDP).
Do đó, vào lần tiếp theo bạn kết nối với máy chủ RDP bằng cùng tên người dùng, mật khẩu sẽ tự động được lấy từ Trình quản lý thông tin xác thực và được sử dụng để xác thực RDP.
Như bạn có thể thấy, nếu có một mật khẩu đã lưu cho máy tính này, thông báo sau sẽ xuất hiện trong cửa sổ máy khách RDP:
Saved credentials will be used to connect to this computer. You can edit or delete these credentials.
Với tư cách là quản trị viên cấp cao, tôi thường không khuyên người dùng lưu mật khẩu. Sẽ tốt hơn nhiều nếu sử dụng SSO trong miền để xác thực RDP minh bạch.
Nếu bạn kết nối từ máy tính trong miền với máy tính / máy chủ trong miền hoặc nhóm làm việc khác, theo mặc định, Windows không cho phép người dùng sử dụng thông tin đăng nhập đã lưu cho kết nối RDP. Mặc dù thực tế là mật khẩu kết nối RDP được lưu trong Trình quản lý thông tin đăng nhập, hệ thống sẽ không sử dụng mật khẩu này để yêu cầu người dùng nhắc nhập mật khẩu. Ngoài ra, Windows ngăn bạn sử dụng mật khẩu RDP đã lưu nếu bạn kết nối với tài khoản cục bộ thay vì tài khoản miền của mình.
Trong trường hợp này, nếu bạn cố gắng kết nối bằng mật khẩu RDP đã lưu, thông báo lỗi này sẽ xuất hiện:
Your credentials did not work Your system administrator does not allow the use of saved credentials to log on to the remote computer CompName because its identity is not fully verified. Please enter new credentials.
Windows coi kết nối là không an toàn, vì không có sự tin cậy giữa máy tính này và máy tính từ xa trong miền khác (hoặc một nhóm làm việc).
Bạn có thể thay đổi các cài đặt này trên máy tính mà bạn đang cố gắng thiết lập kết nối RDP từ:
- Mở Local Group Policy Editor bằng cách nhấn
Win + R
-> gpedit.msc ; - Trong trình soạn thảo GPO, đi tới Cấu hình máy tính -> Mẫu quản trị -> Hệ thống -> Ủy quyền thông tin đăng nhập . Tìm chính sách có tên Cho phép ủy quyền thông tin xác thực đã lưu với xác thực máy chủ chỉ NTLM ;
- Nhấp đúp vào chính sách. Bật nó và nhấp vào Hiển thị ;
- Chỉ định danh sách các máy tính từ xa (máy chủ) được phép sử dụng thông tin xác thực đã lưu khi truy cập qua RDP. Danh sách các máy tính từ xa phải được chỉ định ở định dạng sau:
-
TERMSRV/server1
- cho phép sử dụng thông tin đăng nhập đã lưu để truy cập vào một máy tính / máy chủ cụ thể qua RDP; -
TERMSRV/*.woshub.com
- cho phép thiết lập kết nối RDP với thông tin đăng nhập đã lưu vào tất cả các máy tính trong miền woshub.com; -
TERMSRV/*
- cho phép sử dụng mật khẩu đã lưu để kết nối với bất kỳ máy tính từ xa nào. Mẹo . TERMSRV phải được viết bằng chữ hoa và tên máy tính phải hoàn toàn khớp với tên máy tính bạn nhập trong máy chủ lưu trữ kết nối ứng dụng khách RDP.
-
- Lưu các thay đổi và cập nhật cài đặt GPO bằng lệnh sau:
gpupdate /force
Bây giờ, khi kết nối bằng RDP, ứng dụng khách mstsc sẽ có thể sử dụng thông tin đăng nhập đã lưu của bạn.
Bạn chỉ có thể thay đổi chính sách thông tin xác thực đã lưu RDP trên máy tính cục bộ bằng cách sử dụng Local Group Policy Editor. Nếu bạn muốn áp dụng cài đặt này trên nhiều máy tính của miền, hãy sử dụng GPO miền được định cấu hình bằng bảng điều khiển gpmc.msc (Quản lý chính sách nhóm).
Nếu người dùng vẫn được yêu cầu nhập mật khẩu trong khi kết nối RDP, hãy thử bật và định cấu hình tùy chọn Cho phép ủy quyền thông tin đăng nhập đã lưu chính sách theo cách tương tự. Ngoài ra, hãy đảm bảo rằng chính sách Từ chối ủy quyền đã lưu thông tin đăng nhập không được bật, vì các chính sách từ chối có mức độ ưu tiên cao hơn.Windows không lưu thông tin đăng nhập RDP
Nếu bạn đã định cấu hình Windows theo các hướng dẫn ở trên, nhưng ứng dụng khách RDP của bạn nhắc bạn nhập mật khẩu mỗi khi bạn cố gắng kết nối, bạn nên kiểm tra những điều sau:
- Nhấp vào “ Hiển thị Tuỳ chọn” trong cửa sổ kết nối RDP và đảm bảo rằng “ Luôn yêu cầu thông tin đăng nhập” tùy chọn không được chọn;
- Nếu bạn đang sử dụng tệp .RDP đã lưu để kết nối, hãy đảm bảo rằng giá trị của ‘ lời nhắc cho thông tin xác thực Tham số ’là 0 (
prompt for credentials:i:0
); - Mở GPO Editor (gpedit.msc) và đi tới Cấu hình Máy tính -> Mẫu Quản trị -> Thành phần Windows -> Dịch vụ Máy tính Từ xa -> Máy khách Kết nối Máy tính Từ xa. ‘ Không cho phép lưu mật khẩu 'Phải không được đặt hoặc bị vô hiệu hóa. Đồng thời đảm bảo rằng cài đặt chính sách này bị tắt trong Chính sách Nhóm kết quả trên máy tính của bạn (bạn có thể tạo báo cáo HTML với cài đặt GPO được áp dụng bằng lệnh gpresult);
- Xóa tất cả mật khẩu đã lưu khỏi Trình quản lý thông tin xác thực. Nhập
control userpasswords2
và trong Tài khoản người dùng chuyển đến cửa sổ Nâng cao và nhấp vào Quản lý mật khẩu ; - Trong cửa sổ tiếp theo, chọn Thông tin đăng nhập Windows . Tìm tất cả mật khẩu RDP đã lưu và xóa chúng (chúng bắt đầu bằng
TERMRSV/…
). Trong cửa sổ này, bạn có thể thêm thông tin xác thực cho các kết nối RDP theo cách thủ công. Xin lưu ý rằng tên của máy chủ / máy tính RDP phải được chỉ định trongTERMRSV\server_name1
định dạng. Đừng quên xóa tất cả mật khẩu đã lưu khi bạn xóa lịch sử kết nối RDP trên máy tính của mình. - Bạn sẽ không thể đăng nhập bằng thông tin đăng nhập RDP đã lưu nếu máy chủ từ xa không được cập nhật trong một thời gian dài và khi cố gắng kết nối với nó, bạn sẽ thấy lỗi khắc phục lỗi bằng mã hóa CredSSP.
Sau đó, người dùng sẽ có thể sử dụng mật khẩu đã lưu của họ cho các kết nối RDP.