- Remove From My Forums
-
Question
-
Hello,
I am trying to get a Windows 7 machine to remember the credentials for a Windows 2012 R2 Server, but I get the above message when I try to store credentials in Credential Manager. I’ve already checked gpedit.msc, and found the entry «Network access:
do not allow the storage of passwords and credentials for authentication» is disabled on both the user computer, and server.I tried using CCleaner to clean out any registry issues, but this did not fix the problem.
I made certain that everyone is on the same workgroup, but this did not fix the problem.
I logged into the built-in administrator and stored the credentials there, but it doesn’t move to the user that everyone else uses.
I’ve restarted the computer several times, but this didn’t fix the problem.
I tried temporarily disabling the firewall, but this did not fix the problem.
I tried using vaultcmd, but this only created a new vault, that can’t store the right credentials in.
If there is any way to fix this problem (regedit, gpedit, vaultcmd, etc) I am open to suggestions.
Thanks in advance.
Answers
-
Hi,
There is no doubt that your behaviors are reasonable, for “Windows credentials have been disabled by your system administrator” this message, the solution do is check the group policy below.
Network access: Do not allow storage of passwords and credentials for network authentication.
Please refer to this link for more information.
https://technet.microsoft.com/en-us/library/jj852185.aspx
This policy referenced configures the following registry value:
Registry Hive: HKEY_LOCAL_MACHINE
Registry Path: \System\CurrentControlSet\Control\Lsa
Value Name: DisableDomainCreds
Make sure its value is 0.
Besides, since you could store credentials under the built-in administrator account, there is a possibility that your user profile has trouble. Try change another local admin account login system to see if can store credential in the Windows
Credentials.Also, you could try map network drive.
Best regards
Please remember to mark the replies as answers if they help, and unmark the answers if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.
-
Proposed as answer by
Wednesday, March 23, 2016 9:30 AM
-
Marked as answer by
Kate LiMicrosoft employee
Sunday, March 27, 2016 3:05 PM
-
Proposed as answer by
Некоторые пользователи Windows 10 при входе в систему могут столкнуться с сообщением «Ваша учетная запись отключена. Обратитесь к системному администратору», чаще всего такое происходит при входе в учетную запись «Администратор», но возможны и иные варианты. Обычно такое сообщение возникает после манипуляций, связанных с удалением или отключением учетных записей пользователей.
В этой инструкции подробно о том, как исправить проблему «Ваша учетная запись отключена» для учетных записей Windows 10 на вашем компьютере или ноутбуке (в случае, если вы работаете в домене сети организации действительно следует обратиться к системному администратору).
- Простое решение при наличии других пользователей с правами администратора на компьютере
- Как исправить «Ваша учетная запись отключена» с помощью безопасного режима Windows 10
- Дополнительные методы решения проблемы
- Видео инструкция
Простое решение при наличии других учетных записей с правами администратора на компьютере
Самый простой метод исправления возможен в том случае, если у вас есть возможность войти в систему под другим пользователем, который имеет права администратора в Windows 10 (если такой возможности нет, можно сразу перейти к следующему способу). В этом случае шаги будут выглядеть следующим образом:
- Зайдите в систему под другой учетной записью администратора (как правило, выбор учетных записей доступен в левом нижнем углу на экране входа в систему).
- Запустите командную строку от имени администратора. Для этого можно использовать поиск в панели задач Windows 10: набираем «Командная строка» и либо выбираем «Запуск от имени администратора» в меню справа, либо нажимаем правой кнопкой мыши по найденному результату и выбираем нужный пункт.
- В командной строке введите команду net user и нажмите Enter. Отобразится список имен пользователей. Вам требуется имя пользователя, для которого сообщается «Ваша учетная запись отключена. Обратитесь к системному администратору», его используем в следующей команде.
- net user имя_пользователя /active:yes
При успешном выполнении команды из пункта 4 вы можете закрыть командную строку, затем выйти из текущей учетной записи и зайти под той, которая ранее была отключена.
К сожалению, у большинства пользователей домашних компьютеров с Windows 10 отсутствуют дополнительные учетные записи, из которых можно было бы выполнить указанные действия, а в некоторых случаях и сама проблема может возникнуть после отключения или удаления единственной учетной записи пользователя. В этой ситуации может помочь следующий метод.
Как исправить «Ваша учетная запись отключена» в безопасном режиме Windows 10
В Windows 10, даже при отсутствии других учетных записей пользователей и при отключенной встроенной системной учетной записи «Администратор», при входе в безопасный режим вход выполняется именно с использованием указанной системной учетной записи, что мы можем использовать:
- На экране входа в систему нажмите по кнопке питания справа внизу и, удерживая Shift, нажмите «Перезагрузка».
- Откроется среда восстановления Windows Перейдите в раздел Поиск и устранение неисправностей — Дополнительные параметры — Параметры загрузки и нажмите кнопку «Перезагрузить».
- На следующем экране нажмите клавишу 4 или F4 для загрузки в безопасном режиме.
- Если рассматриваемая проблема была вызвана отключением всех учетных записей, то при входе в безопасный режим вы увидите единственную учетную запись — «Администратор» (встроенная системная, отключенная по умолчанию, но работающая в описываемой ситуации). Ввод пароля для входа не потребуется.
- Зайдя в учетную запись, нажмите клавиши Win+R и введите cmd для запуска командной строки от имени администратора.
- В командной строке введите команду net user, нажмите Enter и посмотрите список пользователей.
- Если пользователь, для которого сообщается «Ваша учетная запись отключена» присутствует в списке, введите команду
net user имя_пользователя /active:yes
и нажмите Enter.
- Если такой пользователь отсутствует, вы можете создать пользователя в командной строке и дать ему права администратора, подробнее об этом: Как создать пользователя Windows 10.
После этого достаточно закрыть командную строку и перезагрузить компьютер в обычном режиме для входа в систему, сообщение об отключенной учетной записи появиться не должно.
Дополнительные методы исправить проблему
Если предыдущие варианты не помогли решить проблему «Ваша учетная запись отключена», возможны следующие варианты решения.
Использование точек восстановления
При наличии точек восстановления системы, иногда они могут помочь в решении проблем со входом в учетные записи. Попробовать использовать точки восстановления можно следующими методами:
- На экране входа в систему нажмите по кнопке питания справа внизу и, удерживая Shift, нажмите «Перезагрузка».
- В среде восстановления перейдите в «Поиск и устранение неисправностей» — «Дополнительные параметры» — «Восстановление системы». Если на следующем этапе вас попросят выбрать пользователя, а доступен будет только «Администратор», выберите его и не вводите никакой пароль, просто нажмите «Продолжить». При наличии точек восстановления используйте их.
- Если предыдущие шаги не позволили перейти к началу восстановления системы (например, пароль все-таки требуется, но неизвестен), можно использовать загрузочный диск или загрузочную флешку Windows 10 (потребуется создать где-то на другом компьютере) — загрузитесь с неё.
- После загрузки с флешки и выбора языка на втором экране нажмите «Восстановление системы», а затем точно так же перейдите к восстановлению из точек восстановления (имя пользователя и пароль вводить не потребуется).
Если и такой метод не решил проблему или точки восстановления отсутствуют, есть еще один способ, позволяющий включить отключенную учетную запись администратора с помощью загрузочной флешки Windows 10 (внимание: теоретически, описываемые шаги могут привести к нежелательным последствиям):
- Загрузите компьютер или ноутбук с загрузочной флешки Windows 10 и в программе установки нажмите клавиши Shift+F10 (или Shift+Fn+F10 на некоторых ноутбуках). Откроется командная строка. В ней ведите regedit и нажмите Enter.
- В открывшемся редакторе реестра выделите HKEY_LOCAL_MACHINE, затем в меню выберите «Файл» — «Загрузить куст».
- Загрузите файл C:\Windows\System32\config\SAM из вашей системы и задайте загруженному кусту какое-либо имя (отличающееся от тех, что уже есть в реестре, например, offline, далее я буду использовать именно его).
- Перейдите к разделу
HKEY_LOCAL_MACHINE\offline\SAM\Domains\Account\Users\000001F4
- В правой части редактора реестра дважды кликните по параметру с именем F.
- В открывшемся окне в строке 38 удалите первое значение 11 и замените его на 10 (двойной клик по 11 в указанной строке — одно нажатие Delete или Backspace, ввод 10), нажмите Ок.
- Выделите раздел реестра с заданным вами именем (offline в моем случае), затем в меню выберите «Файл» — «Выгрузить куст» и подтвердите выгрузку.
После этих действий останется перезагрузить компьютер: теперь встроенная учетная запись «Администратор» должна быть включена, и вы сможете войти под ней для работы или, лучше, для создания обычной учетной записи Windows 10 вместо имеющейся встроенной системной.
Видео инструкция
Надеюсь, один из предложенных методов сработал в вашем случае и позволил войти в систему. Если же это не так, опишите подробно, после чего возникла проблема, что было опробовано и что при этом происходило: постараемся разобраться что делать с «Ваша учетная запись отключена администратором».
Ваша учетная запись отключена при входе в Windows 10 — как исправить?
Некоторые пользователи Windows 10 при входе в систему могут столкнуться с сообщением «Ваша учетная запись отключена. Обратитесь к системному администратору», чаще всего такое происходит при входе в учетную запись «Администратор», но возможны и иные варианты. Обычно такое сообщение возникает после манипуляций, связанных с удалением или отключением учетных записей пользователей.
В этой инструкции подробно о том, как исправить проблему «Ваша учетная запись отключена» для учетных записей Windows 10 на вашем компьютере или ноутбуке (в случае, если вы работаете в домене сети организации действительно следует обратиться к системному администратору).
Простое решение при наличии других учетных записей с правами администратора на компьютере
Самый простой метод исправления возможен в том случае, если у вас есть возможность войти в систему под другим пользователем, который имеет права администратора в Windows 10 (если такой возможности нет, можно сразу перейти к следующему способу). В этом случае шаги будут выглядеть следующим образом:
- Зайдите в систему под другой учетной записью администратора (как правило, выбор учетных записей доступен в левом нижнем углу на экране входа в систему).
- Запустите командную строку от имени администратора. Для этого можно использовать поиск в панели задач Windows 10: набираем «Командная строка» и либо выбираем «Запуск от имени администратора» в меню справа, либо нажимаем правой кнопкой мыши по найденному результату и выбираем нужный пункт.
- В командной строке введите команду net user и нажмите Enter. Отобразится список имен пользователей. Вам требуется имя пользователя, для которого сообщается «Ваша учетная запись отключена. Обратитесь к системному администратору», его используем в следующей команде.
- net user имя_пользователя /active:yes
При успешном выполнении команды из пункта 4 вы можете закрыть командную строку, затем выйти из текущей учетной записи и зайти под той, которая ранее была отключена.
К сожалению, у большинства пользователей домашних компьютеров с Windows 10 отсутствуют дополнительные учетные записи, из которых можно было бы выполнить указанные действия, а в некоторых случаях и сама проблема может возникнуть после отключения или удаления единственной учетной записи пользователя. В этой ситуации может помочь следующий метод.
Как исправить «Ваша учетная запись отключена» в безопасном режиме Windows 10
В Windows 10, даже при отсутствии других учетных записей пользователей и при отключенной встроенной системной учетной записи «Администратор», при входе в безопасный режим вход выполняется именно с использованием указанной системной учетной записи, что мы можем использовать:
- На экране входа в систему нажмите по кнопке питания справа внизу и, удерживая Shift, нажмите «Перезагрузка».
- Откроется среда восстановления Windows Перейдите в раздел Поиск и устранение неисправностей — Дополнительные параметры — Параметры загрузки и нажмите кнопку «Перезагрузить».
- На следующем экране нажмите клавишу 4 или F4 для загрузки в безопасном режиме.
- Если рассматриваемая проблема была вызвана отключением всех учетных записей, то при входе в безопасный режим вы увидите единственную учетную запись — «Администратор» (встроенная системная, отключенная по умолчанию, но работающая в описываемой ситуации). Ввод пароля для входа не потребуется.
- Зайдя в учетную запись, нажмите клавиши Win+R и введите cmd для запуска командной строки от имени администратора.
- В командной строке введите команду net user, нажмите Enter и посмотрите список пользователей.
- Если пользователь, для которого сообщается «Ваша учетная запись отключена» присутствует в списке, введите командуи нажмите Enter.
- Если такой пользователь отсутствует, вы можете создать пользователя в командной строке и дать ему права администратора, подробнее об этом: Как создать пользователя Windows 10.
После этого достаточно закрыть командную строку и перезагрузить компьютер в обычном режиме для входа в систему, сообщение об отключенной учетной записи появиться не должно.
Дополнительные методы исправить проблему
Если предыдущие варианты не помогли решить проблему «Ваша учетная запись отключена», возможны следующие варианты решения.
Использование точек восстановления
При наличии точек восстановления системы, иногда они могут помочь в решении проблем со входом в учетные записи. Попробовать использовать точки восстановления можно следующими методами:
- На экране входа в систему нажмите по кнопке питания справа внизу и, удерживая Shift, нажмите «Перезагрузка».
- В среде восстановления перейдите в «Поиск и устранение неисправностей» — «Дополнительные параметры» — «Восстановление системы». Если на следующем этапе вас попросят выбрать пользователя, а доступен будет только «Администратор», выберите его и не вводите никакой пароль, просто нажмите «Продолжить». При наличии точек восстановления используйте их.
- Если предыдущие шаги не позволили перейти к началу восстановления системы (например, пароль все-таки требуется, но неизвестен), можно использовать загрузочный диск или загрузочную флешку Windows 10 (потребуется создать где-то на другом компьютере) — загрузитесь с неё.
- После загрузки с флешки и выбора языка на втором экране нажмите «Восстановление системы», а затем точно так же перейдите к восстановлению из точек восстановления (имя пользователя и пароль вводить не потребуется).
Если и такой метод не решил проблему или точки восстановления отсутствуют, есть еще один способ, позволяющий включить отключенную учетную запись администратора с помощью загрузочной флешки Windows 10 (внимание: теоретически, описываемые шаги могут привести к нежелательным последствиям):
- Загрузите компьютер или ноутбук с загрузочной флешки Windows 10 и в программе установки нажмите клавиши Shift+F10 (или Shift+Fn+F10 на некоторых ноутбуках). Откроется командная строка. В ней ведите regedit и нажмите Enter.
- В открывшемся редакторе реестра выделите HKEY_LOCAL_MACHINE, затем в меню выберите «Файл» — «Загрузить куст».
- Загрузите файл C:\Windows\System32\config\SAM из вашей системы и задайте загруженному кусту какое-либо имя (отличающееся от тех, что уже есть в реестре, например, offline, далее я буду использовать именно его).
- Перейдите к разделу
- В правой части редактора реестра дважды кликните по параметру с именем F.
- В открывшемся окне в строке 38 удалите первое значение 11 и замените его на 10 (двойной клик по 11 в указанной строке — одно нажатие Delete или Backspace, ввод 10), нажмите Ок.
- Выделите раздел реестра с заданным вами именем (offline в моем случае), затем в меню выберите «Файл» — «Выгрузить куст» и подтвердите выгрузку.
После этих действий останется перезагрузить компьютер: теперь встроенная учетная запись «Администратор» должна быть включена, и вы сможете войти под ней для работы или, лучше, для создания обычной учетной записи Windows 10 вместо имеющейся встроенной системной.
Видео инструкция
Надеюсь, один из предложенных методов сработал в вашем случае и позволил войти в систему. Если же это не так, опишите подробно, после чего возникла проблема, что было опробовано и что при этом происходило: постараемся разобраться что делать с «Ваша учетная запись отключена администратором».
Источник
Включаем сохранение учетных данных при удаленном подключении в Windows
Встроенная в Windows возможность удаленного подключения, конечно, не так продвинута, как тот же UltraVNC, но чем она удобна, так это как раз встроенностью.
При совершении подключения к удаленному компьютеру есть возможность сохранить пароль от своей учетной записи. Это удобно при частых подключениях и если Вы уверены, что это никак не скажется на безопасности. Однако не исключено, что Вы встретите и вот такое сообщение: Системный администратор запретил использовать сохраненные учетные данные для входа в систему удаленного компьютера, так как его подлинность проверена не полностью. Исправим это досадное недоразумение.
Непосредственно ошибка.
Причина ошибки кроется в том, что по умолчанию сохранение учетных данных запрещено локальной групповой политикой. Для редактирования данной политики нажимаем Пуск → Выполнить и вводим gpedit.msc. Откроется редактор локальных групповых политик.
Нам нужно перейти в ветку Конфигурация компьютера → Административные шаблоны → Система → Передача учетных данных и найти пункт Разрешить делегирование сохраненных учетных данных с проверкой подлинности сервера «только NTLM».
Зайдя в политику, поставьте переключатель в положение Включить и нажмите кнопку Показать возле Добавить серверы в список.
В открывшемся окне надо вручную добавить компьютеры, к которым Вы хотите подключаться с сохранением пароля. Синтаксис имеет следующий вид:
TERMSRV/[имя или адрес удаленного компьютера] — сохраняет учетные данные при подключении к конкретному компьютеру;
TERMSRV/*.domain.com — сохраняет учетные данные при подключении к компьютерам в домене domain.com;
TERMSRV/* — сохраняет учетных данные при любом подключении.
TERMSRV в данном случае должно быть написано именно заглавными буквами. После сохранения внесенных изменений можно форсировать применение новой политики командой gpupdate /force. После этого система начнет запоминать Ваши учетные данные при RDP-подключении.
Источник
Разрешаем сохранение учетных данных при подключении по RDP
При подключении к удаленному рабочему столу по RDP есть возможность сохранить учетные данные, чтобы не вводить их каждый раз. Но есть одна тонкость. Так если подключаться с компьютера, находящегося в домене, к компьютеру в рабочей группе, то использовать сохраненные данные не удастся, а будет выдано сообщение примерно такого содержания:
«Системный администратор запретил использовать сохраненные учетные данные для входа в систему удаленного компьютера, так как его подлинность проверена не полностью. Введите новые учетные данные.»
Дело в том, что сохранение учетных данных при подключении к удаленному компьютеру запрещено доменными политиками по умолчанию. Однако такое положение вещей можно изменить.
На компьютере, с которого осуществляется подключение, нажимаем Win+R и вводим команду gpedit.msc, затем жмем OK. Дополнительно может потребоваться ввод пароля администратора или его подтверждения, в зависимости от политики UAC.
В открывшемся окне редактора локальной групповой политики идем в раздел Административные шаблоны -> Система -> Передача учетных данных. Нас интересует политика Разрешить делегирование сохраненных учетных данных с проверкой подлинности сервера ″только NTLM″ (в англ. варианте Allow Delegating Saved Credentials with NTLM-only Server Authentication).
Включаем политику, затем жмем на кнопку Показать, чтобы добавить в список серверы, к которым собираемся подключаться.
Заполнять список можно несколькими способами. Например:
• TERMSRV/удаленный_пк — разрешаем сохранять учетные данные для одного конкретного компьютера;
• TERMSRV/*.contoso.com — разрешаем сохранять данные для всех компьютеров в домене contoso.com;
• TERMSRV/* — разрешаем сохранять данные для всех компьютеров без исключения.
Внимание: используйте в TERMSRV заглавные буквы, как в примере. Если указан конкретный компьютер, то значение удаленный_пк должно полностью совпадать с именем, введенным в поле «Компьютер» удаленного рабочего стола.
Заполнив список жмем OK и закрываем редактор групповых политик. Открываем командную консоль и обновляем политики командой gpupdate /force. Все, можно подключаться.
И еще. Используя локальные групповые политики мы разрешаем сохранять учетные данные только на одном конкретном компьютере. Для нескольких компьютеров будет лучше создать в домене отдельное OU и привязать к нему соответствующую доменную политику.
Источник
Встроенный RDP клиент Windows (mstsc.exe) позволяет сохранить на компьютере имя и пароль пользователя для подключения к удаленному рабочему столу. Благодаря этому пользователю не нужно каждый раз вводить пароль для подключения к удаленному RDP компьютеру/серверу. В этой статье мы рассмотрим, как разрешить сохранять учетные данные для RDP подключений в Windows, и что делать, если несмотря на все настройки, у пользователей не сохраняются пароли для RDP подключения (пароль запрашивается каждый раз)
Содержание:
- Как сохранить пароль для RDP подключения в Windows?
- Что делать, если в Windows не сохраняется пароль для RDP подключения?
- Политика проверки подлинности сервере не допускает подключение сохраненными учетными данными
- Credential Guard в Защитнике Windows не разрешает использовать сохраненные учетные данные
Как сохранить пароль для RDP подключения в Windows?
По умолчанию Windows разрешает пользователям сохранять пароли для RDP подключений. Для этого в окне клиента Remote Desktop Connection (mstsc.exe) пользователь должен ввести имя удаленного RDP компьютера, учетную запись и поставить галку “Разрешить мне сохранять учетные данные” (Allow me to save credential). После того, как пользователь нажимает кнопку “Подключить”, RDP сервер запрашивает пароль и компьютер сохраняет его в Windows Credential Manager (не в .RDP файл).
При следующем подключении к удаленному RDP серверу под этим же пользователем, клиент автоматически получит сохраненный пароль из менеджера паролей Windows и использует его для RDP-аутентификации.
Если для данного компьютера имеется сохраненный пароль, в окне RDP клиента будет указано:
При подключении к данному компьютеру будут использоваться сохранённые учетные данные. Эти учетные данные можно изменить или удалить.
Saved credentials will be used to connect to this computer. You can edit or delete these credentials.
В большинстве случаев администраторы не рекомендуют пользователям сохранять пароли подключений в Windows. Например, в домене Active Directory лучше настроить SSO (Single Sign-On) для прозрачной RDP аутентификации.
По умолчанию Windows не разрешает пользователю использовать сохраненный пароль RDP подключения с компьютера, добавленного в домен Active Directory, к компьютеру/серверу, который находится в другом домене или рабочей группе. Несмотря на то, что пароль для подключения сохранен в Credentials Manager, Windows не позволяет его использовать, и требует от пользователя каждый раз вводить пароль. Также Windows не разрешает использовать сохраненный пароль для RDP, если вы подключаетесь не под доменной, а под локальной учетной записью.
При попытке RDP подключения с сохраненным паролем в этой ситуации появляется окно с ошибкой:
Your Credentials did not work
Your system administrator does not allow the use of saved credentials to log on to the remote computer CompName because its identity is not fully verified. Please enter new credentials.
Или (в русской редакции Windows 10):
Недопустимые учетные данные
Системный администратор запретил использовать сохраненные учетные данные для входа в систему удаленного компьютера CompName, так как его подлинность проверена не полностью. Введите новые учетные данные.
Windows считает такое подключение небезопасным, т.к. отсутствуют доверительные отношения между этим компьютером и удаленным компьютером/сервером в другом домене (или рабочей группе).
Вы можете изменить эти настройки на компьютере, с которого выполняется RDP подключение:
- Откройте редактор локальной GPO, нажав Win + R -> gpedit.msc ;
- В редакторе GPO перейдите в раздел Computer Configuration –> Administrative Templates –> System –> Credentials Delegation (Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных). Найдите политику с именем Allow delegating saved credentials with NTLM-only server authentication (Разрешить передачу сохраненных учетных данных с проверкой подлинности сервера только NTLM);
- Дважды щелкните по политике. Включите политику (Enable) и нажмите на кнопку Показать (Show);
- В открывшемся окне нужно будет указать список удаленных компьютеров (серверов), для которых будет разрешено использовать сохранные пароли для RDP подключения. Список удаленных компьютеров нужно указать в следующих форматах:
-
TERMSRV/server1
— разрешить использование сохранённых паролей для RDP подключения к одному конкретному компьютеру/серверу; -
TERMSRV/*.winitpro.ru
— разрешить RDP подключение ко всем компьютерам в домене winitpro.ru; -
TERMSRV/*
— разрешить использование сохранённого пароля для подключения к любым компьютерам.
Примечание. TERMSRV нужно обязательно писать в верхнем регистре, а имя компьютера должно полностью соответствовать тому, которое вы указываете в поле подключения RDP клиента.
-
- Аналогичным образом включите и добавьте ваши значения TERMSRV/ в параметр Allow Delegating Saved Credentials (“Разрешить передачу сохранённых учетных данных”);
Этим настройкам GPO соответствуют следующие параметры реестра:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation] "AllowSavedCredentialsWhenNTLMOnly"=dword:00000001 “AllowSavedCredentials”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation] “AllowSavedCredentialsWhenNTLMOnly”=dword:00000001 “AllowSavedCredentials”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials] "1"="TERMSRV/*"
- Проверьте, что политика Deny delegating saved credentials / Запретить передачу сохраненных учетных данных отключена (или не настроена). Запретительные политики GPO имеют более высокий приоритет, чем разрешающие;
- Также должен быть отключен параметр Network access: Do not allow storage of passwords and credentials for network authentication (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options); Если этот параметр включен, то при попытке сохранить пароль в хранилище пользователь получит ошибку:
Credential Manager ErrorUnable to save credentials. To save credentials in this vault, check your computer configuration.Error code: 0x80070520 Error Message: A specified logon session does not exist. It may already have been terminated.
- Сохраните изменения и обновите групповые политики командой
gpupdate /force
Теперь при выполнении RDP подключения клиент mstsc сможет использовать сохранённый пароль.
Вы можете вывести список сохранённых паролей для RDP подключений с помощью команды:
cmdkey /list ^| findstr "target=TERMSRV"
Чтобы очистить сохраненные пароли подключений, выполните команду:
For /F "tokens=1,2 delims= " %G in ('cmdkey /list ^| findstr "target=TERMSRV"') do cmdkey /delete %H
С помощью локального редактора групповых политик вы сможете переопределить политику только на локальном компьютере. Если вы хотите чтобы политика разрешения использования сохранённых паролей для RDP подключения действовала на множество компьютеров домена, используете доменные политики, которые настраиваются с помощью консоли gpmc.msc.
Что делать, если в Windows не сохраняется пароль для RDP подключения?
Если вы настроили Windows по инструкции выше, но клиент все равно при каждом повторном RDP подключении требует ввести пароль следует проверить следующее:
- В окне RDP подключения нажмите на кнопку “Показать параметры” и убедитесь, что опция “Всегда запрашивать учетные данные” (Always ask for credentials) не выбрана;
- Если вы используете для подключения сохранённый RDP файл, проверьте, что параметр “prompt for credentials” равен 0 (
prompt for credentials:i:0
); - Запустите редактор локальной групповой политики
gpedit.msc
, перейдите в раздел Конфигурация компьютера -> Компоненты Windows -> Службы удаленных рабочих столов -> Клиент подключения к удаленному рабочему столу (Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Connection Client). Параметры “Запретить сохранение паролей” (Do not allow passwords to be saved) и Prompt for credentials on the client computer должны быть не заданы или отключены. Также убедитесь, что он отключен в результирующей политике на вашем компьютере (html отчет с применёнными настройками доменных политик можно сформировать с помощью gpresult); - Удалите все сохраненные пароли в менеджере паролей Windows (Credential Manager). Наберите
control userpasswords2
и в окне “Учетные записи пользователей” перейдите на вкладку “Дополнительно” и нажмите на кнопку “Управление паролями”; В открывшемся окне выберите “Учетные данные Windows”. Найдите и удалите все сохраненные RDP пароли (начинаются с TERMSRV/…).Из этого окна вы можете самостоятельно добавить учетных данные для RDP подключений. Обратите внимание, что имя удаленного RDP сервера (компьютера) нужно указывать в формате TERMSRV\server_name1. При очистке истории RDP подключений на компьютере, не забывайте удалять сохраненные пароли.
- Вход с сохраненным паролем также не будет работать, если удаленный RDP сервер давно не обновлялся и при подключении к нему появляется ошибка CredSSP encryption oracle remediation.
После этого, пользователи смогут использовать свои сохраненные пароли для rdp подключений.
Политика проверки подлинности сервере не допускает подключение сохраненными учетными данными
При подключении к RDP хосту или ферме RDS с помощью сохраненного пароля может появится ошибка:
Windows Security Your credentials did not work The server’s authentication policy does not allow connection requests using saved credentials. Please enter new credentials.
Политика проверки подлинности на сервере не допускает запросы на подключение с использованием сохраненных учетных данных.
В этом случае на удаленном сервере нужно отключить параметр “Always prompt for password upon connection” в разделе Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security.
Если эта политика включена, RDP хост всегда запрашивает у клиента пароль для подключения.
Можно включить этот параметр через реестр:
REG add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fPromptForPassword /t REG_DWORD /d 0 /f
Credential Guard в Защитнике Windows не разрешает использовать сохраненные учетные данные
После обновления до Windows 11 22H2 пользователи стали жаловаться, что теперь они не могут использовать сохраненные пароли для RDP подключений:
Windows Security: Your credentials did not work Windows Defender Credential Guard does not allow using saved credentials. Please enter your credentials.
Credential Guard в Защитнике Windows не разрешает использовать сохраненные учетные данные.
Представленные еще в Windows 10 1607 компонент Windows Defender Remote Credential Guard должен защищать ваши учетные данные для RDP подключений. В обновлении 22H2 по умолчанию он разрешает использовать сохраненные учетные данные только при использовании Kerberos аутентификации на RDP хосте. Если нельзя использовать Kerberos (контроллер домена не доступен, или вы подключаетесь к хосту в рабочей группе), Remote Credential Guard блокирует аутентификацию с помощью NTLM.
Для решения этой проблемы придется отключить Credential Guard через реестр:
New-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\LSA" -Name "LsaCfgFlags" -PropertyType "DWORD" -Value 0 -Force
Встроенная в Windows возможность удаленного подключения, конечно, не так продвинута, как тот же UltraVNC, но чем она удобна, так это как раз встроенностью.
При совершении подключения к удаленному компьютеру есть возможность сохранить пароль от своей учетной записи. Это удобно при частых подключениях и если Вы уверены, что это никак не скажется на безопасности. Однако не исключено, что Вы встретите и вот такое сообщение: Системный администратор запретил использовать сохраненные учетные данные для входа в систему удаленного компьютера, так как его подлинность проверена не полностью. Исправим это досадное недоразумение.
Причина ошибки кроется в том, что по умолчанию сохранение учетных данных запрещено локальной групповой политикой. Для редактирования данной политики нажимаем Пуск → Выполнить и вводим gpedit.msc. Откроется редактор локальных групповых политик.
Нам нужно перейти в ветку Конфигурация компьютера → Административные шаблоны → Система → Передача учетных данных и найти пункт Разрешить делегирование сохраненных учетных данных с проверкой подлинности сервера «только NTLM».
Зайдя в политику, поставьте переключатель в положение Включить и нажмите кнопку Показать возле Добавить серверы в список.
В открывшемся окне надо вручную добавить компьютеры, к которым Вы хотите подключаться с сохранением пароля. Синтаксис имеет следующий вид:
TERMSRV/[имя или адрес удаленного компьютера] — сохраняет учетные данные при подключении к конкретному компьютеру;
TERMSRV/*.domain.com — сохраняет учетные данные при подключении к компьютерам в домене domain.com;
TERMSRV/* — сохраняет учетных данные при любом подключении.
TERMSRV в данном случае должно быть написано именно заглавными буквами. После сохранения внесенных изменений можно форсировать применение новой политики командой gpupdate /force. После этого система начнет запоминать Ваши учетные данные при RDP-подключении.
↑