Не удается автоматически войти в сеанс RDP: политика проверки подлинности сервера не разрешает запросы на подключение с использованием сохраненных учетных данных

Question

Я попытался войти в групповую политику и включить / отключить некоторые из соответствующих политик, но я все еще вижу это:

Не имеет значения, что я проверяю Remember me и введите правильный пароль.

Учетные данные хранятся локально, но не используются:

Я подключаюсь от Windows 10 до Windows 7.

вывод gupdate :

Windows PowerShell
Copyright (C) 2009 Microsoft Corporation. All rights reserved.

PS C:\> gpupdate.exe
Updating Policy...

User Policy update has completed successfully.
Computer policy could not be updated successfully. The following errors were encountered:

The processing of Group Policy failed because of an internal system error. Please see the Group Policy operational log for the specific error message. An attempt will be made to process Group Policy again at the next refresh cycle.
The processing of Group Policy failed because of an internal system error. Please see the Group Policy operational log for the specific error message. An attempt will be made to process Group Policy again at the next refresh cycle.
The processing of Group Policy failed because of an internal system error. Please see the Group Policy operational log for the specific error message. An attempt will be made to process Group Policy again at the next refresh cycle.
The processing of Group Policy failed because of an internal system error. Please see the Group Policy operational log for the specific error message. An attempt will be made to process Group Policy again at the next refresh cycle.
The processing of Group Policy failed because of an internal system error. Please see the Group Policy operational log for the specific error message. An attempt will be made to process Group Policy again at the next refresh cycle.

To diagnose the failure, review the event log or run GPRESULT /H GPReport.html from the command line to access information about Group Policy results.

Захват GPRESULT /H GPReport.html

---

Registry    Failed  12/12/2017 4:06:01 PM
Registry failed due to the error listed below.

Unspecified error

Additional information may have been logged. Review the Policy Events tab in the console or the application event log for events between 12/12/2017 4:06:01 PM and 12/12/2017 4:06:01 PM.

---

GPReport.html содержит:

Windows Components/Remote Desktop Services/Remote Desktop Session Host/Security
Policy  Setting Winning GPO
Always prompt for password upon connection  Enabled {ID}, domain.com

Однако в редакторе групповой политики:

Как принудительно отключить эту политику?

Answer 1

Это происходит потому, что компьютер, с которого вы пытаетесь инициировать подключение к удаленному рабочему столу, не позволяет сохранять учетные данные только в стиле NTLM. Обычно это происходит, когда компьютер, инициирующий подключение к удаленному рабочему столу, находится в другом домене или рабочей группе, чем компьютер, к которому подключается.

Вы можете переопределить это поведение и включить сохранение учетных данных RDP, изменив параметр « Разрешить делегирование сохраненных учетных данных с помощью групповой политики Allow Delegating Saved Credentials with NTLM-only Server Authentication . Он находится по адресу:

Computer Configuration/Administrative Templates/System/Credentials Delegation

Эта политика должна быть изменена на машине, которая инициирует соединение RDP (или должна влиять на указанную машину, если она доставлена через групповую политику домена).

Чтобы включить сохранение учетных данных RDP для всех удаленных серверов, включите параметр GP и в параметре « Добавить серверы в список: в политике» добавьте значение TERMSRV/* как показано здесь:

Если вместо этого вы хотите разрешить делегирование полномочий только определенному удаленному компьютеру, введите его в формате TERMSRV/COMPUTERNAME . Вы можете указать несколько значений для настройки нескольких удаленных компьютеров.

Answer 2

Я не могу комментировать, чтобы задать уточняющий вопрос, поэтому я вынужден написать это как ответ:

В [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Terminal Services] есть запись REG_DWORD с именем fPromptForPassword со значением 1?

На моем клиенте Windows 7 этот параметр установлен равным 1, и я могу сохранить свой пароль при подключении к удаленному хосту.

Насколько я могу прочитать из этого, значение должно быть установлено на 0 на клиенте, если клиенту не разрешено хранить учетные данные.

В качестве альтернативы, на аналогичный вопрос был дан подробный ответ здесь: https://superuser.com/a/140322/115387