В этой статье мы рассмотрим, как сохранить учетные данные для RDP подключений в Windows, а также что делать, если пароли не сохраняются. Windows по умолчанию позволяет сохранять пароли для удаленных RDP компьютеров. Пользователю необходимо ввести имя компьютера, учетные данные и поставить галку «Разрешить мне сохранять учетные данные». После подключения пароль сохраняется в Windows Credential Manager. При следующем подключении клиент автоматически использует сохраненный пароль.
Если пароль не сохраняется, следует проверить настройки Windows и учетные данные.
По умолчанию Windows не позволяет пользователю использовать сохраненный пароль RDP для подключения к удаленному компьютеру, который принадлежит другому домену или рабочей группе, если компьютер пользователя добавлен в домен Active Directory. Несмотря на то, что пароль сохранен в Credentials Manager, Windows требует ввода пароля каждый раз. Также Windows не дает возможности использовать сохраненный пароль для RDP при подключении через локальную учетную запись, а не под доменной.
При попытке RDP подключения с сохраненным паролем в такой ситуации появляется сообщение об ошибке:
«Недопустимые учетные данные
Системный администратор запретил использование сохраненных учетных данных для входа на удаленный компьютер, так как его подлинность не была полностью подтверждена. Пожалуйста, введите новые учетные данные.»
Windows рассматривает данное подключение как небезопасное из-за отсутствия доверительных отношений между локальным компьютером и удаленным компьютером/сервером в другом домене (или рабочей группе).
Вы можете внести изменения в эти настройки на компьютере, с которого осуществляется подключение по протоколу RDP:
- Откройте редактор локальной GPO, нажав Win + R -> gpedit.msc ;
- В редакторе GPO перейдите в раздел Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных. Найдите политику с именем Разрешить передачу сохраненных учетных данных с проверкой подлинности сервера только NTLM;
- Дважды щелкните по политике. Включите политику (Enable) и нажмите на кнопку Показать
В открывшемся окне необходимо указать список удаленных компьютеров (серверов), для которых будет разрешено использовать сохраненные пароли для RDP подключения. Список удаленных компьютеров должен быть в следующих форматах:
- TERMSRV/server1с — разрешить использование сохраненных паролей для RDP подключения к конкретному компьютеру/серверу;
- TERMSRV/*.iron — разрешить RDP подключение ко всем компьютерам в домене winitpro.ru;
- TERMSRV/* — разрешить использование сохраненного пароля для подключения к любым компьютерам.
- Убедитесь, что политика «Запретить передачу сохраненных учетных данных» отключена или не настроена. Политики, запрещающие передачу, имеют приоритет над политиками, разрешающими сохранение учетных данных.
- Также проверьте, что параметр «Доступ к сети: Не разрешать хранение паролей и учетных данных для сетевой аутентификации» отключен в разделе «Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности». Если данный параметр включен, пользователь будет получать ошибку при попытке сохранить пароль в хранилище.
- Сохраните изменения и обновите групповые политики командой gpupdate /force
- Если на сервере политика проверки подлинности сервере не допускает подключение сохраненными учетными данными. То вам нужно на удаленном сервере отключить параметр «Всегда запрашивать пароль при подключении» в разделе Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удаленного рабочего стола -> Узел сеансов удаленного рабочего стола -> Безопасность.
Если эта политика включена, RDP хост всегда запрашивает у клиента пароль для подключения.
- Можно включить этот параметр через реестр:
REG add «HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services» /v fPromptForPassword /t REG_DWORD /d 0 /f
Credential Guard в Windows Defender не позволяет использовать сохраненные учетные данные для RDP подключений. После обновления до Windows 11 22H2 пользователи столкнулись с тем, что не могут использовать сохраненные пароли для RDP подключений, и получают сообщение об ошибке: «Windows Security: Your credentials did not work. Windows Defender Credential Guard does not allow using saved credentials. Please enter your credentials.»
Компонент Windows Defender Remote Credential Guard, который был представлен еще в Windows 10 1607, призван обеспечить защиту учетных данных для RDP подключений. В обновлении 22H2 по умолчанию он позволяет использовать сохраненные учетные данные только при использовании Kerberos аутентификации на RDP хосте. Если Kerberos недоступен (например, контроллер домена не доступен или подключение происходит к хосту в рабочей группе), Remote Credential Guard блокирует аутентификацию с использованием NTLM.
Для решения данной проблемы требуется отключить Credential Guard через реестр.
New-ItemProperty -Path «HKLM:\System\CurrentControlSet\Control\LSA» -Name «LsaCfgFlags» -PropertyType «DWORD» -Value 0 -Force