Как запретить вход на Windows Server 2019 с использованием сохраненных паролей в терминале? 

У меня есть терминальный сервер, к которому подключаются клиенты с операционной системой Windows, используя стандартный RDP-клиент. Клиенты находятся в разных странах и не входят в домен. На сервере в локальной политике настроено запрещение подключения с сохраненными учетными данными. 

На компьютерах, которые входят в домен, все работает корректно: даже если пользователи сохраняют учетные данные, сервер все равно требует ввести пароль. Однако на клиентских компьютерах, не входящих в домен, учетные данные могут быть сохранены, и пользователи могут подключаться к серверу просто одним кликом.

Как мне заставить пользователей на этих компьютерах вводить свой пароль, не делая изменений на клиентских устройствах, поскольку у меня нет доступа к ним и они находятся у различных пользователей в разных городах? 

Проблема заключается в том, что на этих компьютерах работает несколько пользователей, и иногда один из них по ошибке сохраняет пароль, что вызывает путаницу у других пользователей. Я изучил некоторые рекомендации в интернете, но не смог предотвратить сохранение пароля.
  • 4 октября 2024 г. 21:34
Ответы на вопрос 2 
Запретить вход на Windows Server 2019 через сохраненные учетные данные в RDP-клиенте на клиентских машинах, которые не входят в домен, может оказаться сложной задачей. Однако вы можете использовать несколько методов для уменьшения проблемы. 

1. **Локальная политика безопасности**:
   Вы уже упомянули, что в локальной политике вашего сервера настроено запрещение подключения с сохраненными учетными данными для пользователей домена. Попробуйте проверить, что аналогичные параметры были бы настроены для локальных пользователей. Для этого выполните следующие действия:
   - Откройте `gpedit.msc` на вашем сервере.
   - Перейдите в “Конфигурация компьютера” > “Административные шаблоны” > “Система” > “Учетные записи” и посмотрите, есть ли аналогичный параметр.
   
2. **Политика через Group Policy Object (GPO)**:
   Если у вас есть возможность применение политик к группам компьютеров (например, через локальные или командные настройки), проверьте, можно ли применить политики к клиентским устройствам через GPO (если вы сможете поставить эти устройства в локальную рабочую группу, которая может получать определенные группы политик).

3. **Настройка RDP**:
   Отредактируйте настройки файла RDP для сеансов. Например, вы можете создать сеанс RDP без сохранения пароля. Это обычно делается вручную, но вы можете создать простой сценарий для ваших пользователей для подключения без сохранения учетных данных.

4. **Сторонние решения**: 
   Рассмотрите использование специальных программ для управления удаленными подключениями, которые могут запретить пользователю сохранять учетные данные.

5. **Навигационные инструкции**: 
   Поскольку у вас нет доступа к клиентским машинам, возможно, предоставьте инструкции пользователям, объясняющие, как не сохранять учетные данные. Это не будет полностью эффективным методом, так как пользователи могут не следовать этим инструкциям.

6. **Программное обеспечение безопасности**: 
   Некоторые решения для управления сеансами и безопасности могут помочь предотвратить эту проблему. Изучите возможности использования двухфакторной аутентификации на сервере, чтобы обеспечить дополнительный уровень безопасности.

Если ни один из этих методов не поможет, возможно, лучше всего будет оценить возможность управления пользователями, которые подключаются к терминальному серверу в ваших условиях, с использованием дополнительных уровней политики доступа или даже переосмысленного подхода к настройке удаленных подключений между вашим сервером и клиентскими машинами.
Без домена никак. Рдп сервер не имеет возможности определить с сохраненным паролем логинится пользователь или ручками его набрал. Разве что править локальные политики на каждом компе ручками, но это легко исправляется и в обратную сторону.
Похожие вопросы
    Показать ещё