Windows Server 2019 terminal, как запретить входить с сохраненными паролями?
Собственно есть терминальный сервер.
На клиентах винда и стандартный RDP клиент.
Клиентский компьютеры разбросаны по миру и не являются членами домена.
На сервере установлен в локальной политике заперт на подключение с сохраненными учетными данными.
---
На компах которые в домене - все работает как надо, учетные данные даже если сохраняешь, сервер все равно спрашивает пароль.
На компах юзеров - учетные данные спокойно сохраняются, и входит тупо по клику, не входя в домен.
--
Вопрос как заставить этих гадов вводить пароль.
Желательно ничего не делая на клиентских компах, так как доступа у меня к ним может не быть, они в разных городах и у разных диких юзеров...
А то на компах работает по несколько пользователей, и периодически слишком умный юзер умный ставит галку и сохраняет пароль, а другой потом не отдупляет, что надо войти под своим логином и начинает в панике названивать, что у него все пропало.
В принципе в интернете рекомендации какие нашел уже попробовал, на клиентах один фиг запоминается...
Если в вакансии указано - "надо уметь пользоваться ПК", то виидмо брать только людей которые дружат с головой?))
это ж не вопрос технический, это вопрос найма персонала...у нормального человека не возникает проблемы понять что он зашел с чужим логином \ паролем...
периодически слишком умный юзер умный ставит галку и сохраняет пароль, а другой потом не отдупляет, что надо войти под своим логином и начинает в панике названивать, что у него все пропало.
При каждом таком случае "слишком умному" выставлять "требовать смену пароля при следующем логине". При вопросах от "слишком умного" спокойно отвечать, что учётная запись была скомпрометирована - другой пользователь имел доступ от вашего имени. Да, тут будет элемент лукавства: если факт компрометации действительно важен, то админ должен сменить пользователю пароль и\или заблокировать учётку. И если "слишком умный" на самом деле умный, то должен догадаться (нет), что его просто воспитывают.
Петровский, ага, стоит где-то например комп, с виндой, где юзер дежурит сутки через трое....
И они с этим компом сами делают что хотят... он и принадлежит владельцу точки а не нам. И исправить это нельзя, это их территория там они творят чё хотят.
---
А к нам они подключаются с доками по rdp работать и отчёты писать...
И е сожалению на стороне клиента ничего нельзя сделать...
aleks-th, на самом терминальном сервере включена политика Computer Configuration/Policies/Administrative Templates/Windows Components/Remote Desktop Services/Remote desktop session host - security - "Always prompt for password upon connection"?
Без домена никак. Рдп сервер не имеет возможности определить с сохраненным паролем логинится пользователь или ручками его набрал. Разве что править локальные политики на каждом компе ручками, но это легко исправляется и в обратную сторону.
Домен не обязателен. Если политикой на сервере запрещено сохранение пароля, то пароль у клиента - даже если сохранен, удаляется (ну если это клиент - mstsc)
Но чей-нибуь пароль всё-равно однажды украдут, даже если его не будут сохранять. Кейлогеры и т.п.
Обязательно делайте двухфакторку. Это бесплатно, это несложно, это резко повышает безопасность.
aleks-th, для двухфакторки могу посоветоровать Multiotp. Оно бесплатное, дружит с AD (но и автономно можно), QR коды и генерация ПИН-кодов - стандарные, поддерживается в т.ч. Google Authenticator. Генерация кодов не требует интернета, только точное время в смартфоне.
Пользователь при первой же ошибке ПИН (а она будет, если входишь с чужой учеткой) попадает на стандартный экран авторизации Windows, где должен заново указать логин и пароль.
"На половине компов срабатывает и даже с сохраненными данными просит пароль, на половине заходи тупо по клику."
А вы уверены что у той половины что заходит не сделан ярлык в котором вручную прописан логин и пароль или используются ещё какие ухищрения для этих целей?
Вы уверены что там пользователь дерево? Может там как раз продвинутый пользователь который умеет пользоваться поисковиками? От такого никак не закрыться.
ну если ситуация запущена настолько что на локальном пк несколько рыл сидят в одном профиле - то не всё ли равно что и на rdp будет также?
без домена на локальных в корне ничего не изменишь
можно от обратного - выдать им сохранённые rdp файлы в которых кроме адреса ещё и юзер прописан
но опятьже никак не заставишь конкретного лобка жать на нужный ему файл
