13
GPO für RDP User, speichern von Kennwörtern nicht zulassen, greift nicht bei W10 Clients
Hallo Zusammen,
vielleicht hat wer einen Tipp für mich:
Habe eine sehr ausführliche GPO für Terminalserver und User. Unter anderem soll das speichern von Kennwörtern nicht möglich sein.
Bei Usern die sich von einem W7 Client verbinden klappt dies auch. Bei WX Clients nicht.
Die anderen Einstellungen in der GPO wie z.B. Laufwerke ausblenden, Systemsteuerung ausblenden, etc, etc, funktionieren alle auch bei WX Clients. Nur das PW speichern nicht. Also bei W10 Clients ist es leider möglich die Kennwörter zu speichern.
Vielen Dank
vielleicht hat wer einen Tipp für mich:
Habe eine sehr ausführliche GPO für Terminalserver und User. Unter anderem soll das speichern von Kennwörtern nicht möglich sein.
Bei Usern die sich von einem W7 Client verbinden klappt dies auch. Bei WX Clients nicht.
Die anderen Einstellungen in der GPO wie z.B. Laufwerke ausblenden, Systemsteuerung ausblenden, etc, etc, funktionieren alle auch bei WX Clients. Nur das PW speichern nicht. Also bei W10 Clients ist es leider möglich die Kennwörter zu speichern.
Vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 364735
Url: https://administrator.de/contentid/364735
Printed on: April 24, 2024 at 06:04 o'clock
13 Comments
Latest comment
Hi,
Und wie hast Du das getestet?
E.
Also bei W10 Clients ist es leider möglich die Kennwörter zu speichern.
Du meinst auf dem Terminalserver, oder auf dem Client?Und wie hast Du das getestet?
E.
Oh entschuldige, am Terminalserver also im RDP Client.
Ach sooooo
Das wäre dann also eine GPO, welche am Client wirken muss, nicht am Terminalserver.
Hast Du am Win10 Client überprüft. dass diese GPO tatsächlich angewendet wird? (gpresult /R)
Das wäre dann also eine GPO, welche am Client wirken muss, nicht am Terminalserver.
Hast Du am Win10 Client überprüft. dass diese GPO tatsächlich angewendet wird? (gpresult /R)
Noch zur Ergänzung:
Wenn sich ein User an einem W7 Client über RDP am Terminalserver anmeldet, kann er zwar das "hackerl" machen, aber es wird nicht gespeichert, die PW Abfrage kommt jedes mal. Wenn er sich an einem WX Client über RDP anmeldet und das Kennwort speichert, wird es gespeichert und die PW Abfrage kommt nicht mehr.
gpresult habe ich gemacht, und die gpo wird angewendet.
Wenn sich ein User an einem W7 Client über RDP am Terminalserver anmeldet, kann er zwar das "hackerl" machen, aber es wird nicht gespeichert, die PW Abfrage kommt jedes mal. Wenn er sich an einem WX Client über RDP anmeldet und das Kennwort speichert, wird es gespeichert und die PW Abfrage kommt nicht mehr.
gpresult habe ich gemacht, und die gpo wird angewendet.
Hast Du es schon mal direkt über Registry versucht?
HKCU\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
DisablePasswordSaving = 1 (DWORD)
HKCU\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
DisablePasswordSaving = 1 (DWORD)
Hallo emeriks,
wäre vielleicht eine Option, aber bei jedem Client? Oder meinst gar am Server?
Schon komisch das es bei W7 geht und bei W10 nicht.
Danke
wäre vielleicht eine Option, aber bei jedem Client? Oder meinst gar am Server?
Schon komisch das es bei W7 geht und bei W10 nicht.
Danke
Das kann man doch auch per GPO setzen. Schau mal im Zweig
Benutzereinstellungen
Einstellungen
Windows-Einstellungen
Registrierung
Benutzereinstellungen
Einstellungen
Windows-Einstellungen
Registrierung
sowieso ich Depp!
Werds probieren, danke Dir
Werds probieren, danke Dir
@bpokor:
Hallo.
Dort, wo Deine GPOs gebacken werden, oftmals üblich direkt auf dem DC, oder auch an einer Admin-Workstation mit installierten RSAT, sollten, falls noch nicht geschehen, die passenden oder neuesten ADMX-Templates installiert sein, hier bspw. für Windows 10 1709:
https://www.microsoft.com/de-DE/download/details.aspx?id=56121
Außerdem verwirrst Du mich mit der zeitgleichen Nennung von GPOs für TS und für FAT-Client-Nutzung. Dein Problem beschreibst Du aber nur anhand von FAT-Clients (W7 oder W10).
GPOs, die speziell nur für TS gelten sollen, und GPOs für "normale" Computer können (und werden sich in den meisten Fällen) unterscheiden. Ansich zunächst nicht tragisch, doch schwierig wird es, wenn eine GPO für die gleiche Einstellung jeweils auf TS oder auf FAT-Client etwas anderes auslösen soll. In diesen Fällen hilft der "Loopback-Modus" zur Verarbeitung von Gruppenrichtlinien (hier sehr schön erklärt: https://www.windowspro.de/wolfgang-sommergut/loopback-processing-benutze ..).
Viele Grüße
von
departure
Hallo.
Dort, wo Deine GPOs gebacken werden, oftmals üblich direkt auf dem DC, oder auch an einer Admin-Workstation mit installierten RSAT, sollten, falls noch nicht geschehen, die passenden oder neuesten ADMX-Templates installiert sein, hier bspw. für Windows 10 1709:
https://www.microsoft.com/de-DE/download/details.aspx?id=56121
Außerdem verwirrst Du mich mit der zeitgleichen Nennung von GPOs für TS und für FAT-Client-Nutzung. Dein Problem beschreibst Du aber nur anhand von FAT-Clients (W7 oder W10).
GPOs, die speziell nur für TS gelten sollen, und GPOs für "normale" Computer können (und werden sich in den meisten Fällen) unterscheiden. Ansich zunächst nicht tragisch, doch schwierig wird es, wenn eine GPO für die gleiche Einstellung jeweils auf TS oder auf FAT-Client etwas anderes auslösen soll. In diesen Fällen hilft der "Loopback-Modus" zur Verarbeitung von Gruppenrichtlinien (hier sehr schön erklärt: https://www.windowspro.de/wolfgang-sommergut/loopback-processing-benutze ..).
Viele Grüße
von
departure
@departure69
bzgl. Loopback
Das ist zwar irgendwo richtig. Aber ich fürchte, mit deiner Anmerkung könntest Du hier nur noch mehr Verwirrung stiften, sofern denn überhaupt gegeben.
Der Hinweis mit den ADMX-Templates ist aber korrekt. Stichwort auch: Central Store. Dann hat man dieses Problem gar nicht erst. (Wenn man den Central Store aktuell hällt.)
bzgl. Loopback
Das ist zwar irgendwo richtig. Aber ich fürchte, mit deiner Anmerkung könntest Du hier nur noch mehr Verwirrung stiften, sofern denn überhaupt gegeben.
Der Hinweis mit den ADMX-Templates ist aber korrekt. Stichwort auch: Central Store. Dann hat man dieses Problem gar nicht erst. (Wenn man den Central Store aktuell hällt.)
@alle, vielen Dank dass Ihr Euch damit auseinandersetzt.
@departure, sorry das ich mich etwas wirr ausdrücke. Im aktuellen Fall sind nur FAT Clients im Einsatz, Windows7 und Windows 10.
Loopback-Modus ist eingerichtet. Ein result zeigt an das die gpo, angewandt wird. Neueste ADMX sind eingespielt.Die GPO ist auf den Terminalservern verlinkt, im Sicherheitsfilter die Gruppen (lauter Usergruppen) auf die sie angewendet werden soll.
Ist hier der Fehler? Einstellungen sind in den Benutzerkonfigurationen gemacht.
Was mich nur stutzig macht ist eben das bei einer Verbindung von einem W7 Client das PW speichern nicht möglich ist, nur bei den 10ern.
Danke
lg
@departure, sorry das ich mich etwas wirr ausdrücke. Im aktuellen Fall sind nur FAT Clients im Einsatz, Windows7 und Windows 10.
Loopback-Modus ist eingerichtet. Ein result zeigt an das die gpo, angewandt wird. Neueste ADMX sind eingespielt.Die GPO ist auf den Terminalservern verlinkt, im Sicherheitsfilter die Gruppen (lauter Usergruppen) auf die sie angewendet werden soll.
Ist hier der Fehler? Einstellungen sind in den Benutzerkonfigurationen gemacht.
Was mich nur stutzig macht ist eben das bei einer Verbindung von einem W7 Client das PW speichern nicht möglich ist, nur bei den 10ern.
Danke
lg
Die GPO ist auf den Terminalservern verlinkt, im Sicherheitsfilter die Gruppen (lauter Usergruppen) auf die sie angewendet werden soll.
Ist hier der Fehler?
Ja, natürlich!Ist hier der Fehler?
Ich schrieb doch bereits
Das wäre dann also eine GPO, welche am Client wirken muss, nicht am Terminalserver.
ich knall mir das jetzt in meiner Testumgebung nochmal rein und lass euch damit jetzt in Ruh.
Danke
Danke
