기본 제공 Windows 원격 데스크톱 클라이언트(mstsc.exe
) 원격 컴퓨터에 연결하는 데 사용되는 사용자 이름과 암호를 저장할 수 있습니다. 저장된 RDP 자격 증명을 사용하면 사용자가 원격 데스크톱에 연결할 때마다 암호를 입력할 필요가 없습니다. 이 기사에서는 Windows 10, Windows Server 2012 R2/2016에서 RDP 연결에 대해 저장된 자격 증명을 구성하는 방법과 모든 설정에도 불구하고 암호가 저장되지 않은 경우(원격 시스템에서 비밀번호).
그룹 정책을 통한 RDP 저장된 자격 증명 위임
기본적으로 Windows에서는 사용자가 RDP 연결에 대한 암호를 저장할 수 있습니다. 이를 수행하려면 사용자가 RDP 컴퓨터 이름, 사용자 이름을 입력하고 "자격 증명을 저장하도록 허용" 확인란을 선택해야 합니다. RDP 클라이언트 창에서 사용자가 "연결 " 버튼을 누르면 RDP 서버가 암호를 묻고 컴퓨터가 암호를 Windows Credential Manager(.RDP 파일이 아님)에 저장합니다.
따라서 다음에 동일한 사용자 이름을 사용하여 RDP 서버에 연결할 때 암호는 Credential Manager에서 자동으로 가져와서 RDP 인증에 사용됩니다.
보시다시피 이 컴퓨터에 대해 저장된 암호가 있으면 RDP 클라이언트 창에 다음 메시지가 나타납니다.
Saved credentials will be used to connect to this computer. You can edit or delete these credentials.
고위 관리자로서 나는 일반적으로 사용자에게 암호를 저장하는 것을 권장하지 않습니다. 투명한 RDP 인증을 위해서는 도메인에서 SSO를 사용하는 것이 훨씬 좋습니다.
도메인 컴퓨터에서 다른 도메인이나 작업 그룹의 컴퓨터/서버로 연결하는 경우 기본적으로 Windows에서는 사용자가 RDP 연결에 대해 저장된 자격 증명을 사용하는 것을 허용하지 않습니다. RDP 연결 암호가 자격 증명 관리자에 저장되어 있음에도 불구하고 시스템은 사용자에게 암호를 묻도록 요구하는 암호를 사용하지 않습니다. 또한 Windows는 도메인 계정 대신 로컬 계정으로 연결하는 경우 저장된 RDP 암호를 사용하지 못하도록 합니다.
이 경우 저장된 RDP 비밀번호를 사용하여 연결을 시도하면 다음과 같은 오류 메시지가 나타납니다.
Your credentials did not work Your system administrator does not allow the use of saved credentials to log on to the remote computer CompName because its identity is not fully verified. Please enter new credentials.
Windows는 이 컴퓨터와 다른 도메인(또는 작업 그룹)의 원격 컴퓨터 사이에 신뢰가 없기 때문에 연결이 안전하지 않은 것으로 간주합니다.
RDP 연결을 설정하려는 컴퓨터에서 다음 설정을 변경할 수 있습니다.
Win + R
을 눌러 로컬 그룹 정책 편집기를 엽니다. -> gpedit.msc;- GPO 편집기에서 컴퓨터 구성 –> 관리 템플릿 –> 시스템 –> 자격 증명 위임으로 이동합니다. . NTLM 전용 서버 인증으로 저장된 자격 증명 위임 허용이라는 정책을 찾습니다.;
- 정책을 두 번 클릭합니다. 활성화하고 표시를 클릭합니다.;
- RDP를 통해 액세스할 때 저장된 자격 증명을 사용할 수 있는 원격 컴퓨터(서버) 목록을 지정합니다. 원격 컴퓨터 목록은 다음 형식으로 지정해야 합니다.
TERMSRV/server1
— 저장된 자격 증명을 사용하여 RDP를 통해 특정 컴퓨터/서버에 액세스할 수 있습니다.TERMSRV/*.woshub.com
— woshub.com 도메인의 모든 컴퓨터에 저장된 자격 증명을 사용하여 RDP 연결을 설정할 수 있습니다.TERMSRV/*
— 저장된 암호를 사용하여 원격 컴퓨터에 연결할 수 있습니다. 도움말 . TERMSRV는 대문자로 작성해야 하며 컴퓨터 이름은 RDP 클라이언트 연결 호스트 필드에 입력한 이름과 완전히 일치해야 합니다.
- 다음 명령을 사용하여 변경 사항을 저장하고 GPO 설정을 업데이트합니다.
gpupdate /force
이제 RDP를 사용하여 연결할 때 mstsc 클라이언트가 저장된 자격 증명을 사용할 수 있습니다.
로컬 그룹 정책 편집기를 사용하여 로컬 컴퓨터에서만 RDP 저장된 자격 증명 정책을 변경할 수 있습니다. 도메인의 여러 컴퓨터에 이 설정을 적용하려면 gpmc.msc(그룹 정책 관리) 콘솔을 사용하여 구성된 도메인 GPO를 사용하십시오.
RDP 연결 중에 사용자에게 여전히 비밀번호를 묻는 메시지가 표시되면 저장된 자격 증명 위임 허용을 활성화하고 구성해 보세요. 같은 방식으로 정책을 시행합니다. 또한 정책 위임 저장된 자격 증명 거부 정책을 거부하는 것이 우선 순위가 더 높기 때문에 활성화되지 않습니다.Windows가 RDP 자격 증명을 저장하지 않음
위의 지침에 따라 Windows를 구성했지만 연결을 시도할 때마다 RDP 클라이언트가 암호를 입력하라는 메시지를 표시하는 경우 다음을 확인하는 것이 좋습니다.
- '옵션 표시' 클릭 RDP 연결 창에서 '항상 자격 증명 요청' 옵션이 선택되지 않았습니다.
- 저장된 .RDP 파일을 연결에 사용하는 경우 '자격 증명 프롬프트 값이 ' 매개변수는 0(
prompt for credentials:i:0
); - GPO 편집기(gpedit.msc)를 열고 컴퓨터 구성 -> 관리 템플릿 -> Windows 구성 요소 -> 원격 데스크톱 서비스 -> 원격 데스크톱 연결 클라이언트로 이동합니다. '비밀번호 저장 허용 안함 '를 설정하거나 비활성화하면 안 됩니다. 또한 컴퓨터의 결과 그룹 정책에서 이 정책 설정이 비활성화되어 있는지 확인합니다(gpresult 명령을 사용하여 적용된 GPO 설정으로 HTML 보고서를 만들 수 있음).
- Credential Manager에서 저장된 모든 비밀번호를 삭제합니다.
control userpasswords2
입력 및 사용자 계정에서 창에서 고급으로 이동 탭을 클릭하고 비밀번호 관리를 클릭합니다.; - 다음 창에서 Windows 자격 증명을 선택합니다. . 저장된 모든 RDP 비밀번호를 찾아 삭제합니다(
TERMRSV/…
로 시작). ). 이 창에서 RDP 연결을 위한 자격 증명을 수동으로 추가할 수 있습니다. RDP 서버/컴퓨터의 이름은TERMRSV\server_name1
에 지정해야 합니다. 체재. 컴퓨터에서 RDP 연결 기록을 지울 때 저장된 모든 암호를 삭제하는 것을 잊지 마십시오. - 원격 서버가 오랫동안 업데이트되지 않은 경우 저장된 RDP 자격 증명으로 로그온할 수 없으며 연결을 시도할 때 CredSSP 암호화 오라클 수정 오류가 표시됩니다.
그 후에 사용자는 저장된 비밀번호를 RDP 연결에 사용할 수 있습니다.