none
Remotedesktopverbindung RDP-Datei zieht falsche Anmeldedaten. RRS feed

  • Frage

  • Ich habe hier eine Windows-Domäne mit mehreren Clients. Unterschiedliche Anwender setzen sich gelegentlich an einen der Rechner und melden sich per Remotedesktopverbindung an einem Anwendungsserver an.

    Damit die Anwender nicht überlegen müssen, gibt es auf jedem PC einen Zugang zu einem Netzlaufwerk, darin enthalten ein "RDP-Ordner", darin verlinkt sind viele verschiedene RDP-Dateien, anhand des Dateinamens identifiziert jeder Anwender seine eigene (mit seinem Windows-Anmeldenamen verknüpfte) RDP-Datei, macht ein Doppelclick darauf und meldet sich an, indem er nur sein Kennwort eingibt.

    Das funktionierte über einen sehr langen Zeitraum sehr gut, neuerdings zeigte sich aber an manchen PC's den Effekt, dass ein Anwender, wenn er seine RDP-Datei anclickt, nicht mehr sein Kennwort eingibt, sondern automatisch die RDP-Sitzung des Kollegen aufgeht, der vorher an dem entsprechenden PC war, ohne irgendein Kennwort eingeben zu müssen. Ich habe diesen Sicherheits-Supergau abgemildert, indem ich auf Serverseite "Kennwort bei jeder Authentifizierung erzwingen" eingestellt habe.

    Dennoch habe ich das Problem, dass wenn Anwender A "seine" RDP-Dateiverknüpfung anclickt, gelegentlich versucht wird, sich mit den Daten eines Anwenders B anzumelden, die Anwender müssen dann immer über die Option "Benutzer wechseln" gehen und ihren eigenen Namen neu eingeben.

    Im Rahmen der Fehlersuche habe ich festgestellt, dass dieses Fehlverhalten nicht geschieht, wenn man die Option "Zwischenablage verwenden" abstellt, das ist hier im Hause allerdings keine praktikable Lösung. Mache ich die RDP-Dateien mit einem Editor auf, werden die Parameter (insbesondere username:s:Fraglicher_Name) korrekt angezeigt.

    Wer weiss woher das kommt und wie man dieses Fehlverhalten abstellt? Wie stellt man sicher, dass Anwender immer die Parameter verwenden, die in der RDP-Datei hinterlegt sind, auf die sie klicken? Das Problem lässt sich leider auch nicht auf bestimmte Versionen eingrenzen, wir haben das Problem auf 7-er, 8.1-er und auch auf 10-er-Clients festgestellt.

     

    Informationen zur Frage


    Letzte Aktualisierung am 10 Juli, 2019 Aufrufe 14 Gilt für:

    Donnerstag, 11. Juli 2019 08:09

Alle Antworten

  • ...und warum hat nicht jeder NUR seine eigenen Dateien auf seinem eigenen Desktop? Ich würde ja sagen, wenn das passiert hat sich der vorherige User verklickt...

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Donnerstag, 11. Juli 2019 09:11
  • Wir haben hier 15 Rechner für knapp 100 Personen. Es gibt "sicherheitsbedenklich nicht relevante Daten" auf den Clients, wie Office-Programme, PDF-Betrachter usw. und personalbezogene sicherheitskritische Daten auf einen virtuellen Anwendungsserver, wo sich (einige ausgewählte) Leute per Remote aufschalten dürfen. An den Client-PC's wird sich per Computer-Konto aufgeschaltet, mit Benutzernamen wie "Anmeldung", "Verwaltung" oder "Therapeut". Das sehe ich bei uns als extrem sinnvoll an, denn wenn man nach einer Behandlung nur einige Sekunden Zeit hat um irgend etwas am PC einzutragen und sich jedesmal komplett neu anmelden müsste, dann dauert das zu lange.

    Das Problem hat auch nichts damit zu tun, dass die Leute sich verclicken, sondern es ist reproduzierbar.

    Ich bin im Übrigen sehr sehr froh, dass es Foren gibt, wo einen die Leute uneigennützig helfen, trotzdem frage ich mich, warum ich für einen Tipp jedesmal meine Infrastruktur erklären muss. Ich will doch nur wisssen, ob es irgendeinen Registry-Eintrag oder irgend einen Bug gibt, der den Fehler erklärt und ich frage mich, ob irgend jemanden meine IT-Infrastruktur - die mit dem Problem nichts zu tun hat - in diesem öffentlichen Forum interessiert.

    Donnerstag, 11. Juli 2019 09:50
  • Am 11.07.2019 schrieb O vdH:

    Ich bin im Übrigen sehr sehr froh, dass es Foren gibt, wo einen die Leute uneigennützig helfen, trotzdem frage ich mich, warum ich für einen Tipp jedesmal meine Infrastruktur erklären muss. Ich will doch nur wisssen, ob es irgendeinen Registry-Eintrag oder irgend einen Bug gibt, der den Fehler erklärt und ich frage mich, ob irgend jemanden meine IT-Infrastruktur - die mit dem Problem nichts zu tun hat - in diesem öffentlichen Forum interessiert.

    Die Möglichkeit mit dem Abschalten der Zwischenablage hast Du ja
    gefunden. Ich tippe auf einen Bug.

    Servus
    Winfried


    WSUS Package Publisher:
    https://github.com/DCourtel/Wsus_Package_Publisher
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren:
    https://github.com/JochenKalmbach/communitybridge
    GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/

    Donnerstag, 11. Juli 2019 10:35
  • Wer sucht, der findet. falls es nochmal jemanden mit gleichem Problem gibt:

    Wenn man eine RDP-Datei unter "bearbeiten" öffnet, sieht man im Anmeldedialog unter den erweiterten Optionen die Möglichkeit, die Anmeldeinformationen zu speichern, indem man ein Häkchen setzt.

    Das führt dann auf genau auf diesem entsprechenden lokalen Rechner zu den beschriebenen Problem. Diese Informationen werden irgendwo in den Innereien von Windows gespeichert und gewinnen immer, auch dann, wenn man eine RDP-Datei mit anderen Parametern zum Öffnen einer Remoteverbindung wählt.

    Unter den erweiterten Optionen gibt es aber auch einen Link "Diese Anmeldeinformationen löschen", wenn man den betätigt, hat der Spuk ein Ende.

    Donnerstag, 11. Juli 2019 15:35
  • Auch wenn sich viele User einen Rechner teilen, so hat doch jeder User seinen eigenen Dokumentenordner.
    In Diesem kann man doch die RDP-Datei ablegen, so dass er halt nur seine eigene sieht und an andere nicht drankommt.

    Klar ist, wenn jeder User alle RDP's sieht und auch schon mal die falsche auswählt, kann er ja selber wieder entscheiden, die Anmeldeinformationen, dann eben in der  falschen RDP, zu speichern.

    Donnerstag, 11. Juli 2019 16:03