Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra diversi fattori che possono causare problemi relativi all'autenticazione dell'utente.
Accesso negato, tipo di accesso con restrizioni
In questa situazione a un utente Windows 10 che tenta di connettersi a computer Windows 10 o Windows Server 2016 viene negato l'accesso con un messaggio simile al seguente:
Connessione Desktop remoto: l'amministratore di sistema ha limitato il tipo di accesso (rete o interattivo) che è possibile usare. Per assistenza, contattare l'amministratore di sistema o il supporto tecnico.
Questo problema si verifica quando l'autenticazione a livello di rete (NLA) è necessaria per le connessioni RDP e l'utente non è membro del gruppo Utenti Desktop remoto. Può verificarsi anche se il gruppo Utenti Desktop remoto non è stato assegnato al diritto Accesso a questo computer dal diritto utente di rete .
Per risolvere il problema, esegui una di queste operazioni:
- Modifica l'appartenenza dell'utente al gruppo o l'assegnazione dei diritti utente.
- Disattiva l'Autenticazione a livello di rete (scelta non consigliata).
- Usa client Desktop remoto diversi da Windows 10. Ad esempio, i client Windows 7 non hanno questo problema.
Modificare l'appartenenza dell'utente al gruppo o l'assegnazione dei diritti utente
Se questo problema riguarda un utente singolo, la soluzione più semplice è quella di aggiungere tale utente al gruppo Utenti desktop remoto.
Se l'utente fa già parte di questo gruppo (o se più membri del gruppo hanno lo stesso problema), verifica la configurazione dei diritti utente nel computer Windows 10 o Windows Server 2016 remoto.
Apri l'Editor oggetti Criteri di gruppo ed effettua la connessione al criterio locale del computer remoto.
Passare a Configurazione\computer Impostazioni\di Windows Impostazioni di sicurezza Criteri\\locali Assegnazione diritti utente, fare clic con il pulsante destro del mouse su Accedi al computer dalla rete e quindi selezionare Proprietà.
Verifica l'elenco degli utenti e dei gruppi per Utenti desktop remoto (o un gruppo padre).
Se l'elenco non include Utenti desktop remoto o un gruppo padre come Everyone, devi aggiungerlo. Se nella distribuzione sono presenti più computer, usa un oggetto Criteri di gruppo.
Ad esempio, come membro predefinito per Accedi al computer dalla rete è incluso Everyone. Se la distribuzione usa un oggetto Criteri di gruppo per rimuovere Everyone, potresti dover ripristinare l'accesso aggiornando tale oggetto in modo da aggiungere Utenti desktop remoto.
Accesso negato, una chiamata remota al database SAM è stata negata
Questo comportamento si verifica molto probabilmente se i controller di dominio eseguono Windows Server 2016 o versioni successive e gli utenti tentano di connettersi usando un'app di connessione personalizzata. In particolare, l'accesso verrà negato alle applicazioni che accedono alle informazioni del profilo dell'utente in Active Directory.
Tale comportamento dipende da una modifica apportata a Windows. In Windows Server 2012 R2 e versioni precedenti, quando un utente accede a un desktop remoto, Connection Manager di Accesso remoto contatta il controller di dominio per richiedere le configurazioni specifiche di Desktop remoto tramite query sull'oggetto utente in Active Directory Domain Services (AD DS). Queste informazioni vengono visualizzate nella scheda Profilo di Servizi Desktop remoto delle proprietà dell'oggetto di un utente nello snap-in di MMC Utenti e computer di Active Directory.
A partire da Windows Server 2016, Connection Manager di Accesso remoto non esegue più query sull'oggetto utente in AD DS. Se hai bisogno di Connection Manager di Accesso remoto per eseguire query su AD DS perché usi gli attributi di Servizi Desktop remoto, devi abilitare la query manualmente.
Importante
In questa sezione, nei passaggi del metodo o dell'attività viene illustrata la modalità di modifica del Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Al fine di protezione, eseguire il backup del registro di sistema prima di modificarlo, in modo da poterlo ripristinare in caso di problemi. Per ulteriori informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedi Come eseguire il backup e il ripristino del Registro di sistema in Windows.
Per abilitare il comportamento RCM legacy in un server Host sessione Desktop remoto, configurare le voci del Registro di sistema seguenti e quindi riavviare il servizio Servizi Desktop remoto:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal ServicesHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\<Winstation name>\- Nome: fQueryUserConfigFromDC
- Tipo: Reg_DWORD
- Valore: 1 (decimale)
Per abilitare il comportamento RCM legacy in un server diverso da un server Host sessione Desktop remoto, configurare queste voci del Registro di sistema e la voce del Registro di sistema aggiuntiva seguente (e quindi riavviare il servizio):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
Per altre informazioni su questo comportamento, vedere Modifiche al Gestione connessioni remoto in Windows Server 2016.
Un utente non riesce ad accedere usando una smart card
Questa sezione illustra tre scenari comuni in cui un utente non riesce ad accedere a un desktop remoto usando una smart card.
Impossibilità di accedere a una succursale con un controller di dominio di sola lettura usando una smart card
Questo problema si verifica nelle distribuzioni che includono un server Host sessione Desktop remoto presso una succursale che usa un controller di dominio di sola lettura. Il server Host sessione Desktop remoto è ospitato nel dominio radice. Gli utenti nella succursale appartengono a un dominio figlio e usano smart card per l'autenticazione. Il controller di dominio di sola lettura è configurato in modo da memorizzare nella cache le password utente (tale controller appartiene al gruppo Ogg. autorizzati a replica passw. in controller sola lettura). Quando gli utenti tentano di accedere a sessioni nel server Host sessione Desktop remoto, ricevono messaggi del tipo "Il tentativo di accesso non è valido a causa di un nome utente o di informazioni di autenticazione non validi".
Questo problema è dovuto al modo in cui il controller di dominio radice e il controller di dominio di sola lettura gestiscono la crittografia delle credenziali utente. Il primo usa una chiave di crittografia per crittografare le credenziali, mentre il secondo fornisce una chiave di decrittografia al client. Quando un utente riceve l'errore "non valido", ovvero le due chiavi non corrispondono.
Per risolvere il problema, prova a eseguire una di queste operazioni:
- Modificare la topologia del controller di dominio disattivando la memorizzazione nella cache delle password nel controller di dominio di sola lettura o distribuendo un controller di dominio scrivibile nel sito di succursale.
- Sposta il server Host sessione Desktop remoto nello stesso dominio figlio in cui si trovano gli utenti.
- Consenti agli utenti di accedere senza smart card.
Tieni presente che tutte queste soluzioni richiedono compromessi a livello di prestazioni o sicurezza.
Impossibilità di accedere a un computer Windows Server 2008 SP2 usando una smart card
Questo problema si verifica quando gli utenti accedono a un computer Windows Server 2008 SP2 aggiornato con KB4093227 (2018.4B). Quando gli utenti tentano di accedere usando una smart card, viene negato l'accesso con messaggi come "Non sono stati trovati certificati validi. Controllare che la scheda sia inserita correttamente". Allo stesso tempo, il computer Windows Server registra l'evento applicazione "Errore durante la ricerca di un certificato digitale dalla smart card inserita: Firma non valida".
Per risolvere questo problema, aggiornare il computer Windows Server con il nuovo rilascio 2018.06 B oggetto dell'articolo della Knowledge Base 4093227, Descrizione dell'aggiornamento di sicurezza per la vulnerabilità di tipo Denial of Service di Windows Remote Desktop Protocol (RDP) in Windows Server 2008: 10 aprile 2018.
Impossibilità di restare connessi con una smart card e blocco di Servizi Desktop remoto
Questo problema si verifica quando gli utenti accedono a un computer Windows o Windows Server aggiornato con KB 4056446. L'utente inizialmente può riuscire ad accedere al sistema tramite una smart card, ma successivamente riceve un messaggio di errore di tipo "SCARD_E_NO_SERVICE". Il computer remoto potrebbe smettere di rispondere.
Per ovviare a questo problema, riavvia il computer remoto.
Per risolvere questo problema, aggiorna il computer remoto con la correzione appropriata:
- Windows Server 2008 SP2: articolo della Knowledge Base 4090928, Windows perde gli handle nel processo lsm.exe e le applicazioni smart card possono visualizzare errori "SCARD_E_NO_SERVICE"
- Windows Server 2012 R2: KB 4103724, 17 maggio 2018-KB4103724 (anteprima del rollup mensile)
- Windows Server 2016 e Windows 10 versione 1607: KB 4103720, 17 maggio 2018-KB4103720 (Build del sistema operativo 14393.2273)
Se il PC remoto è bloccato, l'utente deve immettere due volte la password
Questo problema può verificarsi quando un utente prova a connettersi a un desktop remoto che esegue Windows 10 versione 1709 in una distribuzione in cui le connessioni RDP non richiedono l'Autenticazione a livello di rete. In queste condizioni, se il desktop remoto è stato bloccato, l'utente deve immettere due volte le credenziali quando si connette.
Per risolvere questo problema, aggiornare il computer Windows 10 versione 1709 con kb 4343893, 30 agosto 2018-KB4343893 (Build del sistema operativo 16299.637).
Un utente non riesce ad accedere e riceve messaggi che indicano un "errore di autenticazione" e la "correzione Oracle di crittografia CredSSP"
Quando gli utenti tentano di accedere usando qualsiasi versione di Windows da Windows Vista SP2 e versioni successive o Windows Server 2008 SP2 e versioni successive, vengono negati l'accesso e ricevono messaggi simili ai seguenti:
Si è verificato un errore di autenticazione. La funzione richiesta non è supportata. ... Questo potrebbe essere dovuto alla correzione oracle della crittografia CredSSP...
"Correzione Oracle di crittografia CredSSP" indica un set di aggiornamenti di sicurezza rilasciati a marzo, aprile e maggio 2018. CredSSP è un provider di autenticazione che elabora le richieste di autenticazione per altre applicazioni. L'aggiornamento "3B" del 13 marzo 2018 e gli aggiornamenti successivi hanno riguardato un exploit in cui l'autore di un attacco poteva inoltrare le credenziali utente per eseguire codice sul sistema di destinazione.
Gli aggiornamenti iniziali hanno aggiunto il supporto per un nuovo oggetto Criteri di gruppo, la correzione Oracle di crittografia, che include le impostazioni possibili seguenti:
Vulnerabile: le applicazioni client che usano CredSSP possono eseguire il fallback a versioni non sicure, ma questo comportamento espone i desktop remoti ad attacchi. I servizi che usano CredSSP accettano i client che non sono stati aggiornati.
Mitigato: le applicazioni client che usano CredSSP non possono eseguire il fallback a versioni non sicure, ma i servizi che usano CredSSP accettano i client che non sono stati aggiornati.
Forza client aggiornati: le applicazioni client che usano CredSSP non possono eseguire il fallback a versioni non sicure e i servizi che usano CredSSP non accetteranno i client senza patch.
Nota
questa impostazione deve essere distribuita solo dopo che tutti gli host remoti supportano la versione più recente.
L'aggiornamento dell'8 maggio 2018 ha modificato l'impostazione predefinita di Correzione oracolo di crittografia da Vulnerabile a Mitigato. A causa di tale modifica, i client Desktop remoto con gli aggiornamenti non possono connettersi a server in cui gli aggiornamenti non sono installati (o a server aggiornati che non sono stati riavviati). Per altre informazioni sugli aggiornamenti di CredSSP, vedi l'articolo KB 4093492.
Per risolvere questo problema, aggiorna e riavvia tutti i sistemi. Per un elenco completo degli aggiornamenti e altre informazioni sulle vulnerabilità, vedi CVE-2018-0886 | Vulnerabilità relativa all'esecuzione di codice in remoto CredSSP.
Per ovviare a questo problema fino al completamento degli aggiornamenti, leggi l'articolo della Knowledge Base 4093492 per avere informazioni sui tipi di connessioni consentiti. Se non esistono alternative fattibili, è possibile prendere in considerazione uno dei metodi seguenti:
- Per i computer client interessati, reimposta il criterio Correzione oracolo di crittografia su Vulnerabile.
- Modificare i criteri seguenti nella cartella Criteri di gruppo Configurazione\computer Modelli\amministrativi Componenti\di Windows Servizi Desktop remoto Sessione\Desktop\remoto Sicurezza host:
Richiedi l'utilizzo di un livello di sicurezza specificato per le connessioni remote (RDP): imposta su Abilitato e seleziona RDP.
Richiedi autenticazione utente tramite Autenticazione a livello di rete per le connessioni remote: imposta su Disabilitato.
Importante
La modifica di questi criteri di gruppo ha l'effetto di ridurre la sicurezza della distribuzione. Ti consigliamo di usarli solo temporaneamente, se proprio devi farlo.
Per altre informazioni sulla gestione dei criteri di gruppo, vedi Modifica di un oggetto Criteri di gruppo che blocca.
Dopo l'aggiornamento dei computer client, alcuni utenti devono accedere due volte
Quando gli utenti accedono a Desktop remoto usando un computer che esegue Windows 7 o Windows 10, versione 1709, visualizzano immediatamente una seconda richiesta di accesso. Questo problema si verifica se nel computer client sono installati gli aggiornamenti seguenti:
- Windows 7: KB 4103718, 8 maggio 2018-KB4103718 (rollup mensile)
- Windows 10 1709: KB 4103727, 8 maggio 2018-KB4103727 (Build del sistema operativo 16299.431)
Per risolvere questo problema, assicurarsi che i computer a cui gli utenti vogliono connettersi (nonché ai server RDSH o RDVI) vengano aggiornati completamente fino a giugno 2018. Sono inclusi gli aggiornamenti seguenti:
- Windows Server 2016: KB 4284880, 12 giugno 2018-KB4284880 (Build del sistema operativo 14393.2312)
- Windows Server 2012 R2: KB 4284815, 12 giugno 2018-KB4284815 (rollup mensile)
- Windows Server 2012: KB 4284855, 12 giugno 2018-KB4284855 (rollup mensile)
- Windows Server 2008 R2: KB 4284826, 12 giugno 2018-KB4284826 (rollup mensile)
- Windows Server 2008 SP2: articolo della Knowledge Base 4056564, Descrizione dell'aggiornamento di sicurezza per la vulnerabilità relativa all'esecuzione di codice in remoto CredSSP in Windows Server 2008, Windows Embedded POSReady 2009 e Windows Embedded Standard 2009: 13 marzo 2018
Agli utenti viene negato l'accesso per una distribuzione che usa Remote Credential Guard con più gestori connessione Desktop remoto
Questo problema si verifica nelle distribuzioni a disponibilità elevata che usano due o più gestori connessione Desktop remoto, se è in uso Windows Defender Remote Credential Guard. Gli utenti non riescono ad accedere ai desktop remoti.
Questo problema si verifica perché Remote Credential Guard usa Kerberos per l'autenticazione e limita NTLM. In una configurazione a disponibilità elevata con bilanciamento del carico i gestori connessione Desktop remoto, tuttavia, non possono supportare le operazioni Kerberos.
Se hai necessità di usare una tale configurazione con gestori connessione Desktop remoto con bilanciamento del carico, puoi ovviare a questo problema disabilitando Remote Credential Guard. Per altre informazioni su come gestire Windows Defender Remote Credential Guard, vedi Proteggere le credenziali di Desktop remoto con Windows Defender Remote Credential Guard.