修复:保存的RDP凭据在Windows中不起作用

时间:2020-01-09 10:46:25  来源:igfitidea点击:

内置的Windows远程桌面客户端(

mstsc.exe

)允许我们保存用于连接到远程计算机的用户名和密码。使用保存的RDP凭据,用户无需每次都输入密码即可连接到远程桌面。在本文中,我们将了解如何在Windows 10、Windows Server 2012 R2/2015中为RDP连接配置已保存的凭据,以及如果不顾所有设置(每次远程系统提示我们输入密码)而未保存密码,该怎么办。

RDP通过集团策略保存凭证委托

默认情况下,Windows允许用户保存RDP连接的密码。为此,用户必须在RDP客户端窗口中输入RDP计算机的名称、用户名并选中“允许我保存凭据”框。用户点击 连接按钮后,RDP服务器请求密码,计算机将其保存到Windows凭据管理器(而不是.RDP文件)。

因此,下次使用相同用户名连接到RDP服务器时,密码将自动从凭据管理器中获取,并用于RDP身份验证。

如我们所见,如果此计算机有保存的密码,RDP客户端窗口中将显示以下消息:

Saved credentials will be used to connect to this computer. You can edit or delete these credentials.

作为一名高级管理员,我通常不建议用户保存密码。在域中使用SSO进行透明RDP身份验证要好得多。

如果从域计算机连接到另一域或者工作组中的计算机/服务器,默认情况下,Windows不允许用户为RDP连接使用保存的凭据。尽管RDP连接密码保存在凭据管理器中,但系统不会使用它,要求用户提示密码。此外,如果连接到本地帐户而不是域帐户,Windows将阻止我们使用保存的RDP密码。

在这种情况下,如果尝试使用保存的RDP密码连接,则会出现以下错误消息:

 **Your credentials did not work**  
Your system administrator does not allow the use of saved credentials to log on to the remote computer CompName because its identity is not fully verified. Please enter new credentials.

Windows认为连接不安全,因为此计算机与另一域(或者工作组)中的远程计算机之间没有信任。

我们可以在我们试图建立RDP连接的计算机上更改这些设置,方法是:

按打开本地组策略编辑器

Win + R

-> gpedit.msc;

在GPO编辑器中,转到 计算机配置–>管理模板–>系统–>凭据委派。查找策略 允许仅使用NTLM服务器身份验证授权保存的凭据

双击策略。启用后点击 显示

指定在RDP上访问时允许使用保存凭据的远程计算机(服务器)列表。远程计算机列表必须以以下格式指定:

TERMSRV/server1

-允许使用保存的凭据通过RDP访问特定的计算机/服务器;

TERMSRV/*.theitroad.local

-允许建立RDP连接,并将保存的凭据连接到中的所有计算机theitroad.local领域;

TERMSRV/*

-允许使用保存的密码连接到任何远程计算机。 提示。TERMSRV必须以大写形式写入,计算机名称必须与我们在RDP客户端连接主机文件中键入的名称完全匹配。

使用以下命令保存更改并更新GPO设置:

gpupdate /force

现在,当使用RDP连接时,mstsc客户端将能够使用我们保存的凭据。

只能使用本地组策略编辑器更改本地计算机上的RDP保存凭据策略。如果要在域的多台计算机上应用此设置,请使用使用gpmc.msc(组策略管理)控制台。

如果RDP连接期间仍要求用户输入密码,请尝试以相同的方式启用和配置 允许委派保存的凭据策略。此外,确保策略 拒绝委派保存的凭据未启用,因为拒绝策略具有更高的优先级。

Windows没有保存RDP凭据

如果我们已按照上述说明配置了Windows,但每次尝试连接时RDP客户端都会提示我们输入密码,则值得检查以下内容:

在RDP连接窗口中点击 显示选项,确认 总是询问凭证选项未被选中;

如果我们使用保存的.RDP文件进行连接,请确保“ 提示输入凭据”参数的值为0(

prompt for credentials:i:0

);

打开GPO编辑器(gpedit.msc公司)然后转到“计算机配置”->“管理模板”->“Windows组件”->“远程桌面服务”->“远程桌面连接客户端”。不能设置或者禁用“ 不允许保存密码”。还要确保在计算机上的结果组策略中禁用了此策略设置(我们可以使用gpresult命令使用应用的GPO设置创建一个HTML报告);

从凭据管理器中删除所有保存的密码。类型

control userpasswords2

用户账号窗口,进入 高级页签,点击 密码管理

在下一个窗口中选择 Windows凭证。找到所有保存的RDP密码并删除它们(从

TERMRSV/…

). 在此窗口中,我们可以手动添加RDP连接的凭据。请注意,RDP服务器/计算机的名称必须在

TERMRSV\server_name1

格式。清除计算机上的RDP连接历史记录时,不要忘记删除所有保存的密码。

如果远程服务器很长时间没有更新,我们将无法使用保存的RDP凭据登录,并且在尝试连接到它时,我们将看到错误CredSSP encryption oracle replacement。

之后,用户就可以使用他们保存的密码进行RDP连接了。