内置的Windows远程桌面客户端(mstsc.exe
)允许您保存用于连接到远程计算机的用户名和密码。使用保存的RDP凭据,用户无需每次都输入密码即可连接到远程桌面。在本文中,我们将研究如何在Windows 10,Windows Server 2012 R2 / 2016中为RDP连接配置保存的凭据以及在所有设置下均未保存密码的情况下怎么办(每次远程系统提示您输入密码时密码)。
RDP通过组策略保存的凭据委派
默认情况下,Windows允许用户保存其用于RDP连接的密码。为此,用户必须输入RDP计算机的名称,用户名,并在RDP客户端窗口中选中“ 允许我保存凭据”框。用户单击“ 连接 ”按钮后,RDP服务器要求输入密码,然后计算机将其保存到Windows凭据管理器(而不是.RDP文件)。
因此,下次您使用相同的用户名连接到RDP服务器时,该密码将自动从凭据管理器中获取并用于RDP身份验证。
如您所见,如果该计算机已保存密码,则RDP客户端窗口中将显示以下消息:
保存的凭据将用于连接到此计算机。您可以编辑或删除这些凭据。
如果您从域计算机连接到另一个域或工作组中的计算机/服务器,则默认情况下Windows不允许用户将保存的凭据用于RDP连接。尽管RDP连接密码已保存在Credentials Manager中,但系统不会使用它要求用户提示密码。此外,如果您使用本地帐户(而不是域帐户)连接,Windows会阻止您使用保存的RDP密码。
在这种情况下,如果尝试使用保存的RDP密码进行连接,则会出现以下错误消息:
您的凭据无效
您的系统管理员不允许使用保存的凭据登录到远程计算机CompName,因为其身份尚未完全验证。请输入新的凭据。
Windows认为连接不安全,因为此计算机与另一个域(或工作组)中的远程计算机之间没有信任关系。
您可以从以下位置在尝试建立RDP连接的计算机上更改这些设置:
- 通过按-> gpedit.msc打开本地组策略编辑器;
Win + R
- 在GPO编辑器中,转到计算机配置–>管理模板–>系统–>凭据委派。找到名为“ 允许通过仅NTLM服务器身份验证委派保存的凭据”的策略;
- 双击该策略。启用它,然后单击显示;
- 指定通过RDP访问时允许使用保存的凭据的远程计算机(服务器)列表。远程计算机列表必须以以下格式指定:
- 使用以下命令保存更改并更新GPO设置:
gpupdate /force
现在,使用RDP连接时,mstsc客户端将能够使用您保存的凭据。
您只能使用本地组策略编辑器在本地计算机上更改RDP保存的凭据策略。如果要在域的多台计算机上应用此设置,请使用通过gpmc.msc(组策略管理)控制台配置的域GPO。
Windows未保存RDP凭据
如果已按照上述说明配置Windows,但是RDP客户端每次尝试连接时都会提示您输入密码,因此值得检查以下内容:
- 在RDP连接窗口中单击“ 显示选项”,并确保未选中“ 始终要求提供凭据”选项;
- 如果您使用保存的.RDP文件进行连接,请确保“ 提示输入凭据 ”参数的值是0(
prompt for credentials:i:0
); - 打开GPO编辑器(gpedit.msc),然后转到“计算机配置”->“管理模板”->“ Windows组件”->“远程桌面服务”->“远程桌面连接客户端”。“ 不允许保存密码 ”必须不设置或禁用。还要确保在计算机上生成的组策略中禁用了此策略设置(您可以使用gpresult命令使用所应用的GPO设置创建HTML报告);
- 从凭据管理器中删除所有保存的密码。键入,
control userpasswords2
然后在“ 用户帐户”窗口中转到“ 高级”选项卡,然后单击“ 管理密码”; - 在下一个窗口中,选择Windows凭据。找到所有已保存的RDP密码并将其删除(以开头
TERMRSV/…
)。 -
在此窗口中,您可以手动添加RDP连接的凭据。请注意,RDP服务器/计算机的名称必须以
TERMRSV\server_name1
格式指定。 清除 计算机上的RDP连接历史记录时,请不要忘记删除所有保存的密码。 - 如果远程服务器很长时间没有更新,则将无法使用保存的RDP凭据登录,并且在尝试连接到它时,您将看到错误CredSSP加密oracle修复。之后,用户将可以使用保存的密码进行RDP连接。