情况一:本地策略没有允许保存(如果是默认值时,是不需要修改的)
1、在win10系统桌面上,开始菜单。右键,运行。
2、输入gpedit.msc,确定。
3、在本地计算机策略-计算机配置-管理模板-系统-凭据分配。
找到“允许分配保存的凭据用于仅 NTLM 服务器身份验证”。右键,编辑。
4、单击启用。点击“将服务器添加到列表”后的“显示”按钮。
5、在值处,输入 TERMSRV/*。再确定。再应用,确定。
6、返回win10桌面上,单击开始菜单,单击Windows附件-远程桌面连接。
7、输入计算机,用户名。再单击保存。这样即可。
此策略设置适用于使用 Cred SSP 组件的应用程序(例如远程桌面连接)。
此策略设置在通过 NTLM 实现服务器身份验证时适用。
如果启用此策略设置,则可以指定可向其分配用户保存的凭据的服务器(保存的凭据是通过使用 Windows 凭据管理器来进行选择以保存/记忆的凭据)。
如果未配置(默认情况下)此策略设置,则在正确的相互身份验证之后,允许向运行在任何计算机上的远程桌面会话主机 (TERMSRV/*) 分配保存的凭据,但条件是,客户端计算机不是任何域的成员。如果客户端加入某个域,则默认情况下不允许向任何计算机分配保存的凭据。
如果禁用此策略设置,则不允许对任何计算机分配保存的凭据。
注意: 可以将“允许分配保存的凭据用于仅 NTLM 服务器身份验证”策略设置设置为一个或多个服务主体名称(SPN)。SPN 表示可以向其分配用户凭据的目标服务器。指定 SPN 时允许使用单个通配符。
例如:
TERMSRV/host.humanresources.fabrikam.com 表示在 host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机
TERMSRV/* 表示在所有计算机上运行的远程桌面会话主机。
TERMSRV/*.humanresources.fabrikam.com 表示在 humanresources.fabrikam.com 中的所有计算机上运行的远程桌面会话主机
情况二:RDP中错误选择了“始终要求凭据”
补充:
通过“控制面板“-”凭据管理器“中的”Windows凭证“,可以查看所以保存的用户名/密码。
也可以通过以下命令打开”存储的用户名和密码“窗口查看。
rundll32.exe keymgr.dll,KRShowKeyMgr
情况三:Windows Defender Credential Guard不允许使用已保存的凭据。(Win10/11/2016 22H2)
原因:
Windows11 22H2开始Windows开始更新内核保护了。组策略中有原话:基于虚拟化的安全性使用 Windows 虚拟机监控程序来为安全服务提供支持。基于虚拟化的安全性需要安全启动,并且可以选择使用 DMA 保护来启用。22H2下默认是启用此功能的,启用后将不使用保存的远程桌面用户密码。
关闭方法:
通过运行 gpedit.msc 组策略管理控制台,找到 计算机配置 -> 管理模板 -> 系统 -> Device Guard -> 打开基于虚拟化的安全,禁用即可。
修改后重启。如需恢复,改回未配置或已启用都可以。
