问题现象
在使用保存了用户名和密码的 RDP 远程桌面连接文件(.rdp)登录 Windows 云服务器(ECS)时,系统未自动登录,提示“您的凭据不工作。系统管理员不允许使用保存的凭据登录远程计算机,原因是未完全验证其标识”。
问题原因
默认安全策略限制:Windows 默认安全机制(凭据委派策略)禁止向未建立信任关系(如不在同一域或工作组)的远程主机发送保存的凭据。
NTLM身份验证拦截:当客户端与服务器之间使用NTLM协议进行身份验证且未明确允许委派时,系统会拦截保存的密码以防止凭据泄露。
解决方案
重要
以下操作需在本地客户端电脑(即发起远程连接的 Windows 设备)上执行,而非目标云服务器。通过修改本地组策略,允许对远程服务器使用保存的凭据。
步骤一:打开本地组策略编辑器
在本机Windows,按
Win + R键,打开运行对话框。输入
gpedit.msc并按回车。
步骤二:定位凭据委派策略
在左侧导航栏中,依次展开路径:
在右侧列表中找到并双击设置项:允许分配保存的凭据用于仅NTLM服务器身份验证。
步骤三:配置允许列表
在弹出的窗口中,选择 已启用。
点击下方将服务器添加到列表旁的显示按钮。
在“值”列中输入
TERMSRV/*。TERMSRV代表远程桌面服务,*代表允许匹配所有远程主机。若需提高安全性,可将*替换为具体的服务器 IP 或域名(如TERMSRV/192.168.1.10)。连续点击确定保存配置。
步骤四:刷新组策略生效
再次按下
Win + R键,输入cmd打开命令提示符。执行以下命令强制刷新组策略:
gpupdate /force
关闭命令提示符,重新运行
.rdp文件,即可实现自动登录。
后续建议
生产环境中,建议将 TERMSRV/* 替换为具体的 TERMSRV/服务器IP 或 TERMSRV/服务器域名,遵循最小权限原则,避免将凭据自动发送至非预期的服务器。
该文章对您有帮助吗?