內置的Windows遠程桌面客戶端(mstsc.exe)允許您保存用於連接到遠程計算機的用戶名和密碼。使用保存的RDP憑據,用戶無需每次都輸入密碼即可連接到遠程桌面。在本文中,我們將研究如何在Windows 10,Windows Server 2012 R2 / 2016中為RDP連接配置保存的憑據以及在所有設置下均未保存密碼的情況下怎么辦(每次遠程系統提示您輸入密碼時密碼)。
RDP通過組策略保存的憑據委派
默認情況下,Windows允許用戶保存其用於RDP連接的密碼。為此,用戶必須輸入RDP計算機的名稱,用戶名,並在RDP客戶端窗口中選中“ 允許我保存憑據”框。用戶單擊“ 連接 ”按鈕后,RDP服務器要求輸入密碼,然后計算機將其保存到Windows憑據管理器(而不是.RDP文件)。
因此,下次您使用相同的用戶名連接到RDP服務器時,該密碼將自動從憑據管理器中獲取並用於RDP身份驗證。
如您所見,如果該計算機已保存密碼,則RDP客戶端窗口中將顯示以下消息:
保存的憑據將用於連接到此計算機。您可以編輯或刪除這些憑據。
如果您從域計算機連接到另一個域或工作組中的計算機/服務器,則默認情況下Windows不允許用戶將保存的憑據用於RDP連接。盡管RDP連接密碼已保存在Credentials Manager中,但系統不會使用它要求用戶提示密碼。此外,如果您使用本地帳戶(而不是域帳戶)連接,Windows會阻止您使用保存的RDP密碼。
在這種情況下,如果嘗試使用保存的RDP密碼進行連接,則會出現以下錯誤消息:
您的憑據無效 您的系統管理員不允許使用保存的憑據登錄到遠程計算機CompName,因為其身份尚未完全驗證。請輸入新的憑據。
Windows認為連接不安全,因為此計算機與另一個域(或工作組)中的遠程計算機之間沒有信任關系。
您可以從以下位置在嘗試建立RDP連接的計算機上更改這些設置:
- 通過按-> gpedit.msc打開本地組策略編輯器;
Win + R - 在GPO編輯器中,轉到計算機配置–>管理模板–>系統–>憑據委派。找到名為“ 允許通過僅NTLM服務器身份驗證委派保存的憑據”的策略;
- 雙擊該策略。啟用它,然后單擊顯示;
- 指定通過RDP訪問時允許使用保存的憑據的遠程計算機(服務器)列表。遠程計算機列表必須以以下格式指定:
TERMSRV/server1—允許使用保存的憑據通過RDP訪問特定的計算機/服務器;TERMSRV/*.woshub.com—允許使用保存的憑證建立與woshub.com域中所有計算機的RDP連接;TERMSRV/*—允許使用保存的密碼連接到任何遠程計算機。
提示 。TERMSRV必須使用大寫字母,並且計算機名稱必須與您在RDP客戶端連接主機文件中鍵入的名稱完全匹配。
- 使用以下命令保存更改並更新GPO設置:
gpupdate /force
現在,使用RDP連接時,mstsc客戶端將能夠使用您保存的憑據。
您只能使用本地組策略編輯器在本地計算機上更改RDP保存的憑據策略。如果要在域的多台計算機上應用此設置,請使用通過gpmc.msc(組策略管理)控制台配置的域GPO。
Windows未保存RDP憑據
如果已按照上述說明配置Windows,但是RDP客戶端每次嘗試連接時都會提示您輸入密碼,因此值得檢查以下內容:
- 在RDP連接窗口中單擊“ 顯示選項”,並確保未選中“ 始終要求提供憑據”選項;
- 如果您使用保存的.RDP文件進行連接,請確保“ 提示輸入憑據 ”參數的值是0(
prompt for credentials:i:0); 
- 打開GPO編輯器(gpedit.msc),然后轉到“計算機配置”->“管理模板”->“ Windows組件”->“遠程桌面服務”->“遠程桌面連接客戶端”。“ 不允許保存密碼 ”必須不設置或禁用。還要確保在計算機上生成的組策略中禁用了此策略設置(您可以使用gpresult命令使用所應用的GPO設置創建HTML報告);
- 從憑據管理器中刪除所有保存的密碼。鍵入,
control userpasswords2然后在“ 用戶帳戶”窗口中轉到“ 高級”選項卡,然后單擊“ 管理密碼”; 
- 在下一個窗口中,選擇Windows憑據。找到所有已保存的RDP密碼並將其刪除(以開頭
TERMRSV/…)。 
-
在此窗口中,您可以手動添加RDP連接的憑據。請注意,RDP服務器/計算機的名稱必須以
TERMRSV\server_name1格式指定。 清除 計算機上的RDP連接歷史記錄時,請不要忘記刪除所有保存的密碼。 -
- 如果遠程服務器很長時間沒有更新,則將無法使用保存的RDP憑據登錄,並且在嘗試連接到它時,您將看到錯誤CredSSP加密oracle修復。之后,用戶將可以使用保存的密碼進行RDP連接。