背景:我尝试使用第二个客户端(Win10)(客户端 B)通过 RDP 登录到域客户端(Win10)(客户端 A),同时两个客户端都连接到网络没有域控制器连接成功,但无法访问域控制器,而其他登录方式可以正常登录,详情见以下案例:
- 使用域帐户通过 RDP 从客户端 B 登录到客户端 A(使用出去直流连接)失败
- 使用域帐户通过 RDP 从客户端 B 登录到客户端 A(和通过客户端 A 上的 VPN 建立 DC 连接工作正常
- 使用域帐户本地/直接登录客户端 A(无 RDP)工作正常(和出去使用客户端 A 上的缓存用户帐户/域凭据连接到 DC)
- 使用本地用户帐户通过 RDP 从客户端 B 登录客户端 A工作正常(和出去连接至 DC)
- 从客户端B通过远程终端登录客户端A工作正常(和出去使用客户端 A 上的缓存用户帐户/域凭据连接到 DC)
事件查看器在安全 Windows 日志中显示以下条目:
ID: 4625
Failure Reason: Unknown Username or bad Password
问题:显然,域控制器需要进行验证,这导致了问题。是否可以让 RDP 使用客户端 A 本地存储的凭据(基本上与我在案例 3 中直接登录的方式相同)?
目标:本质上,我希望能够像本地登录一样通过 RDP 登录。我需要远程继续我在本地启动的用户会话(如果无法建立 VPN,如果我使用缓存的凭据本地登录,RDP 也需要使用已兑现的凭据登录)。不幸的是,第三方屏幕共享应用程序不是一个选择。
到目前为止,我还没有在网上找到任何解决方案,主要是因为搜索结果充斥着其他用例(例如,尝试通过 RDP 进入域控制器等)。
答案1
一切按设计运行。
B 需要通过某种方式来确定 A 提供的用户帐户是否合法。
由于它是域帐户,因此唯一可以做到这一点的机构是域本身(即域的 DC)。
如果 A 使用的用户帐户之前(当域可用时)登录过 B,则 B 可能保留了缓存的用户配置文件和缓存凭据。在这种情况下,在域不可用时从 A 登录可能会有效(基于缓存的凭据),但也可能是域配置(组策略)已明确禁用此功能。这样做是常见的做法。
本地帐户不存在此问题,因为它们的控制权限是定义它们的计算机(在本例中为 B)可用的计算机。
所以一切都按设计运行,没有办法绕过。
这是件好事,因为如果有这样的解决方法,世界上所有的恶意软件都会利用它登录到它可以通过网络访问的每台计算机。
答案2
从远程桌面设置中,单击高级设置,然后取消选中“要求计算机使用网络级别身份验证进行连接(推荐)”解决了我的问题。