这是在家办公的情况。我有一台未加入域的台式机和一台已加入域的笔记本电脑。笔记本电脑启动时无法访问域,因为它未连接到 VPN,因此登录时使用缓存的凭据。
我的问题是,无论使用 VPN 还是 RT,我只能在本地登录笔记本电脑后才能从台式机通过 RDP 连接到笔记本电脑。RDP 一直有效,直到我重新启动笔记本电脑,之后我必须再次进行本地登录。
如果我没有在本地登录,那么尝试 RDP 时会看到以下内容:
一旦我本地登录到笔记本电脑,RDP 连接就会顺利进行。
在笔记本电脑上,RDP 配置如下:
我经历过修复:Windows 10/8/7 中的远程桌面连接“您的凭据不起作用”无济于事。
我也尝试enablecredsspsupport:i:0过支持的远程桌面 RDP 文件设置,但它只起作用了一半。它确实允许我以这种方式连接,但它不再保存密码,所以我必须手动输入密码。这只比先在本地登录好一点,这不是我想要的解决方案。
另一个事实是做使用 Linux。我使用https://www.asbru-cm.net/在 Linux 上,使用此rdesktop选项,我可以使用保存的密码连接到我的笔记本电脑,无需麻烦,也不需要先在本地登录。完成后,我可以还现在从 Windows 连接直到笔记本电脑重启。不幸的是,这不切实际,因为我是双启动 Windows 和 Linux,通常在 Windows 中工作。
答案1
您所描述的内容在此处解释:https://serverfault.com/questions/1022522/rdp-with-nla-does-not-work-unless-logging-in-locally-first
如果没有连接到域控制器,您就无法通过具有网络级身份验证的 RDP 连接到笔记本电脑。
在您的屏幕截图中,它显示该设置由您的组织管理。但事实是,不支持 NLA 的 Linux 客户端可以连接,这告诉我们您的笔记本电脑配置为接受来自 NLA 和非 NLA 客户端的连接。
现在,我不会开始谈论这会让您的笔记本电脑变得多么不安全。但关键是禁用 Windows RDP 客户端上的 NLA。您可以通过禁用 CredSSP 来做到这一点,正如您所发现的,使用enablecredsspsupport:i:0。
此外,如果没有 CredSSP,Windows 将不允许您使用已保存的密码连接到远程计算机。这是因为无法验证远程服务器的身份,并且 Windows 最终可能会将您的凭据转储到冒充远程服务器的设备上。
再次强调,我不会详细介绍这样做会使设备多么脆弱。但是,即使无法建立远程身份,您也可以告诉 Windows 通过不安全的协议使用已保存的密码。此策略称为允许使用仅 NTLM 服务器身份验证委派已保存的凭据。
要启用它,您可以在远程桌面客户端计算机 ( gpedit.msc) 上打开本地组策略编辑器并导航到Computer Configuration -> Administrative Templates -> Credentials Delegation。
启用该策略,然后将笔记本电脑添加到服务器列表以授权它使用存储的凭据。您应该以以下形式指定在 RDP 连接中使用的任何名称/IP 地址:TERMSRV/<computer name or IP>。例如,如果您的笔记本电脑名称是,laptop1您将添加TERMSRV/laptop1。'TERMSRV` 必须全部大写。
刷新本地组策略(gpupdate)以应用更改。
如果您拥有的是没有本地组策略编辑器的家庭版 Windows,您可以通过修改注册表 ( regedit) 进行类似的更改。
- 路径:
Software\Policies\Microsoft\Windows\CredentialsDelegation\名称:AllowSavedCredentialsWhenNTLMOnly类型:REG_DWORD值:1 - 路径:
Software\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly名称:<an unused number>类型:REG_SZ值:TERMSRV/laptop1 - 路径:
Software\Policies\Microsoft\Windows\CredentialsDelegation名称:ConcatenateDefaults_AllowSavedNTLMOnly类型:REG_DWORD值:1
可能需要重新启动才能应用这些注册表更改。