我创建了一个名为 NEWDOM 的 AD DS 和域。然后我添加了一台 Win2012 机器“newPC”,该机器有一个名为“userA”的本地帐户,并将其加入到 NEWDOM 域。
如果我在家庭网络上使用我的个人电脑,我可以通过提供“userA”或“newPC\userA”作为用户名毫无问题地 RDP 到机器。
但是,如果我使用公司提供的笔记本电脑,加入 COMPANYDOM 但仍连接到我的家庭网络,它会拒绝凭据。newPC 上的审计日志显示它试图使用 COMPANYDOM 而不是 newPC。XML 显示“TargetDomainName”是 COMPANYDOM。我尝试过 userA、newPC\userA 和 userA@newPC,都给出了相同的凭据错误。
如果我没有将 newPC 加入 NEWDOM 域,它就会连接到 RDP,即使是在我公司的网络上。如果我将机器从 NEWDOM 域中删除,问题仍然存在。这让我相信这是 NEWDOM DC 上的 GPO 设置导致的,但我不确定。
我公司的笔记本电脑上的策略设置是否导致了这种情况,或者是 NEWDOM 域控制器上的设置?
编辑:如果我使用 NEWDOM 域管理员帐户,RDP 就可以正常工作。只有本地帐户似乎有问题。出于我不需要深入讨论的原因,我需要能够以本地用户帐户的身份使用 RDP。
谢谢你!
答案1
问题似乎是工作电脑具有以下键:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LmCompatibilityLevel=1,它将 NTLM 限制为版本 1,而 Windows Server 2012 不支持该版本。