Windows 10
主要表现为其他电脑(可能一般是加了域的电脑),在RDP到Windows 10的电脑并保存账号以及密码后,第二次登陆提示你的凭据不工作,不允许使用保存的凭据登陆远程计算机/Your system administrator does not allow the use of saved credentials to log on to the remote computer。
解决方法一个是可以通过改组策略(发起连接的那台电脑),
中文为凭据分配,其中要添加的是保存的凭据,有可能需要仅NTLM那项也设置(应该是有域环境的需要),截图有误 TERMSRV/*
域环境下可能还要跑 gpupdate /force
Windows 11 / Windows Defender Credential Guard
该图片仅作参考,你只需要关 Credential Guard 就可以了,Credential Guard 跟保存凭据是两步,具体看上面的提示。
最近才发现只有一台Win11电脑可以,看了下因为我直接把内核隔离关了,却想不起为什么。
最近微软偷偷把一台没开内核隔离,不支持安全启动的机子的 Credential Guard 给打开了,就是上面那台电脑,需要注意不支持相应功能的机子可能因为你配错导致无法部署组策略,例如安全启动,你 BIOS 里关了的话就不能配使用安全启动 -
主要是 Credential Guard,最新内核隔离关了的情况下也有问题。(现在可能拆开了)
网上大多方法都是组策略关 Device Guard。当然可能上面的组策略(Win10)还要设。
目前测试是LSA可以不用关,但是gpupdate /force之后也要重启才生效,因为这个功能本身开启关闭都需要重启。重启之后会需要你在远程输入一次密码,才能正常记住。
配置之后可以在设置里把 内核隔离 里的 内存完整性 打开,不会导致失效。
正常建议是不设组策略的情况下使用cmdkey重新添加凭证,mstsc.exeGUI 添加的是说有兼容性问题。但在我看来,命令行不方便,并且这完全是系统设计和完善度的问题,这种情况还是直接关掉就好了。
而且就逻辑上来说,受影响的主要还是组织这块,个人用户基本不需要。
增加NTLM的说明
增加gpupdate /force
增加Win11