修复：保存的 RDP 凭据在 Windows 上不起作用

内置 Windows 远程桌面客户端 (

mstsc.exe

）允许您保存用于连接到远程计算机的用户名和密码。因此，用户无需每次连接到已知的远程桌面主机时都输入密码。在本文中，我们将了解如何允许在 Windows 中使用保存的 RDP 连接凭据，以及如果用户无法使用保存的密码进行远程桌面连接（每次都要求输入密码）该怎么办

允许通过 GPO 为 RDP 连接委派保存的凭据

默认情况下，Windows 允许用户保存 RDP 连接的密码。为此，用户必须输入 RDP 计算机的名称、用户名，并在远程桌面连接 (mstsc.exe) 客户端窗口中选中“允许我保存凭据”框。用户单击“连接”按钮后，RDP 服务器会要求输入密码，Windows 将其保存到凭据管理器（而不是 .RDP 文件）。

下次您使用同一用户连接到远程 RDP 主机时，客户端将自动从 Windows 凭据管理器获取保存的密码，并将其用于 RDP 身份验证。

如果该计算机已保存密码，则 RDP 客户端窗口中将显示以下消息：

Saved credentials will be used to connect to this computer. You can edit or delete these credentials.

大多数情况下，管理员不建议用户在 Windows 中保存连接密码。例如，在 Active Directory 域中，最好为 RDP 配置 SSO（单点登录）以进行透明身份验证。

默认情况下，Windows 不允许用户使用保存的 RDP 密码（凭据）从加入 Active Directory 域的计算机连接到另一个域或工作组中的主机。虽然连接密码存储在凭据管理器中，但 Windows 不允许使用它，并且要求用户每次都输入密码。此外，如果您使用本地帐户而不是域帐户进行连接，Windows 会阻止您使用保存的 RDP 密码。

在这种情况下，如果您尝试使用保存的 RDP 密码进行连接，则会出现以下错误消息：

Your credentials did not work
Your system administrator does not allow the use of saved credentials to log on to the remote computer CompName because its identity is not fully verified. Please enter new credentials.

Windows 认为连接不安全，因为该计算机与另一个域（或工作组）中的远程计算机之间不存在信任。

您可以在尝试建立 RDP 连接的计算机上更改这些设置：

1. 按打开本地组策略编辑器

   Win + R

   -> gpedit.msc;

2. 在 GPO 编辑器中，转到计算机配置 -> 管理模板 -> 系统 -> 凭据委派。找到名为允许使用仅 NTLM 服务器身份验证委派保存的凭据的策略；

   

3. 启用策略并点击显示；

   

4. 指定通过 RDP 访问时允许使用已保存凭据的远程主机列表。远程计算机列表必须按以下格式指定：

   • TERMSRV/server1

     — 允许使用保存的凭据通过 RDP 访问特定计算机/服务器；

5. TERMSRV/*.a-d.site

   — 允许使用保存的凭据与 a-d.site 域中的所有计算机建立 RDP 连接；

6. TERMSRV/*

   — 允许使用保存的密码连接到任何远程计算机。

   

   提示。请务必输入

   TERMSRV

   关键字大写。计算机名称必须与您在 RDP 客户端连接字段中指定的名称完全匹配。

7. 同样，启用您的 TERMSRV/ 值并将其添加到允许委派保存的凭据策略；
   

   以下注册表设置对应于上述 GPO 选项：

   Windows Registry Editor Version 5.00
   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation]
   "AllowSavedCredentialsWhenNTLMOnly"=dword:00000001
   “AllowSavedCredentials”=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly]
   "1"="TERMSRV/*"
   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials]
   "1"="TERMSRV/*"
   [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation]
   “AllowSavedCredentialsWhenNTLMOnly”=dword:00000001
   “AllowSavedCredentials”=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly]
   "1"="TERMSRV/*"
   [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentials]
   "1"="TERMSRV/*"

8. 检查以下选项是否已禁用网络访问：不允许存储网络身份验证的密码和凭据（计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项）。如果启用此设置，用户在尝试将密码保存到凭据管理器保管库时将收到错误：

   Credential Manager Error
   Unable to save credentials. To save credentials in this vault, check your computer configuration. 
   Error code: 0x80070520
   Error Message: A specified logon session does not exist. It may already have been terminated.

9. 检查拒绝委派保存的凭据策略是否已禁用（或未配置）。拒绝 GPO 策略优先于允许策略；

10. 使用以下命令保存更改并更新 GPO 设置：

    gpupdate /force

现在，当连接到 RDP 主机时，mstsc 客户端将能够使用您保存的凭据。

您可以使用以下命令列出保存的 RDP 连接密码：

cmdkey /list ^| findstr "target=TERMSRV"

要清除保存的连接密码，请运行以下命令：

For /F "tokens=1,2 delims= " %G in ('cmdkey /list ^| findstr "target=TERMSRV"') do cmdkey /delete %H

您只能使用本地组策略编辑器在本地计算机上更改 RDP 保存的凭据策略。如果要在域中的多台计算机上应用这些设置，请使用使用以下配置配置的域 GPO：

gpmc.msc

（组策略管理）控制台。

为什么 Windows 不保存远程桌面凭据？

如果您已按照上述说明配置了 Windows，但 RDP 客户端在每次尝试连接时仍提示您输入密码，则值得检查以下内容：

1. 单击“远程桌面连接”窗口中的“显示选项”，并确保未选中“始终要求提供凭据”选项；

   

2. 如果您使用 .RDP 文件进行连接，请确保“提示输入凭据”参数的值为 0 (

   prompt for credentials:i:0

   ）；

   

3. 打开本地 GPO 编辑器 (

   gpedit.msc

   ）并转到计算机配置 -> 管理模板 -> Windows 组件 -> 远程桌面服务 -> 远程桌面连接客户端。不得设置或禁用不允许保存密码和提示在客户端计算机上输入凭据”选项。另外，请确保在计算机上生成的组策略中禁用此策略设置（您可以使用 gpresult 命令创建包含应用的 GPO 设置的 HTML 报告）；

   

4. 从 Windows 凭据管理器中删除所有保存的密码。类型

   control userpasswords2

   然后在用户帐户窗口中转到高级选项卡，然后单击管理密码；

   

5. 在下一个窗口中，选择Windows 凭据。查找所有保存的 RDP 密码并将其删除（它们以

   TERMRSV/…

   ）。

   

   在此窗口中，您可以手动添加 RDP 连接的凭据。请注意，RDP 服务器/计算机的名称必须在

   TERMRSV\server_name1

   格式。清除计算机上的 RDP 连接历史记录时，请不要忘记删除保存的密码。

   

6. 如果远程服务器长时间未更新，您将无法使用保存的 RDP 凭据登录，并且在尝试连接时，会出现 CredSSP 加密 oracle 修复错误。

之后，用户将能够使用保存的密码进行 RDP 连接。

服务器的身份验证策略不允许使用已保存的凭据进行连接

使用保存的凭据连接到 RDP 主机或 RDS 场时，可能会出现错误：

Windows Security
Your credentials did not work
The server’s authentication policy does not allow connection requests using saved credentials. Please enter new credentials.

在这种情况下，您需要在远程服务器上禁用 GPO 选项“连接时始终提示输入密码”（计算机配置 -> 管理模板 -> Windows 组件 -> 远程桌面服务 -> 远程桌面会话主机 -> 安全）。

如果启用此策略，RDP 主机始终提示客户端输入密码才能连接。

您可以通过注册表禁用此选项：

REG add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fPromptForPassword /t REG_DWORD /d 0 /f

Windows Defender Credential Guard 不允许保存凭据

更新到 Windows 11 22H2 后，用户开始抱怨现在无法使用保存的密码进行 RDP 连接：

Windows Security: Your credentials did not work
Windows Defender Credential Guard does not allow using saved credentials. Please enter your credentials.

Windows Defender Remote Credential Guard（出现在 Windows 10 1607 上）应该可以保护您的 RDP 连接凭据。默认情况下，Windows 11/10 22H2 仅允许在 RDP 主机上使用 Kerberos 身份验证时使用保存的凭据。如果您无法使用 Kerberos（域控制器不可用，或者您正在连接到工作组中的主机），则 Remote Credential Guard 会阻止 NTLM 身份验证。

您可以通过注册表禁用 Credential Guard 来解决此问题：

New-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\LSA" -Name "LsaCfgFlags" -PropertyType "DWORD" -Value 0 -Force