凭据不工作问题可通过四步解决:一、启用CredSSP加密Oracle修正并设为“易受攻击”;二、禁用NLA并重启远程桌面服务;三、在本地安全策略中授予用户“允许通过远程桌面服务登录”权限;四、注册表新建AllowEncryptionOracle值设为2。
如果您尝试通过远程桌面连接电脑,但系统提示“凭据不工作”,这通常与Windows组策略中对凭据安全支持提供程序(CredSSP)的限制或网络级别身份验证(NLA)配置不当有关。以下是通过组策略修改解决该问题的具体步骤:
一、启用CredSSP加密Oracle修正策略
Windows 10/11更新后默认启用CredSSP加密Oracle修正(Encryption Oracle Remediation),若远程主机未同步更新,将导致凭据协商失败。需在客户端和目标主机上分别调整该策略。
1、按 Win + R 打开运行窗口,输入 gpedit.msc 并回车,启动本地组策略编辑器。
2、依次展开路径:计算机配置 → 管理模板 → 系统 → 凭据分配。
3、在右侧双击打开 加密Oracle修正 策略项。
4、选择 已启用,并在下方“保护级别”下拉菜单中选择 易受攻击。
5、点击“确定”保存设置,然后执行 gpupdate /force 命令刷新组策略。
二、禁用网络级别身份验证(NLA)
NLA要求客户端在建立远程桌面会话前完成身份验证,若客户端不支持或服务端证书异常,会导致凭据被拒绝。临时禁用NLA可绕过该验证环节。
1、在远程主机上运行 gpedit.msc,进入组策略编辑器。
2、导航至:计算机配置 → 管理模板 → Windows组件 → 远程桌面服务 → 远程桌面会话主机 → 安全。
3、双击打开 要求使用网络级别身份验证对远程连接进行用户身份验证。
4、选择 已禁用,点击“确定”。
5、重启远程桌面服务:以管理员身份运行命令提示符,执行 net stop termservice && net start termservice。
三、配置远程桌面用户的本地安全策略
若远程账户未被授予“允许通过远程桌面服务登录”权限,即使密码正确也会触发凭据错误提示。需确保目标用户属于对应安全策略授权范围。
1、运行 secpol.msc 打开本地安全策略控制台。
2、依次展开:本地策略 → 用户权利指派。
3、双击右侧的 允许通过远程桌面服务登录。
4、点击“添加用户或组”,输入目标用户名(如 DOMAIN\username 或本地 Administrator),确认添加。
5、关闭窗口后,无需重启,策略立即生效。
四、修改注册表兼容CredSSP旧版本协议
当组策略编辑器不可用(如家庭版Windows)时,可通过注册表直接配置CredSSP客户端行为,强制使用兼容模式。
1、按 Win + R 输入 regedit,以管理员身份运行注册表编辑器。
2、定位到路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters。
3、若 Parameters 项不存在,右键“CredSSP”新建“项”,命名为 Parameters。
4、在 Parameters 项右侧空白处右键 → 新建 → DWORD (32位) 值,命名为 AllowEncryptionOracle。
5、双击该值,将数值数据设为 2,基数选“十进制”,点击“确定”。
