凭据无效问题可通过五种组策略修复:一、将本地账户共享模型设为“经典”模式;二、启用NTLM凭据分配并添加TERMSRV/*;三、设置RDP安全层为RDP;四、授予用户“允许通过远程桌面服务登录”权限;五、执行gpupdate /force刷新策略。
如果您尝试通过远程桌面连接目标计算机,但提示“凭据无效”,且该问题与组策略配置直接相关,则很可能是系统安全策略限制了凭据传递或身份验证方式。以下是基于组策略的多种修复方法:
一、修改本地账户共享与安全模型为经典模式
Windows 默认采用“仅来宾”模型处理本地账户的远程访问请求,这会导致凭据被强制降级为 Guest 权限,从而触发“凭据无效”错误。切换至经典模式可确保本地用户以原始身份参与认证。
1、按下 Win + R 打开运行对话框,输入 gpedit.msc 并回车,以管理员权限启动本地组策略编辑器。
2、依次展开路径:计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 安全选项。
3、在右侧列表中找到并双击 网络访问:本地帐户的共享和安全模型。
4、在弹出窗口中,将设置更改为 经典:对本地用户进行身份验证,不改变其本来身份。
5、点击“确定”保存更改。
二、启用允许分配保存凭据用于 NTLM 服务器身份验证
该策略控制客户端是否可将已保存的凭据(如 TERMSRV 类型)自动提交给远程桌面服务。若禁用,系统将拒绝复用凭据,导致反复提示无效。
1、按下 Win + R,输入 gpedit.msc 并回车。
2、导航至:计算机配置 → 管理模板 → 系统 → 凭据分配。
3、双击右侧的 允许分配保存的凭据用于仅 NTLM 服务器身份验证。
4、选择 已启用,然后点击下方的 显示 按钮。
5、在“显示内容”窗口中,输入 TERMSRV/*(注意 TERMSRV 必须全大写,星号表示通配所有远程主机)。
6、连续点击“确定”关闭所有窗口。
三、调整远程桌面会话主机的安全层设置
远程桌面服务端若强制要求使用特定安全层(如 SSL/TLS),而客户端不支持或证书异常,可能导致凭据无法完成协商流程,表现为凭据无效。
1、在目标计算机上运行 gpedit.msc。
2、导航至:计算机配置 → 管理模板 → Windows 组件 → 远程桌面服务 → 远程桌面会话主机 → 安全。
3、双击 远程(RDP)连接要求使用指定的安全层。
4、选择 已启用,并在下拉菜单中指定安全层为 RDP。
5、点击“确定”保存设置。
四、检查并授予用户远程登录权限策略
即使凭据正确,若目标账户未被明确授权通过终端服务登录,系统会在身份验证前直接拒绝,报错常被误判为凭据问题。
1、运行 secpol.msc(仅限专业版/企业版;家庭版需改用 compmgmt.msc → 系统工具 → 本地用户和组 → 组 → Remote Desktop Users 添加用户)。
2、展开 本地策略 → 用户权限分配。
3、双击 允许通过远程桌面服务登录。
4、点击“添加用户或组”,输入目标用户名(支持 DOMAIN\username 或 .\username 格式)。
5、确认添加后点击“确定”。
五、刷新组策略使配置立即生效
组策略修改后不会实时应用,必须手动触发更新,否则所有前述设置均处于待生效状态,无法影响远程连接行为。
1、以管理员身份打开命令提示符或 PowerShell。
2、执行命令:gpupdate /force。
3、等待输出显示 正在更新策略…已完成 及两处“成功”提示。
4、无需重启即可测试远程桌面连接。
