解決系統管理員不允許使用儲存的憑據登入遠端電腦

一台加入到 ActiveDirectory（活動目錄 – AD，註：WinSRV2008）的 Windows 7 用戶端，使用 Remote Desktop 登入 AD 內部的電腦時能夠使用已儲存的憑據進行自動驗證。但是 AD 外部的電腦即使儲存了登入憑據，在串連時仍然會提示輸入密碼，如所示：

Remote Desktop 會提示“系統管理員不允許使用儲存的憑據登入遠端電腦，原因是未完全驗證其標識。請輸入新憑據。”！這是出於安全考慮的設計，當然我們可以進行修改使加入到 AD 內的系統能夠儲存 AD 外部電腦的憑據。

為此，在運行中輸入 gpedit.msc，啟動本機群組原則編輯器。定位到 電腦配置 - 系統管理範本 - 系統 - 憑據分配，開啟右邊表單的“允許分配儲存的憑據用於僅 NTLM 伺服器身分識別驗證”，如所示：

啟用“允許分配儲存的憑據用於僅 NTLM 伺服器身分識別驗證”，並點擊“將伺服器添加到列表：顯示”，在伺服器列表中添加允許儲存憑據的伺服器名稱和類型，如 dc.contoso.com 上的終端伺服器，即“TERMSRV/dc.contoso.com”。當然也可以輸入TERMSRV/*允許儲存所有電腦的遠程終端憑據。

最後執行 gpupdate /force 使修改的組策略生效，即可！