“凭据无效”提示源于认证失败,需依次清除凭据管理器缓存、启用NTLM传递策略、切换网络访问为经典模式、调整CredSSP加密级别,家庭版用户可通过注册表修改AllowEncryptionOracle值为2解决。
如果您在使用Windows远程桌面或其他身份验证场景时收到“凭据无效”提示,通常表明系统无法成功验证您提供的用户名、密码或保存的凭据信息。以下是针对该问题的多种排查与修复操作:
一、清除凭据管理器中过期或错误的凭据
Windows凭据管理器可能缓存了已失效、格式错误或冲突的远程登录凭据,导致新连接始终尝试使用旧数据进行认证。
1、按下 Win + R 组合键,输入 control keymgr.dll 并回车,打开“凭据管理器”。
2、切换到“Windows 凭据”选项卡。
3、查找以 TERMSRV/ 开头的条目(对应远程桌面)、MicrosoftAccount:user= 开头的条目(对应微软账户)或与目标服务器名称匹配的凭据。
4、点击该凭据,选择“编辑”核对内容,或直接点击“删除”移除整条记录。
5、重新发起远程桌面连接,手动输入最新且确认有效的用户名与密码。
二、启用NTLM凭据传递策略
当远程目标为非域环境或仅支持NTLM身份验证时,系统默认可能禁用凭据向此类服务器的自动传递,需显式启用对应组策略。
1、按下 Win + R,输入 gpedit.msc 并回车,打开“本地组策略编辑器”。
2、依次展开左侧路径:计算机配置 > 管理模板 > 系统 > 凭据分配。
3、在右侧双击打开“允许分配保存的凭据用于仅NTLM服务器身份验证”策略。
4、选择“已启用”,点击“显示”按钮,在弹出窗口中输入 TERMSRV/*,点击“确定”保存。
5、关闭组策略编辑器,再次运行 gpupdate /force 强制刷新策略。
三、修改网络访问安全模型为经典模式
若远程计算机使用本地账户且未加入域,“仅来宾”身份验证模型可能导致本地账户被强制映射为Guest,从而拒绝凭据验证;切换至经典模式可确保原始账户身份被完整保留。
1、打开“本地组策略编辑器”(gpedit.msc)。
2、依次展开:计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项。
3、在右侧列表中找到“网络访问:本地账户的共享和安全模型”,双击打开。
4、将策略值更改为“经典 - 对本地用户进行身份验证,不改变其本来身份”,点击“确定”。
5、执行 gpupdate /force 或重启计算机使设置生效。
四、调整CredSSP加密Oracle修正策略
客户端与远程服务器CredSSP组件版本不一致(如一方已安装2018年5月后补丁而另一方未更新)会触发“要求的函数不受支持”错误,本质是凭据加密协商失败,需临时降低CredSSP保护级别以恢复兼容性。
1、按下 Win + R,输入 gpedit.msc 并回车。
2、导航至:计算机配置 > 管理模板 > 系统 > 凭据分配 > 加密 Oracle 修正。
3、双击该项,选择“已启用”,并在“保护级别”下拉菜单中选择“易受攻击”。
4、点击“确定”保存,随后运行 gpupdate /force 更新策略。
五、通过注册表方式适配家庭版系统
Windows家庭版不包含组策略编辑器,但可通过直接修改注册表实现与“加密 Oracle 修正”策略等效的设置,适用于无gpedit.msc权限的设备。
1、按下 Win + R,输入 regedit 并回车,以管理员身份打开注册表编辑器。
2、定位或新建以下路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters。
3、若 CredSSP 或 Parameters 子项不存在,右键上一级(System),依次选择“新建 > 项”,命名为 CredSSP,再在其下新建项 Parameters。
4、在 Parameters 项内右键空白处 → “新建 > DWORD (32位) 值”,命名为 AllowEncryptionOracle。
5、双击该值,将“数值数据”设为 2,点击“确定”。
6、重启计算机后重试远程桌面连接。
