Windows 11 Pro Workstations: Cannot authenticate SMB, RDP or WinRM in workgroup (error 86 / credential rejection)

Question

I have two Windows 11 Pro for Workstations servers in the same local network (same subnet, no domain, workgroup environment).

OS Version:

Windows 11 Pro for Workstations 25H2 (Build 26200.8246)

Server A: 10.100.103.86

Server B: 10.100.103.51

Issue:

Remote authentication consistently fails between the two systems.

Symptoms:

• SMB access fails with "System error 86 (The specified network password is not correct)"
• RDP connection prompts for credentials but always rejects valid credentials
• WinRM (Enter-PSSession) fails with authentication errors
• Local login works correctly on both machines
• No relevant security events (e.g., 4625) are generated on the target server
• Windows 10 machines in the same network can connect to both servers without issues

What has been tested:

• Correct credential format (IP\username)
• Same local user accounts on both systems
• SMB signing and encryption settings
• NTLM configuration and LmCompatibilityLevel
• Local Security Policy (network access, logon rights, deny policies)
• Firewall rules (RDP, SMB ports)
• TrustedHosts for WinRM
• New local users created for testing
• SMB guest logon policy (Enable insecure guest logons)

Result:

All remote authentication methods fail (SMB, RDP, WinRM) even though local authentication works and network connectivity is confirmed.

Observation:

The behavior suggests that authentication is being blocked before validation, possibly due to a Windows 11 security change or hardening policy affecting workgroup environments.

Question:

Is there a known restriction or configuration in Windows 11 Pro for Workstations that blocks remote authentication for local accounts in workgroup setups?

If so:

• What is the recommended configuration?
• Is a domain environment required for proper remote authentication?
• Are there specific policies or features (e.g., LSA protection, Credential Guard) that could cause this behavior?

Answer 1

Hola Antonio,

Sí, existe una restricción en las versiones recientes de Windows 11 que afecta la autenticación remota en entornos de grupo de trabajo. Microsoft ha endurecido el uso de NTLM y cuentas locales sobre SMB, RDP y WinRM, especialmente cuando no hay dominio. Por defecto, las cuentas locales están bloqueadas para uso remoto salvo que se habiliten explícitamente. Esto se controla mediante la clave de registro HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LocalAccountTokenFilterPolicy y la directiva de seguridad Accounts: Limit local account use of blank passwords to console logon only. En Windows 11 Pro for Workstations, protecciones adicionales como LSA Protection y Credential Guard también pueden bloquear la autenticación NTLM antes de que se valide, lo que explica la ausencia de eventos 4625.

Para restaurar la funcionalidad en un grupo de trabajo, debes establecer LocalAccountTokenFilterPolicy en DWORD=1 y asegurarte de que la política Network access: Sharing and security model for local accounts esté configurada en “Classic - local users authenticate as themselves.” Si Credential Guard o LSA Protection están habilitados, desactívalos temporalmente para confirmar si son la causa. No es estrictamente necesario un dominio, pero la configuración recomendada por Microsoft para una autenticación remota segura es unir los equipos a Active Directory o Azure AD. En modo grupo de trabajo siempre dependerás de NTLM, que cada vez está más restringido; por lo tanto, para estabilidad a largo plazo, lo más recomendable es migrar a un entorno de dominio.

Si la respuesta anterior ayuda a resolver tu pregunta, por favor haz clic en "Aceptar respuesta" para que otros en la comunidad que enfrenten problemas similares puedan encontrar fácilmente la solución. Tu contribución es muy apreciada.

Harry.