Benutzern erlauben, abgelaufenes Passwort über Remotedesktopverbindung zu ändern

INFORMATIONEN unter:

  • Ich habe eine Situation, in der ich gezwungen bin, einen Server (Windows 2012 R2) zu verwenden, der NICHT Teil einer Domäne ist und KEINE AD hat. Dies ist nicht meine Wahl, ist nicht optimal, aber außerhalb meiner Kontrolle.

  • Ich habe auch lokale Benutzer, die über RDP eine Verbindung zu diesem Server herstellen, und die lokalen Benutzer haben eine Kennwortablaufrichtlinie.

  • Da AD / Exchange nicht Teil des Bildes ist, erhalten die Benutzer keine Benachrichtigung dass ihre Passwörter bald verfallen.

PROBLEM: Das Problem ist, wenn das Kennwort eines Benutzers abgelaufen ist und versucht wird, sich über eine Remotedesktopverbindung anzumelden. Es erlaubt ihnen nicht, ihr Passwort zu ändern.

Ich habe das Kontrollkästchen "Verbindungen NUR von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird" auf der Serverseite deaktiviert, sodass der Server KEINE NLA von eingehenden RDP-Sitzungen benötigt.

Jedoch bei Verwendung von Windows Remote Desktop Connection Manager, es scheint NLA zu erzwingen.

Wenn ich den Remotedesktopclient "Terminals" verwende, gibt es auf der Clientseite eine Option zum Deaktivieren der Authentifizierung auf Netzwerkebene. Wenn ich NLA über den Terminals-Client deaktiviere und eine Verbindung zum Server herstelle, kann ich das abgelaufene Kennwort des Benutzers ändern.

FRAGE: Ich gehe davon aus, dass das Terminals-Programm möglicherweise falsch auf dem Windows - Remotedesktop sitzt Verbindungsprotokolle, und wenn Sie die Authentifizierung auf Netzwerkebene clientseitig über das Terminals-Programm deaktivieren können, sollten Sie dies auch über den integrierten Windows-Remotedesktopverbindungsmanager deaktivieren können. Leider sehe ich diese Option nicht in der Verbindung Manager GUI, und ich sehe keine Parameter in ".RDP " Dateien spezifisch für NLA.

Wenn ich auf dem clientseitigen Remotedesktopverbindungsmanager auf "Info" klicke, wird mir mitgeteilt, dass " Authentifizierung auf Netzwerkebene unterstützte". Der Wortlaut lässt mich glauben, dass die Verwendung optional ist, aber auch hier sehe ich keine Möglichkeit, sie im Verbindungsmanager auszuschalten. Übrigens ist dieser spezielle Verbindungsmanager v10.

Author: I say Reinstate Monica, 2017-04-07
Source

3 answers

Sie können dies mit einem zweigleisigen Ansatz lösen:

1. Installieren Sie die RD - Webzugriffsrolle und aktivieren Sie die Option Remote password change

Die folgenden Richtungen sind von der woshub.com artikel Benutzer können abgelaufenes Kennwort über RD WebAccess in Windows Server zurücksetzen 2012:

In Windows 2012 / 2012 R2 wurde eine Option angezeigt, mit der ein Remotebenutzer sein Kennwort (aktuelles oder abgelaufenes Kennwort) mithilfe einer speziellen Webseite im RD-Webzugriff ändern kann Server. Das Kennwort wird folgendermaßen geändert: Ein Benutzer meldet sich mit der RD-Webzugriffsrolle auf der Registrierungs-Webseite auf dem Server an und ändert sein Kennwort mithilfe eines speziellen Formulars.

Eine Option zum Ändern des Remote-Kennworts ist auf dem Server mit der Rolle Remotedesktop-Webzugriff (RD-Webzugriff) verfügbar, ist jedoch standardmäßig deaktiviert. Um ein Passwort zu ändern, ein Skript Passwort.aspx wird verwendet, welches sich in C:\Windows\Web\RDWeb\Pages\en-US.

  1. Um die Option Kennwortänderung zu aktivieren, öffnen Sie auf dem Server mit der konfigurierten RD – Webzugriffsrolle die IIS – Manager – Konsole, gehen Sie zu [Servername] – > Websites - > Standardwebsite - > RDWeb - > Seiten und öffnen Sie den Abschnitt Anwendungseinstellungen.

    geben Sie hier die Bildbeschreibung ein

  2. Suchen Sie im rechten Bereich den Parameter PasswordChangeEnabled und ändern Sie seinen Wert in wahr.

    geben Sie hier die Bildbeschreibung ein

  3. Sie können den Kennwortänderungsmechanismus auf der folgenden Webseite testen:

    Https://RDSServerName/RDWeb/Pages/en-US/password.aspx -

    geben Sie hier die Bildbeschreibung ein

  4. Wenn Sie nun versuchen, mit dem abgelaufenen Kennwort eine Verbindung zum RD-Webzugriffsserver herzustellen, wird ein Benutzer zum Kennwort umgeleitet.aspx Web-Seite und angeboten, seine zu ändern Passwort.

    geben Sie hier die Bildbeschreibung ein

    Tipp. Dieselbe Windows Server 2008 R2-Funktion kann verfügbar werden, nachdem Sie einen speziellen Patch installiert haben - KB2648402.

2. Eingabeaufforderungen aktivieren, die Benutzer über den Ablauf eines ausstehenden Kennworts informieren

  1. Führen Sie gpedit.msc auf dem RDSH-Server aus, um die lokale Gruppenrichtlinie zu öffnen
  2. Nagivate zu Computer Configuration\Windows Settings\Local Policies\Security Options
  3. Bearbeiten Sie die Einstellung Interaktive Anmeldung: Benutzer werden aufgefordert, das Kennwort vor Ablauf zu ändern und geben Sie eine angemessene Anzahl von Tagen an, z. B. 14.
  4. Benutzer, einschließlich der über Remotedesktop angemeldeten Benutzer, erhalten eine Benachrichtigung, bevor ihr Kennwort abläuft.
 18
Author: I say Reinstate Monica,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2017-04-07 15:57:12

Es stellt sich heraus, dass dies durch eine nicht aufgeführte Eigenschaft in der gesteuert wird .RDP-Konfigurationsdatei namens "enablecredsspsupport", indem Sie diese auf" 0 " es lädt die Anmeldeseite in einer RDP-Sitzung, und ermöglicht es einem Benutzer, ihr abgelaufenes Passwort zu ändern.

Die genaue Syntax in der benötigt .RDP-Konfigurationsdatei ist:

Enablecredsspsupport:i:0

Wenn Sie weitere Hinweise oder Lektüre benötigen, gehen Sie hier: Die Tyrannei der Authentifizierung auf Netzwerkebene und CredSSP

 15
Author: guht,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2017-04-07 19:49:00

Keine der Optionen hat für mich funktioniert, da ich NLA aktiviert habe. Hier ist eine Möglichkeit, es über PowerShell zu ändern - vollständige Geschichte zu So ändern Sie Ihr eigenes abgelaufenes Passwort, wenn Sie sich nicht bei RDP anmelden können.

function Set-PasswordRemotely {
    [CmdletBinding()]
    param(
        [Parameter(Mandatory = $true)][string] $UserName,
        [Parameter(Mandatory = $true)][string] $OldPassword,
        [Parameter(Mandatory = $true)][string] $NewPassword,
        [Parameter(Mandatory = $true)][alias('DC', 'Server', 'ComputerName')][string] $DomainController
    )
    $DllImport = @'
[DllImport("netapi32.dll", CharSet = CharSet.Unicode)]
public static extern bool NetUserChangePassword(string domain, string username, string oldpassword, string newpassword);
'@
    $NetApi32 = Add-Type -MemberDefinition $DllImport -Name 'NetApi32' -Namespace 'Win32' -PassThru
    if ($result = $NetApi32::NetUserChangePassword($DomainController, $UserName, $OldPassword, $NewPassword)) {
        Write-Output -InputObject 'Password change failed. Please try again.'
    } else {
        Write-Output -InputObject 'Password change succeeded.'
    }
}

Führen Sie einfach Set-PasswordRemotely aus und es werden Ihnen 4 Fragen gestellt-Benutzername, altes Passwort, neues Passwort, Domänencontroller und ändern Sie das Passwort für Sie. Es funktioniert auch von nicht-Domain verbundenen PC. Erfordert Konnektivität zu DC.

 5
Author: MadBoy,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2019-01-23 10:37:22