Сброс просроченного пароля в сеансе Windows RDS

Question

Сброс просроченного пароля в сеансе Windows RDS

У меня есть решение RDS для одного из наших клиентов. Существует коллекция сеансов, обслуживающая рабочие столы через шлюз удаленных рабочих столов, и несколько серверов хостов сеансов; балансировка нагрузки и т. д. Работает с точки зрения пользователей, подключающихся и производительности.

Мы установили для пользователей "пароль никогда не истекает", пока система была заблокирована, однако теперь мы подошли к моменту, когда нам нужно применить политику паролей. Мы решили заставить всех пользователей менять свои пароли при следующем входе в систему, поскольку мы выдавали "простые" пароли для плавного перехода. Это было сделано просто путем установки флажка "пользователь должен сменить пароль при следующем входе в систему" в AD в свойствах пользователей, однако вместо того, чтобы запрашивать у пользователя новый пароль при следующем входе в систему, вход в систему был немедленно отклонен.

Я попытался еще раз, чтобы убедиться, что я не ввел пароль неправильно, но, конечно же, мой вход в систему отклонен с ошибкой "Ошибка входа в систему". Я возвращаюсь в AD и снимаю флажок "пользователь должен сменить пароль при следующем входе в систему", и я могу снова войти в систему без проблем.

После входа в систему, если я нажимаю CTRL, ALT & END и выбираю "сменить пароль", кажется, что это позволит мне сменить пароль - он запрашивает старый, новый и подтверждает пароль, но независимо от того, что я использую, он говорит "Невозможно обновить пароль. Значение, предоставленное для нового пароля, не соответствует требованиям длины, сложности или истории домена ". Я использовал случайно сгенерированные 24-символьные пароли с прописными и строчными буквами, цифрами и символами... просто не существует способа, который не соответствует правилам сложности 2012 года по умолчанию.

Итак, у меня есть два вопроса...

Зачем проверка этой опции в AD приводит к тому, что она запрещает вход пользователя?
Как я могу разрешить / заставить своих пользователей менять свои пароли?

2

windows-server-2012-r2 remote-desktop rds remote-desktop-gateway rdweb

Источник

John 08 янв '18 в 12:24

2 ответа

Другие вопросы по тегам windows-server-2012-r2 remote-desktop rds remote-desktop-gateway rdweb

Ryan Ries 08 янв '18 в 16:00 2018-01-08 16:00 · Answer 1 · 2018-01-08 16:00

Если вы используете аутентификацию на уровне сети в сочетании с RDP (что следует делать, так как это более безопасный вариант), вы не сможете подключиться, если срок действия вашего пароля истек. Это означает, что вы не можете подключиться, чтобы изменить свой пароль, потому что вы не можете подключиться с просроченным паролем. Это считается конструктивным, поскольку в базовом протоколе CredSSP такой функции нет.

Вы должны будете предоставить пользователям другие средства для изменения их паролей с истекшим сроком действия, такие как портал самообслуживания для сброса пароля. (Forefront Identity Manager, например.)

Что касается несоблюдения требований к сложности паролей, то я предполагаю, что вы сталкиваетесь с другим препятствием для политики паролей, которое редко упоминается - минимальным сроком действия пароля. Если пароль недавно изменился, вы не сможете изменить его снова, пока не истечет определенное время.

PatrikN 21 фев '18 в 01:29 2018-02-21 01:29 · Answer 2 · 2018-02-21 01:29

Пароли для удаленных пользователей можно изменить с помощью роли RD Web Access, которая описана в этом ответе, где также есть решение для уведомления пользователей об истечении срока действия пароля.

(Я вижу, что вы пометили RDWeb, поэтому я надеюсь, что вы можете использовать это решение).

А когда используется NLA, вы не можете войти в систему или изменить пароль через RDP, как уже было описано.