17 votos

Permitir a los usuarios a cambio caducado contraseña mediante la conexión de escritorio remoto

INFORMACIÓN:

  • Tengo una situación en la que me veo obligado a utilizar un servidor (Windows 2012 R2) que NO es parte de un dominio, y NO tiene ANUNCIOS. Este no es mi elección, no es óptimo, pero fuera de mi control.

  • También tengo local a los usuarios que se conectan a este servidor a través de RDP, y los usuarios locales tienen una caducidad de la contraseña de la política.

  • Desde AD/Exchange no es parte de la imagen, los usuarios no reciben la notificación de que sus contraseñas están a punto de caducar.

PROBLEMA: El problema es cuando un usuario contraseña ha caducado y que intente iniciar la sesión utilizando una Conexión de Escritorio Remoto. No se les permite cambiar su contraseña.

Tengo desmarcada la opción "Permitir SÓLO las conexiones desde equipos que ejecuten Escritorio Remoto con Autenticación a Nivel de Red" desde el lado del servidor, por lo que el servidor NO está exigiendo NLA de las sesiones RDP.

Sin embargo, cuando se utiliza Windows Remote Desktop Connection Manager, parece estar forzando a la NLA.

Si estoy usando el "Terminales" Cliente de Escritorio Remoto, hay una opción en el lado del cliente, para deshabilitar el uso de "Autenticación a Nivel de Red". Si puedo desactivar NLA través de las Terminales de cliente, y puedo conectar con el servidor, me permite cambiar los usuarios caducado la contraseña.

PREGUNTA: Estoy haciendo la suposición, tal vez erróneamente, que los Terminales de programa está sentado en la parte superior del Escritorio Remoto de Windows protocolos de Conexión, y que si se puede deshabilitar la Autenticación de Nivel de Red del lado de cliente a través de las Terminales del programa, a continuación, también debe ser capaz de deshabilitar esto a través de la incorporada en Windows Remote Desktop Connection Manager. Por desgracia, no veo esta opción en los administradores de conexión de interfaz gráfica de usuario, y no veo ningún parámetro ".RDP" archivos específicos de la NLA.

Si hago clic en "Acerca de" en el lado del cliente de Conexión a Escritorio Remoto Administrador, me dice que "Autenticación de Nivel de Red compatibles". El texto me lleva a creer que su uso es opcional, pero de nuevo, veo que no hay forma de desactivarlo en el administrador de conexión. Por CIERTO, este particular connection manager v10.

18voto

Twisty Puntos 3968

Puede resolver esto con un doble planteamiento:

1. Instale el Acceso Web de RD papel y habilitar la opción de cambio de contraseña remota

Las siguientes instrucciones son de la woshub.com artículo Permitir a los usuarios restablecer contraseña caducada a través de RD WebAccess en Windows Server 2012:

En Windows 2012 / 2012 R2 una opción parecía que permite a un usuario remoto para cambiar su contraseña (actual o caducado) a través de un sitio web sobre el Acceso Web a escritorio remoto del servidor. La contraseña será cambiada como este: un usuario se registra en la página web de registro en el servidor con el Acceso Web de RD papel y cambia su contraseña mediante un formulario especial.

Una remota opción de cambio de contraseña está disponible en el servidor con el Acceso Web a Escritorio Remoto (Acceso Web de RD) papel, pero está deshabilitado de forma predeterminada. Para cambiar una contraseña, un script de contraseña.aspx se utiliza, que se encuentra en C:\Windows\Web\RDWeb\Pages\en-US.

  1. Para habilitar la opción de cambio de contraseña, en el servidor con la configuración del Acceso Web de RD papel abra la consola de Administrador de IIS, vaya a [Nombre del Servidor] – > – > Sitio Web Predeterminado –> RDWeb –> Páginas y abrir la sección Configuración de la Aplicación.

    enter image description here

  2. En el panel derecho, busque PasswordChangeEnabled parámetro y cambiar su valor a true.

    enter image description here

  3. Usted puede probar el cambio de contraseña mecanismo ir a la siguiente página web:

    https://RDSServerName/RDWeb/Pages/en-US/password.aspx

    enter image description here

  4. Ahora cuando se intenta conectar a la Web de escritorio remoto del servidor de Acceso con la contraseña caducada, el usuario será redirigido a la contraseña.aspx página web y se ofreció a cambio de su contraseña.

    enter image description here

    De la punta. El mismo Windows Server 2008 R2 característica puede convertirse en disponible después de instalar un parche especial - KB2648402.


2. Habilitar solicita notificar a los usuarios de la pendiente de la expiración de la contraseña

  1. Ejecutar gpedit.msc sobre el RDSH servidor para abrir Directiva de Grupo Local
  2. Nagivate a Computer Configuration\Windows Settings\Local Policies\Security Options
  3. Editar la configuración de inicio de sesión Interactivo: pedir al usuario cambiar la contraseña antes de que caduque y especifique un número razonable de días, como el 14.
  4. Los usuarios, incluyendo aquellos que se registra mediante Escritorio Remoto, recibirá una notificación antes de su contraseña expire.

16voto

guht Puntos 31

Resulta que este es controlado a través de un cotizadas de la propiedad en el .RDP archivo de configuración llamado "enablecredsspsupport", mediante el establecimiento de esta a "0" se carga la página de inicio de sesión en una sesión RDP, y permite a un usuario cambiar su contraseña caducada.

La sintaxis exacta necesaria en el .RDP archivo de configuración es:

enablecredsspsupport:i:0

Si necesita más referencia o leer, ir aquí: La Tiranía de la Autenticación de Nivel de Red y CredSSP

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: