Это моя первая реализация служб удаленных рабочих столов / служб терминалов; мы используем его как решение для клиентов Mac, которым необходимо запускать часть нового программного обеспечения только для Windows.
Мой вопрос касается упрощения процесса установки пользователем. В настоящее время у нас нет службы каталогов, которая распространяется на Windows Server, поэтому мне нужно временно активировать эти учетные записи с помощью пароля, определенного администратором, и заставить пользователя изменить свой пароль при первом входе в систему.
К сожалению, соответствующий флажок в управлении пользователями не кажется работоспособным решением ... клиент Mac так же как клиент Windows RDP не может войти в систему.
(Возможно, мне здесь что-то не хватает? У нас пока установлен только узел сеанса удаленных рабочих столов; я не уверен, какова цель сервера шлюза в нашей реализации. Может быть, один из них решит проблему сброса пароля? Я использую новый клиент «Microsoft Remote Desktop» доступен в App Store, но наблюдается то же поведение со старым приложением RDC.)
В идеале я хотел бы, чтобы пользователь имел возможность войти в систему с предоставленными мной учетными данными и сразу получил запрос в диалоговом окне смены пароля. У меня уже есть командный файл, запускаемый при первом входе в систему, и я надеялся на что-то, что можно было бы реализовать там ... самое дальнее, что я получил, это control /name Microsoft.UserAccounts, но я не могу понять, как перейти к экрану «Изменить пароль».
Я также рассматривал net User %USERNAME% * пока я не понял, что нужно запускать от имени администратора, чего в командном файле нет.
В первую очередь, почти наверняка будет сложно выбраться из процесса настройки клиента, поэтому последняя альтернатива, которую я рассматривал, - это произвольно генерировать безопасные пароли самостоятельно и сохранять пользователя в его или ее связке ключей OS X когда я устанавливаю - эффективно делая вход на сервер прозрачным.
Есть ли какие-либо мнения от более опытных администраторов о том, как мне это делать?
Единственное, что здесь предотвращает «автоматическую» смену пароля, - это требование аутентификации на уровне сети. Пока сервер удаленного рабочего стола разрешает соединения без NLA, функция изменения пароля будет работать нормально как на Mac, так и на Windows-клиентах.
Клиент все еще может подключиться с помощью NLA после изменения пароля, но само изменение пароля требует, чтобы сеанс начинался без аутентификации - NLA имеет место перед сеанс начинается и должен использовать действующий логин. Логины с пометкой «Пользователь должен сменить пароль при следующем входе в систему» считаются истекшими, то есть недействительными, поэтому их нельзя использовать для аутентификации сеанса на уровне сети.
Чтобы разрешить сеансы, отличные от NLA, откройте конфигурацию узла сеансов удаленных рабочих столов и дважды щелкните соединение RDP-Tcp. Флажок NLA находится в разделе безопасности вкладки Общие.