Назад | Перейти на главную страницу

Как я могу разрешить пользователям изменять свои пароли при входе в систему через RDP?

Я использую сервер Windows Server 2012 R2, к которому администраторы и пользователи могут получить доступ через подключение к удаленному рабочему столу. Я настроил пользователей и локальную политику безопасности так, чтобы при первом входе каждого пользователя и каждые 90 дней после этого им предлагалось изменить свой пароль.

Однако всякий раз, когда учетная запись пользователя находится в состоянии, когда необходимо сбросить пароль, как только они попытаются подключиться с помощью RDP, они получат следующее сообщение об ошибке от клиента подключения к удаленному рабочему столу (v10.0):

Вы должны изменить свой пароль перед первым входом в систему. Обновите свой пароль или обратитесь к системному администратору или в службу технической поддержки.

При использовании вместо этого клиента диспетчера подключений к удаленному рабочему столу (v2.7) происходит то же самое, хотя ошибка немного отличается:

Перед первым входом в систему необходимо изменить пароль пользователя.

Сервер находится отдельно, а не в домене. Требуется включить проверку подлинности на уровне сети из-за требований безопасности. У сервера нет доступа к консоли, так как это облачная виртуальная машина.

Мне не удалось найти какой-либо способ обхода этой проблемы без ущерба для конфигурации безопасности NLA. Я пропустил что-то очевидное? Любые ответы или комментарии будут с благодарностью получены. Спасибо.

Это невозможно сделать через сам RDP! (без отключения NLA)

В спецификации протокола для CredSSP нет ссылки на возможность изменения пароля пользователя во время работы NLA. Следовательно, наблюдаемое поведение можно рассматривать «по замыслу».

CredSSP - это базовая технология, которая включает NLA, и она не поддерживает смену пароля. Таким образом, изменение пароля не разрешено в MSTSC. Другие клиенты удаленных рабочих столов, поддерживающие NLA, не могут изменить пароль пользователя.

Источник: https://support.microsoft.com/en-us/help/2648402/you-cannot-change-an-expired-user-account-password-in-a-remote-desktop

По их мнению, можно разрешить изменение пароля через RDWeb. Другой вариант, который я видел, - это изменение пароля через веб-почту Exchange.