Я использую сервер Windows Server 2012 R2, к которому администраторы и пользователи могут получить доступ через подключение к удаленному рабочему столу. Я настроил пользователей и локальную политику безопасности так, чтобы при первом входе каждого пользователя и каждые 90 дней после этого им предлагалось изменить свой пароль.
Однако всякий раз, когда учетная запись пользователя находится в состоянии, когда необходимо сбросить пароль, как только они попытаются подключиться с помощью RDP, они получат следующее сообщение об ошибке от клиента подключения к удаленному рабочему столу (v10.0):
Вы должны изменить свой пароль перед первым входом в систему. Обновите свой пароль или обратитесь к системному администратору или в службу технической поддержки.
При использовании вместо этого клиента диспетчера подключений к удаленному рабочему столу (v2.7) происходит то же самое, хотя ошибка немного отличается:
Перед первым входом в систему необходимо изменить пароль пользователя.
Сервер находится отдельно, а не в домене. Требуется включить проверку подлинности на уровне сети из-за требований безопасности. У сервера нет доступа к консоли, так как это облачная виртуальная машина.
Мне не удалось найти какой-либо способ обхода этой проблемы без ущерба для конфигурации безопасности NLA. Я пропустил что-то очевидное? Любые ответы или комментарии будут с благодарностью получены. Спасибо.
Это невозможно сделать через сам RDP! (без отключения NLA)
В спецификации протокола для CredSSP нет ссылки на возможность изменения пароля пользователя во время работы NLA. Следовательно, наблюдаемое поведение можно рассматривать «по замыслу».
CredSSP - это базовая технология, которая включает NLA, и она не поддерживает смену пароля. Таким образом, изменение пароля не разрешено в MSTSC. Другие клиенты удаленных рабочих столов, поддерживающие NLA, не могут изменить пароль пользователя.
По их мнению, можно разрешить изменение пароля через RDWeb. Другой вариант, который я видел, - это изменение пароля через веб-почту Exchange.