У меня есть решение RDS для одного из наших клиентов. Существует коллекция сеансов, обслуживающая рабочие столы через шлюз удаленных рабочих столов, и несколько хост-серверов сеансов; вся нагрузка сбалансирована и т. д. Это работает с точки зрения подключения пользователей и производительности.
Пока система была встроена в систему, для пользователей было установлено значение «Срок действия пароля никогда не истекает», однако теперь мы подошли к моменту, когда нам необходимо обеспечить соблюдение политики паролей. Мы решили заставить всех пользователей изменить свои пароли при следующем входе в систему, поскольку мы выпустили «простые» пароли для плавного перехода. Это было сделано просто путем установки флажка «пользователь должен сменить пароль при следующем входе в систему» в AD в свойствах пользователей, однако вместо того, чтобы запрашивать у пользователей новый пароль при следующем входе в систему, вход в систему был немедленно отклонен.
Я попытался еще раз, чтобы убедиться, что я не ввел неверный пароль, но, конечно же, мой вход в систему отклонен с ошибкой «Попытка входа в систему не удалась». Я возвращаюсь в AD и снимаю флажок «пользователь должен сменить пароль при следующем входе в систему», и я могу снова войти в систему без проблем.
После входа в систему, если я нажму CTRL, ALT и END и выберу «изменить пароль», кажется, что это позволит мне изменить пароль - он запрашивает старый, новый и подтверждающий пароль, но независимо от того, что я использую, он говорит: «Не удалось обновить пароль. Значение, указанное для нового пароля, не соответствует требованиям домена к длине, сложности или истории ». Я использовал случайно сгенерированные 24-символьные пароли с прописными и строчными буквами, цифрами и символами ... нет никакого способа, чтобы он не соответствовал правилам сложности по умолчанию 2012 года.
Итак, у меня есть два вопроса ...
Почему при включении этой опции в AD вход пользователя в систему запрещен?
Как я могу разрешить / заставить моих пользователей менять свои пароли?
Если вы используете аутентификацию на сетевом уровне в сочетании с RDP (что вам следует сделать, потому что это более безопасный вариант), вы не сможете подключиться, если срок действия вашего пароля истек. Это означает, что вы не можете подключиться, чтобы сменить пароль потому что вы не можете подключиться с просроченным паролем. Это считается конструктивным решением, поскольку в базовом протоколе CredSSP такой функции нет.
Вам нужно будет предоставить пользователям другие средства для изменения паролей с истекшим сроком действия, например портал самообслуживания для сброса паролей. (Например, Forefront Identity Manager.)
Что касается несоблюдения требований к сложности пароля, я предполагаю, что вы сталкиваетесь с другим препятствием в политике паролей, о котором редко упоминают - минимальным возрастом пароля. Если пароль был изменен недавно, вы не можете изменить его снова, пока не пройдет определенное время.
Пароли для удаленных пользователей можно изменить с помощью Роль веб-доступа к удаленным рабочим столам, описанный в этот ответ, где также есть решение для уведомление пользователей ожидающего истечения срока действия пароля.
(Я вижу, вы отметили RDWeb, поэтому я надеюсь, что вы сможете использовать это решение).
И когда NLA используется, вы не можете войти в систему или изменить пароль через RDP, как уже было описано.