W tym artykule pokażemy, w jaki sposób zdalni użytkownicy mogą niezależnie zmieniać wygasłe hasła za pośrednictwem połączenia RDP z farmą serwerów terminali usług pulpitu zdalnego (RDS) w systemie Windows Server 2016/2012 R2.
W systemach Windows Server 2012 R2 i Windows 8.1 mechanizm uwierzytelniania jest domyślnie włączony NLA (Uwierzytelnianie na poziomie sieci, więcej na ten temat tutaj), które nie pozwala użytkownikom z wygasłym hasłem łączyć się przez RDP (oczywiście możesz wyłączyć NLA - link1, link2, ale nie jest to dobre z punktu widzenia bezpieczeństwa). Podczas próby połączenia się z serwerem RDSH (Host sesji usług pulpitu zdalnego) za pomocą konta użytkownika, którego hasło wygasło, pojawia się następujący komunikat o błędzie:
Wystąpił błąd uwierzytelnienia.
Nie można się skontaktować z lokalnym organem bezpieczeństwa
Komputer zdalny: xxxxxx
Może to być spowodowane wygasłym hasłem
Zaktualizuj hasło, jeśli wygasło.
Dlatego przy korzystaniu z NLA problem zmiany wygasłego hasła przez RDP może stać się praktycznie nierozwiązywalny dla zdalnych użytkowników, którzy nie mają innego dostępu do sieci. Możesz oczywiście poprosić użytkowników o wcześniejszą zmianę hasła bezpośrednio w sesji RDP, ale z reguły nie zawsze działa to z powodu elementarnego zapominania użytkowników.
W systemie Windows Server 2012 / R2 i nowszych zdalni użytkownicy mogą teraz zresetować swoje hasło (hasło bieżące lub wygasłe) za pośrednictwem specjalnej strony internetowej na serwerze RD Web Access. Proces zmiany hasła wygląda następująco: użytkownik loguje się za pomocą swojego konta na stronę internetową rejestracji na serwerze z rolą RD Web Access i, używając specjalnego formularza aspx, zmienia swoje hasło.
Uwaga. W systemie Windows Server 2003 użytkownicy domeny mogli zmienić swoje hasło za pomocą małej aplikacji internetowej IISADMPWD (oficjalnie jednak nie obsługiwane).Funkcja zdalnego zmieniania hasła jest dostępna na serwerze z rolą Remote Desktop Web Access (RD Web Access), ale ta funkcja jest domyślnie wyłączona. Aby zmienić hasło, użyj skryptu w pliku hasło.aspx, który jest w katalogu C.: \ Windows\ Web\ RDWeb\ Pages\ en-USA.
W rosyjskiej wersji systemu Windows Server (bez pakietu językowego) ścieżka do pliku password.aspx będzie inna i będzie wyglądać następująco: C: \ Windows \ Web \ RDWeb \ Pages \ ru-RU.Aby włączyć funkcję zmiany hasła, na serwerze ze skonfigurowaną rolą Remote Desktop Web Access otwórz konsolę zarządzania serwera internetowego IIS (IIS Kierownik), przejdź do sekcji [Serwer Imię] -> Witryny -> Domyślnie Web Witryna -> RDWeb -> Strony i otwórz sekcję ustawień aplikacji (Zastosowanie Ustawienia).
W prawym okienku znajdź parametr o nazwie PasswordChangeEnabled i zmień jego wartość na prawda.
Uruchom ponownie IIS z konsoli lub za pomocą komendy IISRESET.
Aby sprawdzić dostępność strony zmiany, przejdź do adresu internetowego:
https: // [RD-WEB-1] /RDWeb/Pages/en-US/password.aspx
Po pomyślnej zmianie hasła użytkownika powinien pojawić się komunikat:
Twoje hasło zostało pomyślnie zmienione.
Kliknij OK, a użytkownik zostanie przekierowany do strony logowania RD Web.
Jeśli hasło użytkownika nie jest zgodne z zasadami haseł domeny, pojawi się okno ostrzegawcze:
Nowe hasło nie spełnia wymagań dotyczących długości, złożoności ani historii domeny. Spróbuj wybrać inne nowe hasło.Możesz użyć tej metody, aby zmienić hasło na Zdalne Pulpit Web Access tylko jeśli uwierzytelnianie jest włączone na serwerze RDWA Formularze Uwierzytelnianie. Przy użyciu metody Windows Uwierzytelnianie, hasła nie można zmienić za pomocą formularza RD Web.Teraz, podczas próby połączenia się z serwerem sieci Web RD Web Access za pomocą wygasłego hasła, użytkownik zostanie przekierowany na stronę internetową password.aspx, na której zostanie poproszony o zmianę hasła.
Wskazówka. Podobne funkcje zmiany hasła w systemie Windows Server 2008 R2 z rolą RD Web Access Role mogą być dostępne po zainstalowaniu specjalnej poprawki - KB 2648402.Możesz dodać link do strony za pomocą formularza zmiany hasła bezpośrednio w internetowym formularzu logowania do serwera RDWeb. Dzięki temu użytkownik może zmienić swoje hasło w dowolnym momencie bez oczekiwania na wygaśnięcie hasła.
Dodaj link do pliku password.aspx na stronie logowania (utwórz kopię pliku password.aspx przed edycją).
- Na serwerze RDWeb znajdź i otwórz plik w dowolnym edytorze testów (wolę Notepad ++) C: \ Windows \ Web \ RDWeb \ Pages \ en-US \ login.aspx
- Idź do 583 wiersz i wklej do niego następujący kod:
Narzędzie do resetowania hasła
- Zapisz zmiany w pliku login.aspx, uruchom ponownie witrynę IIS i sprawdź, czy link do strony zmiany hasła pojawia się na stronie rejestracji na serwerze terminali.
Wskazówka. Nawiasem mówiąc, wcześniej zastanawialiśmy się, jak wprowadzić zmianę hasła użytkownika za pomocą OWA w Exchange.
Teraz użytkownicy zdalni będą mogli zmienić wygasłe hasło na serwerze pulpitu zdalnego bez interwencji administratora.