W tym artykule pokażemy, w jaki sposób zdalni użytkownicy mogą niezależnie zmieniać wygasłe hasła za pośrednictwem połączenia RDP z farmą serwerów terminali usług pulpitu zdalnego (RDS) w systemie Windows Server 2016/2012 R2.
W systemach Windows Server 2012 R2 i Windows 8.1 mechanizm uwierzytelniania jest domyślnie włączony NLA (Uwierzytelnianie na poziomie sieci, więcej na ten temat tutaj), które nie pozwala użytkownikom z wygasłym hasłem łączyć się przez RDP (oczywiście możesz wyłączyć NLA - link1, link2, ale nie jest to dobre z punktu widzenia bezpieczeństwa). Podczas próby połączenia się z serwerem RDSH (Host sesji usług pulpitu zdalnego) za pomocą konta użytkownika, którego hasło wygasło, pojawia się następujący komunikat o błędzie:
Wystąpił błąd uwierzytelnienia.
Nie można się skontaktować z lokalnym organem bezpieczeństwa
Komputer zdalny: xxxxxx
Może to być spowodowane wygasłym hasłem
Zaktualizuj hasło, jeśli wygasło.Dlatego przy korzystaniu z NLA problem zmiany wygasłego hasła przez RDP może stać się praktycznie nierozwiązywalny dla zdalnych użytkowników, którzy nie mają innego dostępu do sieci. Możesz oczywiście poprosić użytkowników o wcześniejszą zmianę hasła bezpośrednio w sesji RDP, ale z reguły nie zawsze działa to z powodu elementarnego zapominania użytkowników.
W systemie Windows Server 2012 / R2 i nowszych zdalni użytkownicy mogą teraz zresetować swoje hasło (hasło bieżące lub wygasłe) za pośrednictwem specjalnej strony internetowej na serwerze RD Web Access. Proces zmiany hasła wygląda następująco: użytkownik loguje się za pomocą swojego konta na stronę internetową rejestracji na serwerze z rolą RD Web Access i, używając specjalnego formularza aspx, zmienia swoje hasło.
Uwaga. W systemie Windows Server 2003 użytkownicy domeny mogli zmienić swoje hasło za pomocą małej aplikacji internetowej IISADMPWD (oficjalnie jednak nie obsługiwane).Funkcja zdalnego zmieniania hasła jest dostępna na serwerze z rolą Remote Desktop Web Access (RD Web Access), ale ta funkcja jest domyślnie wyłączona. Aby zmienić hasło, użyj skryptu w pliku hasło.aspx, który jest w katalogu C.: \ Windows\ Web\ RDWeb\ Pages\ en-USA.
W rosyjskiej wersji systemu Windows Server (bez pakietu językowego) ścieżka do pliku password.aspx będzie inna i będzie wyglądać następująco: C: \ Windows \ Web \ RDWeb \ Pages \ ru-RU.Aby włączyć funkcję zmiany hasła, na serwerze ze skonfigurowaną rolą Remote Desktop Web Access otwórz konsolę zarządzania serwera internetowego IIS (IIS Kierownik), przejdź do sekcji [Serwer Imię] -> Witryny -> Domyślnie Web Witryna -> RDWeb -> Strony i otwórz sekcję ustawień aplikacji (Zastosowanie Ustawienia).
W prawym okienku znajdź parametr o nazwie PasswordChangeEnabled i zmień jego wartość na prawda.
Uruchom ponownie IIS z konsoli lub za pomocą komendy IISRESET.
Aby sprawdzić dostępność strony zmiany, przejdź do adresu internetowego:
https: // [RD-WEB-1] /RDWeb/Pages/en-US/password.aspx
Po pomyślnej zmianie hasła użytkownika powinien pojawić się komunikat:
Twoje hasło zostało pomyślnie zmienione.
Kliknij OK, a użytkownik zostanie przekierowany do strony logowania RD Web.
Jeśli hasło użytkownika nie jest zgodne z zasadami haseł domeny, pojawi się okno ostrzegawcze:
Nowe hasło nie spełnia wymagań dotyczących długości, złożoności ani historii domeny. Spróbuj wybrać inne nowe hasło.
Teraz, podczas próby połączenia się z serwerem sieci Web RD Web Access za pomocą wygasłego hasła, użytkownik zostanie przekierowany na stronę internetową password.aspx, na której zostanie poproszony o zmianę hasła.
Możesz dodać link do strony za pomocą formularza zmiany hasła bezpośrednio w internetowym formularzu logowania do serwera RDWeb. Dzięki temu użytkownik może zmienić swoje hasło w dowolnym momencie bez oczekiwania na wygaśnięcie hasła.
Dodaj link do pliku password.aspx na stronie logowania (utwórz kopię pliku password.aspx przed edycją).
- Na serwerze RDWeb znajdź i otwórz plik w dowolnym edytorze testów (wolę Notepad ++) C: \ Windows \ Web \ RDWeb \ Pages \ en-US \ login.aspx
- Idź do 583 wiersz i wklej do niego następujący kod:
Narzędzie do resetowania hasła
- Zapisz zmiany w pliku login.aspx, uruchom ponownie witrynę IIS i sprawdź, czy link do strony zmiany hasła pojawia się na stronie rejestracji na serwerze terminali.
Wskazówka. Nawiasem mówiąc, wcześniej zastanawialiśmy się, jak wprowadzić zmianę hasła użytkownika za pomocą OWA w Exchange.
Teraz użytkownicy zdalni będą mogli zmienić wygasłe hasło na serwerze pulpitu zdalnego bez interwencji administratora.
