Wie soll die Anforderung "Kennwort bei nächster Anmeldung ändern" mit RDP mithilfe der Authentifizierung auf Netzwerkebene funktionieren?

7

Wir haben einen Windows-Server (2008 R2) mit der Funktion "Remotedesktopdienste" installiert und keine Active Directory-Domäne. Remotedesktop ist eingerichtet auf "Allow connections only from computers running Remote Desktop with Network Level Authentication (more secure)". Dies bedeutet, dass die Verbindung vor der Anzeige des Remote-Bildschirms in einem Fenster "Windows-Sicherheit: Geben Sie Ihre Anmeldeinformationen ein" authentifiziert wird.

Die einzigen zwei Rollendienste, die auf diesem Server installiert sind, sind der RD-Sitzungshost und die Lizenzierung.

Fenster mit Benutzereigenschaften

Wenn das Kontrollkästchen "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" in den Eigenschaften eines lokalen Benutzers auf diesem Server aktiviert ist, wird auf einem Clientcomputer Folgendes angezeigt, nachdem versucht wurde, eine Verbindung mit den zuletzt gültigen Anmeldeinformationen herzustellen:

Ein Fehler ist aufgetreten

Auf einigen anderen Servern, die RDP für den Administratorzugriff verwenden (jedoch ohne die installierte Rolle "Remotedesktopdienste"), ist das Verhalten anders: Die Sitzung beginnt und der Benutzer erhält auf dem Remotebildschirm eine Eingabeaufforderung zum Ändern des Kennworts. Was muss ich tun, um dieses Verhalten auf dem Remotedesktopdiensteserver zu replizieren?

NReilingh
quelle
3
Ich habe den Kennwortablauf für Konten deaktiviert, die genau aus diesem Grund RDP verwenden. Außerdem: Sie können Ihr Passwort nicht ändern, wenn Sie eine Verbindung über einen RD-Broker herstellen. (Auch das Ablaufen des Passworts macht nur wenig ärgerlich und erhöht die Anzahl der Helpdesk-Tickets, aber das ist eine Diskussion für einen anderen Tag.)
Mark Henderson
Ich glaube nicht, dass ich den Verbindungsbroker benutze. In Bezug auf den zweiten Punkt stimme ich zu, aber in einigen Situationen ist dies für die PCI-Konformität erforderlich. Hier möchte ich nur eine Kennwortänderung für die anfängliche Anmeldung eines Benutzers mit den für ihn festgelegten Standardeinstellungen erzwingen.
NReilingh
Nein, vielleicht nicht. Es ist ein Problem mit NLA und dem Verbindungsbroker (auch ohne NLA)
Mark Henderson
Könnten Sie versuchen, tsconfig.msc zu verwenden, mit der rechten Maustaste klicken und die Eigenschaften der RDP-Tcp-Verbindung bearbeiten, das Dropdown-Menü der Sicherheitsschicht in "RDP-Sicherheitsschicht" ändern und prüfen, ob dies hilfreich ist?
Ryan Ries

Antworten:

9

Ich gehe davon aus, dass Sie das nicht können. Wenn NLA (Authentifizierung auf Netzwerkebene) erzwungen ist, kann sich ein Benutzer nicht remote anmelden und sein Kennwort ändern.

Sie können tsconfig.msc auf dem Remotedesktopserver verwenden, mit der rechten Maustaste auf die RDP-Tcp-Verbindung klicken und Eigenschaften auswählen und das Dropdown-Menü der Sicherheitsschicht in "RDP-Sicherheitsschicht" ändern. Dann verlieren Sie jedoch NLA. Leider schließen sich die beiden Einstellungen gegenseitig aus.

Wenn Sie über NLA verfügen müssen, müssen Sie eine alternative Methode festlegen, mit der Benutzer abgelaufene Kennwörter ändern können, z. B. über Outlook Anywhere oder RDWeb Access oder eine physische Konsole einer Arbeitsstation mit Domänenbeitritt usw.

Dies ist eine Art Catch-22-Situation, da NLA nicht einmal die Systemressourcen zuweist, die zum Erstellen einer Remotedesktopsitzung für Sie erforderlich sind, bis Ihre Anmeldeinformationen auf ihre Gültigkeit überprüft wurden. Sie müssten jedoch eine Verbindung zu einer vollständigen Sitzung herstellen, einen Desktop erstellen, LogonUI.exe für Sie erstellen usw., um Ihr Kennwort zu ändern. Sie können jedoch keine Sitzung abhalten, da Ihr Kennwort abgelaufen ist. Dies zuzulassen würde meiner Meinung nach eine Lücke in NLA öffnen, in der ein Benutzer NLA umgehen und trotzdem eine Sitzung erhalten könnte, obwohl er kein gutes (dh nicht abgelaufenes) Passwort hat.

http://support.microsoft.com/kb/2648402 sagt:

In der Protokollspezifikation für CredSSP gibt es keinen Hinweis auf die Möglichkeit, das Kennwort des Benutzers zu ändern, während NLA ausgeführt wird. Daher kann das beobachtete Verhalten als "beabsichtigt" betrachtet werden.

CredSSP ist die zugrunde liegende Technologie, die NLA aktiviert, und unterstützt keine Kennwortänderungen. Daher sind Kennwortänderungen in MSTSC nicht aktiviert. Andere RD-Clients, die NLA unterstützen, sollten das Kennwort des Benutzers nicht ändern können.

Ryan Ries
quelle
1
Es war wahrscheinlich von meinem Kommentar nicht klar, aber tatsächlich , nachdem ich diese Einstellung zu RDP Sicherheit geändert und dann geändert zurück , ich bin nicht mehr die Fehler bekommen , dass ich in meiner Frage zeigte. Stattdessen wird eine Sitzung mit demselben Bildschirm "Sie müssen Ihr Passwort ändern" gestartet, den Sie erhalten würden, wenn sie sich persönlich anmelden würden.
NReilingh
Ugh, nein, da habe ich mich geirrt. Das Kontrollkästchen "nur" wurde deaktiviert und "verhandeln" ausgewählt.
NReilingh
Zu Ihrer Information, ich bin auf dasselbe Problem gestoßen, bei dem die einzigen Computer, auf die ich RDP in der Domäne ausführen konnte, NLA erforderten und mein neues Konto "Kennwort bei nächster Anmeldung ändern müssen" aktiviert hatte. Ich konnte mein Passwort ändern, indem ich MIT Kerberos für Windows herunterlud und dieses von meiner Workstation verwendete, um ein Kerberos-Ticket zu erhalten, das mich aufforderte, mein Passwort zu ändern. Dies ist der Thread, in dem ich herausgefunden habe, dass AD erfordert, dass Sie Kerberos verwenden, um das ursprüngliche Passwort zu ändern, was mich auf die mögliche Lösung hinwies
David Archer