Wir haben einen Windows-Server (2008 R2) mit der Funktion "Remotedesktopdienste" installiert und keine Active Directory-Domäne. Remotedesktop ist eingerichtet auf "Allow connections only from computers running Remote Desktop with Network Level Authentication (more secure)"
. Dies bedeutet, dass die Verbindung vor der Anzeige des Remote-Bildschirms in einem Fenster "Windows-Sicherheit: Geben Sie Ihre Anmeldeinformationen ein" authentifiziert wird.
Die einzigen zwei Rollendienste, die auf diesem Server installiert sind, sind der RD-Sitzungshost und die Lizenzierung.
Wenn das Kontrollkästchen "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" in den Eigenschaften eines lokalen Benutzers auf diesem Server aktiviert ist, wird auf einem Clientcomputer Folgendes angezeigt, nachdem versucht wurde, eine Verbindung mit den zuletzt gültigen Anmeldeinformationen herzustellen:
Auf einigen anderen Servern, die RDP für den Administratorzugriff verwenden (jedoch ohne die installierte Rolle "Remotedesktopdienste"), ist das Verhalten anders: Die Sitzung beginnt und der Benutzer erhält auf dem Remotebildschirm eine Eingabeaufforderung zum Ändern des Kennworts. Was muss ich tun, um dieses Verhalten auf dem Remotedesktopdiensteserver zu replizieren?
quelle
Antworten:
Ich gehe davon aus, dass Sie das nicht können. Wenn NLA (Authentifizierung auf Netzwerkebene) erzwungen ist, kann sich ein Benutzer nicht remote anmelden und sein Kennwort ändern.
Sie können tsconfig.msc auf dem Remotedesktopserver verwenden, mit der rechten Maustaste auf die RDP-Tcp-Verbindung klicken und Eigenschaften auswählen und das Dropdown-Menü der Sicherheitsschicht in "RDP-Sicherheitsschicht" ändern. Dann verlieren Sie jedoch NLA. Leider schließen sich die beiden Einstellungen gegenseitig aus.
Wenn Sie über NLA verfügen müssen, müssen Sie eine alternative Methode festlegen, mit der Benutzer abgelaufene Kennwörter ändern können, z. B. über Outlook Anywhere oder RDWeb Access oder eine physische Konsole einer Arbeitsstation mit Domänenbeitritt usw.
Dies ist eine Art Catch-22-Situation, da NLA nicht einmal die Systemressourcen zuweist, die zum Erstellen einer Remotedesktopsitzung für Sie erforderlich sind, bis Ihre Anmeldeinformationen auf ihre Gültigkeit überprüft wurden. Sie müssten jedoch eine Verbindung zu einer vollständigen Sitzung herstellen, einen Desktop erstellen, LogonUI.exe für Sie erstellen usw., um Ihr Kennwort zu ändern. Sie können jedoch keine Sitzung abhalten, da Ihr Kennwort abgelaufen ist. Dies zuzulassen würde meiner Meinung nach eine Lücke in NLA öffnen, in der ein Benutzer NLA umgehen und trotzdem eine Sitzung erhalten könnte, obwohl er kein gutes (dh nicht abgelaufenes) Passwort hat.
http://support.microsoft.com/kb/2648402 sagt:
quelle