Come è necessario che il requisito "cambia password all'accesso successivo" funzioni con RDP utilizzando l'authentication di livello di networking?

Abbiamo un server Windows (2008 R2) con la funzionalità "Remote Desktop Services" installata e nessun dominio Active Directory. Il desktop remoto è impostato su "Allow connections only from computers running Remote Desktop with Network Level Authentication (more secure)" . Ciò significa che prima che venga visualizzata la schermata remota, la connessione viene autenticata in una window "Sicurezza di Windows: inserisci le credenziali".

I soli due servizi di ruolo installati in questo server sono RD Session Host e Licensing.

Finestra delle proprietà utente

Quando è selezionata la casella di controllo "Utente deve cambiare password all'accesso successivo" nelle properties; di un utente locale in questo server, il seguente messaggio viene visualizzato su un computer client dopo aver tentato di connettersi utilizzando le credenziali ultime valide:

Si è verificato un errore

Su alcuni altri server che utilizzano RDP per l'accesso di amministratore (ma senza che il ruolo di Servizi Desktop remoto installato), il comportmento è diverso: la session inizia e l'utente viene ricevuto una richiesta di password di modifica sullo schermo remoto. Cosa devo fare per replicare questo comportmento sul server Servizi desktop remoto?

  • La macchina virtuale Hyper-V non può essere migrata a un host specifico nel cluster
  • Computer con due nomi DNS. "Attualmente non esistono server di accesso per eseguire la richiesta di accesso"
  • Dove è lo background del desktop memorizzato in un profilo di roaming Server 2008 R2?
  • Utilizzare i profili obbligatori sul server Host Session RD
  • I timestamp di record DNS non vengono aggiornati sul server DNS Server 2008 R2
  • Aggiornamento di Windows Server 2008 R2 tramite Desktop remoto
  • Discrepanza Memoria Task Manager
  • Come immettere la modalità standby o ibernazione in Server 2008 R2
  • One Solution collect form web for “Come è necessario che il requisito "cambia password all'accesso successivo" funzioni con RDP utilizzando l'authentication di livello di networking?”

    Posso dire che non puoi farlo. Con NLA (authentication a livello di networking), l'utente non può eseguire l'accesso in remoto e modificare la propria password.

    È ansible utilizzare tsconfig.msc sul server Desktop remoto, fare clic con il button destro del mouse sulla connessione RDP-Tcp e scegliere Proprietà e modificare il menu a discesa Layer di protezione in 'RDP Security Layer', ma poi si perde NLA. Purtroppo le due impostazioni si escludono reciprocamente.

    Se è necessario disporre di NLA, è necessario stabilire un metodo alternativo per gli utenti per modificare le password scadute, ad esempio tramite Outlook Anywhere o RDWeb Access o una console fisica di una workstation collegata a un dominio, ecc.

    Questa è una sorta di situazione catch-22, perché dal design, NLA non potrà nemless assegnare le risorse di sistema necessarie per creare una session di Desktop remoto fino a quando le credenziali non sono state verificate per essere valide. Ma dovresti connettersi a una session completa, avere un desktop creato, LogonUI.exe generato per te, ecc., Per cambiare la tua password. Ma non puoi avere una session perché la tua password è scaduta. Permettendo che ciò, credo, apri un buco in NLA, where un utente potrebbe bypassare l'NLA e get una session comunque, anche se non dispongono di una buona password (ovvero non scaduta).

    http://support.microsoft.com/kb/2648402 dice:

    Nella specifica del protocollo per CredSSP, non vi è alcun riferimento alla possibilità di modificare la password dell'utente mentre NLA è in esecuzione. Pertanto, il comportmento osservato può essere considerato "per disegno".

    CredSSP è la tecnologia sottostante che consente l'NLA e non support le modifiche alle password. Di conseguenza, le modifiche alla password non sono abilitate in MSTSC. Altri client RD che supportno NLA potrebbero non essere in grado di modificare la password dell'utente.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.