Permitir que usuários alterem a senha expirada via conexão de área de trabalho remota

Navegue suas respostas
13

INFORMAÇÃO:

  • Eu tenho uma situação em que sou forçado a usar um servidor (Windows 2012 R2) que NÃO faz parte de um domínio e NÃO possui AD. Esta não é a minha escolha, não é ideal, mas fora do meu controle.

  • Eu também tenho usuários locais que se conectam a esse servidor por meio do RDP, e os usuários locais têm uma política de expiração de senha.

  • Como o AD / Exchange não faz parte da imagem, os usuários não recebem nenhuma notificação de que as senhas estão prestes a expirar.

PROBLEMA: O problema é quando a senha de um usuário expirou e eles tentam fazer o login usando uma Conexão de Área de Trabalho Remota. Não permite que eles alterem sua senha.

Desabilitei a opção "Permitir conexões SOMENTE de computadores que executam a Área de Trabalho Remota com Autenticação no Nível da Rede" do lado do servidor, para que o servidor NÃO esteja exigindo que o NLA receba sessões RDP.

No entanto, ao usar o Gerenciador de Conexão de Área de Trabalho Remota do Windows, parece estar forçando o NLA.

Se eu estiver usando o Cliente de Área de Trabalho Remota "Terminals", há uma opção no lado do cliente para desativar usando "Autenticação no Nível de Rede". Se eu desabilitar o NLA através do cliente Terminals, e me conectar ao servidor, ele me permite alterar a senha expirada do usuário.

PERGUNTA: Eu estou supondo, talvez incorretamente, que o programa Terminals está apenas no topo dos protocolos de Conexão de Área de Trabalho Remota do Windows, e que se você pode desabilitar o lado do cliente de Autenticação no Nível de Rede através do programa Terminais, você também deve ser capaz de desabilitar isso. através do Gerenciador de Conexão de Área de Trabalho Remota do Windows. Infelizmente, não vejo essa opção na GUI dos gerenciadores de conexões, e não vejo nenhum parâmetro em arquivos ".RDP" específicos do NLA.

Se eu clicar em "Sobre" no lado do cliente do Gerenciador de conexões de área de trabalho remota, ele me diz que "Autenticação em nível de rede é suportada". O texto me leva a acreditar que usá-lo é opcional, mas, novamente, não vejo como desligá-lo no gerenciador de conexões. BTW, esse gerenciador de conexões específico é v10.

    
por guht 07.04.2017 / 17:01

2 respostas

6

Acontece que isso é controlado através de uma propriedade não listada no arquivo de configuração .RDP chamado "enablecredsspsupport", configurando isso para "0", carrega a página de login em uma sessão RDP e permite que um usuário altere sua senha expirada .

A sintaxe exata necessária no arquivo de configuração .RDP é:

enablecredsspsupport:i:0

Se precisar de mais referências ou leituras, clique aqui: A tirania da autenticação em nível de rede e do CredSSP

    
por 07.04.2017 / 21:49
12

Você pode resolver isso com uma abordagem em duas vertentes:

1. Instale a função Acesso via Web RD e ative a opção de alteração de senha remota

As seguintes instruções são do artigo woshub.com Permitir que os usuários redefinam a senha expirada por meio do RD WebAccess no Windows Server 2012 :

No Windows 2012/2012 R2, apareceu uma opção que permite que um usuário remoto altere sua senha (atual ou expirada) usando uma página da Web especial no servidor de Acesso via Web RD. A senha será alterada assim: um usuário entra na página web de registro no servidor com a função Acesso via Web RD e altera sua senha usando um formulário especial.

Uma opção de alteração de senha remota está disponível no servidor com a função Acesso via Web à Área de Trabalho Remota (Acesso via Web RD), mas está desabilitada por padrão. Para alterar uma senha, é usado um script password.aspx , que está localizado em C: \ Windows \ Web \ RDWeb \ Pages \ en-US .

  1. Para ativar a opção de alteração de senha, no servidor com a função Acesso via Web RD configurado, abra o console do Gerenciador do IIS, vá para [Nome do servidor] - > Sites - > Site padrão - > RDWeb - > Páginas e abra a seção Configurações do aplicativo .

  2. Nopaineldireito,localizeoparâmetroPasswordChangeEnabledealtereseuvalorparatrue.

  3. VocêpodetestaromecanismodealteraçãodesenhanaseguintepáginadaWeb:

    link

  4. Agora,aotentarseconectaraoservidordeAcessoviaWebRDcomasenhaexpirada,umusuárioseráredirecionadoparaapáginadaWebpassword.aspxeofereceráaalteraçãodesuasenha.

    Dica . O mesmo recurso do Windows Server 2008 R2 pode ficar disponível depois que você instalar um patch especial - KB2648402 .

2. Ativar prompts que notificam os usuários sobre expiração de senha pendente

  1. Execute gpedit.msc no servidor RDSH para abrir a Diretiva de grupo local
  2. Nagivate para Computer Configuration\Windows Settings\Local Policies\Security Options
  3. Editar a configuração Logon interativo: avisar ao usuário para alterar a senha antes da expiração e especificar um número razoável de dias, como 14.
  4. Os usuários, incluindo aqueles conectados via Remote Desktop, receberão uma notificação antes de sua senha expirar.
por 07.04.2017 / 17:57

Tags

Alterar diretório padrão de documentos e configurações? OSX El Capitan - Barra Spaces - Mostra miniaturas / previews da janela expandida por padrão?