Redefinindo uma senha expirada na sessão do Windows RDS

1

Eu tenho uma solução RDS para um de nossos clientes. Há uma coleção de sessões que atende desktops por meio de um Gateway RD e há alguns servidores host de sessão; toda carga balanceada, etc. Funciona muito bem em termos de conexão e desempenho dos usuários.

Tivemos os usuários configurados como "a senha nunca expira" enquanto o sistema foi inserido. No entanto, chegamos a um ponto em que precisamos aplicar a diretiva de senha. Optamos por forçar todos os usuários a alterarem suas senhas no próximo logon, pois emitimos senhas "fáceis" para uma transição tranquila. Isso foi feito simplesmente marcando a caixa 'o usuário deve alterar a senha no próximo logon' no AD nas propriedades dos usuários. No entanto, em vez de solicitar uma nova senha aos usuários no próximo logon, o logon foi imediatamente negado.

Eu tentei novamente para garantir que eu não tinha digitado a senha incorretamente, mas com certeza, meu login foi negado com o erro 'A tentativa de logon falhou'. Volto para o AD e desmarco a opção "o usuário deve alterar a senha no próximo logon" e posso fazer login novamente sem problemas.

Uma vez logado, se eu pressionar CTRL, ALT & END e escolha "alterar uma senha", parece que vai permitir-me alterar a senha - Ele solicita senha antiga, nova e confirmada, mas não importa o que eu uso, ele diz "Não é possível atualizar a senha. O valor fornecido para a nova senha não atende aos requisitos de tamanho, complexidade ou histórico do domínio '. Eu usei senhas de 24 caracteres geradas aleatoriamente com letras maiúsculas e minúsculas, números e símbolos ... não há como não atender às regras de complexidade padrão de 2012.

Então eu tenho duas perguntas ...

  • Por que marcar essa opção no AD faz com que ela negue o logon do usuário?

  • Como posso permitir / forçar meus usuários a alterarem suas senhas?

por John 08.01.2018 / 13:24

2 respostas

1

Se você usar a Autenticação no Nível de Rede em conjunto com o RDP (o que você deve porque é a opção mais segura), não será possível conectar-se se sua senha expirar. Isso significa que você não pode se conectar para alterar sua senha porque não pode se conectar a uma senha expirada. Isso é considerado por design porque não existe esse recurso no protocolo CredSSP subjacente.

Você precisará fornecer outros meios para os usuários alterarem suas senhas expiradas, como um portal de redefinição de senha de autoatendimento. (Forefront Identity Manager, por exemplo).

Como os requisitos de complexidade de senha não foram atendidos, meu palpite é que você está atingindo o outro roadblock de política de senha que raramente é mencionado - a idade mínima da senha. Se a senha foi alterada recentemente, você não poderá alterá-la novamente até que um determinado período de tempo tenha decorrido.

    
por 08.01.2018 / 17:00
0

As senhas para usuários remotos podem ser alteradas com a função RD Web Access , descrita em esta resposta , onde também há uma solução para notificar os usuários de expiração de senha pendente.

(vejo que você marcou o RDWeb, então espero que você possa usar essa solução).

E quando NLA é usado, você não pode fazer logon ou alterar a senha por meio de RDP , conforme já descrito.

    
por 21.02.2018 / 02:29