В тази статия ще покажем как отдалечените потребители могат самостоятелно да променят изтеклите си пароли чрез RDP връзка към терминалната ферма на сървъра за отдалечен работен плот (RDS) на Windows Server 2016/2012 R2.
В Windows Server 2012 R2 и Windows 8.1 механизмът за удостоверяване е активиран по подразбиране АНО (Удостоверяване на мрежово ниво, повече за това тук), което не позволява на потребителите с изтекла парола да се свързват чрез RDP (вие, разбира се, можете да деактивирате NLA - link1, link2, но това не е добре от гледна точка на сигурността). Когато се опитате да се свържете със сървъра на RDSH (хост на отдалечен работен плот) с потребителския акаунт, чиято парола е изтекла, се появява това съобщение за грешка:
Възникна грешка при удостоверяване.
Местният орган за сигурност не може да бъде свързан
Отдален компютър: xxxxxx
Това може да се дължи на изтекла парола
Моля, актуализирайте паролата си, ако тя е изтекла.
По този начин, когато използвате NLA, проблемът с промяна на изтекла парола чрез RDP може да стане практически неразрешим за отдалечени потребители, които нямат друг достъп до мрежата. Можете, разбира се, да помолите потребителите да променят паролата си директно в RDP сесията предварително, но като правило, това не винаги работи поради елементарната забрава на потребителите.
В Windows Server 2012 / R2 и по-нови, отдалечените потребители вече могат да нулират паролата си (текуща парола или парола с изтекъл срок) чрез специална уеб страница на сървъра на RD Web Access. Процесът на промяна на паролата изглежда така: потребителят влиза в акаунта си със своя акаунт на уеб страницата за регистрация на сървъра с ролята на RD Web Access и използва специална форма aspx, променя паролата си.
забележка. В Windows Server 2003 потребителите на домейни могат да променят паролата си чрез малко уеб приложение IISADMPWD (официално обаче не се поддържа).Функцията за отдалечена промяна на парола е достъпна на сървър с ролята на отдалечен работен плот за уеб достъп (RD Web Access), но тази функция е деактивирана по подразбиране. За да промените паролата, използвайте скрипта във файла парола.ASPX, която е в директорията C: \ Windows\ Web\ RDWeb\ Страници\ bg-САЩ.
В руската версия на Windows Server (без езиков пакет) пътят до файла password.aspx ще бъде различен и ще изглежда така: C: \ Windows \ Web \ RDWeb \ Pages \ ru-RU.За да активирате функцията за промяна на паролата, отворете конзолата за управление на уеб сървъра на IIS на сървъра с конфигурирана роля за отдалечен работен уеб достъп.IIS мениджър), отидете на раздел [Сървър име] -> Сайтове -> По подразбиране мрежа място -> RDWeb -> Страници и отворете секцията с настройки на приложението (приложение Настройки).
В десния прозорец намерете параметъра с име PasswordChangeEnabled и променете стойността си на вярно.
Рестартирайте IIS от конзолата или използвайки командата IISRESET.
За да проверите наличието на страницата за смяна, отидете на уеб адреса:
https: // [RD-WEB-1] /RDWeb/Pages/en-US/password.aspx
След като успешно промените паролата на потребителя, съобщението трябва да се появи:
Вашата парола е успешно променена.
Кликнете върху OK и потребителят ще бъде пренасочен към страницата за вход в RD.
Ако паролата на потребителя не съвпада с правилата за паролата на домейна, се появява предупредителен прозорец:
Новата ви парола не отговаря на изискванията за дължина, сложност или история на вашия домейн. Опитайте да изберете друга нова парола.Можете да използвате този метод, за да промените паролата на отдалечен Desktop мрежа достъп само ако автентификацията е активирана на RDWA сървъра форми заверка. Използване на метода Windows заверка, паролата не може да бъде променена чрез RD Web форма.Сега, когато се опитва да се свърже към уеб сървъра на RD Web Access с изтекла парола, потребителят ще бъде пренасочен към уеб страницата password.aspx, на която той ще бъде помолен да промени паролата.
съвет. Подобна функционалност за промяна на парола в Windows Server 2008 R2 с RD Web Access Role може да бъде налична след инсталиране на специален пластир - KB 2648402.Можете да добавите връзка към страницата с формата за промяна на паролата директно в уеб формата за вход в сървъра на RDWeb. Благодарение на това потребителят може да промени паролата си по всяко време, без да чака изтичането на паролата си.
Добавете връзка към файла password.aspx на страницата за вход (създайте копие на файла password.aspx преди редактиране).
- На сървъра на RDWeb намерете и отворете файла във всеки тестов редактор (предпочитам Notepad ++) C: \ Windows \ Web \ RDWeb \ Pages \ en-US \ login.aspx
- Отидете на 583 ред и поставете следния код в него:
Помощна програма за нулиране на парола
- Запазете промените във файла login.aspx, рестартирайте уебсайта на IIS и проверете дали връзката към страницата за промяна на паролата се появява на страницата за регистрация на терминалния сървър.
съвет. Между другото, по-рано обмислихме как да реализираме промяна на паролата на потребителя чрез OWA в Exchange.
Сега отдалечените потребители ще могат да променят изтеклата парола на сървъра на отдалечен работен плот без намеса на администратор.