V tomto článku si ukážeme, jak mohou vzdálení uživatelé nezávisle měnit svá vypršela hesla prostřednictvím připojení RDP k farmě terminálového serveru RDS (Remote Desktop Services) na Windows Server 2016/2012 R2.
V systémech Windows Server 2012 R2 a Windows 8.1 je mechanismus ověřování ve výchozím nastavení povolen NLA (Ověření na úrovni sítě, více o tom zde), což neumožňuje uživatelům s heslem, jehož platnost vypršela, se připojit přes RDP (samozřejmě můžete deaktivovat NLA - link1, link2, ale to není z bezpečnostního hlediska dobré). Při pokusu o připojení k serveru RDSH (Hostitel relací vzdálené plochy) pomocí uživatelského účtu, jehož heslo vypršelo, se zobrazí tato chybová zpráva:
Došlo k chybě ověřování.
Místní bezpečnostní úřad nelze kontaktovat
Vzdálený počítač: xxxxxx
Může to být způsobeno heslem, jehož platnost vypršela
Pokud platnost vypršela, aktualizujte své heslo.
Při použití NLA se tedy problém změny vypršeného hesla prostřednictvím RDP může stát prakticky neřešitelným pro vzdálené uživatele, kteří nemají jiný přístup k síti. Můžete samozřejmě požádat uživatele, aby si předem změnili heslo přímo v relaci RDP, ale toto pravidlo zpravidla nefunguje kvůli základní zapomnění uživatelů..
Ve Windows Server 2012 / R2 a novějších mohou nyní vzdálení uživatelé resetovat své heslo (aktuální heslo nebo heslo, jehož platnost vypršela) prostřednictvím speciální webové stránky na serveru RD Web Access. Proces změny hesla vypadá takto: uživatel se přihlásí svým účtem na registrační webovou stránku na serveru s rolí RD Web Access a pomocí zvláštního aspx formuláře změní své heslo.
Poznámka:. V systému Windows Server 2003 mohli uživatelé domény změnit své heslo pomocí malé webové aplikace IISADMPWD (oficiálně však není podporováno).Funkce vzdálené změny hesla je k dispozici na serveru s rolí Remote Web Web Access (RD Web Access), ale tato funkce je ve výchozím nastavení zakázána. Chcete-li změnit heslo, použijte skript v souboru heslo.aspx, který je v adresáři C: \ Windows\ Web\ RDWeb\ Stránky\ en-USA.
V ruské verzi systému Windows Server (bez jazykové sady) bude cesta k souboru password.aspx odlišná a bude vypadat takto: C: \ Windows \ Web \ RDWeb \ Pages \ ru-RU.Chcete-li povolit funkci změny hesla, na serveru s nakonfigurovanou rolí Remote Desktop Web Access otevřete konzolu pro správu webového serveru IIS (IIS Manažer), přejděte k části [Server Jméno] -> Weby -> Výchozí Web Web -> RDWeb -> Stránky a otevřete sekci nastavení aplikace (Aplikace Nastavení).
V pravém podokně najděte parametr s názvem PasswordChangeEnabled a změňte jeho hodnotu na pravda.
Restartujte službu IIS z konzoly nebo pomocí příkazu IISRESET.
Chcete-li zkontrolovat dostupnost stránky směny, přejděte na webovou adresu:
https: // [RD-WEB-1] /RDWeb/Pages/en-US/password.aspx
Po úspěšné změně hesla uživatele by se měla zobrazit zpráva:
Vaše heslo bylo úspěšně změněno.
Klikněte na OK a uživatel bude přesměrován na přihlašovací stránku RD Web.
Pokud heslo uživatele neodpovídá zásadám hesla domény, zobrazí se varovné okno:
Vaše nové heslo nesplňuje požadavky na délku, složitost nebo historii vaší domény. Zkuste vybrat jiné nové heslo.Pomocí této metody můžete změnit heslo na Vzdálené Desktop Web Přístup pouze pokud je na serveru RDWA povoleno ověřování Formuláře Ověřování. Pomocí metody Windows Ověřování, heslo nelze změnit pomocí webového formuláře RD.Při pokusu o připojení k webovému serveru RD Web Access s vypršeným heslem bude uživatel přesměrován na webovou stránku password.aspx, na které bude požádán o změnu hesla.
Tip. Podobné funkce pro změnu hesla v systému Windows Server 2008 R2 pomocí funkce RD Web Access Role mohou být k dispozici po instalaci speciální opravy - KB 2648402.Odkaz na stránku můžete přidat pomocí formuláře pro změnu hesla přímo do webového formuláře pro přihlášení k serveru RDWeb. Díky tomu může uživatel kdykoli změnit své heslo, aniž by čekal na vypršení platnosti svého hesla.
Přidejte odkaz na soubor password.aspx na přihlašovací stránce (před úpravou vytvořte kopii souboru password.aspx).
- Na serveru RDWeb vyhledejte a otevřete soubor v libovolném testovacím editoru (dávám přednost programu Notepad ++) C: \ Windows \ Web \ RDWeb \ Pages \ en-US \ login.aspx
- Přejít na 583 řádek a vložte do něj následující kód:
Nástroj pro obnovení hesla
- Uložte změny do souboru login.aspx, restartujte web IIS a zkontrolujte, zda se na registrační stránce na terminálovém serveru zobrazí odkaz na stránku změny hesla..
Tip. Mimochodem, dříve jsme zvažovali, jak implementovat změnu hesla uživatele prostřednictvím OWA v Exchange.
Vzdálení uživatelé nyní budou moci změnit platnost hesla na serveru vzdálené plochy bez zásahu správce.