V tomto článku si ukážeme, ako vzdialení používatelia môžu nezávisle zmeniť svoje vypršané heslá prostredníctvom pripojenia RDP k farme terminálového servera RDS (Remote Desktop Services) na systéme Windows Server 2016/2012 R2..
V systémoch Windows Server 2012 R2 a Windows 8.1 je mechanizmus overovania v predvolenom nastavení povolený NLA (Overenie na úrovni siete, viac o tom tu), čo neumožňuje používateľom s heslom, ktorého platnosť vypršala, sa pripojiť cez RDP (samozrejme môžete vypnúť NLA - link1, link2, ale z bezpečnostného hľadiska to nie je dobré). Ak sa pokúsite pripojiť k serveru RDSH (hostiteľ relácie vzdialenej pracovnej plochy) pomocou používateľského účtu, ktorého heslo už vypršalo, zobrazí sa toto chybové hlásenie:
Vyskytla sa chyba overenia.
Nie je možné kontaktovať miestny bezpečnostný úrad
Vzdialený počítač: xxxxxx
Dôvodom môže byť heslo, ktorého platnosť vypršala
Ak platnosť hesla vypršala, aktualizujte ho.
Pri použití NLA sa teda problém zmeny hesla, ktorého platnosť vypršala prostredníctvom protokolu RDP, môže stať prakticky neriešiteľným pre vzdialených používateľov, ktorí nemajú iný prístup k sieti. Môžete samozrejme požiadať používateľov, aby si vopred zmenili svoje heslo priamo v relácii RDP, ale spravidla to nefunguje z dôvodu základnej zábudlivosti používateľov..
Vo Windows Server 2012 / R2 a novších verziách môžu vzdialení používatelia obnoviť svoje heslo (aktuálne heslo alebo vypršané heslo) prostredníctvom špeciálnej webovej stránky na serveri RD Web Access. Proces zmeny hesla vyzerá takto: používateľ sa prihlási svojím účtom na registračnú webovú stránku na serveri s rolou RD Web Access a pomocou špeciálneho formulára ASPX zmení svoje heslo..
poznámka. V systéme Windows Server 2003 mohli používatelia domény zmeniť svoje heslo pomocou malej webovej aplikácie IISADMPWD (oficiálne však nie je podporované).Funkcie vzdialenej zmeny hesla sú k dispozícii na serveri s rolou Remote Desktop Web Access (RD Web Access), ale táto funkcia je v predvolenom nastavení vypnutá. Ak chcete zmeniť heslo, použite skript v súbore heslo.aspx, ktorý je v adresári C: \ Windows\ Web\ RDWeb\ Stránky\ en-US.
V ruskej verzii systému Windows Server (bez jazykového balíka) bude cesta k súboru password.aspx odlišná a bude vyzerať takto: C: \ Windows \ Web \ RDWeb \ Pages \ ru-RU.Ak chcete povoliť funkciu zmeny hesla, na serveri s nakonfigurovanou úlohou Remote Desktop Web Access otvorte konzolu správy webového servera IIS (IIS manažér), prejdite na časť [server názov] -> Webové stránky -> Predvolené web site -> RDWeb -> Stránky a otvorte sekciu nastavení aplikácie (prihláška nastavenie).
Na pravej table vyhľadajte parameter s názvom PasswordChangeEnabled a zmeňte jeho hodnotu na pravdivý.
Reštartujte službu IIS z konzoly alebo pomocou príkazu IISRESET.
Ak chcete skontrolovať dostupnosť stránky smeny, prejdite na webovú adresu:
https: // [RD-WEB-1] /RDWeb/Pages/en-US/password.aspx
Po úspešnej zmene hesla používateľa by sa mala zobraziť správa:
Vaše heslo bolo úspešne zmenené.
Kliknite na OK a používateľ bude presmerovaný na prihlasovaciu stránku RD Web.
Ak heslo používateľa nezodpovedá politike hesla domény, zobrazí sa varovné okno:
Vaše nové heslo nespĺňa požiadavky na dĺžku, zložitosť alebo históriu vašej domény. Skúste zvoliť iné nové heslo.Pomocou tejto metódy môžete zmeniť heslo na diaľkový Desktop web prístup iba ak je na serveri RDWA povolená autentifikácia formuláre overenie pravosti. Použitie metódy windows overenie pravosti, heslo nie je možné zmeniť prostredníctvom webového formulára RD.Keď sa teraz pokúsi pripojiť k webovému serveru RD Web Access s vypršaným heslom, bude používateľ presmerovaný na webovú stránku password.aspx, na ktorej bude požiadaný o zmenu hesla..
rada. Podobné funkcie na zmenu hesla v systéme Windows Server 2008 R2 s funkciou RD Web Access Role môžu byť k dispozícii po nainštalovaní špeciálnej opravy - KB 2648402.Odkaz na stránku môžete pridať pomocou formulára na zmenu hesla priamo do webového formulára na prihlásenie servera RDWeb. Vďaka tomu môže užívateľ kedykoľvek zmeniť svoje heslo bez čakania na vypršanie platnosti svojho hesla.
Pridajte odkaz na súbor password.aspx na prihlasovacej stránke (pred úpravou vytvorte kópiu súboru password.aspx).
- Na serveri RDWeb vyhľadajte a otvorte súbor v ľubovoľnom testovacom editore (uprednostňujem program Notepad ++). C: \ Windows \ Web \ RDWeb \ Pages \ en-US \ login.aspx
- Choďte na 583 a vložte doň nasledujúci kód:
Nástroj na obnovenie hesla
- Uložte zmeny v súbore login.aspx, reštartujte webovú stránku IIS a skontrolujte, či sa na stránke registrácie na terminálovom serveri objaví odkaz na stránku na zmenu hesla..
rada. Mimochodom, predtým sme uvažovali o tom, ako implementovať zmenu hesla používateľa prostredníctvom OWA v Exchange.
Vzdialení používatelia budú teraz môcť zmeniť vypršané heslo na serveri vzdialenej pracovnej plochy bez zásahu správcu.