none
CredSSP und NLA - Benutzer soll nach dem nächsten Log-in gezwungen werden, Passwort zu ändern RRS feed

  • Frage

  • Hallo zusammen,

     

     

    Umgebung ist ein Terminalserver, auf dem per RDP gearbeitet wird. Wir möchten, dass alle Benutzer nach dem nächsten Log-in gezwungen werden, ihr Passwort zu ändern.

     

    Wenn wir dies im AD einstellen, bekommt der Benutzer nach dem Einloggen per RDP die Meldung „Sie müssen Ihr Kennwort ändern, bevor Sie sich zum ersten Mal anmelden.“.

    Als Lösung habe ich Folgendes gefunden:

    Erstens NLA auf dem RDS deaktivieren und zusätzlich in der Default.rdp (per Texteditor geöffnet) die Zeile "enablecredsspsupport:i:0" hinzufügen – Dann kann sich der Benutzer wieder ohne Fehlermeldung am Server anmelden und sein Kennwort ändern.

    Nun fragen wir uns: Macht der erste Punkt den Server nicht unsicher? Kann der Benutzer das Kennwort auch irgendwo anders – außerhalb der Remotdesktopsession – ändern? Gibt es nicht eine bessere Lösung, als jede einzelne Remotedesktopdatei zu bearbeiten und die besagte, eine Zeile hinzuzufügen? Was können weitere Herangehensweisen für einen solchen Fall sein?

     

    Danke und schönen Gruß


    Mittwoch, 17. Oktober 2018 14:27

Alle Antworten