Remove From My Forums

CredSSP und NLA - Benutzer soll nach dem nächsten Log-in gezwungen werden, Passwort zu ändern

Frage
0

Anmelden

Hallo zusammen,

Umgebung ist ein Terminalserver, auf dem per RDP gearbeitet wird. Wir möchten, dass alle Benutzer nach dem nächsten Log-in gezwungen werden, ihr Passwort zu ändern.

Wenn wir dies im AD einstellen, bekommt der Benutzer nach dem Einloggen per RDP die Meldung „Sie müssen Ihr Kennwort ändern, bevor Sie sich zum ersten Mal anmelden.“.

Als Lösung habe ich Folgendes gefunden:

Erstens NLA auf dem RDS deaktivieren und zusätzlich in der Default.rdp (per Texteditor geöffnet) die Zeile "enablecredsspsupport:i:0" hinzufügen – Dann kann sich der Benutzer wieder ohne Fehlermeldung am Server anmelden und sein Kennwort ändern.

Nun fragen wir uns: Macht der erste Punkt den Server nicht unsicher? Kann der Benutzer das Kennwort auch irgendwo anders – außerhalb der Remotdesktopsession – ändern? Gibt es nicht eine bessere Lösung, als jede einzelne Remotedesktopdatei zu bearbeiten und die besagte, eine Zeile hinzuzufügen? Was können weitere Herangehensweisen für einen solchen Fall sein?

Danke und schönen Gruß

Mittwoch, 17. Oktober 2018 14:27

Antworten

|

Zitieren

Alle Antworten

0

Anmelden

Moin,

klar, Du kannst z.B. RDWeb nutzen, um das Ändern von Passwörtern zu ermöglichen. Beschrieben hier, etwa in der Mitte:

https://www.rdsgurus.com/working-with-rd-web-access-in-windows-server-2012/
Evgenij Smirnov

I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> https://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

In theory, there is no difference between theory and practice. In practice, there is.

Mittwoch, 17. Oktober 2018 14:34

Antworten

|

Zitieren