U ovom ćemo članku pokazati kako udaljeni korisnici mogu samostalno promijeniti svoje istekle lozinke putem RDP veze s farmom poslužitelja terminalnih udaljenih servisa (RDS) na Windows Server 2016/2012 R2.
U Windows Server 2012 R2 i Windows 8.1 mehanizam za provjeru autentičnosti omogućen je zadano NLA (Autorizacija na mrežnoj razini, više o tome ovdje), koja korisnicima s istekom zaporke ne dopušta povezivanje putem RDP-a (vi, naravno, možete onemogućiti NLA - link1, link2, ali to nije sigurnosno sa stanovišta). Kada se pokušate povezati s RDSH poslužiteljem (Remote Desktop Session Host) s korisničkim računom čija je zaporka istekla, pojavljuje se ova poruka o pogrešci:
Došlo je do pogreške kod provjere autentičnosti.
Lokalnu sigurnosnu upravu nije moguće kontaktirati
Daljinsko računalo: xxxxxx
Do toga bi moglo doći zbog isteka zaporke
Ažurirajte zaporku ako je istekla.
Prema tome, kada se koristi NLA, problem promjene istečene lozinke putem RDP-a može postati praktično nerešiv za udaljene korisnike koji nemaju drugi pristup mreži. Možete, naravno, tražiti od korisnika da promijene zaporku izravno u RDP sesiji unaprijed, ali u pravilu to ne funkcionira uvijek zbog elementarne zaboravnosti korisnika.
U sustavu Windows Server 2012 / R2 i novijim verzijama udaljeni korisnici sada mogu resetirati svoju lozinku (trenutnu lozinku ili lozinku istekla) putem posebne web stranice na RD Web poslužitelju. Proces promjene lozinke izgleda ovako: korisnik se prijavljuje sa svojim računom na web stranicu za registraciju na poslužitelju s ulogom RD Web Access i pomoću posebnog obrasca aspx mijenja svoju lozinku.
primjedba. U sustavu Windows Server 2003 korisnici domena mogli su promijeniti zaporku putem male web aplikacije IISADMPWD (službeno, međutim, nije podržano).Funkcija udaljene promjene lozinke dostupna je na poslužitelju s ulogom Web Remote Desktop Web Access (RD Web Access), ali ova je funkcija onemogućena prema zadanim postavkama. Da biste promijenili lozinku, upotrijebite skriptu u datoteci lozinka.aspx, koja se nalazi u imeniku C: \ Windows\ Web\ RDWeb\ Stranice\ hr-SAD.
U ruskoj verziji sustava Windows Server (bez jezičnog paketa) put do datoteke password.aspx bit će drugačiji i izgledat će ovako: C: \ Windows \ Web \ RDWeb \ Pages \ ru-RU.Da biste omogućili funkciju promjene lozinke, na poslužitelju s konfiguriranom ulogom Web Remote Desktop otvorite IIS konzolu za upravljanje web poslužiteljem (IIS menadžer), idite na odjeljak [server ime] -> Web stranice -> Zadano tkanje mjesto -> RDWeb -> Stranice i otvorite odjeljak postavki aplikacija (primjena postavke).
U desnom oknu pronađite parametar s imenom PasswordChangeEnabled i promijeni svoju vrijednost u istinski.
Ponovo pokrenite IIS s konzole ili pomoću naredbe IISRESET.
Da biste provjerili dostupnost smjene stranice, idite na web adresu:
https: // [RD-WEB-1] /RDWeb/Pages/en-US/password.aspx
Nakon uspješne promjene korisničke lozinke, poruka bi se trebala pojaviti:
Vaša je zaporka uspješno promijenjena.
Kliknite U redu i korisnik će biti preusmjeren na web stranicu za prijavu na RD.
Ako korisnička lozinka ne odgovara pravilima zaporke za domenu, pojavit će se prozor upozorenja:
Vaša nova lozinka ne zadovoljava zahtjeve dužine, složenosti ili povijesti vaše domene. Pokušajte odabrati novu novu zaporku.Ovom metodom možete promijeniti lozinku u daljinski Desktop tkanje pristup samo ako je na RDWA poslužitelju omogućena provjera autentičnosti obrasci ovjera. Korištenjem metode Windows ovjera, lozinka se ne može promijeniti putem RD web obrasca.Sada, prilikom pokušaja povezivanja na web poslužitelj RD Web Access s isteklom lozinkom, korisnik će biti preusmjeren na web stranicu password.aspx na kojoj će se tražiti da promijeni lozinku.
vijeće. Slične funkcionalnosti za promjenu lozinke u sustavu Windows Server 2008 R2 s RD Web Access Role mogu biti dostupne nakon instaliranja posebne zakrpe - KB 2648402.Možete dodati vezu na stranicu pomoću obrasca za promjenu zaporke izravno u web obrascu za prijavu poslužitelja RDWeb. Zahvaljujući tome korisnik može promijeniti svoju lozinku u bilo kojem trenutku bez čekanja da istekne lozinka.
Dodajte vezu na datoteku password.aspx na stranici za prijavu (stvorite kopiju datoteke password.aspx prije uređivanja).
- Na poslužitelju RDWeb pronađite i otvorite datoteku u bilo kojem testnom uređivaču (više volim Notepad ++) C: \ Windows \ Web \ RDWeb \ Stranice \ en-US \ login.aspx
- Idi na 583 redak i zalijepite ga u sljedeći kôd:
Uslužni program za resetiranje lozinke
- Spremite promjene u datoteci login.aspx, ponovno pokrenite web lokaciju IIS i provjerite pojavljuje li se veza na stranici za promjenu lozinke na stranici za registraciju na terminalskom poslužitelju..
vijeće. Usput, prethodno smo razmotrili kako implementirati promjenu korisničke lozinke putem OWA u sustavu Exchange.
Sada će udaljeni korisnici moći promijeniti isteklu lozinku na poslužitelju Remote Desktop bez intervencije administratora.