RDS - Benutzer muss Passwort bei nächster Anmeldung ändern

[Cryer 17]

Wir betreiben hier einen RDS2019. Nun habe ich eingestellt, dass Benutzer das Passwort bei der nächsten Anmeldungändern müssen. Tja, doof nur, dass die Verbindung unter genau diesem Hinweis von Anfang an abgelehnt wird und der Benutzer gar nicht die Chance bekommt das Passwort zu ändern. Was kann getan werden?

 

 

[Sunny61 809]

In diesem Artikel wird beschrieben, welcher Parameter in der RDP-Datei stehen muss, damit das funktioniert: https://docs.hetzner.com/de/robot/dedicated-server/windows-server/changing-windows-password/

[Cryer 17]

Danke für die Antwort. Das ist ja mal wieder super durchdacht von Microsoft. (nicht!)

Mit der verlinkten Lösung kann ich wenig anfangen. Man will den Benutzern ja was mitgeben. Da hilft wohl nur die Benutzer dazu anzuhalten, dass sie das Kennwort selber ändern. Kontrollieren kann man das aber nicht und wirklich intuitiv ist der Weg auch nicht (Man muss "STRG" + "ALT" + Ende" drücken)

 

Sowas bescheuertes.

bearbeitet 12. November 2020 von Cryer

[NorbertFe 2.089]

Falls ihr adfs im Einsatz habt, damit ginge sowas, bzw. Citrix kann das auch.

vor 12 Minuten schrieb Cryer:

Man muss "STRG" + "ALT" + Ende" drücken

Na sowas aber auch. ;)

[testperson 1.728]

Hi,

 

das sollte über RDWeb machbar sein. Um was für Clients handelt es sich bzw. ist eine Anmeldung / Passwortänderung nicht am Client machbar und dann per SSOn weiter zu den RDSHs?

 

Gruß

Jan

[Cryer 17]

Trotzdem total schwachsinnig.

vor 1 Stunde schrieb NorbertFe:

Na sowas aber auch. ;)

Es geht darum, dass ich keine Möglichkeit habe zu kontrollieren, ob der Benutzer sein Passwort wirklich geändert hat.

[testperson 1.728]

vor 10 Minuten schrieb Cryer:

Es geht darum, dass ich keine Möglichkeit habe zu kontrollieren, ob der Benutzer sein Passwort wirklich geändert hat.

"pwdLastSet" Attribut des Users.

[NorbertFe 2.089]

Doch, hast du. Ansonsten kann er sich ja nicht mehr anmelden. ;) 

[Cryer 17]

vor 38 Minuten schrieb NorbertFe:

Doch, hast du. Ansonsten kann er sich ja nicht mehr anmelden. ;) 

Wie meinen?

[NorbertFe 2.089]

Ohne Kennwortänderung passiert keine Anmeldung. Hast du doch oben selbst geschrieben. Jede Variante die dir das technisch ermöglicht setzt also durch, dass der Nutzer das Kennwort ändert, bevor die Anmeldung erfolgreich ist. Heißt, ohne Kennwortänderung könnten deine Nutzer ja gar nicht arbeiten. Prüfen kannst du das bspw. Wie oben angegeben. Wenn dir keine der Lösungen zur Verfügung steht, ist das ja nicht das „schwachsinnig“, sondern falsche Planung oder Erwartung. ;)

[Cryer 17]

Na das ist ja genau der Punkt Norbert. Ohne Anmeldung keine Kennwortänderung, ohne Kennwortänderung keine Anmeldung.

 

Ich habe den entsprechenden Haken jetzt erstmal rausgenommen und den Benutzer (der sich via VPN von woanders anmeldet) gebeten das Passwort zu ändern. Finde das aber eine äußerst unsaubere Methode darauf vertrauen zu müssen. Deutlich geschickter wäre es, wenn sich der Benutzer via RDP anmelden will und dann das Passwort ändern muss, ohne dass da in einer Datei rumgefummelt werden muss.

 

Der Tipp von testperson um zu prüfen, ob das Kennwort geändert wurde kann ja bei einem überschaubaren Kreis noch angewandt werden, aber bei einem Größeren?

bearbeitet 12. November 2020 von Cryer

[NorbertFe 2.089]

Größere Kreise haben entsprechende Lösungen. Einige davon wurden im thread genannt. Dass die dir ggf. Als Lösung nicht gefallen heißt ja nix.

[Sunny61 809]

vor 11 Stunden schrieb Cryer:

Danke für die Antwort. Das ist ja mal wieder super durchdacht von Microsoft. (nicht!)

Mit der verlinkten Lösung kann ich wenig anfangen. Man will den Benutzern ja was mitgeben. Da hilft wohl nur die Benutzer dazu anzuhalten, dass sie das Kennwort selber ändern. Kontrollieren kann man das aber nicht und wirklich intuitiv ist der Weg auch nicht (Man muss "STRG" + "ALT" + Ende" drücken)

Beschwer dich bitte bei MSFT direkt, hier ist der falsche Platz dafür.

Hat Du die Lösung denn gelesen? Erstell eine RDP-Datei, pack dort die Zeile mit rein und kopier sie den Usern auf den Desktop. Kleines HowTo dazu, fertig.

 

BTW: STRG + ALT + ENDE ist schon sehr sehr alt. Gibt es schon mindestens seit Virtual Server 2003R2. :)

vor 8 Stunden schrieb Cryer:

Der Tipp von testperson um zu prüfen, ob das Kennwort geändert wurde kann ja bei einem überschaubaren Kreis noch angewandt werden, aber bei einem Größeren?

Da wird das ganze Verfahren anders geplant, der Haken für die Kennwortänderng gesetzt, fertig. Und natürlich kannst Du es per Powershell minütlich prüfen lassen, das Attribut hast Du ja schon genannt bekommen.

[testperson 1.728]

Vielleicht fangen wir nochmal vorne an. "Dein Problem" kennen wir ja jetzt. ;) Was für ein Szenario betreibst du denn da? Mit ein wenig mehr an Infos, kann man dir vielleicht auch andere / bessere Wege aufzeigen.

• Was für Clients?
• Welche VPN Lösung?
  • Client to Site?
  • Site to Site?
• Wo befinden sich die Clients?
• Wo befindet sich die RDS Farm?
• Was befindet sich alles in der Bereitstellung?
• Sind die Clients in einer Domäne?

Von einer Kennwortänderung über ein (SSL) VPN Portal über Remote Desktop Web Access bis hin zu ganz wilden 3rd Party Lösungen ist hier sicherlich vieles in mehr oder wenige komplex machbar.

[Cryer 17]

Die Leute verbinden sich mittels OpenVPN ins Netzwerk und benutzen dann Remotedesktop um sich auf den RDS zu verbinden. Der RDS befindet sich bei uns im Gebäude, die Benutzer sind außerhalb, also beispielsweise in einer anderen Dienststelle oder zu Hause. Die Clients sind nicht Teil der Domäne.

Auf dem RDS befinden sich folgende Dienste:

- Remotedesktoplizenzierung

- Reotedesktop-Sitzungshost

- Remotedesktop-Verbindungsbroker

- Web Access für Remotedesktop (Ist aber nur intern erreichbar (nicht vom externen Clients, trotz VPN) und wird auch nicht benutzt)