我正在运行 Windows Server 2012 R2 服务器,管理员和用户可以通过远程桌面连接访问该服务器。我已经设置了用户和本地安全策略,以便在每个用户首次登录时以及此后每 90 天,系统都会提示他们更改密码。
但是,每当用户的帐户处于必须重置密码的状态时,只要他们尝试使用 RDP 连接,他们就会从远程桌面连接客户端(v10.0)收到以下错误消息:
您必须在首次登录前更改密码。请更新您的密码或联系您的系统管理员或技术支持。
当使用远程桌面连接管理器客户端(v2.7)时,也会发生同样的情况,尽管错误略有不同:
首次登录前必须更改用户密码
该服务器是独立的,不在域中。由于安全合规性要求,需要启用网络级别身份验证。由于服务器是云虚拟机,因此无法访问控制台。
我一直没能找到任何解决方法,而且不影响 NLA 安全配置。我是不是漏掉了什么显而易见的东西?如有任何答案或意见,我将不胜感激。谢谢。
答案1
无法通过 RDP 本身完成!(不禁用 NLA)
在 CredSSP 的协议规范中,没有提及在 NLA 运行时更改用户密码的能力。因此,观察到的行为可以视为“设计使然”。
CredSSP 是启用 NLA 的底层技术,它不支持密码更改。因此,MSTSC 中未启用密码更改。其他支持 NLA 的 RD 客户端应该无法更改用户的密码。
来源:https://support.microsoft.com/en-us/help/2648402/您不能在远程桌面中更改过期用户帐户密码
正如他们所建议的,启用通过 RDWeb 更改密码是一种选择。我看到的另一个选项是通过 Exchange webmail 更改密码。