我为我们的一位客户提供了一套 RDS 解决方案。它有一个会话集合,通过 RD 网关为桌面提供服务,还有少量会话主机服务器;所有服务器都进行了负载平衡等。它在用户连接和性能方面效果很好。
在系统安装完毕后,我们已将用户设置为“密码永不过期”,但是,现在我们需要强制执行密码策略。我们选择强制所有用户在下次登录时更改密码,因为我们已经发布了“简单”密码以实现平稳过渡。只需在 AD 中的用户属性下选中“用户必须在下次登录时更改密码”框即可完成此操作,但是系统并未提示用户在下次登录时输入新密码,而是立即拒绝用户登录。
我再次尝试确保密码输入正确,但果然,我的登录被拒绝,错误为“登录尝试失败”。我返回 AD 并取消选中“用户必须在下次登录时更改密码”,然后我就可以再次登录,没有任何问题。
登录后,如果我按下 CTRL、ALT 和 END 并选择“更改密码”,它似乎会允许我更改密码 - 它会提示输入旧密码、新密码和确认密码,但无论我使用什么,它都会显示“无法更新密码。提供的新密码值不符合域的长度、复杂性或历史要求”。我使用随机生成的 24 个字符密码,包含大写和小写字母、数字和符号......它不可能不符合默认的 2012 复杂性规则。
所以我有两个问题...
为什么在 AD 中选中此选项会导致拒绝用户登录?
我如何允许/强制我的用户更改他们的密码?
答案1
如果您将网络级别身份验证与 RDP 结合使用(您应该这样做,因为它是更安全的选项),那么如果您的密码已过期,您将无法连接。这意味着您无法连接以更改密码因为您无法使用过期的密码进行连接。这是设计所考虑的,因为底层 CredSSP 协议中没有这样的功能。
您必须为用户提供其他方法来更改过期的密码,例如自助密码重置门户。(例如 Forefront Identity Manager。)
至于密码复杂度要求未得到满足,我猜你遇到了另一个很少被提及的密码策略障碍 - 密码最低使用期限。如果密码最近更改过,则在经过一定时间之前,你不能再次更改它。
答案2
远程用户的密码可以通过RD Web 访问角色,具体描述于这个答案,其中也有一个解决方案通知用户密码即将过期。
(我看到您已经标记了 RDWeb,所以我希望您可以使用这个解决方案)。
什么时候国家图书馆协会已使用,您无法通过以下方式登录或更改密码远程桌面协议,如前所述。