windows-server-2008-r2 – 如果“下次登录时更改密码”要求如何

我们有一台 Windows服务器(2008 R2),安装了“远程桌面服务”功能,没有Active Directory域.远程桌面设置为“仅允许来自运行具有网络级别身份验证的远程桌面的计算机的连接(更安全)”.这意味着在显示远程屏幕之前,将在“Windows安全性：输入您的凭据”窗口中对连接进行身份验证.

此服务器上安装的唯一两个角色服务是RD会话主机和许可.

如果在此服务器上的本地用户的属性中选中“用户必须在下次登录时更改密码”复选框,则在尝试使用上次有效的凭据进行连接后,客户端计算机上将显示以下内容：

在使用RDP进行管理员访问的其他一些服务器上(但未安装远程桌面服务角色),行为不同 – 会话开始,并在远程屏幕上为用户提供更改密码提示.在远程桌面服务服务器上复制此行为需要做什么？

您可以在远程桌面服务器上使用tsconfig.msc,右键单击RDP-Tcp连接并选择“属性”,然后将安全层下拉菜单更改为“RDP安全层”,但随后会丢失NLA.不幸的是,这两个设置是互斥的.

如果必须具有NLA,则需要为用户建立备用方法来更改过期密码,例如通过Outlook Anywhere或RDWeb Access,或者加入域的工作站的物理控制台等.

这有点像是一种捕获22的情况,因为在设计之后,NLA甚至不会分配为您创建远程桌面会话所需的系统资源,直到您的凭据被验证有效为止.但您必须连接到完整会话,创建桌面,为您生成LogonUI.exe等,以便更改密码.但是由于密码已过期,您无法进行会话.我认为,允许这样做会在NLA中打开一个漏洞,用户可以绕过NLA并进行会话,即使他们没有良好的(即未过期的)密码.

http://support.microsoft.com/kb/2648402说：

In the protocol specification for CredSSP,there is no reference to the ability to change the user’s password while NLA is running. Therefore,the observed behavior can be considered “by design.”

CredSSP is the underlying technology that enables NLA,and it does not support password changes. Therefore,password changes are not enabled in MSTSC. Other RD clients that support NLA should be unable to change the user’s password.

（编辑：ASP站长网）