windows-server-2008-r2 – 如果“下次登录时更改密码”要求如何
|
我们有一台
Windows服务器(2008 R2),安装了“远程桌面服务”功能,没有Active Directory域.远程桌面设置为“仅允许来自运行具有网络级别身份验证的远程桌面的计算机的连接(更安全)”.这意味着在显示远程屏幕之前,将在“Windows安全性:输入您的凭据”窗口中对连接进行身份验证.
此服务器上安装的唯一两个角色服务是RD会话主机和许可. 如果在此服务器上的本地用户的属性中选中“用户必须在下次登录时更改密码”复选框,则在尝试使用上次有效的凭据进行连接后,客户端计算机上将显示以下内容: 在使用RDP进行管理员访问的其他一些服务器上(但未安装远程桌面服务角色),行为不同 – 会话开始,并在远程屏幕上为用户提供更改密码提示.在远程桌面服务服务器上复制此行为需要做什么?
我要假定你不能这样做.在强制执行NLA(网络级身份验证)的情况下,用户无法远程登录并更改其密码.
您可以在远程桌面服务器上使用tsconfig.msc,右键单击RDP-Tcp连接并选择“属性”,然后将安全层下拉菜单更改为“RDP安全层”,但随后会丢失NLA.不幸的是,这两个设置是互斥的. 如果必须具有NLA,则需要为用户建立备用方法来更改过期密码,例如通过Outlook Anywhere或RDWeb Access,或者加入域的工作站的物理控制台等. 这有点像是一种捕获22的情况,因为在设计之后,NLA甚至不会分配为您创建远程桌面会话所需的系统资源,直到您的凭据被验证有效为止.但您必须连接到完整会话,创建桌面,为您生成LogonUI.exe等,以便更改密码.但是由于密码已过期,您无法进行会话.我认为,允许这样做会在NLA中打开一个漏洞,用户可以绕过NLA并进行会话,即使他们没有良好的(即未过期的)密码. http://support.microsoft.com/kb/2648402说:
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- windows-server-2008 – 在Windows 2008服务器上禁用UAC是个
- windows-server-2008 – 仅在Windows客户端和域控制器之间打
- windows – 如何以管理员模式运行应用程序?
- active-directory – 如何匿名获取Active Directory域objec
- windows-phone-7 – 使WebBrowser透明化
- Windows和linux命令行快捷键
- Windows – 在cmd(bat文件)中运行reg命令?
- 在Windows上运行PHP应用程序 – 守护进程或cron?
- 将Mono应用程序部署到Windows
- windows-server-2008 – 使用WSUS更新不在域上的计算机