Методи зміни пароля облікового запису користувача в RDP-сесії

1. Спосіб №1 - "Гарячі" клавіші
2. Спосіб №2 - Екранна клавіатура
3. Спосіб №3 - Ярлик на VBS-скрипт або Powershell
4. Спосіб №4 - Ярлик оболонки Windows Explorer
5. Спосіб №5 - Панель управління Windows (локальні облікові записи)
6. Ремарка
7. Спосіб №6 - Remote Desktop Web Access
8. Спосіб №7 - Спеціальний RDP-файл
9. висновок

Наша взаимовыгодная связь https://banwar.org/

При використанні віддаленого підключення до операційних систем Microsoft Windows / Windows Server за протоколом RDP в деяких випадках може виникати потреба в зміні пароля облікового запису користувача. При цьому ініціатором зміни пароля в різних ситуаціях може виступати як сам користувач, так і адміністратор Windows-системи. У деяких сценаріях може вийти так, що, здавалося б, нескладне завдання зміни пароля може стати не такий вже й простий. Тому в даному записі я спробую зібрати інформацію про найрізноманітніші способи зміни пароля облікового запису користувача в RDP-сесії.

Спосіб №1 - "Гарячі" клавіші

У разі, якщо користувачеві Windows необхідно самостійно змінити пароль свого облікового запису, то в стандартній Windows-сесії користувачем може використовуватися всім відоме поєднання "гарячих" клавіш Ctrl- Alt-D el. Це поєднання клавіш викликає спеціальний екран Безпеки Windows (Windows Security), з якого доступна функція зміни пароля:

Якщо ж мова заходить про використання гарячих клавіш в RDP-сесіях, то варто зауважити те, що щоб уникнути перехоплення деяких поєднань клавіш локальної клієнтською системою (системою, з якої запускається RDP-клієнт), перенаправлення сполучень клавіш Windows має бути явно дозволено в властивості RDP -клієнтів. Наприклад в клієнті mstsc.exe, вбудованому в Windows, дану опцію можна включити на закладці управління локальними ресурсів.

У стандартній первинної RDP-сесії для виклику спеціального екрану Безпеки Windows з функцією зміни пароля використовується поєднання клавіш: Ctrl - Alt - End

У разі використання вкладених RDP-сесій (другого і подальшого рівнів), тобто коли з однієї RDP-сесії відкривається інша RDP-сесія, стандартне поєднання клавіш працювати не буде. У різних джерелах в інтернеті можна знайти інформацію про використання складніших поєднань клавіш, таких як Ctrl - Alt - Shift-End або Shift-Ctrl-Alt-End. Однак мої експерименти з Windows 10 / Windows Server 2012 R2 показали, що дані поєднання клавіш просто не працюють (можливо вони працювали в попередніх версіях ОС Windows). У цьому випадку на виручку нам може прийти наступний спосіб.

Спосіб №2 - Екранна клавіатура

У складі Windows є додаток "Екранна клавіатура" (On-Screen Keyboard), розташоване за замовчуванням в% SystemRoot% \ System32 \ osk.exe. Використовуючи цю програму, ми можемо вирішити проблему використання "гарячих" клавіш у вкладених RDP-сесіях.

Перебуваючи у вкладеній RDP-сесії, викличемо вікно запуску додатків. Викликати його можна різними способами, наприклад, через контекстне меню по кнопці Windows, або через Диспетчер завдань (Task Manager):

Або можна використовувати поєднання клавіш Win-R.

У вікні запуску додатків виконаємо запуск виконуваного файлу osk.exe

Після того, як відкриється додаток "Екранна клавіатура", натиснемо на фізичної клавіатурі клавіші Ctrl - Alt, так, щоб це відобразилося на екранній клавіатурі і потім, утримуючи це поєднання клавіш, на екранній клавіатурі мишкою натиснемо кнопку Del.

Таким чином ми відправимо в віддалену RDP-сесію поєднання клавіш Ctrl-Alt-Del, в наслідок чого відкриється спеціальний екран Безпеки Windows з функцією змін пароля користувача.

Спосіб №3 - Ярлик на VBS-скрипт або Powershell

Виклик екрану Безпеки Windows можна виконати не тільки інтерактивними способами, але і програмними, наприклад, за допомогою скриптів.

Створимо VBS -скріпт, наприклад, з ім'ям Windows Security.vbs. Наповнимо скрипт наступного змісту:

Set objShell = CreateObject ( "Shell.Application") objShell.WindowsSecurity

Розмістимо скрипт в місці, доступному для читання (але не для редагування) для всіх користувачів віддаленого робочого стола, наприклад в каталозі% SystemRoot% (C: \ Windows). А ярлик на запуск скрипта можна розмістити в будь-якому доступному користувачам місці, наприклад, в каталозі загального профілю% SystemDrive% \ Users \ Public \ Desktop \

При запуску даного ярлика у користувача буде відкриватися екран Безпеки Windows з можливістю зміни пароля.

Для любителів PowerShell наведений VBS-скрипт можна замінити PS-скриптом такого вигляду:

$ ShellObject = New-Object -ComObject Shell.Application $ ShellObject.WindowsSecurity ()

Або запускати з ярлика команду виду:

C: \ Windows \ System32 \ WindowsPowerShell \ v1.0 \ powershell.exe -noprofile -nologo -noninteractive -command "(new-object -ComObject shell.application) .WindowsSecurity ()"

Однак варто відзначити той факт, що запуск варіанту з PowerShell буде відбуватися повільніше, ніж варіанти з VBS-скриптом.

Описані тут способи з запуском ярлика, що посилається на скрипт, може просто не спрацювати, так як в деяких середовищах серверів служб віддалених робочих столів може бути заблокована можливість виконання скриптів. В такому випадку, можна скористатися наступним способом.

Спосіб №4 - Ярлик оболонки Windows Explorer

Якщо говорити про створення ярлика запуску екрану Безпеки Windows, то є ще один варіант створення такого ярлика. Створюється ярлик з посиланням на розширення оболонки Windows Explorer такого вигляду:

C: \ Windows \ explorer.exe shell ::: {2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}

Знову ж таки, при запуску такого ярлика у користувача буде відкриватися екран Безпеки Windows з можливістю зміни пароля. Цей спосіб однаково добре працює на Windows 10 і на Windows Server 2012 R2.

Спосіб №5 - Панель управління Windows (локальні облікові записи)

Даний спосіб відноситься лише до локальних облікових записів користувачів. Змінити пароль облікового запису рядового локального користувача можна через Панель управління Windows. У Windows 10 з розділу Панелі управління "Облікові записи користувачів" доступний виклик вікна "Параметри комп'ютера", в якому є функція зміни пароля поточного локального користувача.

Такі методи виклику аплету керування обліковими записами користувачів Панелі управління Windows, як, наприклад команда "control userpasswords2", в якості окремого способу ми виділяти не будемо, так як подібні дії вимагають адміністративних прав у віддаленій системі. Те ж саме стосується і таких CLI-утиліт Windows, як net.exe (% SystemRoot% \ System32 \ net.exe) (приклад команди "net user username newpassword"), так як вони теж вимагають підвищення рівня прав користувача.

Ремарка

Окремо хочеться відзначити обставина, про яке часом забувають адміністратори, і це може призводити до різних курйозним ситуацій.

Спроби зміни пароля, ініційовані самим користувачем, можуть виявитися марними в разі, якщо пароль був недавно змінений і на віддалену Windows систему діє політика безпеки, яка визначає мінімальний термін дії пароля.

Як правило, це налаштовується на рівні стандартних доменних групових політик Active Directory і / або механізмів Password Settings objects (PSOs) .

Повторюся, що вплинути на ситуацію ця політика може тільки у випадках, коли користувач самостійно ініціює процедуру зміни пароля.

Далі ми поговоримо про сценарій, при якому вимога зміни пароля включається для облікового запису користувача форсовано адміністратором сервера (для локальних облікових записів), або адміністратором служби каталогів Active Directory (для доменних облікових записів).

Практика показує, що як тільки адміністратором включено вимогу зміни пароля користувача при наступному вході в систему, у користувача можуть виникнути проблеми з підключенням по протоколу RDP, якщо на стороні RDS сервера (а в деяких випадках і на стороні RDS клієнта) попередньо не вжито ніяких дій за спеціальною налаштування обробки таких ситуацій. Далі ми розглянемо кілька прикладів такого налаштування.

Спосіб №6 - Remote Desktop Web Access

Клієнтський доступ до служб Windows Server RDS може бути організований через веб-інтерфейс серверної ролі Remote Desktop Web Access (RDWA). У функціонал цієї ролі є вимкнена за замовчуванням можливість зміни пароля користувача в процесі аутентифікації на веб-сторінці RDWA.

Відразу варто відзначити те, що даний спосіб зміни пароля буде доступний тільки в тому випадку, якщо на веб-вузлах RDWA використовується аутентифікація на основі форми (Forms Authentication), а цей тип аутентифікації несумісний з типом Windows Authentication, про підключення якого ми говорили раніше .

Щоб включити дану можливість в Windows Server 2012/2012 R2 відкриємо консоль управління Internet Information Services (IIS) Manager, виберемо сайт RDWA, розгорнемо RDWeb> Pages і в розділі налаштувань ASP.NET виберемо настройку опцій веб-додатки Application Settings:

У списку опцій знаходимо PasswordChangeEnabled і міняємо встановлений за умовчанням значення false на true:

Якщо серверів RDWA кілька і вони працюють в пулі за балансувальник, наприклад Windows NLB, то не забуваємо виконати дана зміна на всіх інших серверах пулу.

Тепер спробуємо від імені користувача, у якого в властивостях рахунку встановлено вимогу зміни пароля при наступному вході, аутентифицироваться на веб-сторінці RDWA:

Після введення облікових даних користувача з'явиться повідомлення про те, що пароль користувача вимагає заміни і посилання на сторінку з функцією зміни пароля (https: // <RDWA FQDN> /RDWeb/Pages/ru-RU/password.aspx):

На цій окремій сторінці користувач зможе ввести свої поточні облікові дані і новий пароль:

У разі успішної зміни пароля користувач отримає відповідне повідомлення:

При необхідності посилання на сторінку зміни пароля можна зробити доступною не тільки тим користувачам, у яких після аутентифікації виникає вимога зміни пароля, а й усім іншим користувачам, щоб вони могли самостійно виконувати зміну пароля за власною ініціативою через веб-сторінку RDWA. Для цього можна буде впровадити посилання на сторінку password.aspx на сторінці входу login.aspx (за замовчуванням сторінки розташовані в каталозі% windir% \ Web \ RDWeb \ Pages \ ru-RU)

Якщо ж говорити про Windows Server 2008 R2, то в цій ОС для використання функції зміни пароля в RDWA може знадобитися установка поновлення KB2648402 - You can not change an expired user account password in a remote desktop session that connects to a Windows Server 2008 R2-based RD Session Host server in a VDI environment .

Спосіб №7 - Спеціальний RDP-файл

Якщо користувач виконує підключення до віддаленого робочого столу на базі Windows Server 2012/2012 R2 через прямий запуск стандартного клієнта mstsc.exe, то в ситуації з включеним ознакою вимоги зміни пароля, спроба підключення може бути завершена з помилкою "You must change your password before logging on the first time. Please update your password or contact your system administrator or technical support ".

Якщо ситуація вимагає того, щоб користувач самостійно змінив свій пароль при першому вході в систему, то це зажадає деякого зміни рівня безпеки налаштувань протоколу RDP на стороні RDS сервера і підготовки спеціального RDP-файлу на стороні клієнта.

Спочатку на клієнтській стороні відкриємо mstsc.exe, налаштуємо всі потрібні установки сервера RDS і використовуючи кнопку Зберегти як, створимо RDP-файл.

Після цього відкриємо RDP-файл в текстовому редакторі і додамо в кінець файлу рядок "enablecredsspsupport: i: 0"

Додавання даного параметра у властивостях RDP-підключення дозволить клієнтові успішно встановити RDP-сесію з віддаленої системою і змінити пароль до отримання доступу до віддаленого робочого столу. Однак цей параметр знизить рівень безпеки RDP-підключення, так як клієнт не зможе використовувати перевірку автентичності на рівні мережі - Network Level Authentication (NLA). І якщо на стороні RDS сервера включена обов'язкова перевірка NLA, то користувач все одно не зможе підключитися і отримає відповідну помилку "The remote computer requires Network Level Authentication, which your computer does not support ...".

Вирішити цю ситуацію можна тільки знизивши рівень безпеки RDP на стороні RDS сервера, відключивши обов'язкова вимога перевірки автентичності на рівні мережі (NLA). Змінити цю настройку можна у властивостях системи на закладці Віддалений доступ:

В англійській версії Windows назва опції звучить як "Allow connections only from computers running Remote Desktop with Network Level Authentication (recommended)"

Якщо NLA потрібно відключити на рівні колекції серверів Windows Server 2012 R2, то зробити це можна у властивостях колекції сеансів, наприклад через оснащення Server Manager:

Після того, як відключено вимога NLA на стороні RDS сервера, клієнт за допомогою спеціального RDP-файлу, про який ми сказали вище, повинен успішно встановити RDP-сесію і вже в ній отримати повідомлення про необхідність зміни пароля:

І після цього користувачеві буде показаний екран, на якому він зможе задати новий пароль:

Після успішної зміни пароля наступні підключення по протоколу RDP будуть проходити в штатному режимі без зайвих запитів.

висновок

Наведений тут перелік способів зміни пароля при використанні протоколу RDP не претендує на якусь повноту і винятковість, а лише відображає ту інформацію, яку мені вдалося знайти в різних джерелах з цього приводу. На мій погляд, жоден з перерахованих способів не можна вважати найбільш зручним або універсальним, так як кожен із способів може застосовуватися в певних обмежених сценаріях і має, як переваги, так і недоліки в порівнянні з іншими способами.

Додаткові джерела інформації:

схоже