Пользователи могут нажать кнопку CTRL+ALT+DEL и выбрать Изменить пароль из открывшегося меню, чтобы изменить пароль на рабочей станции Windows. Однако это не сработает, если вы подключены к удаленному компьютеру через сеанс RDP. Если вы нажмете комбинацию клавиш CTRL + ALT + DEL, она не будет передана в сеанс удаленного рабочего стола (терминала). Вместо этого вы перейдете к приглашению изменить пароль пользователя на локальном компьютере.
- Использование CTRL + ALT + END для изменения пароля пользователя в сеансе удаленного рабочего стола
- Изменение пароля с помощью экранной клавиатуры во вложенном сеансе RDP
- Сценарий для изменения пароля пользователя в RDP-сессии
- Изменение пароля через веб-доступ к удаленному рабочему столу (RDWeb)
- Как изменить просроченный пароль через RDP с включенным NLA CredSSP Auth
В Windows Server 2016/Windows 10 и более поздних версиях пользователи могут изменить свой пароль из приложения «Настройки» (Настройки -> Счета -> Варианты входа в систему -> Пароль -> Change). Однако пользователям обычно сложно найти эту опцию. Поэтому для открытия запроса на смену пароля удобно использовать другие методы.
Используйте CTRL + ALT + END для изменения пароля пользователя в сеансе удаленного рабочего стола
Чтобы открыть окно Безопасность Windows диалог в сеансе RDP, используйте комбинацию клавиш Ctrl + Alt + End. Это сокращение аналогично Ctrl + Alt + Delete, но работает только в окне RDP-соединения.
Это вызовет диалоговое окно Windows Security, в котором можно нажать ‘Изменить пароль‘, чтобы продолжить.
Введите текущий (старый) и новый пароль (дважды) в стандартном диалоге смены пароля.
Изменение пароля с помощью экранной клавиатуры во вложенном сеансе RDP
Если вы подключены к удаленному компьютеру через цепочку из нескольких RDP-хостов (jump hosts), вы не сможете использовать CTRL+ALT+END для изменения пароля пользователя. Это связано с тем, что нажатие этой клавиши будет перехвачено первым сеансом RDP.
В этих случаях пользователь может использовать встроенную функцию Windows Экранная клавиатура для изменения пароля во вложенном сеансе RDP.
- Откройте экранную клавиатуру в самом вложенном сеансе RDP (набрав
osk.exeв меню Пуск -> Выполнить);
- Вы увидите экранную клавиатуру;
- Нажмите
CTRL+ALTна физической (локальной) клавиатуре (это должно отобразиться на экране), а затем нажмите кнопкуDelна экранной клавиатуре во вложенном сеансе RDP; - Это позволит отправить сообщение
Ctrl + Alt + Delкомбинацию клавиш в сеанс RDP. Откроется окно Windows Security, в котором можно изменить пароль.
Сценарий для изменения пароля пользователя в RDP-сессии
Диалог Windows Security для изменения пароля в сеансе RDP можно вызвать программно с помощью сценария VBS/PowerShell или специального ярлыка оболочки.
Например, создайте сценарий WindowsSecurity.vbs текстовый файл со следующим кодом VBScript на рабочем столе:
set objShell = CreateObject("shell.application")
objshell.WindowsSecurity
Дважды щелкните файл VBS, чтобы открыть окно смены пароля.
Поместите этот VBS-файл на общий рабочий стол хоста RDS (%SystemDrive%\Users\Public\Desktop\), или скопируйте его на рабочие столы пользователей с помощью GPO.
Вы можете вызвать это окно безопасности Windows для изменения пароля с помощью PowerShell
(New-Object -COM Shell.Application).WindowsSecurity()
Простой ярлык на рабочем столе со следующей целью позволит пользователям открывать приглашение смены пароля.
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -noprofile -nologo -noninteractive -command "(new-object -ComObject shell.application).WindowsSecurity()"
Существует возможность создать ярлык проводника файлов Windows с помощью следующей команды оболочки:
explorer.exe shell:::{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}
Изменение пароля через веб-доступ к удаленному рабочему столу (RDWeb)
Если вы получаете доступ к серверам RDP через хост с Веб-доступ к удаленному рабочему столу (RDWA), вы можете разрешить смену истекшего пароля на странице входа в систему RDWA.
Откройте консоль IIS Manager (InetMgr.exe) на сервере с ролью RD Web Access и перейдите в раздел Сайты -> Веб-сайт по умолчанию -> RDWeb -> Страницы. Откройте Настройки приложения.
Установите PasswordChangeEnabled опция правда.
Перезапустите IIS:
iiseset
Теперь пользователи могут изменить истекшие пароли через веб-интерфейс RDS WebAccess, перейдя по ссылке:
https://[RDWEB-HostName]/RDWeb/Pages/en-US/password.aspx
en-US на код вашего языка. Например, с de-DE для немецкого языка.
Как изменить просроченный пароль через RDP с включенным NLA CredSSP Auth
Аутентификация на сетевом уровне (NLA) с помощью Поставщик поддержки защиты учетных данных (CredSSP) протокол включен по умолчанию для протокола RDP во всех современных версиях Windows. CredSSP с NLA обеспечивает дополнительную безопасность, проверяя подлинность пользователя перед созданием сеанса RDP.
Если срок действия пароля пользователя истек, или администратор AD включил User must change password at next logon в атрибуте userAccountControl (обычно включается для новых учетных записей пользователей AD), пользователь получит следующую ошибку при попытке войти в систему через RDP:
Remote Desktop Connection You must change your password before logging on the first time. Please update your password or contact your system administrator or technical support.
В результате пользователь не может подключиться к узлу RDP и сменить пароль.
- Настройте узел RDWA со страницей смены пароля, как описано выше;
- Отключите NLA на хосте RDP (не рекомендуется!!! так как это значительно снижает безопасность RDP) и использовать.RDP файл с
enablecredsspsupport:i:0опцией для соединений; - Создайте отдельный хост RDP только для изменения пароля. Вам не нужно устанавливать роль Remote Desktop Session Host на этот хост или добавлять пользователей в локальный
Remote Desktop Users, но вы должны отключить NLA. В этом случае пользователи смогут изменить свой пароль, но не смогут войти на этот хост по RDP; - Пользователи могут удаленно изменить свой пароль с помощью PowerShell (для этого требуется прямой доступ с компьютера пользователя к контроллеру домена).
