Jump to content
Sign in to follow this  
zahni

RDP, CredSSP und erzwungene Passwortänderungen

Recommended Posts

Hi,

 

ich muss  einem User aus  einer anderen Domäne mit  einschränkten Rechte einen RDP-Zugang zu einer Server-VM ermöglichen (rein zur Administration einer Anwendung).

Es wird  ein lokales Konto verwendet, dass nur dieser Server kennt.

Das Problem: Lt. anderen Vorgaben, muss u.a. eine Passwort-Änderung bei der 1. Anmeldung erzwungen werden und eine Änderung des Passworts alle X Tage.

Leider scheint dies über den CredSSP-Provider nicht zu funktionieren. Bei einem neueren RDP-Client kommt die Meldung, dass der user sein Passwort ändern muss. Leider kommt sonst aber nix.

Bei älteren RDP-Clients (Windows 7/2008R2) kommt "The Local Security Authority cannot be contacted".

 

Hat da jemand eine Idee?

 

-Zahni

Share this post


Link to post
Share on other sites

Hi Zahni,

 

ihmo ist das "By Design" bei aktivierter Network Level Authentication.

 

Sofern definitv ein lokaler Account verwendet werden muss, könnte ja ein IIS auf der Server-VM als "Self-Service Portal" zum Password Reset eingerichtet.

Anschließend wird ein Handout für die User erstellt wie Sie das Kennwort über die IIS Website zurücksetzen können.

 

https://support.microsoft.com/en-au/help/907271/how-to-use-the-iisadmpwd-password-change-pages

 

Gruß Gadget

Edited by Gadget
Link hinzugefüt

Share this post


Link to post
Share on other sites
vor 13 Minuten schrieb zahni:

Das geht nämlich nicht, wenn NLA erzwungen wird.

Genau, anbei noch der KB-Artikel

 

https://support.microsoft.com/en-us/help/2648402/you-cannot-change-an-expired-user-account-password-in-a-remote-desktop

 

Zitat

In the protocol specification for CredSSP, there is no reference to the ability to change the user's password while NLA is running. Therefore, the observed behavior can be considered "by design." 
CredSSP is the underlying technology that enables NLA, and it does not support password changes. Therefore, password changes are not enabled in MSTSC. Other RD clients that support NLA should be unable to change the user’s password.

Gruß Philipp

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...