Cryer 17 Posted November 12, 2020 Report Posted November 12, 2020 Wir betreiben hier einen RDS2019. Nun habe ich eingestellt, dass Benutzer das Passwort bei der nächsten Anmeldungändern müssen. Tja, doof nur, dass die Verbindung unter genau diesem Hinweis von Anfang an abgelehnt wird und der Benutzer gar nicht die Chance bekommt das Passwort zu ändern. Was kann getan werden? Quote
Sunny61 816 Posted November 12, 2020 Report Posted November 12, 2020 In diesem Artikel wird beschrieben, welcher Parameter in der RDP-Datei stehen muss, damit das funktioniert: https://docs.hetzner.com/de/robot/dedicated-server/windows-server/changing-windows-password/ Quote
Cryer 17 Posted November 12, 2020 Author Report Posted November 12, 2020 (edited) Danke für die Antwort. Das ist ja mal wieder super durchdacht von Microsoft. (nicht!) Mit der verlinkten Lösung kann ich wenig anfangen. Man will den Benutzern ja was mitgeben. Da hilft wohl nur die Benutzer dazu anzuhalten, dass sie das Kennwort selber ändern. Kontrollieren kann man das aber nicht und wirklich intuitiv ist der Weg auch nicht (Man muss "STRG" + "ALT" + Ende" drücken) Sowas bescheuertes. Edited November 12, 2020 by Cryer Quote
NorbertFe 2,138 Posted November 12, 2020 Report Posted November 12, 2020 Falls ihr adfs im Einsatz habt, damit ginge sowas, bzw. Citrix kann das auch. vor 12 Minuten schrieb Cryer: Man muss "STRG" + "ALT" + Ende" drücken Na sowas aber auch. ;) Quote
testperson 1,746 Posted November 12, 2020 Report Posted November 12, 2020 Hi, das sollte über RDWeb machbar sein. Um was für Clients handelt es sich bzw. ist eine Anmeldung / Passwortänderung nicht am Client machbar und dann per SSOn weiter zu den RDSHs? Gruß Jan Quote
Cryer 17 Posted November 12, 2020 Author Report Posted November 12, 2020 Trotzdem total schwachsinnig. vor 1 Stunde schrieb NorbertFe: Na sowas aber auch. ;) Es geht darum, dass ich keine Möglichkeit habe zu kontrollieren, ob der Benutzer sein Passwort wirklich geändert hat. Quote
testperson 1,746 Posted November 12, 2020 Report Posted November 12, 2020 vor 10 Minuten schrieb Cryer: Es geht darum, dass ich keine Möglichkeit habe zu kontrollieren, ob der Benutzer sein Passwort wirklich geändert hat. "pwdLastSet" Attribut des Users. 1 Quote
NorbertFe 2,138 Posted November 12, 2020 Report Posted November 12, 2020 Doch, hast du. Ansonsten kann er sich ja nicht mehr anmelden. ;) Quote
Cryer 17 Posted November 12, 2020 Author Report Posted November 12, 2020 vor 38 Minuten schrieb NorbertFe: Doch, hast du. Ansonsten kann er sich ja nicht mehr anmelden. ;) Wie meinen? Quote
NorbertFe 2,138 Posted November 12, 2020 Report Posted November 12, 2020 Ohne Kennwortänderung passiert keine Anmeldung. Hast du doch oben selbst geschrieben. Jede Variante die dir das technisch ermöglicht setzt also durch, dass der Nutzer das Kennwort ändert, bevor die Anmeldung erfolgreich ist. Heißt, ohne Kennwortänderung könnten deine Nutzer ja gar nicht arbeiten. Prüfen kannst du das bspw. Wie oben angegeben. Wenn dir keine der Lösungen zur Verfügung steht, ist das ja nicht das „schwachsinnig“, sondern falsche Planung oder Erwartung. ;) Quote
Cryer 17 Posted November 12, 2020 Author Report Posted November 12, 2020 (edited) Na das ist ja genau der Punkt Norbert. Ohne Anmeldung keine Kennwortänderung, ohne Kennwortänderung keine Anmeldung. Ich habe den entsprechenden Haken jetzt erstmal rausgenommen und den Benutzer (der sich via VPN von woanders anmeldet) gebeten das Passwort zu ändern. Finde das aber eine äußerst unsaubere Methode darauf vertrauen zu müssen. Deutlich geschickter wäre es, wenn sich der Benutzer via RDP anmelden will und dann das Passwort ändern muss, ohne dass da in einer Datei rumgefummelt werden muss. Der Tipp von testperson um zu prüfen, ob das Kennwort geändert wurde kann ja bei einem überschaubaren Kreis noch angewandt werden, aber bei einem Größeren? Edited November 12, 2020 by Cryer Quote
NorbertFe 2,138 Posted November 12, 2020 Report Posted November 12, 2020 Größere Kreise haben entsprechende Lösungen. Einige davon wurden im thread genannt. Dass die dir ggf. Als Lösung nicht gefallen heißt ja nix. Quote
Sunny61 816 Posted November 13, 2020 Report Posted November 13, 2020 vor 11 Stunden schrieb Cryer: Danke für die Antwort. Das ist ja mal wieder super durchdacht von Microsoft. (nicht!) Mit der verlinkten Lösung kann ich wenig anfangen. Man will den Benutzern ja was mitgeben. Da hilft wohl nur die Benutzer dazu anzuhalten, dass sie das Kennwort selber ändern. Kontrollieren kann man das aber nicht und wirklich intuitiv ist der Weg auch nicht (Man muss "STRG" + "ALT" + Ende" drücken) Beschwer dich bitte bei MSFT direkt, hier ist der falsche Platz dafür. Hat Du die Lösung denn gelesen? Erstell eine RDP-Datei, pack dort die Zeile mit rein und kopier sie den Usern auf den Desktop. Kleines HowTo dazu, fertig. BTW: STRG + ALT + ENDE ist schon sehr sehr alt. Gibt es schon mindestens seit Virtual Server 2003R2. :) vor 8 Stunden schrieb Cryer: Der Tipp von testperson um zu prüfen, ob das Kennwort geändert wurde kann ja bei einem überschaubaren Kreis noch angewandt werden, aber bei einem Größeren? Da wird das ganze Verfahren anders geplant, der Haken für die Kennwortänderng gesetzt, fertig. Und natürlich kannst Du es per Powershell minütlich prüfen lassen, das Attribut hast Du ja schon genannt bekommen. Quote
testperson 1,746 Posted November 13, 2020 Report Posted November 13, 2020 Vielleicht fangen wir nochmal vorne an. "Dein Problem" kennen wir ja jetzt. ;) Was für ein Szenario betreibst du denn da? Mit ein wenig mehr an Infos, kann man dir vielleicht auch andere / bessere Wege aufzeigen. Was für Clients? Welche VPN Lösung? Client to Site? Site to Site? Wo befinden sich die Clients? Wo befindet sich die RDS Farm? Was befindet sich alles in der Bereitstellung? Sind die Clients in einer Domäne? Von einer Kennwortänderung über ein (SSL) VPN Portal über Remote Desktop Web Access bis hin zu ganz wilden 3rd Party Lösungen ist hier sicherlich vieles in mehr oder wenige komplex machbar. Quote
Cryer 17 Posted November 14, 2020 Author Report Posted November 14, 2020 Die Leute verbinden sich mittels OpenVPN ins Netzwerk und benutzen dann Remotedesktop um sich auf den RDS zu verbinden. Der RDS befindet sich bei uns im Gebäude, die Benutzer sind außerhalb, also beispielsweise in einer anderen Dienststelle oder zu Hause. Die Clients sind nicht Teil der Domäne. Auf dem RDS befinden sich folgende Dienste: - Remotedesktoplizenzierung - Reotedesktop-Sitzungshost - Remotedesktop-Verbindungsbroker - Web Access für Remotedesktop (Ist aber nur intern erreichbar (nicht vom externen Clients, trotz VPN) und wird auch nicht benutzt) Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.