ある顧客向けのRDSソリューションがあります。 RDゲートウェイを介してデスクトップにサービスを提供するセッションコレクションがあり、セッションホストサーバーがいくつかあります。すべての負荷分散など。これは、ユーザーの接続とパフォーマンスの点で非常に便利です。
システムが組み込まれている間、ユーザーに「パスワードを無期限にする」を設定してきましたが、今ではパスワードポリシーを適用する必要がある段階に達しています。スムーズな移行のために「簡単な」パスワードを発行したため、次回のログオン時にすべてのユーザーにパスワードの変更を強制することを選択しました。これは、ユーザーのプロパティの下にあるADの[ユーザーは次回ログオン時にパスワードを変更する必要がある]チェックボックスをオンにするだけで行われましたが、次回ログオン時にユーザーに新しいパスワードの入力を求めるのではなく、ログオンがすぐに拒否されました。
パスワードを誤って入力していないことを確認するためにもう一度試しましたが、確かに、「ログオンに失敗しました」というエラーでログインが拒否されました。 ADに戻り、「ユーザーは次回ログオン時にパスワード変更が必要」のチェックを外すと、問題なく再びログインできます。
ログイン後、CTRL、ALT、ENDを押して「パスワードの変更」を選択すると、パスワードを変更できるようです-古いパスワード、新しいパスワード、確認するパスワードの入力を求められますが、何を使用していても「パスワードを更新できません。新しいパスワードに指定された値は、ドメインの長さ、複雑さ、または履歴の要件を満たしていません。ランダムに生成された24文字のパスワードを使用しました。大文字、小文字、数字、記号を使用します。デフォルトの2012年の複雑さのルールを満たさないということはありません。
だから私は2つの質問があります...
ADでこのオプションをオンにすると、ユーザーログオンが拒否されるのはなぜですか?
ユーザーにパスワードの変更を許可/強制するにはどうすればよいですか?
RDPと組み合わせてネットワークレベル認証を使用する場合(より安全なオプションであるため、これを使用する必要があります)、パスワードの有効期限が切れている場合は接続できません。これは、有効期限が切れたパスワードでは接続できないため、 パスワードを変更するために接続できない であることを意味します。基になるCredSSPプロトコルにはそのような機能がないため、これは設計上考慮されています。
セルフサービスパスワードリセットポータルなど、ユーザーが期限切れのパスワードを変更するためのその他の手段を提供する必要があります。 (たとえば、Forefront Identity Manager。)
パスワードの複雑さの要件が満たされていないことについては、めったに言及されない他のパスワードポリシーの障害、つまり最小パスワード有効期間に達していると思います。パスワードが最近変更された場合、一定の時間が経過するまでパスワードを再度変更することはできません。
リモートユーザーのパスワードはRD Webアクセスロールで変更できます。これは この回答 で説明されています。ここにもユーザーへの通知の解決策があります=保留中のパスワードの有効期限。
(RDWebにタグを付けたことがわかりますので、このソリューションを使用していただければ幸いです)。
[〜#〜] nla [〜#〜]が使用されている場合、[〜#〜] rdp [〜#〜]を使用してログオンまたはパスワードを変更することはできません=、すでに説明したように。