web-dev-qa-db-ja.com

RDP経由でログインするときにユーザーがパスワードを変更できるようにするにはどうすればよいですか?

管理者とユーザーがリモートデスクトップ接続を介してアクセスできるWindows Server 2012 R2サーバーを実行しています。ユーザーとローカルセキュリティポリシーを設定して、各ユーザーの最初のログイン時、およびその後90日ごとに、パスワードの変更を求められるようにしました。

ただし、ユーザーのアカウントがパスワードをリセットする必要がある状態にある場合は常に、RDPを使用して接続しようとすると、リモートデスクトップ接続クライアント(v10.0)から次のエラーメッセージが表示されます。

初めてログオンする前にパスワードを変更する必要があります。パスワードを更新するか、システム管理者またはテクニカルサポートに連絡してください。

代わりにリモートデスクトップ接続マネージャークライアント(v2.7)を使用すると、同じことが起こりますが、エラーはわずかに異なります。

初めてログオンする前に、ユーザーパスワードを変更する必要があります

サーバーは、ドメイン上ではなくスタンドアロンです。セキュリティコンプライアンス要件のため、ネットワークレベル認証を有効にする必要があります。サーバーはクラウド仮想マシンであるため、コンソールにアクセスできません。

NLAのセキュリティ構成に妥協することなく、この問題に対する回避策を見つけることに失敗しました。私は明らかな何かを見逃しましたか?回答やコメントはありがたいです。ありがとうございました。

4
TimS

RDP自体では実行できません。 (NLAを無効にすることなく)

CredSSPのプロトコル仕様では、NLAの実行中にユーザーのパスワードを変更する機能への言及はありません。したがって、観察された動作は「仕様」と見なすことができます。

CredSSPは、NLAを有効にする基盤テクノロジーであり、パスワードの変更をサポートしていません。したがって、パスワードの変更はMSTSCでは有効になっていません。 NLAをサポートする他のRDクライアントは、ユーザーのパスワードを変更できないようにする必要があります。

ソース: https://support.Microsoft.com/en-us/help/2648402/you-cannot-change-an-expired-user-account-password-in-a-remote-desktop

彼らが示唆するように、RDWeb経由でパスワードを変更できるようにすることはオプションです。私が見た別のオプションは、Exchange Webメールを介してパスワードを変更することです。

1
eKKiM