Почему не сменяется пароль у пользователя windows server 2019?

Question

[Evgeniy_Glazunov]

Здравствуйте, помогите с решением вопроса, есть два сервера DC Windows server 2019(контроллер домена) и терминальный Windows server 2019 к которому подключаются по RDP и уже там работают, системы новые пока не в боевом режиме. С терминальным есть проблема если в карточке пользователя поставить галочку менять сменить пароль при входе, то как только пользователь заходит вводит первичный пароль какой ему выдали и вводит новый по всем правилам. А после начинается вечный цикл со сменой и вводом первичного пароля при этом на сервер не пускает. Ни с админскимии правами никак. NLA выключен доступ на сервер дан, без галочки пользователи заходят только в путь. По интернету в основном описано про пользовательские машины в домене а не про подключение по РДП и терминальный доступ, вопрос в какой политике это можно починить или в какую сторону копать?

Answer 1

[Дмитрий]

А какая разница? Политики пользователей всё равно же в домене. Вот там и ставь галочки.

Comments

[Evgeniy_Glazunov]

Поймите правильно, в домене в ad как раз и стоит галка сменить пароль при входе, у доменных пользователей проблемы а не у локальных, у них таких проблем и быть не может.

[Дмитрий]

Evgeniy_Glazunov, Ну вот значит криво домен настроен. Лучше сам пропиши всем пароли, что бы и ты их знал, и составь себе список.

[Дмитрий]

Evgeniy_Glazunov, Кстати, сменить пароль они должны сначала на своём рабочем месте. А то тут они вошли в учётку, а потом в РДП-сессии пытаются менять пароль. Видимо от этого и затык. Поставь галочку, пусть юзер у себя перелогинится, сменит пароль, и потом уже лезет по РДП сразу с новым.

[Evgeniy_Glazunov]

Дмитрий, пользователь будет заходить с домашнего пк по рдп где его уже встречает окно смены пароля, но при смене пароля изменения не применяются. К сожалению не могу сам им прописать и выдать правила безопасности. Вот и хочу понять где не докрутил что не применяются пароли.

[Дмитрий]

Evgeniy_Glazunov, А терминальник в домене? Его ГПО куда смотрит? Если пользователь заходит с домашнего ПК, то перед логином ставит имя домена? Доступ идёт пробросом портов (не кошерно и опасно) или с ВПН (православно и правильно)?

[Evgeniy_Glazunov]

Дмитрий, в домене ГПО смотрит в домен, и пользователь заходит с FIRM_NAME\user_name; дело то в том что если без смены пароля легко входит и подключается а когда делаешь смену пароля, такое ощущение что даже не логинится что бы сменить.

[Дмитрий]

Evgeniy_Glazunov, Потому что по РДП аутентификация происходит ДО запуска сеанса. Отключи Network Level Authentication (NLA) на терминальнике. А в его РДП файл допиши строку enablecredsspsupport:i:0. Но это будет, конечно, дыра.

[Дмитрий]

Evgeniy_Glazunov, В Диспетчере серверов - оснастка «Службы удаленных рабочих столов» - QuickSesionCollection -> Свойства коллекции -> Задачи -> Изменить свойства - Безопасность -> Уровень безопасности -> Согласование -> Уровень безопасности RDP.

[Evgeniy_Glazunov]

Дмитрий, не работает, я три дня уже пытаюсь сделать. Скриптом так же не вариант, вроде как сошлись пока на том что пользователи через ctrl+alt+end будут сами менять. Спасибо за помощь если будет ещё какая мысль пишете.