Имеется:
1. Домен с AD, группами и пользователями.
2. Шлюз на базе Керио.
3. VPN
4. Удаленные пользователи домена.
Необходимо реализовать возможность удаленным пользователям домена самостоятельно изменять свой доменный пароль.
Так-же поднял отдельную виртуалку на Win7, вогнал ее в домен для того, чтобы к ней подключались удаленщики под своими доменными учетками и меняли пароль. Но, не все так просто...
Удаленный сотрудник устанавливает VPN соединение с авторизацией по своему доменному логину:паролю, если на момент установки соединения в его учетке стоит галочка "Требовать смену пароля при следующем входе", то авторизация не проходит.
Если не требовать смену пароля таким способом, а заставлять после установки VPN соединения открывать RDP к виртуалке и там менять пароль, то в момент смены пароля на постоянной основе получаем ошибку, что пароль не соответствует требованиям политики паролей или уже был использован ранее. Что не верно, т.к. проверял, создав нового пользователя, ну и с паролем, подходящим под требования политики тоже не мог ошибиться.
Собственно, каким еще образом можно сменить пароль доменным пользователям?
З.Ы. Вариант смены через RDP (без VPN) с пробросом портов на шлюзе работает, но этот вариант не хочется использовать на постоянной основе, т.к. это явная дырка в системе безопасности.
Знаю два варианта (или\или):
1. Использовать виндовый VPN из ролей, он при подключении сам предлагает сменить пароль, если стоит птичка о принудительное смене.
2. Оставить как есть и заводить пользователей сразу предоставляя сложные и длинные пароли. Если пользователь захочет его сменить, то сможет это сделать в RDP сессии при нажатии ctrl+alt+insert. Но, по опыту, удаленщики не любят менять свои пароли, поэтому и надо вводить нормальные без принудительной смены
PS:
Я сам использую второй вариант, поскольку львиная доля сервисов внешние и AD нужна только для аутентификации в этих сервисах.
Спасибо за информацию.
1. Рассмотрю такой вариант. Но не все удаленщики работают на винде, многие на никсах.
2. Пользователей заводим со сложными паролями. Но смысл в том, чтобы удаленщики попадали под политику смены пароля раз в месяц. VPN + RDP до специально выделенной машины для смены пароля отпадает.
Причины описаны выше, когда срок действия пароля истек или стоит галка для обязательной смены пароля, не удается установить VPN (имею ввиду через клиент kerio vpn), да и при попытке сменить пароль валятся ошибки.
Макс, Раз с месяц? Не сильно ли вы гайки закручиваете?
В таком случае пишите скрипт, который парсит пользователей, выясняет у кого истекает пароль и отправляет письмо человеку для его смены. И как дополнительный вариант - смотрите в сторону мульти факторной авторизации, тогда можно пароли не менять так часто
Средний
Простой
