これは、リモート デスクトップ サービス/ターミナル サービスの最初の実装です。新しい Windows 専用ソフトウェアを実行する必要がある Mac クライアント向けのソリューションとして使用しています。
私の質問は、ユーザー インストール プロセスの効率化に関するものです。現在、Windows Server に拡張されるディレクトリ サービスがないため、管理者が定義したパスワードを使用してこれらのアカウントを一時的にアクティブ化し、最初のログイン時にユーザーにパスワードの変更を強制する必要があります。
残念ながら、ユーザー管理の関連チェックボックスは実用的な解決策ではないようです...Macクライアント同様にWindows RDP クライアントがログインに失敗します。
(何か見落としているのでしょうか? これまでインストールしたのは RD セッション ホストのみで、実装におけるゲートウェイ サーバーの目的がわかりません。これらのいずれかでパスワード リセットの問題が解決するかもしれません。App Store から入手できる新しい「Microsoft リモート デスクトップ」クライアントを使用していますが、古い RDC アプリでも同じ動作が見られます。)
理想的には、ユーザーが提供された資格情報を使用してログインし、すぐにパスワード変更ダイアログが表示されるようにしたいと思います。最初のログイン時にバッチ ファイルが実行されており、そこに実装できるものがあればいいなと思っていましたがcontrol /name Microsoft.UserAccounts、私が到達した最も遠いところは ですが、「パスワードの変更」画面にドリルダウンする方法がわかりません。
私も検討していましたnet User %USERNAME% *が、バッチ ファイルは管理者として実行する必要があることに気付きました。
そもそもクライアントのセットアップ プロセスから抜け出すのはほぼ間違いなく難しいので、私が検討している最後の代替案は、自分で安全なパスワードをランダムに生成し、インストール時にユーザーのパスワードを OS X キーチェーンに保存することです。これにより、サーバー ログインが実質的に透過的になります。
これについてどのように対処すべきかについて、経験豊富な管理者からのアドバイスはありますか?
答え1
ここで「自動」パスワード変更を妨げている唯一のものは、ネットワーク レベル認証の要件です。リモート デスクトップ サーバーが NLA なしの接続を許可している限り、パスワード変更機能は Mac クライアントでも Windows クライアントでも正常に動作します。
クライアントは引き続き接続できます使用してパスワードが変更されるとNLAが実行されますが、パスワードの変更自体は認証なしでセッションを開始する必要があります。NLAは前にセッションが開始され、有効なログインを使用する必要があります。「ユーザーは次回ログオン時にパスワードを変更する必要があります」とマークされたログインは期限切れ、つまり無効とみなされるため、セッションのネットワーク レベルの認証には使用できません。
NLA 以外のセッションを許可するには、RD セッション ホスト構成を開き、RDP-Tcp 接続をダブルクリックします。NLA のチェックボックスは、[全般] タブのセキュリティ セクションにあります。