Dies ist meine erste Implementierung von Remote Desktop Services/Terminal Services; wir verwenden sie als Lösung für Mac-Clients, die eine neue, nur unter Windows verfügbare Software ausführen müssen.
Meine Frage betrifft die Rationalisierung des Benutzerinstallationsprozesses. Wir haben derzeit keinen Verzeichnisdienst, der sich auf den Windows-Server erstreckt, daher muss ich diese Konten vorübergehend mit einem vom Administrator festgelegten Kennwort aktivieren und den Benutzer zwingen, sein Kennwort bei der ersten Anmeldung zu ändern.
Leider scheint die entsprechende Checkbox in der Benutzerverwaltung keine praktikable Lösung zu sein... der Mac-ClientsowieDie Anmeldung beim Windows RDP-Client schlägt fehl.
(Vielleicht übersehe ich hier etwas? Wir haben bisher nur den RD Session Host installiert; ich bin mir nicht sicher, welchen Zweck der Gateway-Server in unserer Implementierung hat. Vielleicht löst einer dieser Schritte das Problem mit dem Zurücksetzen des Passworts? Ich verwende den neuen „Microsoft Remote Desktop“-Client, der im App Store erhältlich ist, sehe aber dasselbe Verhalten mit der alten RDC-App.)
Im Idealfall möchte ich, dass sich der Benutzer mit den von mir bereitgestellten Anmeldeinformationen anmelden kann und sofort ein Dialogfeld zum Ändern des Kennworts angezeigt wird. Ich habe bereits eine Batchdatei, die bei der ersten Anmeldung ausgeführt wird, und hoffte auf etwas, das dort implementiert werden könnte ... das weiteste, was ich erreicht habe, ist control /name Microsoft.UserAccounts, aber ich kann nicht herausfinden, wie ich zum Bildschirm „Kennwort ändern“ gelangen kann.
Ich habe auch darüber nachgedacht, net User %USERNAME% *bis mir klar wurde, dass es als Administrator ausgeführt werden muss, was bei der Batchdatei nicht der Fall ist.
Da es mit ziemlicher Sicherheit schwierig sein wird, mich überhaupt aus dem Client-Setup-Prozess herauszulösen, habe ich als letzte Alternative in Erwägung gezogen, selbst zufällig sichere Passwörter zu generieren und die Passwörter der Benutzer bei der Installation in ihrem OS X-Schlüsselbund zu speichern – wodurch die Server-Anmeldung effektiv transparent wird.
Gibt es Ratschläge von erfahreneren Administratoren, wie ich hier vorgehen sollte?
Antwort1
Das einzige, was die „automatische“ Passwortänderung verhindert, ist die Anforderung einer Authentifizierung auf Netzwerkebene. Solange der Remotedesktopserver Verbindungen ohne NLA zulässt, funktioniert die Funktion zur Passwortänderung sowohl auf dem Mac- als auch auf dem Windows-Client einwandfrei.
Der Client kann weiterhin eine Verbindung herstellenmitNLA, sobald das Passwort geändert wurde, aber die Passwortänderung selbst erfordert, dass eine Sitzung ohne Authentifizierung beginnt - NLA findet stattVorDie Sitzung beginnt und muss mit einem gültigen Login erfolgen. Logins mit der Markierung „Benutzer muss bei der nächsten Anmeldung sein Passwort ändern“ gelten als abgelaufen, d. h. als ungültig, und können daher nicht zur Authentifizierung einer Sitzung auf Netzwerkebene verwendet werden.
Um Nicht-NLA-Sitzungen zuzulassen, öffnen Sie die RD-Sitzungshostkonfiguration und doppelklicken Sie auf die RDP-Tcp-Verbindung. Das Kontrollkästchen für NLA befindet sich im Abschnitt „Sicherheit“ der Registerkarte „Allgemein“.