Esta es mi primera implementación de Servicios de Escritorio remoto/Servicios de Terminal; Lo estamos usando como una solución para clientes Mac que necesitan ejecutar un nuevo software solo para Windows.
Mi pregunta es sobre agilizar el proceso de instalación del usuario. Actualmente no tenemos un servicio de directorio que se extienda a Windows Server, por lo que necesito activar temporalmente estas cuentas con una contraseña definida por el administrador y obligar al usuario a cambiar su contraseña en el primer inicio de sesión.
Lamentablemente, la casilla de verificación correspondiente en la gestión de usuarios no parece ser una solución viable... el cliente Macasí comoel cliente RDP de Windows no puede iniciar sesión.
(¿Quizás me falta algo aquí? Hasta ahora solo tenemos instalado el host de sesión de RD; no estoy seguro de cuál es el propósito del servidor de puerta de enlace en nuestra implementación. ¿Quizás uno de estos resuelva el problema de restablecimiento de contraseña? Estoy usando el nuevo cliente "Microsoft Remote Desktop" disponible en la App Store, pero ve el mismo comportamiento con la antigua aplicación RDC).
Idealmente, me gustaría que el usuario pudiera iniciar sesión con las credenciales proporcionadas y que se le solicitara inmediatamente un cuadro de diálogo de cambio de contraseña. Ya tengo un archivo por lotes ejecutándose en el primer inicio de sesión y esperaba algo que pudiera implementarse allí... lo más lejos que he llegado es control /name Microsoft.UserAccounts, pero no puedo entender cómo profundizar en "Cambiar tu contraseña". " pantalla.
También lo estuve considerando net User %USERNAME% *hasta que me di cuenta de que debía ejecutarse como administrador, mientras que el archivo por lotes no lo es.
Es casi seguro que, en primer lugar, será difícil liberarme del proceso de configuración del cliente, por lo que una última alternativa que he estado considerando es generar aleatoriamente contraseñas seguras por mi cuenta y guardar las del usuario en su llavero OS X. cuando lo instalo, lo que efectivamente hace que el inicio de sesión del servidor sea transparente.
¿Alguna sabiduría de administradores más experimentados sobre cómo debo hacer esto?
Respuesta1
Lo único que impide el cambio de contraseña "automatizado" es el requisito de autenticación a nivel de red. Siempre que el servidor de Escritorio remoto permita conexiones sin NLA, la funcionalidad de cambio de contraseña funcionará bien en los clientes Mac o Windows.
El cliente aún puede conectarseusandoNLA una vez que se ha cambiado la contraseña, pero el cambio de contraseña en sí requiere que se inicie una sesión sin haber sido autenticado: se realiza NLAantesLa sesión comienza y debe utilizar un inicio de sesión válido. Los inicios de sesión marcados como "El usuario debe cambiar la contraseña en el próximo inicio de sesión" se consideran caducados, es decir, no válidos, por lo que no se pueden utilizar para autenticar una sesión a nivel de red.
Para permitir sesiones que no sean NLA, abra la Configuración del host de sesión de RD y haga doble clic en la conexión RDP-Tcp. La casilla de verificación para NLA se encuentra en la sección de seguridad de la pestaña General.