Esta é minha primeira implementação de Serviços de Área de Trabalho Remota/Serviços de Terminal; estamos usando-o como uma solução para clientes Mac que precisam executar um novo software somente para Windows.
Minha pergunta é sobre como agilizar o processo de instalação do usuário. No momento, não temos um serviço de diretório que se estenda ao Windows Server, então preciso ativar temporariamente essas contas com uma senha definida pelo administrador e forçar o usuário a alterar sua senha no primeiro login.
Infelizmente, a caixa de seleção relevante no gerenciamento de usuários não parece ser uma solução viável... o cliente Macassim comoo cliente RDP do Windows não consegue fazer login.
(Talvez esteja faltando alguma coisa aqui? Só temos o Host de Sessão RD instalado até agora; não tenho certeza de qual é o propósito do Servidor Gateway em nossa implementação. Talvez um deles resolva o problema de redefinição de senha? Estou usando o novo cliente "Microsoft Remote Desktop" disponível na App Store, mas observe o mesmo comportamento com o antigo aplicativo RDC.)
Idealmente, gostaria que o usuário pudesse fazer login com minhas credenciais fornecidas e receber imediatamente uma caixa de diálogo de alteração de senha. Já tenho um arquivo em lote em execução no primeiro login e esperava algo que pudesse ser implementado lá... o mais longe que cheguei foi control /name Microsoft.UserAccounts, mas não consigo descobrir como detalhar a seção "Alterar sua senha " tela.
Eu também estava pensando net User %USERNAME% *até perceber que deveria ser executado como Admin, o que o arquivo em lote não é.
É quase certo que será difícil me livrar do processo de configuração do cliente, então uma alternativa final que estou considerando é gerar senhas seguras aleatoriamente por conta própria e salvar as do usuário em seu OS X Keychain quando eu instalo - tornando efetivamente o login do servidor transparente.
Alguma sabedoria de administradores mais experientes sobre como devo fazer isso?
Responder1
A única coisa aqui que impede a alteração de senha "automatizada" é o requisito de autenticação em nível de rede. Contanto que o servidor de Área de Trabalho Remota permita conexões sem NLA, a funcionalidade de alteração de senha funcionará bem em clientes Mac ou Windows.
O cliente ainda pode se conectarusandoNLA uma vez que a senha foi alterada, mas a própria alteração da senha exige que uma sessão comece sem ter sido autenticada - o NLA ocorreantesa sessão começa e deve usar um login válido. Logins marcados como "O usuário deve alterar a senha no próximo logon" são considerados expirados, ou seja, inválidos, portanto não podem ser usados para autenticar uma sessão no nível da rede.
Para permitir sessões não NLA, abra Configuração do Host de Sessão RD e clique duas vezes na conexão RDP-Tcp. A caixa de seleção para NLA está na seção de segurança da guia Geral.