Это моя первая реализация служб удаленных рабочих столов/служб терминалов; мы используем ее как решение для клиентов Mac, которым необходимо запустить новое программное обеспечение, работающее только под Windows.
Мой вопрос касается оптимизации процесса установки пользователя. В настоящее время у нас нет службы каталогов, которая распространяется на Windows Server, поэтому мне нужно временно активировать эти учетные записи с паролем, определенным администратором, и заставить пользователя сменить свой пароль при первом входе в систему.
К сожалению, соответствующий флажок в управлении пользователями, похоже, не является работоспособным решением... клиент Macа такжеклиент Windows RDP не может войти в систему.
(Возможно, я что-то упускаю? Пока что у нас установлен только RD Session Host; я не уверен, какова цель Gateway Server в нашей реализации. Может быть, что-то из этого решит проблему сброса пароля? Я использую новый клиент «Microsoft Remote Desktop», доступный в App Store, но вижу то же самое поведение со старым приложением RDC.)
В идеале я хотел бы, чтобы пользователь мог войти в систему с предоставленными мной учетными данными и немедленно получить диалоговое окно для смены пароля. У меня уже есть пакетный файл, запущенный при первом входе в систему, и я надеялся, что что-то можно будет реализовать там... самое большее, что я получил, это control /name Microsoft.UserAccounts, но я не могу понять, как перейти к экрану «Изменить пароль».
Я тоже думал об этом, net User %USERNAME% *пока не понял, что это нужно запускать от имени администратора, а пакетный файл — нет.
Почти наверняка будет сложно избавиться от процесса настройки клиента, поэтому я рассматриваю еще одну альтернативу: самостоятельно генерировать случайные надежные пароли и сохранять пароли пользователя в его или ее связке ключей OS X при установке, что фактически делает вход на сервер прозрачным.
Есть ли какие-нибудь советы от более опытных администраторов о том, как мне поступить в этом случае?
решение1
Единственное, что здесь препятствует "автоматическому" изменению пароля, это требование аутентификации на уровне сети. Пока сервер удаленного рабочего стола допускает соединения без NLA, функция изменения пароля будет работать нормально как в клиентах Mac, так и в Windows.
Клиент все еще может подключитьсяс использованиемNLA после смены пароля, но сама смена пароля требует начала сеанса без аутентификации — происходит NLAдосеанс начинается и должен использовать действительный логин. Логины, отмеченные как «Пользователь должен сменить пароль при следующем входе в систему», считаются просроченными, т. е. недействительными, поэтому их нельзя использовать для аутентификации на сетевом уровне сеанса.
Чтобы разрешить сеансы без NLA, откройте RD Session Host Configuration и дважды щелкните соединение RDP-Tcp. Флажок для NLA находится в разделе безопасности на вкладке General.