Windows Server - ustawienie haseł

Cześć, mam WS 2012 - w domenie.
Ustawienia że co 30 dni należy zmienić hasło, użytkownikom lokalnym bezproblemu pojawia się informacja o zmiane hasła wpisują stare potem nowe i działa, natomiast użytkownikom zdalnego pulpity informacja też wyskakuje że trzeba zmienić hasło ale żeby skontaktować się z adminem, i ja musze im je ustawiać. Pamiętam że kiedyś była opcja żeby mogli sobie uzytkownicy zdalni też zmieniać ale za nic w świecie nie potrafię sobie przypomnieć w którym miejscu się to ustawiało? podpowiecie?

Skoro już jestem przy zdalnych użytkownikach co myślicie o “mapowaniu” ścieżce do folderu użytkownika, co mam na myśli nie ważne czy użytkownik działa przez zdalny pulpit czy zaloguje się na którymś komputerze w firmie ale przez swoje konto domenowe to “jego pulpit i reszta” jest wszędzie z nim. Nazywa się to wędrujące profile?
Gdzieś w sieci czytałem że jest z tym różnie i lepiej po prostu stworzyć każdemu jego imienny folder aby się automatycznie montował i to “bezpieczniejsze” rozwiazanie

Inny Winodws, ale metody te same

Nic nie sądzę. Wszystko ustawia się w zależności od potrzeb i możliwości.

Z tego co widzę jest tam opcja w momencie gdy mam usługi pulpitu zdalnego włączone.
Ja korzystam jedynie z dwóch wbudowanych kont administratorskich więc działa to nieco inaczej, nie jestem pewny ale wydaje mi się że ustawiało się to aby hasło można było zmienić samemu gdzieś z pozycji GPO

bardziej łopatologicznie:
opcje są w gpo w tym miejscu, są dostępne dla każdego komputera i nie trzeba mieć na nim zainstalowanych żadnych usług:
Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security

Poniższa opcja wymusza logowanie po połączeniu do RDP:

  • Enable Require use of specific security layer for remote (RDP) connections and select RDP as Security Layer .
    można to też zrobić korzystając ręcznie przygotowanego pliku RDP z opcją:
    enablecredsspsupport:i:0

Poniższa opcja wyłącza logowanie na poziomie sieci:

  • Disable Require user authentication for remote connections by using Network Level Authentication policy.
    Można to zrobić też ręcznie we Właściwościach Systemu.

Postąpiłem zgodnie z instrukcją i nadal komunikat następujący :

Co ja ci mam powiedzieć? Masz nadal uwierzytelnienie na poziomie sieci. Dlaczego? Nie wiem.

Zrewiduj czy na pewno masz poprawnie wdrożone zasady w “wynikowym zestawie zasad”. Zobacz, czy działa z tym wyedytowany plik rdp z opcją enablecredsspsupport:i:0.

Dziwne to wszystko jest, jak skończy mi się hasło Administratora, to bez problemu pojawia mi się ekran zmiany hasła przez RDP. Jeśli skończy się hasło zwykłego użytkownika - to już nie pojawia się ekran tylko to co powyżej że aby zmieć hasło musisz skontakować się z adminem, gdy utworze profil do logowania się przez RDP i w edycji wpisze na końcu enablecredsspsupport:i:0. to faktycznie działa niezależnie czy admin czy zwykły użytkownik. Ale problematyczne jest każdemu użytkownikowi edytować profil.
Na chwilę postawiłem Windows Server 2016 - i tam bez żadnych modyfikacji tam działa
Natomiast na produkcji mam jeszcze Windows Server 2019 i jest dokładnie tak samo jak w 2012.