Cześć, mam WS 2012 - w domenie.
Ustawienia że co 30 dni należy zmienić hasło, użytkownikom lokalnym bezproblemu pojawia się informacja o zmiane hasła wpisują stare potem nowe i działa, natomiast użytkownikom zdalnego pulpity informacja też wyskakuje że trzeba zmienić hasło ale żeby skontaktować się z adminem, i ja musze im je ustawiać. Pamiętam że kiedyś była opcja żeby mogli sobie uzytkownicy zdalni też zmieniać ale za nic w świecie nie potrafię sobie przypomnieć w którym miejscu się to ustawiało? podpowiecie?
Skoro już jestem przy zdalnych użytkownikach co myślicie o “mapowaniu” ścieżce do folderu użytkownika, co mam na myśli nie ważne czy użytkownik działa przez zdalny pulpit czy zaloguje się na którymś komputerze w firmie ale przez swoje konto domenowe to “jego pulpit i reszta” jest wszędzie z nim. Nazywa się to wędrujące profile?
Gdzieś w sieci czytałem że jest z tym różnie i lepiej po prostu stworzyć każdemu jego imienny folder aby się automatycznie montował i to “bezpieczniejsze” rozwiazanie
Z tego co widzę jest tam opcja w momencie gdy mam usługi pulpitu zdalnego włączone.
Ja korzystam jedynie z dwóch wbudowanych kont administratorskich więc działa to nieco inaczej, nie jestem pewny ale wydaje mi się że ustawiało się to aby hasło można było zmienić samemu gdzieś z pozycji GPO
bardziej łopatologicznie:
opcje są w gpo w tym miejscu, są dostępne dla każdego komputera i nie trzeba mieć na nim zainstalowanych żadnych usług: Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security
Poniższa opcja wymusza logowanie po połączeniu do RDP:
Enable Require use of specific security layer for remote (RDP) connections and select RDP as Security Layer .
można to też zrobić korzystając ręcznie przygotowanego pliku RDP z opcją:
enablecredsspsupport:i:0
Poniższa opcja wyłącza logowanie na poziomie sieci:
Disable Require user authentication for remote connections by using Network Level Authentication policy.
Można to zrobić też ręcznie we Właściwościach Systemu.
Co ja ci mam powiedzieć? Masz nadal uwierzytelnienie na poziomie sieci. Dlaczego? Nie wiem.
Zrewiduj czy na pewno masz poprawnie wdrożone zasady w “wynikowym zestawie zasad”. Zobacz, czy działa z tym wyedytowany plik rdp z opcją enablecredsspsupport:i:0.
Dziwne to wszystko jest, jak skończy mi się hasło Administratora, to bez problemu pojawia mi się ekran zmiany hasła przez RDP. Jeśli skończy się hasło zwykłego użytkownika - to już nie pojawia się ekran tylko to co powyżej że aby zmieć hasło musisz skontakować się z adminem, gdy utworze profil do logowania się przez RDP i w edycji wpisze na końcu enablecredsspsupport:i:0. to faktycznie działa niezależnie czy admin czy zwykły użytkownik. Ale problematyczne jest każdemu użytkownikowi edytować profil.
Na chwilę postawiłem Windows Server 2016 - i tam bez żadnych modyfikacji tam działa
Natomiast na produkcji mam jeszcze Windows Server 2019 i jest dokładnie tak samo jak w 2012.
