Как изменить пароль в RDP сессии Windows Server 2012

При терминальном (rdp) подключении к удаленному серверу вызвать окно смены пароля нажатием Ctlr + ALt + Delete нельзя, т.к. это сочетание клавиш в терминальную сессию не передается, выполняясь на локальной машине. В Windows Server 2003/2008, чтобы сменить пароль пользователя по RDP, достаточно было нажать кнопку Пуск и выбрать элемент Windows Security -> Change Password.

В Windows Server 2012 найти кнопку Windows Security проблематично в связи с отсутствием привычного меню Пуск как такового.

К счастью, в Windows Server 2012 / R2 пользователь может сменить пароль в RDP-сессии, воспользовавшись сочетанием клавиш Ctlr + ALt + End. Эта комбинация отправляет сочетание Ctlr + ALt + Delete в терминальное окно сервера, на котором открывается меню Windows Security. Осталось нажать на кнопку Change a password и сменить пароль текущего пользователя.

В том случае, если пользователь работает с клиента, с которого невозможно отправить Ctlr + ALt + End (например, используется нестандартный клиент или пользователь работает через несколько rdp сессий), можно создать файл с расширением vbs, содержащий следующий код скрипта на VBScript:

Запустив этот файл (двойным щелчком или выполнив в командой строке: cscript changepassword.vbs ), можно открыть экран Windows Security.

На Powershell эту же операцию можно выполнить так:

Изменение пароля учетной записи Windows Server 2012

Смена пароля

В данном руководстве будет рассмотрена процедура изменения пароля в операционной системе Windows Server 2012

Для того чтобы изменить пароль в своей учетной записи Администратора
Нажмите «Пуск» и на иконку Панель управления как на скриншоте ниже

В окне Панель управление выберите «Учетные записи пользователей» , далее снова нажмите «Учетные записи пользователей» и в новом окне «Управление другой учетной записью»

Выберите одну из учетных записей

Затем Изменить пароль

Далее в окне «Изменение пароля»

• 1. Введите текущий пароль

• 2. Введите новый пароль (не меньше 8 символов и латинскими буквами ) в строке «Подтверждения пароля» — введите новый пароль ещё раз

• 3. Сохраните изменения кнопкой «Сменить пароль»

Таким образом Вы сменили пароль на текущую учетную запись, теперь мы рассмотрим функцию «Срок истечения пароля»

Срок истечения пароля

На сервере функция «Срок истечения пароля» по умолчанию установлена в 42 дня, это говорит о том что через каждые 42 дня Ваша система будет требовать смены пароля.
Где изменить или отключить эту функцию мы рассмотрим ниже

Нажмите «Пуск» далее Администрирование

Открываем окно «Локальная политика безопасности»

В окне «Локальная политика безопасности» слева нажмите на стрелку «Политика учетных записей» далее на папку «Политика паролей»

Затем справа откройте запись «Максимальный срок действия пароля 42 дн.»

В открывшемся окне в значении «Срок истечения действия пароля» введите 0 или нужное Вам значение
Значение «0» — говорит системе о том что — функция «Срок истечения действия пароля» — отключена.
В таком режиме срок действия пароля — бесконечный.

Пользователь может не иметь возможности изменить свой пароль, если вы настроят параметр «Пользователь должен изменить пароль при следующем учете в учетной записи».

В этой статье данная статья содержит некоторые сведения о проблеме, из-за которую пользователь может не иметь возможности изменить пароль при настройке параметра «Пользователь должен изменить пароль при следующем учете при следующем учете в учетной записи».

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 320325

Аннотация

Если вы администратор, вы можете настроить пользователя, который должен изменить пароль при следующем параметре для учетной записи пользователя при сбросе пароля. В этом случае пользователю потребуется изменить пароль при следующем входе в систему. Однако если вы настроили этот параметр и пользователю будет предложено изменить пароль, задержка репликации может привести к тому, что пользователь получит сообщение о том, что старый пароль неверен после вводить старый пароль. В этой статье описывается сценарий, в котором возникает эта проблема.

Дополнительные сведения

При сбросе пароля пользователя можно настроить, что пользователь должен изменить пароль при следующем параметре. Обычно эта операция выполняется на основном хозяине операций контроллера домена (PDC), который может быть расположен на сайте, который отличается от сайта, на который пользователь выполняет вход. Поэтому может возникать задержка репликации, что может привести к симптомам, описанным в предыдущем разделе. Эта проблема описана в следующем сценарии:

1. Пользователь забудет свой пароль (например, password1), а затем сбросит пароль до password2.
2. Пользователь на удаленном сайте использует новый пароль (password2) для входа в локальный контроллер домена (удаленный контроллер домена).
3. Удаленный контроллер домена не распознает пароль password2 (он знает только password1). Контроллер домена передает (цепочки) запрос на регистрацию в мастере операций PDC.
4. Мастер операций PDC удовлетворяет запрос на регистрацию, а затем передает удаленному контроллеру домена сообщение о том, что пользователю необходимо изменить пароль.
5. Это сообщение передается обратно на клиентский компьютер, где пользователю будет предложено изменить пароль.
6. Когда пользователю будет предложено изменить пароль, им будет предложено ввести старый пароль и новый пароль. В этом случае пользователь в качестве старого пароля ввести новый пароль (password2), а затем ввести новый пароль.
7. Клиент снова свяжитесь с удаленным контроллером домена (так как этот контроллер домена находится на том же сайте, что и клиент), чтобы изменить пароль. Однако удаленный контроллер домена имеет пароль, который пользователь использовал во время запроса на сброс пароля (password1), и не распознает пароль password2 как старый пароль.
8. Поскольку password2 не является правильным старым паролем (в соответствии с удаленным контроллером домена), операция смены пароля не будет работать. Однако после того как новый пароль (password2) реплицируется на удаленный контроллер домена, если пользователь вводит пароль2 при запросе на ввод старого пароля, операция смены пароля будет успешной.

Вы можете уменьшить задержку в сети, изменив пароль пользователя на контроллере домена на сайте, на который пользователь входит. Чтобы изменить фокус оснастки «Пользователи Active Directory & Компьютеры» на контроллер домена на сайте, щелкните правой кнопкой мыши верхнюю часть левой области оснастки «Пользователи Active Directory & Компьютеры» и выберите «Подключиться к контроллеру домена». Теперь вы можете найти контроллер домена на сайте, на который находится пользователь, и изменить пароль.

ИТ База знаний

Курс по Asterisk

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Курс по сетям

Пошаговый ввод в домен Windows 10

Основные команды cmd в Windows

Поднимаем контроллер домена на Windows 2008 R2

Как перезагрузить Windows Server 2016

Windows Server. Дедупликация: от установки до использования

Создаем свой WIM-образ Windows

Настройка фаервола в Windows через PowerShell

Еженедельный дайджест

Как изменить пароль администратора в Windows Server 2008 R2 или 2012

3 минуты чтения

Может наступить время, когда вам нужно изменить пароль администратора на вашем Windows Server. Варианты восстановления зависят от того, помните ли вы старый пароль или нет.

Обучайся в Merion Academy

Пройди курс по сетевым технологиям

Начать

Если вы регулярно меняете известный пароль администратора, вы можете использовать пользовательский интерфейс Windows. Однако, если вы изменяете неизвестный пароль администратора, вам нужно использовать командную строку.

Изменение пароля администратора сервера Windows Server 2008 R2

Если вы уже знаете текущий пароль администратора и можете войти в Windows Server 2008 R2, изменить пароль так же просто, как перейти к списку пользователей и установить новый пароль.

1. Войдите на сервер напрямую или удаленно.
2. Щелкните правой кнопкой мыши на Компьютер и выберите пункт Управление (Manage).
3. Выберите пункт Конфигурация (Configuration)
4. Нажмите Локальные пользователи и группы (Local Users and Groups) ->Пользователи (Users).
5. Найдите и щелкните правой кнопкой мыши на пользователе Администратор.
6. Нажмите Установить пароль (Set Password) ->Продолжить (Proceed).
7. Введите и подтвердите новый пароль.

Как сбросить пароль в Windows Server 2008 R2 или 2012

Что делать, когда вам нужно изменить пароль администратора, потому что вы потеряли старый пароль?

Если у вас нет старого пароля, вы не можете получить доступ к серверу, чтобы изменить пароли пользователей. Вместо этого вам нужно будет использовать командную строку для сброса пароля администратора.

1. Вставьте установочный диск в компьютер и загрузите его.
2. На экране Язык и другие настройки (Language and other preferences) нажмите Далее.
3. Выберите ссылку Восстановить компьютер (Repair your computer).
4. Выберите установку ОС и нажмите Далее.
5. Нажмите Командная строка (Command Prompt).
6. Введите следующее: Приведенная выше команда создает резервную копию менеджера утилит. Эта команда заменяет Utilman командной строкой. Это необходимо для сброса пароля.

Упомянутые выше команды могут различаться в зависимости от пути установки Windows. В нашем примере это на диске C. Если ваша установка находится на другом разделе диска, измените команду соответствующим образом.

После завершения вы сможете войти в систему как администратор. Однако не забудьте отменить изменения в Utilman . Для этого:

1. Перезагрузите компьютер снова с установочного диска.
2. Откройте командную строку.
3. Запустите следующее:

Как восстановить пароль Windows Server 2012 с диска восстановления пароля

Если вы создали диск восстановления пароля (Password Recovery Disk) для своего сервера, вставьте USB-накопитель в сервер и перезагрузите систему.

1. При появлении запроса на вход нажмите ссылку Сбросить пароль (Reset Password).
2. В мастере забытых паролей нажимайте кнопку Далее, пока вам не будет предложено указать местоположение диска с паролями.
3. Выберите диск для сброса пароля и следуйте инструкциям, чтобы установить новый пароль.
4. Перезагрузите компьютер и войдите под новым паролем.

Способы смены пароля учётной записи пользователя в RDP-сессии

При использовании удалённого подключения к операционным системам Microsoft Windows/Windows Server по протоколу RDP в некоторых случаях может возникать потребность в смене пароля учётной записи пользователя. При этом инициатором смены пароля в разных ситуациях может выступать как сам пользователь, так и администратор Windows-системы. В некоторых сценариях может получиться так, что, казалось бы, несложная задача смены пароля может стать не такой уж и простой. Поэтому в данной записи я попробую собрать информацию о самых разнообразных способах смены пароля учётной записи пользователя в RDP-сессии.

Способ №1 — «Горячие» клавиши

В случае, если пользователю Windows необходимо самостоятельно изменить пароль своей учётной записи, то в стандартной Windows-сессии пользователем может использоваться всем известное сочетание «горячих» клавиш Ctrl-Alt-Del. Это сочетание клавиш вызывает специальный экран Безопасности Windows (Windows Security), с которого доступна функция изменения пароля :

Если же речь заходит об использовании горячих клавиш в RDP-сессиях, то стоит заметить то, что во избежание перехвата некоторых сочетаний клавиш локальной клиентской системой (системой, с которой запускается RDP-клиент), перенаправление сочетаний клавиш Windows должно быть явно разрешено в свойствах RDP-клиента. Например в клиенте mstsc.exe, встроенном в Windows, данную опцию можно включить на закладке управления локальными ресурсам.

В стандартной первичной RDP-сессии для вызова специального экрана Безопасности Windows с функцией изменения пароля используется сочетание клавиш: Ctrl—Alt—End

В случае использования вложенных RDP-сессий (второго и последующего уровней), то есть когда из одной RDP-сессии открывается другая RDP-сессия, стандартное сочетание клавиш работать не будет. В разных источниках в интернете можно найти информацию об использовании более сложных сочетаний клавиш, таких как Ctrl—Alt—Shift-End или Shift-Ctrl-Alt-End. Однако мои эксперименты с Windows 10/Windows Server 2012 R2 показали, что данные сочетания клавиш попросту не работают (возможно они работали в ранних версиях ОС Windows). В этом случае на выручку нам может прийти следующий способ.

Способ №2 — Экранная клавиатура

В составе Windows имеется приложение «Экранная клавиатура» (On-Screen Keyboard), расположенное по умолчанию в %SystemRoot%\System32\osk.exe. Используя это приложение, мы можем решить проблему использования «горячих» клавиш во вложенных RDP-сессиях.

Находясь во вложенной RDP-сессии, вызовем окно запуска приложений. Вызвать его можно разными способами, например, через контекстное меню по кнопке Windows, или через Диспетчер задач (Task Manager):

Либо можно использовать сочетание клавиш Win-R.

В окне запуска приложений выполним запуск исполняемого файла osk.exe

После того, как откроется приложение «Экранная клавиатура», нажмём на физической клавиатуре сочетание клавиш Ctrl—Alt, так, чтобы это отобразилось на экранной клавиатуре и затем, удерживая это сочетание клавиш, на экранной клавиатуре мышкой нажмём кнопку Del.

Таким образом мы отправим в удалённую RDP-сессию сочетание клавиш Ctrl-Alt-Del, в следствие чего откроется специальный экран Безопасности Windows с функцией изменений пароля пользователя.

Способ №3 – Ярлык на VBS-скрипт или Powershell

Вызов экрана Безопасности Windows можно выполнить не только интерактивными способами, но и программными, например, с помощью скриптов.

Создадим VBS-скрипт, например, с именем Windows Security.vbs . Наполним скрипт следующим содержимым:

Разместим скрипт в месте, доступном на чтение (но не для редактирования) для всех пользователей удалённого рабочего стола, например в каталоге %SystemRoot% ( C:\Windows ). А ярлык на запуск скрипта можно разместить в любом доступном пользователям месте, например, в каталоге общего профиля %SystemDrive%\Users\Public\Desktop\

При запуске данного ярлыка у пользователя будет открываться экран Безопасности Windows с возможностью изменения пароля.

Для любителей PowerShell приведённый VBS-скрипт можно заменить PS-скриптом следующего вида:

Либо запускать из ярлыка команду вида:

Однако стоит отметить тот факт, что запуск варианта с PowerShell будет происходить медленней, чем варианта с VBS-скриптом.

Описанные здесь способы с запуском ярлыка, ссылающегося на скрипт, может попросту не сработать, так как в некоторых окружениях серверов служб удалённых рабочих столов может быть заблокирована возможность выполнения скриптов. В таком случае, можно воспользоваться следующим способом.

Способ №4 – Ярлык оболочки Windows Explorer

Если говорить о создании ярлыка запуска экрана Безопасности Windows, то имеется ещё один вариант создания такого ярлыка. Создаётся ярлык со ссылкой на расширение оболочки Windows Explorer следующего вида:

Опять же, при запуске такого ярлыка у пользователя будет открываться экран Безопасности Windows с возможностью изменения пароля. Этот способ одинаково хорошо работает на Windows 10 и на Windows Server 2012 R2.

Способ №5 – Панель управления Windows (локальные учётные записи)

Данный способ относится лишь к локальным учётным записям пользователей. Изменить пароль учётной записи рядового локального пользователя можно через Панель управления Windows. В Windows 10 из раздела Панели управления «Учётные записи пользователей» доступен вызов окна «Параметры компьютера«, в котором имеется функция изменения пароля текущего локального пользователя.

Такие методы вызова апплета управления учётными записями пользователей Панели управления Windows, как, например команда «control userpasswords2«, в качестве отдельного способа мы выделять не будем, так как подобные действия требуют административных прав в удалённой системе. То же самое касается и таких CLI-утилит Windows, как net.exe ( %SystemRoot%\System32\net.exe ) (пример команды «net user username newpassword«), так как они тоже требуют повышения уровня прав пользователя.

Ремарка

Отдельно хочется отметить обстоятельство, про которое порой забывают администраторы, и это может приводить к разным курьёзным ситуациям.

Попытки смены пароля, инициированные самим пользователем, могут оказаться безуспешными в случае, если пароль был недавно изменён и на удалённую Windows систему действует политика безопасности, определяющая минимальный срок действия пароля.

Как правило, это настраивается на уровне стандартных доменных групповых политик Active Directory и/или механизмов Password Settings objects (PSOs) .

Повторюсь, что повлиять на ситуацию эта политика может только в случаях, когда пользователь самостоятельно инициирует процедуру смены пароля.

Далее мы поговорим о сценарии, при котором требование смены пароля включается для учётной записи пользователя форсировано администратором сервера (для локальных учётных записей), либо администратором службы каталогов Active Directory (для доменных учётных записей).

Практика показывает, что как только администратором включено требование смены пароля пользователя при следующем входе в систему, у пользователя могут возникнуть проблемы с подключением по протоколу RDP, если на стороне RDS сервера (а в некоторых случаях и на стороне RDS клиента) предварительно не предпринято никаких действий по специальной настройке обработки таких ситуаций. Далее мы рассмотрим пару примеров такой настройки.

Способ №6 — Remote Desktop Web Access

Клиентский доступ к службам Windows Server RDS может быть организован через веб-интерфейс серверной роли Remote Desktop Web Access (RDWA). В функционале этой роли имеется выключенная по умолчанию возможность смены пароля пользователя в процессе аутентификации на веб-странице RDWA.

Сразу стоит отметить то, что данный способ смены пароля будет доступен только в том случае, если на веб-узлах RDWA используется аутентификация на основе формы (Forms Authentication), а этот тип аутентификации несовместим с типом Windows Authentication, о подключении которого мы говорили ранее .

Чтобы включить данную возможность в Windows Server 2012/2012 R2 откроем консоль управления Internet Information Services (IIS) Manager, выберем сайт RDWA, развернём RDWeb > Pages и в разделе настроек ASP.NET выберем настройку опций веб-приложения Application Settings:

В перечне опций находим PasswordChangeEnabled и меняем установленное по умолчанию значение false на true:

Если серверов RDWA несколько и они работают в пуле за балансировщиком, например Windows NLB, то не забываем выполнить данное изменение на всех других серверах пула.

Теперь попытаемся от имени пользователя, у которого в свойствах учётной записи установлено требование смены пароля при следующем входе, аутентифицироваться на веб-странице RDWA:

После ввода учётных данных пользователя появится сообщение о том, что пароль пользователя требует замены и ссылка на страницу с функцией смены пароля ( https:// /RDWeb/Pages/ru-RU/password.aspx ):

На этой отдельной странице пользователь сможет ввести свои текущие учётные данные и новый пароль:

В случае успешной смены пароля пользователь получит соответствующее сообщение:

При необходимости ссылку на страницу смены пароля можно сделать доступной не только тем пользователям, у которых после аутентификации возникает требование смены пароля, но и всем остальным пользователям, чтобы они могли самостоятельно выполнять смену пароля по собственной инициативе через веб-страницу RDWA. Для этого можно будет внедрить ссылку на страницу password.aspx на странице входа login.aspx (по умолчанию страницы расположены в каталоге %windir%\Web\RDWeb\Pages\ru-RU )

Если же говорить про Windows Server 2008 R2, то в этой ОС для использования функции смены пароля в RDWA может потребоваться установка обновления KB2648402 — You cannot change an expired user account password in a remote desktop session that connects to a Windows Server 2008 R2-based RD Session Host server in a VDI environment .

Способ №7 – Специальный RDP-файл

Если пользователь выполняет подключение к удалённому рабочему столу на базе Windows Server 2012/2012 R2 через прямой запуск стандартного клиента mstsc.exe, то в ситуации с включенным признаком требования смены пароля, попытка подключения может быть завершена с ошибкой » You must change your password before logging on the first time. Please update your password or contact your system administrator or technical support «.

Если ситуация требует того, чтобы пользователь самостоятельно изменил свой пароль при первом входе в систему, то это потребует некоторого изменения уровня безопасности настроек протокола RDP на стороне RDS сервера и подготовки специального RDP-файла на стороне клиента.

Сначала на клиентской стороне откроем mstsc.exe, настроим все нужные параметры подключения к серверу RDS и используя кнопку Сохранить как, создадим RDP-файл.

После этого откроем RDP-файл в текстовом редакторе и добавим в конец файла строку «enablecredsspsupport:i:0«

Добавление данного параметра в свойствах RDP-подключения позволит клиенту успешно установить RDP-сессию с удалённой системой и сменить пароль до получения доступа к удалённому рабочему столу. Однако этот параметр понизит уровень безопасности RDP-подключения, так как клиент не сможет использовать проверку подлинности на уровне сети — Network Level Authentication (NLA). И если на стороне RDS сервера включена обязательная проверка NLA, то пользователь всё равно не сможет подключиться и получит соответствующую ошибку » The remote computer requires Network Level Authentication, which your computer does not support. «.

Разрешить эту ситуацию можно только понизив уровень безопасности RDP на стороне RDS сервера, отключив обязательное требование проверки подлинности на уровне сети (NLA). Изменить эту настройку можно в свойствах системы на закладке Удалённый доступ:

В английской версии Windows название опции звучит как «Allow connections only from computers running Remote Desktop with Network Level Authentication (recommended)»

Если NLA нужно отключить на уровне коллекции серверов Windows Server 2012 R2, то сделать этом можно в свойствах коллекции сеансов, например через оснастку Server Manager:

После того, как отключено требование NLA на стороне RDS сервера, клиент с помощью специального RDP-файла, о котором мы сказали выше, должен успешно установить RDP-сессию и уже в ней получить сообщение о необходимости смены пароля:

И после этого пользователю будет показан экран, на котором он сможет задать новый пароль:

После успешной смены пароля последующие подключения по протоколу RDP будут проходить в штатном режиме без лишних запросов.

Заключение

Приведённый здесь перечень способов смены пароля при использовании протокола RDP не претендует на какую-то полноту и исключительность, а лишь отражает ту информацию, которую мне удалось найти в разных источниках по этому поводу. На мой взгляд, ни один из перечисленных способов нельзя считать наиболее удобным или универсальным, так как каждый из способов может применяться в определённых ограниченных сценариях и имеет, как преимущества, так и недостатки по сравнению с другими способами.

Дополнительные источники информации: