Passwort ändern über Remotedesktop und RD Web Access

Wenn das Kennwort für Remotedesktop-Benutzer abgelaufen ist und sie dieses nicht über den lokalen Rechner ändern können, dann bietet ihnen der Terminal-Server standardmäßig dafür keine Möglichkeit. Eine solche lässt sich am besten über RD Web Access einrichten, eine entsprechende Konfiguration von RDP verlangt dagegen Abstriche bei der Sicherheit.

Die Antwort auf die Frage, wie man sein Passwort über Remotedesktop ändern kann, wird in diversen Foren immer wieder damit beantwortet, dass man STRG - ALT - Entf drücken sollte, um den dafür benötigten Dialog anzuzeigen. Diese Tastenkombination lässt sich zwar an Remote Sessions schicken, aber das setzt natürlich voraus, dass man sich schon am Server angemeldet hat. Ist das Kennwort jedoch abgelaufen, so man sich nicht mehr authentifizieren kann, dann muss man sich anderweitig behelfen.

Verweis auf den Helpdesk

Die naheliegende Lösung, das Kennwort für den Domänen-Account einfach über das lokale Windows zu ändern, klappt nicht immer. Das ist etwa der Fall, wenn man Thin Clients einsetzt oder wenn das Endgerät nicht Mitglied in einer Domäne ist.

Falls das Passwort abgelaufen ist und man eine Verbindung mit einem Terminal-Server über das Web-Interface oder den RDP-Client herstellen möchte, dann empfehlen beide in einer Fehlermeldung, den Administrator zu kontaktieren. In Umgebungen, in denen die User regelmäßig ihre Kennwörter ändern müssen, wird dieser Hinweis keine Begeisterung beim Helpdesk auslösen.

Kennwort über Web-Formular ändern

Wenn die Anwender über RD Web Access auf ihre RemoteApp oder Session-basierten Desktops zugreifen, dann lässt sich dieses Problem relativ einfach und elegant lösen. Server, auf denen die Rolle RD Web Access installiert wurde, enthalten unter c:\windows\web\RDWeb\pages\de-de (oder je nach Sprachversion in en-US, o.a.) die Datei password.aspx.

Bevor man diese jedoch ausführen kann, bedarf es einer Änderung der Website-Einstellungen. Dazu startet man den IIS Manager und wechselt in der Navigationsleiste zu Default Website => RDWeb => Pages. Anschließend klickt man auf das Symbol Anwendungseinstellungen und sucht nach dem Eintrag PasswordChangeEnabled. Dessen Wert ändert man vom vorgegeben false auf true.

Hat man den IIS Manager nicht installiert, dann kann man alternativ im Verzeichnis Pages die Datei web.config direkt bearbeiten. Sie enthält gleich am Anfang die Zeile

<add key="PasswordChangeEnabled" value="false" />

Dort muss man wie gehabt false durch true ersetzen.

Unter Windows Server 2008 R2 existiert die Datei password.aspx standardmäßig nicht. Sie lässt sich aber durch den Hotfix 2648402 nachinstallieren.

Wenn man nun das Kennwort über RD Web Access ändern möchte, dann kann man das entsprechende Formular über die URL https://<server-FQDN/RDWeb/Pages/de-DE/password.aspx aufrufen. Für die Benutzer lässt sich der Zugang zu dieser Funktion vereinfachen, indem man einen Link auf password.aspx in die Datei login.aspx einfügt.

Passwort ändern über RDP-Client

Meldet man sich über den RDP-Client am Terminal-Server an und das Kennwort ist abgelaufen, dann findet sich keine zu RD Web Access gleichwertige Lösung. Verantwortlich dafür ist die Network Level Authentication (NLA), die seit Vista und Server 2008 das bevorzugte Verfahren ist.

Ihr wesentliches Merkmal besteht darin, dass sich Benutzer authentifizieren müssen, bevor eine Session aufgebaut wird. Daher sehen sie nicht mehr wie unter XP den Anmeldebildschirm des Servers inklusive der dort verfügbaren Option zum Ändern des Passworts.

Hält man die durch NLA erzielte zusätzliche Sicherheit für verzichtbar, dann kann man sie abschalten und so den Weg freimachen zum Anmeldedialog des Terminal-Servers. Die entsprechende Einstellung betrifft immer eine ganze Sammlung (Collection).

Unter Windows Server 2012 (R2) bearbeitet man sie im Server Manager, wo man in den Eigenschaften einer Sammlung unter Sicherheit folgende Option deaktiviert: Verbindungen von Computern nur zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird.