Passwort ändern über Remotedesktop und RD Web Access

    , 05.08.2014
    Tags: ,

    Kennwort ändern in RemotedesktopWenn das Kennwort für Remotedesktop-Benutzer abgelaufen ist und sie dieses nicht über den lokalen Rechner ändern können, dann bietet ihnen der Terminal-Server standardmäßig dafür keine Möglichkeit. Eine solche lässt sich am besten über RD Web Access einrichten, eine entsprechende Konfiguration von RDP verlangt dagegen Abstriche bei der Sicherheit.

    Die Antwort auf die Frage, wie man sein Passwort über Remotedesktop ändern kann, wird in diversen Foren immer wieder damit beantwortet, dass man STRG - ALT - Entf drücken sollte, um den dafür benötigten Dialog anzuzeigen. Diese Tastenkombination lässt sich zwar an Remote Sessions schicken, aber das setzt natürlich voraus, dass man sich schon am Server angemeldet hat. Ist das Kennwort jedoch abgelaufen, so man sich nicht mehr authentifizieren kann, dann muss man sich anderweitig behelfen.

    Verweis auf den Helpdesk

    Die naheliegende Lösung, das Kennwort für den Domänen-Account einfach über das lokale Windows zu ändern, klappt nicht immer. Das ist etwa der Fall, wenn man Thin Clients einsetzt oder wenn das Endgerät nicht Mitglied in einer Domäne ist.

    RD Web Access beschränkt sich standardmäßig auf die Empfehlung, bei abgelaufenem Kennwort den Administrator zu kontaktieren.

    Falls das Passwort abgelaufen ist und man eine Verbindung mit einem Terminal-Server über das Web-Interface oder den RDP-Client herstellen möchte, dann empfehlen beide in einer Fehlermeldung, den Administrator zu kontaktieren. In Umgebungen, in denen die User regelmäßig ihre Kennwörter ändern müssen, wird dieser Hinweis keine Begeisterung beim Helpdesk auslösen.

    Auch der RDP-Client sieht keine Möglichkeit vor, das Passwort zu erneuern.

    Kennwort über Web-Formular ändern

    Wenn die Anwender über RD Web Access auf ihre RemoteApp oder Session-basierten Desktops zugreifen, dann lässt sich dieses Problem relativ einfach und elegant lösen. Server, auf denen die Rolle RD Web Access installiert wurde, enthalten unter c:\windows\web\RDWeb\pages\de-de (oder je nach Sprachversion in en-US, o.a.) die Datei password.aspx.

    Das Web-Formular zum Ändern des Passworts muss erst im IIS Manager freigeschaltet werden.

    Bevor man diese jedoch ausführen kann, bedarf es einer Änderung der Website-Einstellungen. Dazu startet man den IIS Manager und wechselt in der Navigationsleiste zu Default Website => RDWeb => Pages. Anschließend klickt man auf das Symbol Anwendungseinstellungen und sucht nach dem Eintrag PasswordChangeEnabled. Dessen Wert ändert man vom vorgegeben false auf true.

    Statt über den IIS Manager kann man password.aspx auch direkt aktivieren, indem man web.config editiert.

    Hat man den IIS Manager nicht installiert, dann kann man alternativ im Verzeichnis Pages die Datei web.config direkt bearbeiten. Sie enthält gleich am Anfang die Zeile

    <add key="PasswordChangeEnabled" value="false" />

    Dort muss man wie gehabt false durch true ersetzen.

    Unter Windows Server 2008 R2 existiert die Datei password.aspx standardmäßig nicht. Sie lässt sich aber durch den Hotfix 2648402 nachinstallieren.

    Über die password.aspx erhält man ein Formular zum Ändern des Kennworts.

    Wenn man nun das Kennwort über RD Web Access ändern möchte, dann kann man das entsprechende Formular über die URL https://<server-FQDN/RDWeb/Pages/de-DE/password.aspx aufrufen. Für die Benutzer lässt sich der Zugang zu dieser Funktion vereinfachen, indem man einen Link auf password.aspx in die Datei login.aspx einfügt.

    Passwort ändern über RDP-Client

    Meldet man sich über den RDP-Client am Terminal-Server an und das Kennwort ist abgelaufen, dann findet sich keine zu RD Web Access gleichwertige Lösung. Verantwortlich dafür ist die Network Level Authentication (NLA), die seit Vista und Server 2008 das bevorzugte Verfahren ist.

    Ihr wesentliches Merkmal besteht darin, dass sich Benutzer authentifizieren müssen, bevor eine Session aufgebaut wird. Daher sehen sie nicht mehr wie unter XP den Anmeldebildschirm des Servers inklusive der dort verfügbaren Option zum Ändern des Passworts.

    Die Network Level Authentication (NLA) muss für ganze Sammlungen von RD Session Hosts deaktiviert werden.

    Hält man die durch NLA erzielte zusätzliche Sicherheit für verzichtbar, dann kann man sie abschalten und so den Weg freimachen zum Anmeldedialog des Terminal-Servers. Die entsprechende Einstellung betrifft immer eine ganze Sammlung (Collection).

    Unter Windows Server 2012 (R2) bearbeitet man sie im Server Manager, wo man in den Eigenschaften einer Sammlung unter Sicherheit folgende Option deaktiviert: Verbindungen von Computern nur zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird.

    5 Kommentare

    Bild von Marco Wendt
    Marco Wendt sagt:
    19. Mai 2016 - 6:22

    Hallo,

    bei mir klappt nur STRG+ALT+Ende und NICHT STRG+ALT+ENTF , wenn ich auf einem TS mit 2012 R2 angemeldet bin über RDP.

    Grüße aus Berlin DerAndere

    Bild von Besucher
    Besucher sagt:
    11. Juli 2016 - 16:00

    Das war der Tipp, den ich gesucht habe :-). DANKE, Marco!

    Bild von michael
    michael sagt:
    14. September 2016 - 16:15

    das war hilfreich, danke von Michael

    Bild von Alex
    Alex sagt:
    7. Dezember 2018 - 12:09

    Ahoi, vielen Dank das hat geholfen!!!!

    Bild von Alex
    Alex sagt:
    7. Dezember 2018 - 12:10

    War an Marco gerichtet