Сочетание клавиш для смены пароля на удаленном столе

Обновлено: 19.05.2024

Microsoft Windows/Windows Server по протоколу RDP в некоторых случаях может возникать потребность в смене пароля учётной записи пользователя. При этом инициатором смены пароля в разных ситуациях может выступать как сам пользователь, так и администратор Windows-системы. В некоторых сценариях может получиться так, что, казалось бы, несложная задача смены пароля может стать не такой уж и простой. Поэтому в данной записи я попробую собрать информацию о самых разнообразных способах смены пароля учётной записи пользователя в RDP-сессии.

Способ №1 - "Горячие" клавиши

В случае, если пользователю Windows необходимо самостоятельно изменить пароль своей учётной записи, то в стандартной Windows-сессии пользователем может использоваться всем известное сочетание "горячих" клавиш Ctrl-Alt-Del. Это сочетание клавиш вызывает специальный экран Безопасности Windows (Windows Security), с которого доступна функция изменения пароля :


Если же речь заходит об использовании горячих клавиш в RDP-сессиях, то стоит заметить то, что во избежание перехвата некоторых сочетаний клавиш локальной клиентской системой (системой, с которой запускается RDP-клиент), перенаправление сочетаний клавиш Windows должно быть явно разрешено в свойствах RDP-клиента. Например в клиенте mstsc.exe, встроенном в Windows, данную опцию можно включить на закладке управления локальными ресурсам.


В стандартной первичной RDP-сессии для вызова специального экрана Безопасности Windows с функцией изменения пароля используется сочетание клавиш: Ctrl-Alt-End

В случае использования вложенных RDP-сессий (второго и последующего уровней), то есть когда из одной RDP-сессии открывается другая RDP-сессия, стандартное сочетание клавиш работать не будет. В разных источниках в интернете можно найти информацию об использовании более сложных сочетаний клавиш, таких как Ctrl-Alt-Shift-End или Shift-Ctrl-Alt-End. Однако мои эксперименты с Windows 10/Windows Server 2012 R2 показали, что данные сочетания клавиш попросту не работают (возможно они работали в ранних версиях ОС Windows). В этом случае на выручку нам может прийти следующий способ.

Способ №2 - Экранная клавиатура

В составе Windows имеется приложение "Экранная клавиатура" (On-Screen Keyboard), расположенное по умолчанию в %SystemRoot%\System32\osk.exe. Используя это приложение, мы можем решить проблему использования "горячих" клавиш во вложенных RDP-сессиях.

Находясь во вложенной RDP-сессии, вызовем окно запуска приложений. Вызвать его можно разными способами, например, через контекстное меню по кнопке Windows, или через Диспетчер задач (Task Manager):


Либо можно использовать сочетание клавиш Win-R.

В окне запуска приложений выполним запуск исполняемого файла osk.exe


После того, как откроется приложение "Экранная клавиатура", нажмём на физической клавиатуре сочетание клавиш Ctrl-Alt, так, чтобы это отобразилось на экранной клавиатуре и затем, удерживая это сочетание клавиш, на экранной клавиатуре мышкой нажмём кнопку Del.


Таким образом мы отправим в удалённую RDP-сессию сочетание клавиш Ctrl-Alt-Del, в следствие чего откроется специальный экран Безопасности Windows с функцией изменений пароля пользователя.

Способ №3 – Ярлык на VBS-скрипт или Powershell

Вызов экрана Безопасности Windows можно выполнить не только интерактивными способами, но и программными, например, с помощью скриптов.

Создадим VBS-скрипт, например, с именем Windows Security.vbs . Наполним скрипт следующим содержимым:

Разместим скрипт в месте, доступном на чтение (но не для редактирования) для всех пользователей удалённого рабочего стола, например в каталоге %SystemRoot% ( C:\Windows ). А ярлык на запуск скрипта можно разместить в любом доступном пользователям месте, например, в каталоге общего профиля %SystemDrive%\Users\Public\Desktop\


При запуске данного ярлыка у пользователя будет открываться экран Безопасности Windows с возможностью изменения пароля.

Для любителей PowerShell приведённый VBS-скрипт можно заменить PS-скриптом следующего вида:

Либо запускать из ярлыка команду вида:


Однако стоит отметить тот факт, что запуск варианта с PowerShell будет происходить медленней, чем варианта с VBS-скриптом.

Описанные здесь способы с запуском ярлыка, ссылающегося на скрипт, может попросту не сработать, так как в некоторых окружениях серверов служб удалённых рабочих столов может быть заблокирована возможность выполнения скриптов. В таком случае, можно воспользоваться следующим способом.

Способ №4 – Ярлык оболочки Windows Explorer

Если говорить о создании ярлыка запуска экрана Безопасности Windows, то имеется ещё один вариант создания такого ярлыка. Создаётся ярлык со ссылкой на расширение оболочки Windows Explorer следующего вида:


Опять же, при запуске такого ярлыка у пользователя будет открываться экран Безопасности Windows с возможностью изменения пароля. Этот способ одинаково хорошо работает на Windows 10 и на Windows Server 2012 R2.

Способ №5 – Панель управления Windows (локальные учётные записи)

Данный способ относится лишь к локальным учётным записям пользователей. Изменить пароль учётной записи рядового локального пользователя можно через Панель управления Windows. В Windows 10 из раздела Панели управления "Учётные записи пользователей" доступен вызов окна "Параметры компьютера", в котором имеется функция изменения пароля текущего локального пользователя.


Такие методы вызова апплета управления учётными записями пользователей Панели управления Windows, как, например команда "control userpasswords2", в качестве отдельного способа мы выделять не будем, так как подобные действия требуют административных прав в удалённой системе. То же самое касается и таких CLI-утилит Windows, как net.exe ( %SystemRoot%\System32\net.exe ) (пример команды "net user username newpassword"), так как они тоже требуют повышения уровня прав пользователя.

Ремарка

Отдельно хочется отметить обстоятельство, про которое порой забывают администраторы, и это может приводить к разным курьёзным ситуациям.

Попытки смены пароля, инициированные самим пользователем, могут оказаться безуспешными в случае, если пароль был недавно изменён и на удалённую Windows систему действует политика безопасности, определяющая минимальный срок действия пароля.


Как правило, это настраивается на уровне стандартных доменных групповых политик Active Directory и/или механизмов Password Settings objects (PSOs) .

Повторюсь, что повлиять на ситуацию эта политика может только в случаях, когда пользователь самостоятельно инициирует процедуру смены пароля.

Далее мы поговорим о сценарии, при котором требование смены пароля включается для учётной записи пользователя форсировано администратором сервера (для локальных учётных записей), либо администратором службы каталогов Active Directory (для доменных учётных записей).


Практика показывает, что как только администратором включено требование смены пароля пользователя при следующем входе в систему, у пользователя могут возникнуть проблемы с подключением по протоколу RDP, если на стороне RDS сервера (а в некоторых случаях и на стороне RDS клиента) предварительно не предпринято никаких действий по специальной настройке обработки таких ситуаций. Далее мы рассмотрим пару примеров такой настройки.

Способ №6 - Remote Desktop Web Access

Клиентский доступ к службам Windows Server RDS может быть организован через веб-интерфейс серверной роли Remote Desktop Web Access (RDWA). В функционале этой роли имеется выключенная по умолчанию возможность смены пароля пользователя в процессе аутентификации на веб-странице RDWA.

Сразу стоит отметить то, что данный способ смены пароля будет доступен только в том случае, если на веб-узлах RDWA используется аутентификация на основе формы (Forms Authentication), а этот тип аутентификации несовместим с типом Windows Authentication, о подключении которого мы говорили ранее .


В перечне опций находим PasswordChangeEnabled и меняем установленное по умолчанию значение false на true:


Если серверов RDWA несколько и они работают в пуле за балансировщиком, например Windows NLB, то не забываем выполнить данное изменение на всех других серверах пула.

Теперь попытаемся от имени пользователя, у которого в свойствах учётной записи установлено требование смены пароля при следующем входе, аутентифицироваться на веб-странице RDWA:


На этой отдельной странице пользователь сможет ввести свои текущие учётные данные и новый пароль:


При необходимости ссылку на страницу смены пароля можно сделать доступной не только тем пользователям, у которых после аутентификации возникает требование смены пароля, но и всем остальным пользователям, чтобы они могли самостоятельно выполнять смену пароля по собственной инициативе через веб-страницу RDWA. Для этого можно будет внедрить ссылку на страницу password.aspx на странице входа login.aspx (по умолчанию страницы расположены в каталоге %windir%\Web\RDWeb\Pages\ru-RU )

Если же говорить про Windows Server 2008 R2, то в этой ОС для использования функции смены пароля в RDWA может потребоваться установка обновления KB2648402 - You cannot change an expired user account password in a remote desktop session that connects to a Windows Server 2008 R2-based RD Session Host server in a VDI environment .

Способ №7 – Специальный RDP-файл

Если пользователь выполняет подключение к удалённому рабочему столу на базе Windows Server 2012/2012 R2 через прямой запуск стандартного клиента mstsc.exe, то в ситуации с включенным признаком требования смены пароля, попытка подключения может быть завершена с ошибкой " You must change your password before logging on the first time. Please update your password or contact your system administrator or technical support ".


Если ситуация требует того, чтобы пользователь самостоятельно изменил свой пароль при первом входе в систему, то это потребует некоторого изменения уровня безопасности настроек протокола RDP на стороне RDS сервера и подготовки специального RDP-файла на стороне клиента.

Сначала на клиентской стороне откроем mstsc.exe, настроим все нужные параметры подключения к серверу RDS и используя кнопку Сохранить как, создадим RDP-файл.


После этого откроем RDP-файл в текстовом редакторе и добавим в конец файла строку "enablecredsspsupport:i:0"


Добавление данного параметра в свойствах RDP-подключения позволит клиенту успешно установить RDP-сессию с удалённой системой и сменить пароль до получения доступа к удалённому рабочему столу. Однако этот параметр понизит уровень безопасности RDP-подключения, так как клиент не сможет использовать проверку подлинности на уровне сети - Network Level Authentication (NLA). И если на стороне RDS сервера включена обязательная проверка NLA, то пользователь всё равно не сможет подключиться и получит соответствующую ошибку " The remote computer requires Network Level Authentication, which your computer does not support. ".


Разрешить эту ситуацию можно только понизив уровень безопасности RDP на стороне RDS сервера, отключив обязательное требование проверки подлинности на уровне сети (NLA). Изменить эту настройку можно в свойствах системы на закладке Удалённый доступ:


В английской версии Windows название опции звучит как "Allow connections only from computers running Remote Desktop with Network Level Authentication (recommended)"

Если NLA нужно отключить на уровне коллекции серверов Windows Server 2012 R2, то сделать этом можно в свойствах коллекции сеансов, например через оснастку Server Manager:



И после этого пользователю будет показан экран, на котором он сможет задать новый пароль:


После успешной смены пароля последующие подключения по протоколу RDP будут проходить в штатном режиме без лишних запросов.

Заключение

Приведённый здесь перечень способов смены пароля при использовании протокола RDP не претендует на какую-то полноту и исключительность, а лишь отражает ту информацию, которую мне удалось найти в разных источниках по этому поводу. На мой взгляд, ни один из перечисленных способов нельзя считать наиболее удобным или универсальным, так как каждый из способов может применяться в определённых ограниченных сценариях и имеет, как преимущества, так и недостатки по сравнению с другими способами.

Изменение пароля учетной записи по RDP

Одной из хороших привычек любого пользователя ПК, а тем более системного администратора, является периодическая смена паролей учетных записей. Главное потом его не забыть.

Как сменить пароль на удаленном рабочем столе:

В операционных системах семейства Microsoft Windows Server, для смены пароля, привычно использовать сочетание клавиш Ctrl + Alt + Del. проблема в том, что “три кнопки” нельзя использовать через “Подключение к удаленному рабочему столу”. Рассмотрим как все таки изменить пароль.

Смена пароля в ОС Windows Server 2008

В ОС Windows Server 2008 это можно сделать из меню Пуск, кликнув по “Безопасность Windows”.

Смена пароля через меню

Скриншот №1. Смена пароля через меню "Пуск"

На обновлённом экране выбираем экране выбираем “Сменить пароль”.

Сменить пароль

Скриншот №2. Сменить пароль

Вводим старый пароль и новый и его подтверждение.

Выбор нового пароля

Скриншот №3. Выбор нового пароля

Смена пароля в ОС Windows Server 2012 и Windows Server 2012 R2

В ОС Windows Server 2012 и Windows Server 2012 R2 несколько усложнилась задача.

Открываем блокнот и пишем две строки:

set objShell = CreateObject("shell.application")
objshell.WindowsSecurity

Блокнот

Скриншот №4. Блокнот

Сохраняем файл с расширением *.vbs (пишем вручную.). Для этого выбираем Файл -> Сохранить как …

В новом окне выбираем директорию для сохранения файла, например, Рабочий стол. В Тип файла выбираем Все файлы, а в Имя файла указываем произвольное имя, например, 1.vbs.

Выбор директории

Скриншот №5. Выбор директории

После сохранения файла, он уже готов к исполнению. Двойной клик левой кнопкой мыши вызовет экран, в которым следует выбрать “Сменить пароль”.

Смена пароля

Скриншот №6. Смена пароля

Далее все привычно.

Вводим старый пароль, затем два раза новый

Заполняем поля со старым паролем, указываем новый пароль и его подтверждение. Кликаем по иконке стрелки.

Ввод нового пароля

Скриншот №8. Ввод нового пароля

Смена пароля в ОС Windows Server 2016

ОС Windows Server 2016 радует своим расположением к пользователю, но чтобы изменить удаленно пароль, все равно нужно поискать этот пункт.

Открываем меню Пуск и кликаем по значку пользователя, в открывшемся меню выбираем “Изменить параметры учетной записи”.

Меню пуск в Windows 16

Скриншот №9. Меню пуск в Windows 16

В открывшемся окне “Параметры” выбираем “Параметры входа”, а в секции Пароль кликаем по кнопке Изменить.

Пункт

Скриншот №10. Пункт "Параметры входа"

В новом окне, указываем текущий пароль и кликаем по кнопке Далее.

Ведение текущего пароля

Скриншот №11. Ведение текущего пароля

Окно обновится и запросит новый пароль, его подтверждение, а также подсказку к паролю. Кликаем по кнопке далее. В итоге, кликаем по кнопке Готово. Следующий вход в систему будет происходить под новым паролем.

Введение нового пароля

Скриншот №12. Введение нового пароля

Альтернативный способ

Этот способ применим как для изменения пароля к своей учетной записи, так и к учетным записям других пользователей.

В меню Пуск, выбираем Администрирование (“Средства администрирования” в Windows Server 2016).

Альтернативный метод через пункт

Скриншот №13. Альтернативный метод через пункт "Администрирование"

В новом окне двойным кликом мыши открываем “Управление компьютером”.

Управление компьютером

Скриншот №14. Управление компьютером

В левой части открывшегося окна раскрываем ветку “Локальные пользователи и группы” и открываем папку Пользователи. В основной части окна, кликаем правой кнопкой мыши по пользователю и в контекстном меню выбираем “Задать пароль. ”.

Задать пароль для пользователя

Скриншот №15. Задать пароль для пользователя

Система выдаст предупреждение. Внимательно прочитав которое и осознав все риски кликаем по кнопке “Продолжить”. В противном случае - “Отмена”.

Предупреждение системы

Скриншот №16. Предупреждение системы

В новом окне указываем новый пароль и его подтверждение. По окончании кликаем по кнопке OK.

Как сменить пароль на удаленном компьютере с помощью комбинации CTRL + ALT + END.

Для получения комбинации CTRL + ALT + DEL на удаленном компьютере, нужно нажать CTRL + ALT + END.
Нажатие этой комбинации откроет нам диалоговое окно, в котором нам нужно будет выбрать "Изменить пароль":

Выбираем

Для смены пароля нам нужно будет указать некоторые данные:

Вводим имя пользователя, старый пароль и два раза повторяем новый пароль.

Смена пароля на удаленном рабочем столе с помощью экранной клавиатуры.

При удаленном подключении к рабочему столу, пароль можно сменить с помощью использования экранной клавиатуры.
Чтобы вызвать экранную клавиатуру введите в меню "Пуск" "Экранная клавиатура" или же "OSK".

Вводим в меню пуск

После того, как появится экранная клавиатура, зажмите клавиши ALT + CTRL и с помощью мыши нажмите кнопку Del.

Вот так выглядит экранная клавиатура

У вас вылезет диалоговое окно, в котором вам вам нужно будет выбрать "Сменить пароль":

Для смены пароля нам нужно будет указать: имя пользователя, старый пароль и два раза повторить новый пароль.

Вызов окна смены пароля в RDP сессии через VBS-скрипт или PowerShell.

Чтобы вызвать окно смены пароля с помощью VBS-скрипта, создайте файл WindowsSecurity.vbs и введите туда данные строчки кода:
set objShell = CreateObject("shell.application")
objshell.WindowsSecurity
После чего, после двойного щелчка по данному VBS-скрипту, перед вами откроется диалоговое окно, в котором нам нужно будет выбрать "Сменить пароль":

Также чтобы открыть окно смены пароля с помощью PowerShell, откройте сам PowerShell с помощью меню "Пуск" и воспользуйтесь командой:
New-Object -COM Shell.Application).WindowsSecurity()

Вводим команду:

После чего, перед вами откроется диалоговое окно, в котором нам нужно будет выбрать "Сменить пароль":

Чтобы открыть диалоговое окно со сменой пароля, можно создать ярлык со ссылкой на расширение оболочки Windows Explorer.

Для начала создаем ярлык и указываем данный путь для него:
C:\Windows\explorer.exe shell.

Указываем путь

Далее выбираем название для ярлыка и создаем его:

Выбираем название для ярлыка и создаем его

После двойного щелчка по данному ярлыка, перед вами откроется диалоговое окно, в котором нам нужно будет выбрать "Сменить пароль":

Cмена пароля через Remote Desktop Web Access

В Windows Server 2012 /R2 и выше у удаленных пользователей с правами Remote Desktop Web Access появилась возможность самостоятельно сбрасывать свой пароль через специальную веб-страницу на сервере Remote Desktop Web Access.
Функционал удаленной смены пароля доступен на сервере с ролью Remote Desktop Web Access, но по-умолчанию эта функция отключена.
Чтобы включить данную функцию:
Открываем консоль управления сервером IIS Manager и переходим в [Name of your Server] – Sites – Default Web Site – RDWeb – Pages и открываем раздел Application Settings.

Переходим в раздел Pages в IIS Manager

В правой панели выбираем параметр с именем PasswordChangeEnabled и меняем его значение на true.

Меняем значение PasswordChangeEnabled на true

Your password has been successfully changed.

СredSSP, NLA и смена пароля через RDP

Credential Security Support Provider (CredSSP) - протокол для передачи учетных данных, который используется при RDP для защиты DDoS атак и несанкционированного исполнения процессов.

Network Level Authentication (NLA) — это функция служб удаленных рабочих стол, которая требует, чтобы подключающийся пользователь аутентифицировал себя до установления сеанса с сервером.

Есть одна важная особенность, касающаяся смены истекшего пароля пользователя по RDP, связанная с опцией Network Level Authentication (NLA) и протоколом Credential Security Support Provider (CredSSP). По умолчанию CredSSP с NLA для RDP включен во всех версиях Windows, начиная с Windows Server 2012/Windows 8. NLA обеспечивают защиту RDP сервера за счет выполнения аутентификации пользователя до установки RDP сеанса с сервером.

Если у пользователя истек пароль, или администратор AD пользователя включил ему опцию "userAccountControl" - Требовать смену пароля при первом входе в систему, то при входе в систему по RDP появится ошибка:

Remote Desktop Connection
You must change your password before logging on the first time. Please update your password or contact your system administrator or technical support.

Подключение к удаленному рабочему столу
Перед первым входом в систему необходимо сменить пароль. Обновите пароль либо обратитесь к вашему системному администратору или в службу технической поддержки.
Подключение к удаленному рабочему столу Перед первым входом в систему необходимо сменить пароль

Как результат — пользователь не сможет подключиться к RDP серверу и сменить пароль.

В этом случае, чтобы пользователь мог самостоятельно сменить пароль, можно:

1)Настроить Remote Desktop Web Acces (RDWA) со страницей смены пароля как в данной части инструкции : Смена пароля через Remote Desktop Web Access

2)Создать отдельный сервер для смены паролей пользователей. На данном сервере нужно отключить функцию NLA. В этом случае пользователи смогу сменить пароль.

3)Пользователь может изменить свой пароль удаленно через PowerShell - как показано в данной части инструкции Как вызвать окно смены пароля в RDP сессии через VBS-скрипт или PowerShell

Смена пароля на удаленном рабочем столе с помощью специального RDP-файла:

Если ситуация требует того, чтобы пользователь изменил пароль с помощью RDP-файла, то это потребует некоторого изменения уровня безопасности настроек протокола RDP на стороне RDP сервера и подготовки специального RDP-файла на стороне клиента.

Сначала на клиентской стороне откроем mstsc.exe.
В меню пуск вводим "mstsc" и выбираем "Подключение к удаленном рабочему столу":

Вводим в поиск

Далее настраиваем все нужные параметры для подключения к серверу.
Нажимаем "Показать больше", вводим туда IP-адресс нашего удаленного компьютера и имя пользователя, затем, используя кнопку Сохранить как, создаем RDP-файл:

Сохраняем файл как .rdp

После этого откроем RDP-файл с помощью текстового редактора и добавим в конце файла строку:
enablecredsspsupport:i:0

Добавляем в конце файла строчку

Пояснение: Добавление данного параметра в свойствах RDP-подключения позволит клиенту успешно установить RDP-сессию с удалённой системой и сменить пароль до получения доступа к удалённому рабочему столу. Однако этот параметр понизит уровень безопасности RDP-подключения, так как клиент не сможет использовать проверку подлинности на уровне сети - Network Level Authentication (NLA), которую мы описывали выше в нашей статье.

Если NLA включен - то пользователь не сможет подключиться и получит соответствующую ошибку:

Пример ошибки при включенном NLA

Важно!

Не рекомендуем делать этого, если ваш удаленный компьютер может быть подвергнут DDoS-атакам и несанкционированным процессам.

Чтобы изменить эту настройку, на удаленном компьютере, в меню пуск вводим "Панель управления":

Вводим в меню пуск

Затем переходим в "Система и безопасность":

Переходим в

Затем переходим в "Система":

Переходим в меню

Открываем окно, которое появилось, на весь экран и выбираем "Дополнительные параметры системы": "Разрешить подключения только с. " :

Выбираем

У нас появится окно с "Свойствами системы", перейдем в часть с "Удаленным доступом" и уберем галочку с пункта "Разрешить подключения только с. ", затем нажмем "Применить" и "ОК":

Выключаем параметр

После того, как мы отключили функцию NLA на стороне RDS сервера, клиент с помощью специального RDP-файла, может успешно установить RDP-сессию и уже в ней сменить пароль:

Выбираем

После этого вы сможете подключаться с новым паролем.

Таким образом, мы рассмотрели все возможные способы смены пароля учетной записи по RDP.

Смена истекшего пароля через Remote Desktop Web Access в Windows Server

В этой статье мы покажем, как удаленные пользователи самостоятельно могут менять свои истекшие пароли через с помощью специальной веб формы на сервере Remote Desktop Services (RDS) с ролью RD Web Access на Windows Server 2022/2019/2016/2012 R2.

Проблема смены истекшего пароля по RDP

The Local Security Authority cannot be contacted - This could be due to an expired password

Получается, что при использовании NLA удаленные RDP пользователи не могут сменить свой истекший пароль, если у них нет других способов доступа в корпоративную сеть кроме RDS. Можно конечно, попросить пользователей заранее сменить свой пароль непосредственно в RDP сессии, или включить на RDS серверах политику Interactive logon: Prompt user to change password before expiration (Computer Configuration -> Windows Settings -> Local Policies -> Security Options), но, обычно это не всегда срабатывает из-за элементарной забывчивости пользователей.

В Windows Server 2012 R2 и выше удаленные пользователи могут самостоятельно сбросить свой пароль (текущий пароль или пароль с истекшим сроком действия) через специальную веб-страницу на сервере с ролью RD Web Access. Чтобы изменить пароль, пользователь должен аутентифицироваться под своей учетной записью на веб-странице регистрации RDS-WebAccess и с изменить свой пароль с помощью специальной aspx формы.

Примечание. В Windows Server 2003 пользователи домена могли сменить свой пароль через небольшое веб-приложение IISADMPWD (официально, впрочем, не поддерживаемое).

Разрешить смену истекшего пароля пользователя на RDWeb Access

Функционал удаленной смены пароля доступен на сервере с ролью Remote Desktop Web Access (RD Web Access), но по-умолчанию эта функция отключена.

Если у вас развернута ферма серверов RDS, вы можете найти сервер, на котором установлена роль RDS-WEB-Access, обратившись к RD Connection Broker:

powershell get-rdserver найти сервер с ролью rd-webaccess

Для смены пароля используется сценарий в файле password.aspx, который находится в каталоге C:\Windows\Web\RDWeb\Pages\en-US.

В локализованной версии Windows Server (без language pack) путь к файлу password.aspx зависит от языка ОС. Например, для русской версии Windows Server это C:\Windows\Web\RDWeb\Pages\ru-RU.

Чтобы включить функцию смены пароля, нужно на сервере RD Web Access запустите консоль управления веб-сервером IIS Manager (inetmgr), перейдите в раздел [Server Name] –> Sites –> Default Web Site –> RDWeb –> Pages и откройте настройки приложения (Application Settings).

В правой панели найдите параметр с именем PasswordChangeEnabled и измените его значение на true.

PasswordChangeEnabled - опция смены пароля через веб страницу на Remote Desktop Web

Либо вы можете задать значение True для параметра PasswordChangeEnabled в конфиг файле ‘C:\Windows\Web\RDWeb\Pages\Web.config’.

rdweb-access файл конфигурации IIS web.config параметр passwordchangeenabled

Параметр PasswordChangeEnabled позволяет пользователям Active Directory сменить пароль через портал RD Web Access. Эта опция не позволяет сменить пароль локальных пользователей на RDS хостах в рабочей группе (без домена).

Перезапустите веб сервер IIS из консоли или с помощью команды:
IISRESET

команда перезапуска веб сервера iisreset

Чтобы проверить доступность страницы смены, перейдите на веб-адрес:

Для RD Web Access должен быть выпущен валидный SSL сертификат. Можно использовать бесплатный сертификат Let’s Encrypt для IIS.

Укажите имя пользователя, старый пароль и дважды новый.

Форма смены пароля пользователя на rd web access windows 2012

rdweb сброс пароля пользователя Your password has been successfully changed

Нажмите ОК, и пользователь будет перенаправлена на страницу входа RD Web.

Если пароль пользователя не соответствует парольной политике домена, появится окно с предупреждением:

Your new password does not meet the length, complexity, or history requirements of your domain. Try choosing a different new password

Вы можете использовать этот способ смены пароля на Remote Desktop Web Access только если на RDWA сервере включена аутентификация Forms Authentication. При использовании метода Window Authentication, смена пароля через форму RD Web невозможна.

Вывести и изменить поддерживаемые типы аутентификации можно в консоли IIS Manager. Выберите Sites -> Default Web Sites -> RDWeb -> Pages в правом окне выберите Forms Authentication.

rdwebaccess включить form authentication

Теперь при попытке подключиться к веб серверу RD Web Access с истекшим паролем, пользователь будет перенаправлен на веб-страницу password.aspx, на которой ему будет предложено сменить пароль.

Необходимо изменить истекший пароль

Совет. Аналогичный функционал для смены пароля в Windows Server 2008 R2 с RD Web Access Role может быть доступен после установки отдельного патча KB2648402.

Добавить ссылку на смену пароля на страницу входа Remote Desktop Web Access

Вы можете добавить ссылку на страницу с формой смены пароля можно непосредственно в веб-форму входа на сервер RDWeb. Благодаря этому пользователь в любой момент может самостоятельно изменить свой пароль, не дожидаясь окончания его срока действия.

Добавьте ссылку на файл password.aspx на страницу входа в систему (создайте копию файла login.aspx перед редактированием).

Совет. Кстати говоря, мы ранее уже рассматривали, как реализовать смену пароля пользователя через OWA в Exchange.

Теперь удаленные пользователи смогут самостоятельно менять истекший пароль RDS сервере без вмешательства администратора. Обратите внимание, что если вы используете закэшированные учетные данные (Cached Credentials) для входа на локальный компьютер, то после смены пароля через RDWeb они не будут обновлены.

Как изменить пароль в RDP сессии Windows?

В этой статье мы рассмотрим основные способы сменить пароль пользователя на удаленном компьютере в RDP сессии. В качестве удаленного хоста может выступать как Windows Server с настроенной на нем ролью Remote Desktop Services, так и рабочая станция с десктопной Windows 10, в настройках которой разрешено одно или множественные RDP подключения.

Основная проблема, на которую натыкаются пользователи — в окне терминального (RDP) подключения к удаленному серверу нельзя вызвать привычную форму смены пароля нажатием сочетания клавиш Ctlr + Alt + Delete. Эта комбинация клавиш не передается в сессию RDP, а выполняется в вашей локальной операционной системе.

В Windows Server 2003/2008 можно было сменить пароль пользователя по RDP, нажав кнопку Пуск и выбрав пункт Windows Security -> Change Password.

Но в более новых версиях, в том числе в Windows Server 2016/2019 и Windows 10 пункт меню Windows Security (Безопасность Windows) отсутствует, поэтому этот способ смены пароля не применим.

Смена пароля в RDP с помощью комбинации CTRL + ALT + END

В современных версиях Windows для вызова окна Windows Security в RDP сессии нужно использовать сочетание клавиш Ctlr + Alt + End. Эта комбинация является аналогом комбинации Ctlr + ALt + Delete, но работает только в окне RDP подключения. В открывшемся меню выберите Change a password.

изменить пароль в RDP с помощью комбинации Ctlr + ALt + End

И в стандартном диалоговом окне можете изменить свой пароль (укажите старый пароль и два раза новый).

сменить пароль удаленно в rdp сессии

Смена пароля с помощью экранной клавиатуры

Если вы подключены к удаленному рабочему столу хоста Windows через несколько промежуточных RDP сеансов, вы не сможете использовать комбинацию CTRL+ALT+END для смены пароля пользователя. Нажатие этих клавиш будет перехвачено первым RDP окном. В таких случаях вы можете воспользоваться для смены пароля пользователя стандартной экранной клавиатурой Windows (On-Screen Keyboard).

Не забывайте, что при смене пароля пользователя он должен соответствовать требованиям локальной или доменной политики паролей.

Не удается обновить пароль. Введенный пароль не обеспечивает требований домена к длине пароля, его сложности или истории обновления

Также обратите внимание, что в доменной политике (или в Password Settings objects) обычно настраивается параметр Minimum password age, который запрещает пользователю самостоятельно менять пароль чаще указано в этом параметре GPO.

Вызов окна смены пароля в RDP сессии через VBS/PowerShell

Вы можете вызвать диалоговое окно Windows Security в RDP сессии программно с помощью встроенных инструментов Windows: VBScript, PowerShell или shell ярлыка.

Например, создайте на рабочем столе файл WindowsSecurity.vbs со следующим кодом VBScript:

set objShell = CreateObject("shell.application")
objshell.WindowsSecurity

При двойном щелчке по этому vbs файлу перед вами откроется стандартная форма, через которую можно изменить пароль.

На RDS сервере вы можете поместить этот vbs файл на общий рабочий стол ( %SystemDrive%\Users\Public\Desktop\ ) или скопировать его на рабочие столы пользователей через GPO.

скрипт vbs на рабочем столе rds сервера для самостоятельной смены пароля пользователея

Аналогичное окно смены пароля можно вызвать и из PowerShell. Воспользуйтесь командой:

New-Object -COM Shell.Application).WindowsSecurity()

вызвать окно смены пароля в RDP сеансе с помощью PowerShell

Есть еще вариант создания ярлыка Windows Explorer со следующей ссылкой:

explorer.exe shell. <2559a1f2-21d7-11d4-bdaf-00c04f60b9f0></p> <p> ярлык смены пароля

Смена пароля через Remote Desktop Web Access

Если вы используете доступ к RDS серверам через роль Remote Desktop Web Access (RDWA), вы можете включить возможность смены истекшего пароля на веб-странице входа RDWA (подробнее это описано здесь).

CredSSP NLA и смена пароля через RDP

Есть одна важная особенность, касающаяся смены истекшего пароля пользователя по RDP, связанна с опцией Network Level Authentication (NLA) и протоколом Credential Security Support Provider (CredSSP). По умолчанию CredSSP с NLA для RDP включен во всех версиях Windows, начиная с Windows Server 2012/Windows 8. NLA обеспечивают защиту RDP сервера за счет выполнения аутентификации пользователя до установки RDP сеанса с сервером.

Если у пользователя истек пароль, или администратор AD через атрибуты пользователя включил ему опцию userAccountControl “Требовать смену пароля при первом входе в систему/ User must change password at next logon ” (чаще всего это опцию включают для новых учетных записей AD), то при входе в систему по RDP появится ошибка:

Подключение к удаленному рабочему столу Перед первым входом в систему необходимо сменить пароль

RDP отключение проверки поддлинности на уровне сети (NLA)

  • Настроить RDWA со страницей смены пароля как описано выше; на RDP сервере (не рекомендуется. т.к. существенно снижает уровень безопасности для RDP подключений) и использовать для подключения .rdp файл со строкой enablecredsspsupport:i:0;
  • Создать отдельный сервер для смены паролей пользователей. На этот сервер не нужно устанавливать роль Remote Desktop Session Host, не нужно добавлять пользователей в локальную группу доступа Remote Desktop Users, но нужно отключить NLA. В этом случае пользователи смогу сменить пароль, но не смогут войти на сервер по RDP
  • Пользователь может изменить свой пароль удаленно через PowerShell (если у него есть сетевой доступ к контроллеру домена).

Как сменить пароль на удаленном рабочем столе: инструкция

Если у вас возник вопрос, как сменить пароль на удаленном рабочем столе – ничего удивительного. Причины, побуждающие вас искать ответ, могут быть разными. Например, неудобно запоминать сложную комбинацию, которая была установлена автоматически. Или вы хотите сделать это из соображений безопасности? Сейчас такие запросы возникают все чаще, ведь очень многие перешли на дистанционный формат работы!

Чем вы руководствуетесь – не важно. Важно добиться нужного результата и понять, как поменять пароль на удаленном рабочем столе.

Комбинация клавиш

Есть простой и изящный способ сменить данные для входа – можно воспользоваться комбинацией кнопок на клавиатуре! Все описываемые ниже манипуляции необходимо производить через RDP, на локальном компьютере опция работать не будет.

Итак, как удалить пароль на ПК и поставить новый ключ для входа?


  • Появится системное меню с нужными параметрами;
  • Выбираем из списка «Изменить…» .


Появится окно ввода параметров, где уже указано имя учётной записи, для которой вы хотите удалить пароль входа в систему Windows 10 и поставить новый. Готовы?

  • Вводим старую комбинацию во вторую строку;
  • ниже вписываем новый ключ;
  • повторяем придуманный ключ в поле «Подтверждение» ;
  • жмём на стрелочку справа. Готово!


На экране появится подтверждение того, что комбинация для входа была изменена. Жмите «ОК» и возвращайтесь к работе!

Через файл

Есть альтернативный ответ на вопрос, как изменить пароль на удаленном рабочем столе – немного сложнее, но столь же действенно. Отлично подходит, если работаете в Windows Server 2012, но можно пользоваться и в других ОС.

  • Откройте «Блокнот» и создайте новый файл;
  • Сохранить его необходимо вручную – наверху ищем кнопку «Сохранить как…» ;


  • Вбиваем любое имя и вводим расширение .vbs ;
  • При сохранении в строке «Тип файла» выбираем вариант «Все» .


Самое главное! Внутрь файл необходимо вставить следующее (просто скопируйте):

set objShell = CreateObject(«shell.application»)

Сохранили документ? Теперь просто кликните левой кнопкой мышки дважды, чтобы запустить его исполнение. Автоматически появится системный экран:

  • Выберите вариант «Сменить…» ;
  • Введите старый ключ и дважды повторите новый;
  • Нажмите на стрелочку, чтобы удалить пароль входа в Виндовс 10 – с этого момента начинает действовать новая комбинация, придуманная вами.

Файл допустимо хранить в любой директории, пользоваться можно без ограничений.

Windows Server 2016

В этой версии RDP все происходит очень просто – есть специальная функция, достаточно нажать на несколько кнопок.

  • Кликните по иконке «Пуск» и перейдите к иконке учётной записи;
  • Нажмите на неё, чтобы увидеть дополнительное меню – там есть значок «Изменить параметры…» ;


  • На панели слева (в открывшемся меню) ищите кнопку «Параметры входа» ;



Почти все готово! Откроется уже знакомое меню. Сначала нужно ввести старый ключ, потом придумать и вписать новый дважды. Желательно придумать и подсказку, которая будет появляться при входе.


Windows Server 2008

В этой версии RDP смена пароля на удаленном рабочем столе проходит буквально за пару секунд. Сейчас ОС Server 2008 практически не используется, ее давно заменили более современные варианты, но мы расскажем, что нужно делать. На всякий случай!

  • Нажмите на кнопку «Пуск» ;
  • Через открывшееся меню перейдите к разделу «Безопасность Windows» ;
  • Откроется системное окно настроек, где вы увидите нужный параметр;
  • Кликните на кнопку «Сменить» ;
  • Убедитесь, что указано верное имя пользователя;
  • Введите старую комбинацию, а затем новую – и повторите ее для подтверждения;
  • Кликните на значок в виде стрелки, чтобы завершить операцию.

Еще раз напомним, этот способ актуален только в Windows Server 2008, в более новых версиях он работать не будет (кнопки «Безопасность» там попросту нет).

Напоследок пара слов о том, как посмотреть пароли от удаленного рабочего стола. Все сохранённые данные можно найти так:


  • Перейдите к панели управления и найдите вкладку «Учётные записи пользователей» ;


  • Найдите вкладку «Дополнительно» , где есть раздел «Управление паролями» .

Надеемся, вам удалось понять, как узнать пароль от удаленного рабочего стола и изменить его в случае необходимости. Поддерживать безопасность важно, поэтому периодически стоит менять комбинацию для входа. Главное, ее не забывать!

Читайте также: