28
Benutzer muss Passwort bei der Anmeldung ändern
Ich möchte beim Anlegen neuer Benutzer Standard Passwörter angeben, die dann geändert werden müssen.
Jetzt gibt es ja diese Kästchen "Benutzer muss Passwort bei der Anmeldung ändern", aber beim anmelden kommt eine Fehlermeldung "Sie müssen Ihr Kennwort ändern bevor Sie sich zum ersten mal anmelden".
Ich verstehe das nicht. Wie macht man das richtig?
Ich möchte Accounts einfach anlegen können, ohne das Passwort zu wissen. Das darf man ja auch gar nicht.
Und wenn ich das Normal anmelden lasse und darauf vertraue das die Leute Ihr Passwort ändern, gibt es immer welche die es nicht machen oder können.
Anmeldung erfolgt auf einem "Terminalserver" von einem ThinClient aus (WS2019).
Jetzt gibt es ja diese Kästchen "Benutzer muss Passwort bei der Anmeldung ändern", aber beim anmelden kommt eine Fehlermeldung "Sie müssen Ihr Kennwort ändern bevor Sie sich zum ersten mal anmelden".
Ich verstehe das nicht. Wie macht man das richtig?
Ich möchte Accounts einfach anlegen können, ohne das Passwort zu wissen. Das darf man ja auch gar nicht.
Und wenn ich das Normal anmelden lasse und darauf vertraue das die Leute Ihr Passwort ändern, gibt es immer welche die es nicht machen oder können.
Anmeldung erfolgt auf einem "Terminalserver" von einem ThinClient aus (WS2019).
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 637100
Url: https://administrator.de/contentid/637100
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
28 Kommentare
Neuester Kommentar
Eigentlich ganz simpel.
Du vergibst ein Passwort, z.B. Start für den Nutzer, teilst ihm das Passwort wie auch immer mit, und wenn er sich dann mit Nutzername und dem Kennwort Start anmeldet wird er aufgefordert ein eigenes Kennwort festzulegen, welches nur er kennt.
Wo ist jetzt dein Verständnisproblem?
Du vergibst ein Passwort, z.B. Start für den Nutzer, teilst ihm das Passwort wie auch immer mit, und wenn er sich dann mit Nutzername und dem Kennwort Start anmeldet wird er aufgefordert ein eigenes Kennwort festzulegen, welches nur er kennt.
Wo ist jetzt dein Verständnisproblem?
Es kommt eben die Fehlermeldung: "Sie müssen Ihr Kennwort ändern bevor Sie sich zum ersten mal anmelden"
Das schließt sich irgendwie aus...
Das schließt sich irgendwie aus...
Hallo,
nein.
Mit der Eingabe des ersten Kennwortes erfolgt ja keine Anmeldung, sondern erst mit der erstmaligen Eingabe des selbstgewählten Kennwortes.
Die Meldung ist korrekt und ausgesprochen einfach und treffend formuliert. Eine der wenigen Sachen, die M$ wirklich gut hingekriegt hat!
Gruß,
Jörg
nein.
Mit der Eingabe des ersten Kennwortes erfolgt ja keine Anmeldung, sondern erst mit der erstmaligen Eingabe des selbstgewählten Kennwortes.
Die Meldung ist korrekt und ausgesprochen einfach und treffend formuliert. Eine der wenigen Sachen, die M$ wirklich gut hingekriegt hat!
Gruß,
Jörg
Zitat von @LutzerHase:
beim anmelden kommt eine Fehlermeldung "Sie müssen Ihr Kennwort ändern bevor Sie sich zum ersten mal anmelden".
beim anmelden kommt eine Fehlermeldung "Sie müssen Ihr Kennwort ändern bevor Sie sich zum ersten mal anmelden".
Dann drückst du auf Ok, und die Felder zur Eingabe des neuen Kennwortes kommen
Ganz einfach.
Zitat von @LutzerHase:
Es kommt eben die Fehlermeldung: "Sie müssen Ihr Kennwort ändern bevor Sie sich zum ersten mal anmelden"
Das ist keine Fehlermeldung, sondern ein Hinweis, ein meilenweiter Unterschied...Es kommt eben die Fehlermeldung: "Sie müssen Ihr Kennwort ändern bevor Sie sich zum ersten mal anmelden"
Der Rest wurde gesagt, bei dir funktioniert systemseitig alles korrekt.
Wenn ich bei dem Hinweis auf OK klicke, geht diese weg und nichts passiert.
Das ist mein Problem.
Das ist mein Problem.
Hallo,
Mal wieder nicht alles am anfang offenbart? Mach mal Screenshots und stelle die hier rein und sag uns was dort nicht passt. Und dein ThinClient mit Server2019 ist eben kein ThinClient.
Gruß,
Peter
Mal wieder nicht alles am anfang offenbart? Mach mal Screenshots und stelle die hier rein und sag uns was dort nicht passt. Und dein ThinClient mit Server2019 ist eben kein ThinClient.
Gruß,
Peter
Hier ein Bild der Meldung...
Hallo,
Schau dir mal das an.
https://www.windowspro.de/wolfgang-sommergut/passwort-aendern-ueber-remo ...
Schau dir mal das an.
https://www.windowspro.de/wolfgang-sommergut/passwort-aendern-ueber-remo ...
Habe unten im Abschnitt "Passwort ändern über RDP-Client" mal versucht den Haken raus zu machen. Geht auch nicht.
Was kann ich da falsch machen?
Kann man die Änderung des Passwortes nicht erst nach der Anmeldung machen? So dass dieses Universal Passwort 1 mal funktioniert oder so?
Was kann ich da falsch machen?
Kann man die Änderung des Passwortes nicht erst nach der Anmeldung machen? So dass dieses Universal Passwort 1 mal funktioniert oder so?
Du musst NLA ausschaltet
Hast du denn ein Initialkennwort vergeben? Oder hast du das Feld leer gelassen?
NLA ist durch den Haken entfernen ausgeschaltet, so ich das richtig verstanden habe.
Ich habe ein Universal Passwort hinterlegt, ohne Passwort kann ich doch gar keinen User anlegen. Oder was meinst du damit?
Ich habe ein Universal Passwort hinterlegt, ohne Passwort kann ich doch gar keinen User anlegen. Oder was meinst du damit?
Hört sich aber nach deinem Text wo du den Haken raus genommen hast nicht so an.
Ist doch so richtig oder?
Du hast oben geschrieben
Das steht in deinem Bild nirgendwo. Deshalb war deine Aussage sehr verwirrend.
Ja sollte das sein.
"Passwort ändern über RDP-Client"
Das steht in deinem Bild nirgendwo. Deshalb war deine Aussage sehr verwirrend.
Ja sollte das sein.
Zitat von @LutzerHase:
Es kommt eben die Fehlermeldung: "Sie müssen Ihr Kennwort ändern bevor Sie sich zum ersten mal anmelden"
Das schließt sich irgendwie aus...
das liegt an deinem ThinClientEs kommt eben die Fehlermeldung: "Sie müssen Ihr Kennwort ändern bevor Sie sich zum ersten mal anmelden"
Das schließt sich irgendwie aus...
Welches ThinClient OS verwendet du?
Bei IGEL OS funktioniert diest...du muss rein für das IGEL OS den ActiveDirectory Login aktiveren und dann die Logindaten an die RDP Session per Passtrough übergeben.
Ich verwende HP Clients mit der HP Software und bei meinen lokalen Computern geht das auch nicht. Hat mit den Client denke ich nichts zu tun. Wäre für diese Einstellung auch nicht entscheidend, denke ich.
Also ich mache eine normale "Remotedesktopverbindung"...
Auch wenn ich den Haken (Passwort...) rausnehme mich einmal einlogge und dann den Haken rein nehme kommt die selbe Meldung.
Wenn die Aufforderung kommen würden, wenn man sich eingeloggt hat, wäre das ja sinnvoll. Aber so kommt man ja nicht mal bis zum Windows, wie soll man da auch sein Passwort ändern können.
Kann man das Passwort ändern bei neuen Accounts anderweitig erzwingen?
Es gibt ja die normale Richtline (nach 48 Tagen...).
Kann man prüfen wie "alt" der Account ist und nach einem Tag zum ändern auffordern?
Also ich mache eine normale "Remotedesktopverbindung"...
Auch wenn ich den Haken (Passwort...) rausnehme mich einmal einlogge und dann den Haken rein nehme kommt die selbe Meldung.
Wenn die Aufforderung kommen würden, wenn man sich eingeloggt hat, wäre das ja sinnvoll. Aber so kommt man ja nicht mal bis zum Windows, wie soll man da auch sein Passwort ändern können.
Kann man das Passwort ändern bei neuen Accounts anderweitig erzwingen?
Es gibt ja die normale Richtline (nach 48 Tagen...).
Kann man prüfen wie "alt" der Account ist und nach einem Tag zum ändern auffordern?
Bringt dir nichts, denn wenn der User vor dem Ablauf das Passwort nicht ändert solltest du wieder vor dem Problem stehen.
Das mit dem NLA ist meiner Meinung nach mmmer noch der beste Anhaltspunkt. Mann muss aber rausbekommen warum das bei dir nicht funktioniert. Oder du erstellst eine Self-service Webseite zum Passwort ändern.
Hier gibt entsprechende Anleitungen.
Das mit dem NLA ist meiner Meinung nach mmmer noch der beste Anhaltspunkt. Mann muss aber rausbekommen warum das bei dir nicht funktioniert. Oder du erstellst eine Self-service Webseite zum Passwort ändern.
Hier gibt entsprechende Anleitungen.
Wie kann ich das rausfinden?
Ich habe dies an einem anderen System getestet (ws2012), geht auch nicht.
Muss man da evtl. beim installieren/ einrichten des RMS Server etwas beachten?
Ich habe dies an einem anderen System getestet (ws2012), geht auch nicht.
Muss man da evtl. beim installieren/ einrichten des RMS Server etwas beachten?
Schon mal die Reg Keys versucht?
https://social.technet.microsoft.com/Forums/de-DE/c07323c2-77fa-4eb4-91e ...
https://social.technet.microsoft.com/Forums/de-DE/c07323c2-77fa-4eb4-91e ...
1
Das hier bringt wirklich die gewünschte Änderung:
Remote Registry
Start > Run > Regedit. You may need to use "RunAs" to launch it using an account with admin priviliges on the target server.
File > “Connect Network Registry…”
Enter remote computer name and click OK.
Navigate to HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Select “SecurityLayer” and change the value to 0.
Aber Security hört sich nicht so freundlich an.
Was mache ich damit schlechter/unsicherer?
Remote Registry
Start > Run > Regedit. You may need to use "RunAs" to launch it using an account with admin priviliges on the target server.
File > “Connect Network Registry…”
Enter remote computer name and click OK.
Navigate to HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Select “SecurityLayer” and change the value to 0.
Aber Security hört sich nicht so freundlich an.
Was mache ich damit schlechter/unsicherer?
Um die Anwort von @Pjordorf in Worte zu Fassen.
Was es macht ist gut dokumentiert und das kann man auch nachlesen.
Im Endeffekt sehe ich 3 Möglichkeiten.
1. Du schaltest NLA aus
2. Du Verwendet Thin Client die selbst an der Domain Anmelden und mit der Passwortänderung umgehen können. Vielleicht können das deine eh schon.
3. Du führst wie schon geschrieben eine Selfservice Plattform zu Passwortverwaltung ein.
Gut 4. Du lässt das mit dem Passwortwechsel. Halte ich aber für die schlechteste Variante.
Was es macht ist gut dokumentiert und das kann man auch nachlesen.
Im Endeffekt sehe ich 3 Möglichkeiten.
1. Du schaltest NLA aus
2. Du Verwendet Thin Client die selbst an der Domain Anmelden und mit der Passwortänderung umgehen können. Vielleicht können das deine eh schon.
3. Du führst wie schon geschrieben eine Selfservice Plattform zu Passwortverwaltung ein.
Gut 4. Du lässt das mit dem Passwortwechsel. Halte ich aber für die schlechteste Variante.
Danke, so was findet man eben nicht durch wildes suchen im Internet... ;)
Ich schätze das jetzt einmal nicht so kritisch ein.
Von außen sichert die Firewall und wer da durch kommt braucht auch diesen halben Bonus Schritt nicht zum RDP.
Intern sind ja nur die ThinClients und nur diese lasse ich im Netzwerk zu und Anmeldedaten braucht man ja auch noch...
Oder sehe ich das falsch?
Ich schätze das jetzt einmal nicht so kritisch ein.
Von außen sichert die Firewall und wer da durch kommt braucht auch diesen halben Bonus Schritt nicht zum RDP.
Intern sind ja nur die ThinClients und nur diese lasse ich im Netzwerk zu und Anmeldedaten braucht man ja auch noch...
Oder sehe ich das falsch?
Naja Anhaltspunkte zum Suchen hättest du ja schon gehabt.
Ich sehe da auch wenig Probleme zumal ja deine Client's eh nicht damit umgehen können.
Aber es liegt in deiner Verantwortung somit musst du die Entscheidung treffen.
Ich sehe da auch wenig Probleme zumal ja deine Client's eh nicht damit umgehen können.
Aber es liegt in deiner Verantwortung somit musst du die Entscheidung treffen.
Hallo,
Doch. Such doch mit deiner Suchmaschine mal nach HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer Die Ergebnisse darfst du behalten. (Wilde und freie suche im Internetz deiner Wahl)
Gruß,
Peter
Doch. Such doch mit deiner Suchmaschine mal nach HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer Die Ergebnisse darfst du behalten. (Wilde und freie suche im Internetz deiner Wahl)
Ich schätze das jetzt einmal nicht so kritisch ein.
Warum fragst du dann?Von außen sichert die Firewall und wer da durch kommt braucht auch diesen halben Bonus Schritt nicht zum RDP.
?!?Intern sind ja nur die ThinClients und nur diese lasse ich im Netzwerk zu und Anmeldedaten braucht man ja auch noch...
Also ist dein Problem eigentlicj kein Problem, eine Lösung nicht wirklich gewünscht.Gruß,
Peter
Da habe ich mich unglücklich ausgedrückt, sorry.
Ich wollte damit kritisch hinterfragen und meine Gedanken dazu schreiben.
Ich bin für jede Kritik oder Hinweis Dankbar.
Ist das sicher?
Ich wollte damit kritisch hinterfragen und meine Gedanken dazu schreiben.
Ich bin für jede Kritik oder Hinweis Dankbar.
Ist das sicher?
