lutzerhase
Goto Top

Benutzer muss Passwort bei der Anmeldung ändern

Ich möchte beim Anlegen neuer Benutzer Standard Passwörter angeben, die dann geändert werden müssen.
Jetzt gibt es ja diese Kästchen "Benutzer muss Passwort bei der Anmeldung ändern", aber beim anmelden kommt eine Fehlermeldung "Sie müssen Ihr Kennwort ändern bevor Sie sich zum ersten mal anmelden".

Ich verstehe das nicht. Wie macht man das richtig?
Ich möchte Accounts einfach anlegen können, ohne das Passwort zu wissen. Das darf man ja auch gar nicht.
Und wenn ich das Normal anmelden lasse und darauf vertraue das die Leute Ihr Passwort ändern, gibt es immer welche die es nicht machen oder können.

Anmeldung erfolgt auf einem "Terminalserver" von einem ThinClient aus (WS2019).

Content-ID: 637100

Url: https://administrator.de/forum/benutzer-muss-passwort-bei-der-anmeldung-aendern-637100.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

c0d3.r3d
c0d3.r3d 02.01.2021 um 14:22:54 Uhr
Goto Top
Eigentlich ganz simpel.

Du vergibst ein Passwort, z.B. Start für den Nutzer, teilst ihm das Passwort wie auch immer mit, und wenn er sich dann mit Nutzername und dem Kennwort Start anmeldet wird er aufgefordert ein eigenes Kennwort festzulegen, welches nur er kennt.

Wo ist jetzt dein Verständnisproblem?
LutzerHase
LutzerHase 02.01.2021 um 14:27:37 Uhr
Goto Top
Es kommt eben die Fehlermeldung: "Sie müssen Ihr Kennwort ändern bevor Sie sich zum ersten mal anmelden"

Das schließt sich irgendwie aus...
117471
117471 02.01.2021 aktualisiert um 14:32:08 Uhr
Goto Top
Hallo,

nein.

Mit der Eingabe des ersten Kennwortes erfolgt ja keine Anmeldung, sondern erst mit der erstmaligen Eingabe des selbstgewählten Kennwortes.

Die Meldung ist korrekt und ausgesprochen einfach und treffend formuliert. Eine der wenigen Sachen, die M$ wirklich gut hingekriegt hat!

Gruß,
Jörg
tomolpi
tomolpi 02.01.2021 aktualisiert um 14:40:34 Uhr
Goto Top
Zitat von @LutzerHase:
beim anmelden kommt eine Fehlermeldung "Sie müssen Ihr Kennwort ändern bevor Sie sich zum ersten mal anmelden".

Dann drückst du auf Ok, und die Felder zur Eingabe des neuen Kennwortes kommen face-wink

Ganz einfach.
chgorges
chgorges 02.01.2021 um 14:47:31 Uhr
Goto Top
Zitat von @LutzerHase:

Es kommt eben die Fehlermeldung: "Sie müssen Ihr Kennwort ändern bevor Sie sich zum ersten mal anmelden"

Das ist keine Fehlermeldung, sondern ein Hinweis, ein meilenweiter Unterschied...

Der Rest wurde gesagt, bei dir funktioniert systemseitig alles korrekt.
LutzerHase
LutzerHase 02.01.2021 um 14:49:28 Uhr
Goto Top
Wenn ich bei dem Hinweis auf OK klicke, geht diese weg und nichts passiert.
Das ist mein Problem.
Pjordorf
Pjordorf 02.01.2021 um 14:59:11 Uhr
Goto Top
Hallo,

Zitat von @LutzerHase:
Wenn ich bei dem Hinweis auf OK klicke, geht diese weg und nichts passiert.
Mal wieder nicht alles am anfang offenbart? Mach mal Screenshots und stelle die hier rein und sag uns was dort nicht passt. Und dein ThinClient mit Server2019 ist eben kein ThinClient.

Gruß,
Peter
LutzerHase
LutzerHase 02.01.2021 um 15:05:48 Uhr
Goto Top
Hier ein Bild der Meldung...
smartselectimage_2021-01-02-15-04-47
wiesi200
wiesi200 02.01.2021 um 15:21:38 Uhr
Goto Top
LutzerHase
LutzerHase 02.01.2021 aktualisiert um 15:46:04 Uhr
Goto Top
Habe unten im Abschnitt "Passwort ändern über RDP-Client" mal versucht den Haken raus zu machen. Geht auch nicht.
Was kann ich da falsch machen?

Kann man die Änderung des Passwortes nicht erst nach der Anmeldung machen? So dass dieses Universal Passwort 1 mal funktioniert oder so?
wiesi200
wiesi200 02.01.2021 um 15:48:06 Uhr
Goto Top
Du musst NLA ausschaltet
mayho33
mayho33 02.01.2021 um 15:51:57 Uhr
Goto Top
Hast du denn ein Initialkennwort vergeben? Oder hast du das Feld leer gelassen?
LutzerHase
LutzerHase 02.01.2021 um 16:03:23 Uhr
Goto Top
NLA ist durch den Haken entfernen ausgeschaltet, so ich das richtig verstanden habe.

Ich habe ein Universal Passwort hinterlegt, ohne Passwort kann ich doch gar keinen User anlegen. Oder was meinst du damit?
wiesi200
wiesi200 02.01.2021 um 16:07:36 Uhr
Goto Top
Hört sich aber nach deinem Text wo du den Haken raus genommen hast nicht so an.
LutzerHase
LutzerHase 02.01.2021 um 18:39:50 Uhr
Goto Top
Ist doch so richtig oder?
smartselectimage_2021-01-02-18-39-15
wiesi200
wiesi200 02.01.2021 um 18:51:29 Uhr
Goto Top
Du hast oben geschrieben
"Passwort ändern über RDP-Client"

Das steht in deinem Bild nirgendwo. Deshalb war deine Aussage sehr verwirrend.
Ja sollte das sein.
tech-flare
tech-flare 02.01.2021 aktualisiert um 21:44:55 Uhr
Goto Top
Zitat von @LutzerHase:

Es kommt eben die Fehlermeldung: "Sie müssen Ihr Kennwort ändern bevor Sie sich zum ersten mal anmelden"

Das schließt sich irgendwie aus...
das liegt an deinem ThinClient

Welches ThinClient OS verwendet du?

Bei IGEL OS funktioniert diest...du muss rein für das IGEL OS den ActiveDirectory Login aktiveren und dann die Logindaten an die RDP Session per Passtrough übergeben.
LutzerHase
LutzerHase 03.01.2021 um 05:15:20 Uhr
Goto Top
Ich verwende HP Clients mit der HP Software und bei meinen lokalen Computern geht das auch nicht. Hat mit den Client denke ich nichts zu tun. Wäre für diese Einstellung auch nicht entscheidend, denke ich.
Also ich mache eine normale "Remotedesktopverbindung"...

Auch wenn ich den Haken (Passwort...) rausnehme mich einmal einlogge und dann den Haken rein nehme kommt die selbe Meldung.
Wenn die Aufforderung kommen würden, wenn man sich eingeloggt hat, wäre das ja sinnvoll. Aber so kommt man ja nicht mal bis zum Windows, wie soll man da auch sein Passwort ändern können.

Kann man das Passwort ändern bei neuen Accounts anderweitig erzwingen?
Es gibt ja die normale Richtline (nach 48 Tagen...).
Kann man prüfen wie "alt" der Account ist und nach einem Tag zum ändern auffordern?
wiesi200
wiesi200 03.01.2021 um 10:34:20 Uhr
Goto Top
Bringt dir nichts, denn wenn der User vor dem Ablauf das Passwort nicht ändert solltest du wieder vor dem Problem stehen.

Das mit dem NLA ist meiner Meinung nach mmmer noch der beste Anhaltspunkt. Mann muss aber rausbekommen warum das bei dir nicht funktioniert. Oder du erstellst eine Self-service Webseite zum Passwort ändern.
Hier gibt entsprechende Anleitungen.
LutzerHase
LutzerHase 03.01.2021 um 13:42:14 Uhr
Goto Top
Wie kann ich das rausfinden?
Ich habe dies an einem anderen System getestet (ws2012), geht auch nicht.

Muss man da evtl. beim installieren/ einrichten des RMS Server etwas beachten?
wiesi200
wiesi200 03.01.2021 um 13:52:08 Uhr
Goto Top
LutzerHase
LutzerHase 03.01.2021 um 14:28:17 Uhr
Goto Top
Das hier bringt wirklich die gewünschte Änderung:

Remote Registry

Start > Run > Regedit. You may need to use "RunAs" to launch it using an account with admin priviliges on the target server.
File > “Connect Network Registry…”
Enter remote computer name and click OK.
Navigate to HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Select “SecurityLayer” and change the value to 0.

Aber Security hört sich nicht so freundlich an.
Was mache ich damit schlechter/unsicherer?
Pjordorf
Pjordorf 03.01.2021 um 14:40:32 Uhr
Goto Top
Hallo,

Zitat von @LutzerHase:
Was mache ich damit schlechter/unsicherer?
https://docs.microsoft.com/de-de/windows-hardware/customize/desktop/unat ...

Gruß,
Peter
wiesi200
wiesi200 03.01.2021 um 15:07:49 Uhr
Goto Top
Um die Anwort von @Pjordorf in Worte zu Fassen.
Was es macht ist gut dokumentiert und das kann man auch nachlesen.

Im Endeffekt sehe ich 3 Möglichkeiten.
1. Du schaltest NLA aus
2. Du Verwendet Thin Client die selbst an der Domain Anmelden und mit der Passwortänderung umgehen können. Vielleicht können das deine eh schon.
3. Du führst wie schon geschrieben eine Selfservice Plattform zu Passwortverwaltung ein.

Gut 4. Du lässt das mit dem Passwortwechsel. Halte ich aber für die schlechteste Variante.
LutzerHase
LutzerHase 03.01.2021 um 15:24:52 Uhr
Goto Top
Danke, so was findet man eben nicht durch wildes suchen im Internet... ;)

Ich schätze das jetzt einmal nicht so kritisch ein.
Von außen sichert die Firewall und wer da durch kommt braucht auch diesen halben Bonus Schritt nicht zum RDP.
Intern sind ja nur die ThinClients und nur diese lasse ich im Netzwerk zu und Anmeldedaten braucht man ja auch noch...

Oder sehe ich das falsch?
wiesi200
wiesi200 03.01.2021 um 15:31:20 Uhr
Goto Top
Naja Anhaltspunkte zum Suchen hättest du ja schon gehabt.

Ich sehe da auch wenig Probleme zumal ja deine Client's eh nicht damit umgehen können.

Aber es liegt in deiner Verantwortung somit musst du die Entscheidung treffen.
Pjordorf
Pjordorf 03.01.2021 um 15:49:09 Uhr
Goto Top
Hallo,

Zitat von @LutzerHase:
so was findet man eben nicht durch wildes suchen im Internet... ;)
Doch. Such doch mit deiner Suchmaschine mal nach HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer Die Ergebnisse darfst du behalten. (Wilde und freie suche im Internetz deiner Wahl)

Ich schätze das jetzt einmal nicht so kritisch ein.
Warum fragst du dann?

Von außen sichert die Firewall und wer da durch kommt braucht auch diesen halben Bonus Schritt nicht zum RDP.
?!?

Intern sind ja nur die ThinClients und nur diese lasse ich im Netzwerk zu und Anmeldedaten braucht man ja auch noch...
Also ist dein Problem eigentlicj kein Problem, eine Lösung nicht wirklich gewünscht.

Gruß,
Peter
LutzerHase
LutzerHase 03.01.2021 um 15:58:25 Uhr
Goto Top
Da habe ich mich unglücklich ausgedrückt, sorry.
Ich wollte damit kritisch hinterfragen und meine Gedanken dazu schreiben.

Ich bin für jede Kritik oder Hinweis Dankbar.

Ist das sicher?