Condividi tramite

Modifica della password per la password scaduta non riuscita per lo scenario del gruppo di lavoro

Questo articolo consente di correggere un errore che si verifica durante l'elaborazione della modifica della password per un utente in cui la password è scaduta o impostata per la modifica all'accesso successivo.

Numero KB originale: 2879424

Sintomi

Si dispone di un server in una rete perimetrale che non è membro di un dominio. Per l'amministrazione, si dispone di una serie di utenti locali che sono amministratori.

Quando si aggiunge un nuovo utente nel server per l'amministrazione, si imposta una password iniziale e si imposta "L'utente deve modificare la password all'accesso successivo". L'utente accede al server tramite Servizi Desktop remoto. All'utente viene richiesto di modificare la password e, dopo averlo immesso, l'utente riceve un messaggio di errore "Spazio di archiviazione insufficiente disponibile per l'elaborazione di questo comando":

Screenshot del messaggio di errore che non è sufficiente spazio di archiviazione disponibile per elaborare questo comando.

Se il server Servizi Desktop remoto dispone di NLA abilitata, il tentativo di accesso al server non riesce con la password scaduta che mostra l'errore:

[Titolo finestra]
Connessione Desktop remoto[Contenuto]

Si è verificato un errore di autenticazione.
L'autorità di sicurezza locale non può essere contattata

Computer remoto: <Nome computer>
Ciò potrebbe essere dovuto a una password scaduta.
Aggiornare la password se è scaduta.
Per assistenza, contattare l'amministratore o il supporto tecnico.

[OK]

La finestra di dialogo di errore è simile alla seguente:

Screenshot della finestra Connessione Desktop remoto che mostra il messaggio di errore con NLA abilitato.

Causa

Quando si elabora la modifica della password per un utente in cui la password è scaduta o impostata su modifica all'accesso successivo, Winlogon usa un token anonimo per elaborare la richiesta di modifica della password.

La finestra di dialogo di modifica della password consente anche di modificare le password rispetto ai computer remoti, quindi le chiamate API usano interfacce remote tramite RPC su named pipe su SMB. Per questa sequenza di protocollo, il runtime RPC legge un'impostazione di criteri "Server2003NegotiateDisable" dalla chiave HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc.

Questo errore ha esito negativo nel contesto del token anonimo perché le autorizzazioni predefinite consentono solo a utenti, amministratori e LocalSystem autenticati di leggere la chiave.

Quando nLA è abilitata, la richiesta di sessione utente non viene convalidata e pertanto ha esito negativo.

Risoluzione

Gli approcci per evitare questo problema sono:

  1. Modificare la password in modalità remota. Si noti che attualmente l'utente nel contesto in cui si esegue la modifica della password remota deve essere in grado di accedere al server di destinazione con le credenziali predefinite (o già connesso tramite SMB al server al momento della modifica della password).
  2. Modificare le autorizzazioni della chiave HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc per consentire all'anonimo di leggere la chiave. Se la chiave non esiste, è possibile crearla e quindi aggiungere le autorizzazioni di lettura per l'account anonimo.

Note

Per l'approccio 2, nel tentativo di eseguire il ripristino da un errore, potrebbe verificarsi che il servizio Criteri di gruppo elimini le chiavi e le ricrea usando le autorizzazioni predefinite. In questo caso, è necessario riapplicare le autorizzazioni.

È possibile automatizzare l'impostazione delle autorizzazioni per l'uso dei criteri di sicurezza del Registro di sistema quando il computer è membro del dominio. Per i computer del gruppo di lavoro è possibile importare questo testo come file rpc-pol.inf:

---------------------------  
[Unicode]  
Unicode=yes  
[Version]  
signature="$CHICAGO$"  
Revision=1  
[Registry Keys]  
"MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\rpc",0,"D:PAR(A;CIIO;KA;;;CO)(A;CI;KA;;;SY)(A;CI;KA;;;BA)(A;CI;KR;;;S-1-5-7)(A;CI;KR;;;BU)"  
------------------------------

È possibile applicarlo usando:

secedit /configure /db C:\Windows\security\database\rpc-pol.sdb/cfg rpc-pol.inf /log rpc-pol.log Si noti che la chiave deve esistere in modo che l'operazione venga eseguita correttamente.

Ulteriori informazioni

La funzionalità per modificare le password del gruppo di lavoro o del computer membro remoto deve tenere conto di diversi requisiti di compatibilità. Lo scenario è molto un argomento borderline di oggi.

Per le sessioni rds protette con NLA, non consente l'avvio di una sessione remota con una password scaduta. Se si vuole usare NLA, è necessario modificare la password in modalità remota in una sessione autenticata con un altro utente.