Поделиться через

Изменение пароля для истекшим сроком действия пароля для сценария рабочей группы

Эта статья помогает устранить ошибку, возникающую при обработке изменения пароля для пользователя, в котором истек срок действия пароля или задано изменение при следующем входе.

Исходный номер базы знаний: 2879424

Симптомы

У вас есть сервер в dmZ, который не входит в домен. Для администрирования у вас есть ряд локальных пользователей, которые являются администраторами.

При добавлении нового пользователя на сервере для администрирования необходимо задать начальный пароль и задать "Пользователь должен изменить пароль при следующем входе". Пользователь входит на сервер через службы удаленных рабочих столов. Пользователю будет предложено изменить пароль, и после ввода его пользователь получает сообщение об ошибке "Недостаточно хранилища доступно для обработки этой команды".

Снимок экрана: сообщение об ошибке, которое недостаточно хранилища доступно для обработки этой команды.

Если сервер RDS включил NLA, попытка войти на сервер завершается сбоем с истекшим паролем, показывающим ошибку:

[Название окна]
Подключение к удаленному рабочему столу[содержимое]

Произошла ошибка проверки подлинности.
Не удается связаться с локальным центром безопасности

Удаленный компьютер: <имя компьютера>
Это может быть вызвано тем, что срок действия пароля истек.
Обновите пароль, если срок его действия истек.
Обратитесь за помощью к системному администратору или в службу технической поддержки.

[OK]

Диалоговое окно ошибки выглядит следующим образом:

Снимок экрана: окно подключения к удаленному рабочему столу, в котором отображается сообщение об ошибке с включенной NLA.

Причина

При обработке изменения пароля для пользователя, на котором истек срок действия пароля или задано изменение при следующем входе, Winlogon использует анонимный маркер для обработки запроса на изменение пароля.

Диалоговое окно "Изменение пароля" позволяет изменять пароли на удаленных компьютерах, поэтому вызовы API используют remotable интерфейсы через RPC через именованные каналы через SMB. Для этой последовательности протоколов среда выполнения RPC считывает параметр политики Server2003NegotiateDisable из ключа HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc.

Это завершается ошибкой в контексте анонимного маркера, так как разрешения по умолчанию позволяют только прошедшим проверку подлинности пользователям, администраторам и LocalSystem читать ключ.

Если NLA включена, запрос сеанса пользователя не проверяется и поэтому завершается ошибкой.

Решение

Подходы к устранению этой проблемы:

  1. Удаленное изменение пароля. Обратите внимание, что в настоящее время пользователь в контексте удаленного изменения пароля должен иметь возможность войти на целевой сервер с учетными данными по умолчанию (или уже подключено с помощью SMB к серверу во время изменения пароля).
  2. Измените разрешения ключа HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc , чтобы разрешить анонимно читать ключ. Если ключ не существует, его можно создать, а затем добавить разрешения на чтение для анонимной учетной записи.

Примечание.

Для подхода 2 при попытке восстановиться после ошибки может произойти, что служба групповой политики удаляет ключи и повторно создает их с помощью разрешений по умолчанию. В этом случае необходимо повторно применить разрешения.

Вы можете автоматизировать настройку разрешений на использование политики безопасности реестра, если компьютер входит в домен. Для компьютеров рабочей группы этот текст можно импортировать как rpc-pol.inf-файл:

---------------------------  
[Unicode]  
Unicode=yes  
[Version]  
signature="$CHICAGO$"  
Revision=1  
[Registry Keys]  
"MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\rpc",0,"D:PAR(A;CIIO;KA;;;CO)(A;CI;KA;;;SY)(A;CI;KA;;;BA)(A;CI;KR;;;S-1-5-7)(A;CI;KR;;;BU)"  
------------------------------

Его можно применить с помощью:

secedit /configure /db C:\Windows\security\database\rpc-pol.sdb/cfg rpc-pol.inf /log rpc-pol.log Обратите внимание, что ключ должен существовать, чтобы это было успешно.

Дополнительная информация

Функциональность для изменения рабочих групп или паролей удаленного компьютера-члена должна учитывать ряд требований совместимости. На сегодняшний день сценарий является очень пограничной темой.

Для сеансов RDS, защищенных с помощью NLA, это не позволяет начать удаленный сеанс с истекшим паролем. Если вы хотите использовать NLA, необходимо изменить пароль удаленно перед сеансом, прошедшим проверку подлинности с другим пользователем.