Dela via

Lösenordsändring för utgångna lösenord misslyckas för arbetsgruppsscenario

Den här artikeln hjälper dig att åtgärda ett fel som uppstår när lösenordsändringen bearbetas för en användare där lösenordet har upphört att gälla eller som har angetts att ändras vid nästa inloggning.

Ursprungligt KB-nummer: 2879424

Symptom

Du har en server i en DMZ som inte är medlem i en domän. För administration har du en serie lokala användare som är administratörer.

När du lägger till en ny användare på servern för administration anger du ett första lösenord och anger "Användaren måste ändra lösenord vid nästa inloggning". Användaren loggar in på servern via Fjärrskrivbordstjänster. Användaren uppmanas att ändra lösenordet, och när användaren har angett det får användaren ett felmeddelande om att det inte finns tillräckligt med lagringsutrymme för att bearbeta det här kommandot:

Skärmbild av felmeddelandet som inte är tillräckligt med lagringsutrymme för att bearbeta det här kommandot.

Om RDS-servern har NLA aktiverat misslyckas försöket att logga in på servern med det utgångna lösenordet som visar felet:

[Fönsterrubrik]
Anslutning till fjärrskrivbord[innehåll]

Ett autentiseringsfel har inträffat.
Det går inte att kontakta den lokala säkerhetsmyndigheten

Fjärrdator: <Datornamn>
Det här kan bero på ett lösenord som har upphört att gälla.
Uppdatera lösenordet om det har upphört att gälla.
Kontakta administratören eller den tekniska supporten om du behöver hjälp.

[OK]

Dialogrutan för fel ser ut så här:

Skärmbild av fönstret Anslutning till fjärrskrivbord som visar felmeddelandet med NLA aktiverat.

Orsak

När du bearbetar lösenordsändringen för en användare där lösenordet har upphört att gälla eller är inställt på att ändras vid nästa inloggning använder Winlogon en anonym token för att bearbeta begäran om lösenordsändring.

Dialogrutan för lösenordsändring tillåter även ändring av lösenord mot fjärrdatorer, så API-anropen använder fjärrkommunikationsbara gränssnitt via RPC via namngivna pipes via SMB. För den här protokollsekvensen läser RPC-körningen en principinställning "Server2003NegotiateDisable" från nyckeln HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc.

Detta misslyckas i kontexten för den anonyma token eftersom standardbehörigheterna endast tillåter autentiserade användare, administratörer och LocalSystem att läsa nyckeln.

När NLA är aktiverat verifierar inte användarsessionsbegäran och misslyckas därmed.

Åtgärd

Metoderna för att undvika det här problemet är:

  1. Ändra lösenordet via fjärranslutning. Observera att användaren i kontexten som du kör fjärrlösenordsändringen för närvarande måste kunna logga in på målservern med standardautentiseringsuppgifterna (eller redan ansluten med SMB till servern vid tidpunkten för lösenordsändringen).
  2. Ändra behörigheterna för nyckeln HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc så att anonym kan läsa nyckeln. Om nyckeln inte finns kan du skapa den och sedan lägga till läsbehörigheterna för det anonyma kontot.

Kommentar

För metod 2 kan det hända att grupprinciptjänsten tar bort nycklarna och återskapar dem med hjälp av standardbehörigheter i ett försök att återställa från ett fel. I det här fallet måste du tillämpa behörigheterna igen.

Du kan automatisera inställningen av behörigheter för att använda registersäkerhetsprincip när datorn är medlem i domänen. För arbetsgruppsdatorer kan du importera den här texten som rpc-pol.inf-fil:

---------------------------  
[Unicode]  
Unicode=yes  
[Version]  
signature="$CHICAGO$"  
Revision=1  
[Registry Keys]  
"MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\rpc",0,"D:PAR(A;CIIO;KA;;;CO)(A;CI;KA;;;SY)(A;CI;KA;;;BA)(A;CI;KR;;;S-1-5-7)(A;CI;KR;;;BU)"  
------------------------------

Du kan använda den med hjälp av:

secedit /configure /db C:\Windows\security\database\rpc-pol.sdb/cfg rpc-pol.inf /log rpc-pol.log Observera att nyckeln måste finnas så att den lyckas.

Mer information

Funktionerna för att ändra lösenord för arbetsgrupps- eller fjärrmedlemsdatorer måste ta hänsyn till ett antal kompatibilitetskrav. Scenariot är i stort sätt ett kantlinjeämne vid det här laget.

För RDS-sessioner som skyddas med NLA är det inte möjligt att starta en fjärrsession med ett lösenord som har upphört att gälla till att börja med. Om du vill använda NLA måste du ändra lösenordet via fjärranslutning i en session som autentiseras med en annan användare.