При попытке изменить пароль на рабочей станции с Windows 7 для доменного пользователя выдается ошибка:
Unable to update the password. The value provided for the new password does not meet the length, complexity, or history requirements of the domain.
При этом пароль точно соответствует политике паролей в домене.
минимальный срок действия пароля
Опубликовано пользователем manager
Не забывайте, что политика паролей определяет не только количество символов, требования к сложности и истории.
Есть еще параметр Минимальный срок действия пароля, по умолчанию 1 день.
Если пароль изменен администратором (техподдержкой) и галочка Требовать смены пароля при следующем входе в систему не установлена, пользователь сможет изменить пароль только через 24 часа.
RDP
Опубликовано пользователем manager
Да, это именно тот случай. Но я не могу установить Требовать смены пароля при следующем входе в систему.
После этого вообще не удается соединиться по RDP выдает ошибку:
Перед первым входом в систему необходимо сменить пароль. Обновите пароль либо обратитесь к вашему системному администратору или в службу технической поддержки.
NLA
Опубликовано пользователем manager
Дело в NLA - эта технология не позволяет изменять пароль до того как пользователь войдет на компьютер.
Со стороны сервера можно разрешить подключение клиентов без NLA через Computer - Properties - Remote settings - Allow connections from computers running any version of Remote Desktop (less secure). Либо через gpedit.msc - Computer Configuration - Administrative Templates - Windows Components - Remote Desktop Services - Remote Desktop Session Host - Security - Require user authentication for remote connections by using Network Level Authentication = Disabled. Можно отключить NLA через реестр HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer=0
Со стороны клиента NLA можно отключить создав и отредактировав RDP файл. Нужно добавить строку enablecredsspsupport:i:0
То что NLA не используется, можно определить по поведению RDC. С включенным NLA запрос логина/пароля идет до входа на компьютер. Без NLA вы увидите обычный экран приветствия.
Не рекомендую разрешать RDP соединения без NLA если к серверу имеется доступ из внешней сети. Это открывает возможности для DoS атаки.
Поменять пароль с NLA через RDP можно.
Опубликовано пользователем manager
На Микрософте написано, что изменить пароль через RDP при установленном NLA нельзя. И это действительно так.
Но мало кто знает, что речь идет о текущем пользователе.
Поясняю. Есть user1 которому установлено "Требовать смены пароля при следующем входе в систему", на терминальном сервере установлено требование NLA. Запускаем RDC пытаемся соединится с сервером и получаем все вышесказанное.
На этот случай нужен еще один пользователь, например, test без галочки "смена пароля". Заходим на сервер через RDP под пользователем test, нажимаем Ctrl-Alt-End и выбираем пункт "Сменить пароль"
Здесь присутствует 4 поля: пользователь, старый пароль, новый пароль, подтверждение. В поле "Пользователь" вводим user1 и далее требуемые пароли. OK.
Пароль для user1 изменен и теперь можно входить под ним через RDP. Алгоритм работает и для локальных и для доменных пользователей.
Если в вашей организации есть пользователи RDP которые работают с вне доменных станций. Хорошей практикой будет создание пользователя с фиксированным паролем. Который будет использоваться для смены пароля пользователем через RDP с требованием NLA.